Il CERT-AGID ha diffuso il suo report annuale sulle principali campagne malevole che hanno interessato l’Italia nel corso del 2023. I dati sono stati raccolti attraverso diverse fonti e metodologie, comprese le segnalazioni provenienti da enti privati o pubbliche amministrazioni, rilevazioni tramite sistemi automatizzati del CERT, analisi dettagliate di campioni di malware e indagini sugli incidenti trattati.
Analisi delle tendenze generali
- Ransomware: nonostante la minaccia del ransomware rimanga la più rilevante e ampiamente discussa anche nel 2023, è stato rilevato solo un caso in Italia (Knight), distribuito attraverso un loader veicolato tramite email. Le compromissioni da ransomware continuano a essere effettuate manualmente, sfruttando accessi ai sistemi ottenuti attraverso malware di tipo Infostealer o RAT.
- Strumenti di Controllo Remoto: crescita dell’uso illecito di strumenti di controllo remoto come ScreenConnect e UltraVNC per assumere il controllo delle macchine delle vittime, visualizzandone il contenuto del loro schermo ed interagendo con esso come farebbe un utente locale utilizzando mouse e tastiera.
- Attacchi Spyware: forte aumento degli attacchi spyware con funzionalità RAT, veicolati attraverso campagne di smishing, mirati a ottenere il controllo completo dei dispositivi Android.
- Campagne malware via PEC: costante diminuzione del numero di campagne malware condotte attraverso account compromessi di Posta Elettronica Certificata (PEC).
- Utilizzo di Telegram: Telegram consolidato come ecosistema predominante utilizzato dalle attività di cybercrime, vendita di dati rubati e rivendicazioni di attacchi, soprattutto da parte di collettivi filorussi e gang ransomware.
Dati riepilogativi del 2023
- Campagne Malevole: 1713 campagne identificate e contrastate.
- Indicatori di Compromissione (IoC): condivisi 20,603 IoC con organizzazioni accreditate.
- Famiglie di Malware: 54 famiglie, di cui il 78% Infostealer e il 22% RAT (Remote Access Trojan).
- Malware più Diffusi: AgentTesla il malware più diffuso in Italia, seguito da Formbook e Ursnif. SpyNote emerso tra i primi dieci, focalizzato su dispositivi Android.
I 10 temi più sfruttati per veicolare malware
- Agenzia Entrate: Tema impiegato principalmente nelle campagne Ursnif, replicato successivamente per veicolare altri malware come Remcos, SystemBC, Purelogs, Mekotio e DroidJack.
Canali di diffusione
- Posta Elettronica Certificata (PEC): diminuzione delle campagne malevole attraverso account compromessi. Notevole aumento dello smishing.
- Dispositivi Mobili: 29 campagne mirate a dispositivi Android. SpyNote predominante, focalizzato sul furto di denaro attraverso operazioni di home banking.
Formato di File e Diffusione
- Formato Compresso: Utilizzo frequente di file .ZIP, contenenti documenti MS Office, immagini montabili, script e PDF con link a script o risorse condivise.
Il report evidenzia la complessità delle minacce digitali, con attori malevoli che si adattano costantemente alle nuove tecnologie e metodi di attacco. La vigilanza e la collaborazione tra enti pubblici e privati rimangono cruciali per affrontare efficacemente le sfide della sicurezza informatica.