Nel mese di maggio 2025 la classifica dei malware più diffusi in Italia ad opera di Check Point Research mostra segnali di cambiamento, pur confermando alcune tendenze ormai consolidate. FakeUpdates si mantiene al primo posto tra le minacce più diffuse nel Belpaese, ma per la prima volta da mesi registra una significativa flessione: il suo impatto sulle organizzazioni italiane scende all’8,62%, con una diminuzione del 20,1% rispetto ad aprile. Nonostante questo calo, FakeUpdates resta ben al di sopra della media globale, che si ferma al 5,41%.

Ricordiamo che questo malware, noto anche come SocGholish, continua a sfruttare siti compromessi e falsi aggiornamenti del browser per diffondersi, fungendo da vettore per ulteriori attacchi tramite payload come GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. La sua resilienza e capacità di adattamento lo mantengono saldamente in testa, ma la contrazione dell’impatto potrebbe essere il primo segnale di una fase di transizione.

Al secondo posto si conferma Androxgh0st, anch’esso in calo rispetto al mese precedente: l’impatto scende al 3,58%, con una riduzione del 10% rispetto ad aprile. Androxgh0st è una botnet che colpisce Windows, Mac e Linux, specializzata nel furto di informazioni sensibili e nella creazione di reti di dispositivi compromessi. Nonostante la flessione, il dato italiano resta superiore alla media globale, segno di una particolare esposizione del tessuto digitale nazionale a questo tipo di minaccia.

La novità del mese è rappresentata dall’ingresso di AsyncRat sul podio, che scalza Remcos e si posiziona al terzo posto con un impatto del 2,17%, anch’esso in diminuzione rispetto ad aprile (-12,4%). AsyncRat è una vecchia conoscenza: è un trojan per l’accesso remoto che prende di mira sistemi Windows, consentendo agli attaccanti di controllare i dispositivi infetti, eseguire comandi, scaricare plugin e sottrarre dati sensibili. La sua presenza crescente nella classifica italiana riflette l’evoluzione delle strategie dei cybercriminali, sempre più orientati verso strumenti flessibili e personalizzabili. Formbook, per mesi presenza fissa nella top 3, resta fuori dal podio e condivide il quinto posto con Raspberry Robin, segno di una progressiva perdita di efficacia rispetto ai concorrenti.

L’analisi globale

Anche sul piano globale FakeUpdates mantiene la leadership, nonostante una diminuzione dell’impatto (-15% rispetto ad aprile). Remcos resta stabile al secondo posto, confermandosi come uno dei RAT più utilizzati nelle campagne di phishing grazie alla sua capacità di aggirare i controlli di sicurezza e mantenere l’accesso ai sistemi compromessi. Al terzo posto, a livello mondiale, torna Androxgh0st, a testimonianza della sua diffusione trasversale.

Il quadro globale evidenzia una crescente sofisticazione delle tattiche adottate dai cyber criminali, con campagne sempre più articolate e difficili da individuare. Un elemento di rilievo è l’operazione internazionale che ha colpito Lumma, piattaforma di malware-as-a-service: il sequestro di migliaia di domini ha ridotto temporaneamente la sua attività, ma i server principali sono rimasti operativi e il malware continua a circolare, seppur con un impatto ridimensionato.

I ransomware più attivi

Il panorama ransomware di maggio vede l’emergere di SafePay come nuova minaccia dominante a livello globale. Osservato per la prima volta a fine 2024 e probabilmente riconducibile ad attori russi, questo ransomware ha superato Qilin e Play, diventando il gruppo più attivo secondo i dati raccolti dai siti di doppia estorsione. SafePay si distingue per una struttura centralizzata e tattiche aggressive: non opera come ransomware-as-a-service, ma gestisce direttamente tutte le fasi dell’attacco, dalla compromissione iniziale alla negoziazione del riscatto. Il gruppo utilizza una strategia di doppia estorsione, crittografando i dati delle vittime e minacciando la pubblicazione di informazioni sensibili in caso di mancato pagamento. In pochi mesi ha colpito un numero insolitamente elevato di aziende, con una particolare attenzione ai settori dell’istruzione e della sanità, senza trascurare imprese di ogni dimensione.

Qilin, noto anche come Agenda, mantiene una posizione di rilievo tra i gruppi ransomware più attivi. Opera in modalità ransomware-as-a-service, prende di mira grandi aziende e organizzazioni di alto valore, con una predilezione per i settori critici. Play Ransomware, apparso per la prima volta nel 2022, chiude il podio: si tratta di un gruppo che sfrutta vulnerabilità note e credenziali compromesse per infiltrarsi nelle reti aziendali, impiegando tecniche di living-off-the-land per eludere i controlli e massimizzare l’impatto delle proprie campagne.

In Italia la minaccia ransomware resta elevata, con il nostro Paese che si conferma tra i più colpiti a livello mondiale, soprattutto nei settori manifatturiero, consulenza e IT.