A marzo è stato FakeUpdates il malware più diffuso in Italia, seguito da Blindingcan e Formbook. Si tratta di minacce ben conosciute, che da tempo rientrano fra le prime dieci posizioni riconfermandosi alternativamente fra le top 3. La classifica mensile come sempre è stilata da Check Point Research sulla base della telemetria dei prodotti di security del vendor.

Ricordiamo che FakeUpdates, che primeggia anche a livello globale, è un downloader scritto in JavaScript che ha la capacità di scrivere i payload su disco prima di lanciarli, causando ulteriori attacchi attraverso varie minacce informatiche fra cui si ricordano GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. Nel periodo in esame ha avuto un impatto del 12,67 percento in Italia, che supera del 6% l’impatto a livello globale.

Torna poi il ben noto Blindingcam, che ricordiamo essere un trojan ad accesso remoto (RAT) che è pericoloso per le sue funzioni integrate che permettonoall’attaccante diverse capacità d’azione sul sistema della vittima. Come accennato, il gradino più basso del podio spetta a Formbook, che ha scalzato Nanocore dal podio facendo registgrare un impatto del 5,12% (+1,15% rispetto a febbraio). Come noto, si tratta di un Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware-as-a-Service.

A livello globale la classifica si distingue solo per la medaglia d’argento, che è assegnata a Qbot, noto anche con il nome Qakbot. Anche questa è una minaccia che ritroviamo molto spesso nelle prime posizioni della classifica. Si tratta di un malware multiuso apparso per la prima volta nel 2008 e progettato per sottrarre le credenziali dell'utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite email di spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l'analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.

La classifica ransomware

La classifica di CPR include anche un nuovo capitolo relativo ai gruppi ransomware maggiormente rilevati. Considerata la popolarità di questo tipo di minaccia e gli ingenti danni che causa, è utile tenere puntualmente traccia delle attività in modo da capire quali sono le realtà più attive. Non significa che i nomi in classifica siano i più pericolosi, i più dannosi o gli unici da cui guardarsi. Semplicemente, attingendo dai siti di rivendicazione gli analisti danno una misura dei gruppi più attivi fra quelli che hanno applicato la doppia estorsione.

Il gruppo più attivo nel periodo in esame è stato LockBit 3.0, responsabile del 12% degli attacchi pubblicati, seguito da Play con il 10% e da Blackbasta con il 9%. La classifica collima con quella pubblicata da GroupIB a febbraio, con un discostamento trascurabile di percentuali, a conferma che i tre citati sono effettivamente i gruppi maggiormente attivi al momento, per lo meno in Europa. La buona notizia è che le attività delle Forze dell’Ordine hanno permesso di ridurre la sua frequenza dal 20% al 12%.