A giugno 2025 la classifica dei malware più diffusi in Italia redatta da Check Point Research conferma alcune tendenze consolidate, ma introduce anche segnali di evoluzione e cambiamento. FakeUpdates si mantiene al primo posto tra le minacce informatiche nel nostro Paese, con un impatto del 7,24%, in calo rispetto a maggio (-16,01%). Nonostante siamo di fronte al secondo calo consecutivo, questa minaccia continua a fare della resilienza la sua chiave per il successo. Al secondo posto si conferma Androxgh0st, che al contrario è in crescita del 14,81%, con un impatto che sale al 4,11%. AsyncRat si consolida al terzo posto, con un impatto del 2,22% e una crescita del 2,3% rispetto al mese precedente.

Il quadro globale

A livello globale, FakeUpdates si conferma il malware più diffuso, seguito da Androxgh0st, seguito da AsyncRat, che rafforza la sua posizione nella top 3 globale. La crescita di AsyncRat è stata favorita da campagne sempre più sofisticate che sfruttano piattaforme di comunicazione popolari come Discord per veicolare i payload e aumentare la furtività degli attacchi. FakeUpdates, associato al gruppo Evil Corp, continua a diffondersi tramite download drive-by e rimane una minaccia significativa per le aziende di tutto il mondo, alle quali recapita vari payload secondari dopo l’infezione. Androxgh0st, invece, si distingue per la capacità di eseguire la scansione di file .env esposti per rubare credenziali sensibili da applicazioni PHP Laravel, mentre AsyncRat si conferma uno strumento versatile per il furto di dati e la compromissione dei sistemi.

Il settore dell’istruzione resta il più bersagliato, seguito dalle organizzazioni governative e dal comparto telco. Le istituzioni scolastiche sono particolarmente vulnerabili a causa dell’ampia base di utenti e della natura critica delle infrastrutture, mentre le organizzazioni governative e le telco continuano a essere obiettivi privilegiati per la quantità e il valore dei dati gestiti.

Ransomware: Qilin resta leader

Nel panorama ransomware di giugno 2025, Qilin (noto anche come Agenda) si conferma come il gruppo più attivo, responsabile del 17% degli attacchi. Parliamo di un ransomware-as-a-service specializzato in attacchi contro grandi imprese, in particolare nei settori della sanità e dell’istruzione, con una kill chain che parte dalle email di phishing.

SafePay mantiene una posizione di rilievo. Applica il modello della doppia estorsione e attacca sia grandi aziende che piccole imprese, con una notevole versatilità operativa. Akira chiude la classifica dei ransomware più attivi e si distingue perché sfrutta vulnerabilità negli endpoint VPN e cifra i dati con l’estensione “.akira”. Prende di mira soprattutto aziende con misure di sicurezza deboli o datate. L’evoluzione delle tattiche di tutto il comparto ransomware, la crescente sofisticazione delle campagne e la varietà degli strumenti utilizzati impongono alle aziende una vigilanza costante e l’adozione di soluzioni di sicurezza multilivello.