Il Global Threat Index relativo al mese di marzo di 2025 pubblicato da Check Point Software Technologies evidenzia ancora una volta il predominio di FakeUpdates, un malware downloader che si conferma la minaccia più diffusa a livello globale. Parallelamente, crescono le campagne ransomware legate al gruppo RansomHub, segnalando un’escalation delle attività malevole nel cyberspazio. Il settore dell’istruzione continua a essere il più colpito, bersaglio costante di attacchi sia malware che ransomware.

Le minacce emergenti: FakeUpdates e RansomHub

Nel mese di marzo, i ricercatori hanno scoperto una nuova campagna di intrusione che sfrutta FakeUpdates come vettore iniziale per portare successivamente a infezioni da RansomHub. Il malware si diffonde tramite siti compromessi, istanze Keitaro TDS non autorizzate e falsi aggiornamenti del browser, inducendo l’utente a scaricare un JavaScript offuscato. Questo script consente l’esecuzione di comandi, l’esfiltrazione dei dati e l’accesso persistente per ulteriori attacchi. Degno di nota è l’uso crescente di piattaforme legittime come Dropbox e TryCloudflare per aggirare i controlli di sicurezza.

Phishing e Lumma Stealer: una minaccia in crescita

Oltre a FakeUpdates, i ricercatori hanno individuato una massiccia campagna phishing che ha diffuso il malware Lumma Stealer, compromettendo oltre 1.150 organizzazioni e 7.000 utenti in Nord America, Europa meridionale e Asia. Gli attacchi utilizzavano quasi 5.000 PDF dannosi ospitati sulla CDN di Webflow, che attivavano script PowerShell attraverso immagini CAPTCHA fraudolente. Inoltre, Lumma è stato collegato alla distribuzione tramite falsi giochi Roblox, software piratato di Windows Total Commander, tramite account YouTube compromessi.

Le 10 principali famiglie di malware di marzo 2025

FakeUpdates è il malware più diffuso questo mese, con un impatto dell’8% sulle organizzazioni in tutto il mondo, seguito da Remcos e AgenTesla, entrambi con un impatto del 3%.

  1. FakeUpdates – Downloader attivo dal 2018, associato a Evil Corp. Diffuso tramite falsi aggiornamenti browser.
  2. Remcos – Trojan di Accesso Remoto (RAT) che bypassa i controlli di sicurezza di Windows, veicolato via phishing.
  3. AgentTesla – RAT con funzioni di keylogging e furto credenziali, venduto apertamente online.
  4. AsyncRat –RAT per Windows, usato per furto dati e controllo remoto.
  5. Androxgh0st – Malware in Python mirato a siti Laravel per rubare credenziali da file .env.
  6. Formbook – Infostealer attivo dal 2016, si diffonde via phishing e siti compromessi.
  7. Phorpiex – Botnet attiva da oltre un decennio, usata per spam, ransomware e sextortion.
  8. Lumma – Malware-as-a-service (MaaS) attivo dal 2022, ruba credenziali e wallet cripto.
  9. Rilide – Estensione dannosa per browser basati su Chromium, usata per furti nei crypto exchange.
  10. Mirai – Malware storico per IoT, usato per creare botnet e lanciare attacchi DDoS.

I principali gruppi di ransomware del mese

RansomHub è il gruppo ransomware più diffuso questo mese, responsabile dell’1,2 % degli attacchi pubblicati, seguito da Qilin e Akira, entrambi con un impatto del 6%.

  1. RansomHub (1,2%) – Evoluzione del ransomware Knight, colpisce Windows, Linux, macOS e VMware ESXi.
  2. Qilin (6%) – Conosciuto anche come Agenda, ransomware in Golang che prende di mira settori sanitari e scolastici.
  3. Akira (6%) – Simile al Conti v2, sfrutta VPN ed email infette. Aggiunge estensione .akira ai file cifrati.

I principali malware mobile

Questo mese Anubis è al 1 ° posto tra i malware per dispositivi mobili più diffusi, seguito da Necro e AhMyth.

  1. Anubis – Trojan bancario per Android, intercetta OTP, registra audio e agisce come RAT.
  2. Necro – Downloader Android che trasforma i dispositivi in botnet e installa app non desiderate.
  3. AhMyth – RAT Android camuffato da app legittime, con accesso completo a dati e comandi remoti.

I settori più colpiti a livello globale

Questo mese il settore dell’istruzione è il più attaccato a livello globale, seguito dalle telecomunicazioni e dalla pubblica amministrazione.

  1. Istruzione
  2. Telecomunicazioni
  3. Governo

Per maggiori dettagli leggi il Global Threat Index sulla pagina ufficiale di Check Point.

https://blog.checkpoint.com/security/march-2025-malware-spotlight-fakeupdates-and-ransomhub-ransomware-group-dominate-cyber-threats/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: