Anche nel mese di marzo 2025, quindi da almeno sei mesi consecutivi, la scena dei malware in Italia è dominata da FakeUpdates, che a questo giro ha registrato un impatto del 10,61% sulle organizzazioni italiane, con una crescita dell’85% rispetto al mese precedente. Un dato, quello pubblicato nel Global Threat Index di Check Point Research, che sottolinea non solo la persistenza della minaccia, ma anche la sua capacità di evolversi e ampliare la propria diffusione.

Inoltre, i dati di marzo 2025 confermano la centralità dell’Italia nello scenario europeo, con una classifica che vede, dopo FakeUpdates, Androxgh0st e Formbook rispettivamente in seconda e terza piazza. FakeUpdates, noto anche come SocGholish, ormai non ha più bisogno di presentazioni: è un downloader la cui popolarità fra gli attaccanti è dovuta alla capacità di esfiltrare dati, eseguire comandi da remoto e mantenere un accesso persistente ai sistemi infetti.

Androxgh0st è un altro cliente abituale della classifica: si tratta di una botnet che colpisce piattaforme Windows, Mac e Linux, progettata per sottrarre informazioni sensibili dai sistemi compromessi, sfruttando vulnerabilità note e tecniche di attacco automatizzate. Formbook è invece un noto infostealer attivo dal 2016 che prende di mira principalmente sistemi Windows e che ha una presenza costante nella top 3 da molto tempo, a conferma dell’efficacia delle sue tecniche di attacco e della difficoltà nel contrastarne la diffusione.

La situazione globale

Anche allargando il panorama allo scenario globale troviamo la leadership di FakeUpdates, in crescita addirittura del 162% rispetto al mese precedente. Tuttavia, la classifica internazionale vede alcune differenze rispetto a quella italiana: al secondo posto sale il noto trojan per l’accesso remoto Remcos, noto per la sua capacità di aggirare i meccanismi di sicurezza e per essere spesso utilizzato in campagne di phishing. Al terzo posto permane AgentTesla, un altro habitué molto diffuso anche grazie alla sua commercializzazione come prodotto legittimo.

Queste differenze tra il contesto italiano e quello globale sono anche uno specchio della specificità delle campagne di attacco e la differente esposizione delle infrastrutture nazionali. In Italia la crescita di FakeUpdates ha creato un divario significativo rispetto alle altre minacce, mentre Androxgh0st e Formbook mantengono una presenza stabile, ma con impatti inferiori. A livello globale, invece, la varietà delle minacce è maggiore, con Remcos e AgentTesla che guadagnano terreno grazie alla loro versatilità e alla capacità di eludere i sistemi di difesa tradizionali.

Il capitolo ransomware

Secondo i dati raccolti dai siti di rivendicazione, il ransomware più diffuso a livello globale nel mese di marzo è stato RansomHub, responsabile del 12% degli attacchi pubblicati. Ricordiamo che si tratta di una piattaforma di Ransomware-as-a-Service emersa all’inizio del 2024 come evoluzione del ransomware Knight, capace di attaccare sistemi Windows, macOS, Linux e ambienti VMware ESXi. Seguono Qilin, noto anche come Agenda, e Akira. Qilin prende di mira soprattutto grandi imprese e organizzazioni di alto valore; Akira si concentra su sistemi Windows e Linux e sfrutta campagne di phishing e vulnerabilità nei sistemi VPN per penetrare nelle reti aziendali.