di s-mart.biz
Report CERT 2024: un quadro completo sulle campagne malevole diffuse durante l’anno. Vediamo insieme i numeri osservati nell’articolo.
Report CERT 2024: tendenze generali
Il Report del CERT sul 2024 fotografa un panorama cyber criminale sempre più complesso e minaccioso. Di seguito alcune tendenze generali:
- aumento delle campagne via caselle PEC compromesse: La seconda metà del 2024 ha registrato il picco. Gli attaccanti spesso utilizzano questo vettore per rendere più verosimili le campagne di phishing e per aumentare la distribuzione di malware come Vidar;
- incremento dell’uso di bot Telegram come C2: Si è registrato un significativo aumento dell’utilizzo improprio di bot Telegram come server di Command and Control (C2) per attività di phishing e distribuzione malware;
- aumento della registrazione di domini potenzialmente ingannevoli: Nel 2024 sono stati registrati vari domini che richiamano nomi come INPS, Agenzie delle Entrate e Polizia di Stato. La maggior parte è attualmente in vendita ed è rimasta inattiva, mentre alcuni sono stati usati per campagne di phishing o altre truffe;
- prevalenza degli infostealer tra i software malevoli: Gli infostealer sono la categoria di malware più diffusa. Vengono diffusi principalmente con archivi di tipo ZIP e RAR, che spesso contengono script o eseguibili utili ad avviare la catena di infezione;
- incremento delle minacce nei sistemi Android: Le campagne malevole hanno registrato un aumento significativo rispetto all’anno precedente. Irata e SpyNote, ad esempio, sono malware che sono stati diffusi attraverso lo smishing e file APK malevoli. L’obiettivo degli attaccanti era quello di rubare le credenziali bancarie e codici OTP.
Dati riepilogativi del 2024
Veniamo ai dati: nel corso del 2024, il CERT-AGID ha individuato e contrastato in totale 1767 campagne malevole e condiviso 19.939 IoC.
In totale le famiglie malware individuate sono state 69. Dei sample analizzati, per il 67% si tratta di infostealer, mentre per il 33% di RAT.
Gli attacchi di phishing e smishing (phishing via SMS), che hanno interessato 133 brand, hanno avuto come obiettivo principale il furto di credenziali bancarie, credenziali di accesso a webmail e furto di documenti di identità.
Tra i malware più diffusi troviamo AgentTesla come primo in classifica. Successivamente Formbook, Remcos, Irata, Snake, Guloader, SpyNote, Lumma, AsyncRat e Rhadamanthys. Appena fuori dai top 10 troviamo Vidar, il malware infostealer veicolato via PEC.

Report CERT 2024: i temi più diffusi
I temi più sfruttati sono stati Banking e Rinnovo. A seguire troviamo anche Avvisi di sicurezza, Erogazioni, Documenti, Delivery, Webmail, Scadenze ecc.
Tra gli argomenti sfruttati spicca “Pagamenti”, utilizzato in ben 141 campagne. I malware più diffusi attraverso questo argomento sono stati AgentTesla, Formbook, Remcos, Astaroth, Vidar, Snake e Xworm.

Canali di diffusione delle campagne malevole
Rispetto all’anno precedente, è triplicato il numero delle campagne malevole diffuse attraverso le caselle di posta elettronica compromesse. In particolare, il picco si è verificato nella seconda metà dell’anno. Questa modalità è stata sfruttata per 57 campagne totali. Tra queste, 12 finalizzate alla distribuzione di malware e 45 ad attività di phishing. Il phishing ha avuto come tema principale il settore bancario ed ha riservato un’attenzione particolare per Intesa Sanpaolo.
Un numero significativo di email malevole ha colpito anche gli utenti di Aruba, con il malware Vidar protagonista di diverse ondate di attacchi tramite PEC. Contemporaneamente, si è registrato un calo del 37% nell’uso dello smishing. Questo ha riguardato solitamente l’invio massivo di SMS fraudolenti da parte di enti come banche, Poste italiane o INPS, contenenti link dannosi. Nonostante ciò, la Posta Elettronica Ordinaria (PEO) rimane il canale preferito per il phishing e la distribuzione di malware.
Diffusione di malware su dispositivi mobili Android
Nel 2024 le campagne malware mirate a dispositivi Android sono aumentate significativamente, passando da 29 a 76. Tra i malware più diffusi c’è Irata, seguito da SpyNote. La maggior parte di questi attacchi è stata veicolata tramite smishing, con link che portano a file APK dannosi. Le applicazioni malevole rubano principalmente credenziali bancarie, ma alcune varianti intercettano anche gli SMS per ottenere codici OTP e completare transazioni fraudolente in tempo reale.

Report CERT 2024
Tipologia di file usati per veicolare malware secondo il Report CERT 2024
I formati di file più comuni per diffondere malware sono gli archivi compressi (41%), in particolare ZIP e RAR, che contengono file pericolosi o link a risorse dannose. Al secondo posto ci sono i file script (14%), come JS, VBS, BAT e PS1, che eseguono comandi dannosi. Questi file possono rappresentare sia il vettore iniziale di infezione (ad esempio, uno script in un archivio) sia il passo successivo nell’infezione (come i file EXE o PS1).
Inoltre, circa il 10% dei malware si diffonde tramite documenti Office contenenti link a script dannosi. I cybercriminali utilizzano i file APK (9,8%) per infettare dispositivi Android, mentre impiegano i file HTML (5%) per condurre campagne di phishing. Anche i file LNK sono usati come primo passo per eseguire comandi o reindirizzare a risorse dannose.
Esposizione dei dati trafugati
Le campagne malware di tipo Infostealer hanno portato al furto e alla vendita online di dati relativi a utenze italiane, in particolare caselle PEC e servizi fiduciari. Tra questi erano presenti dati appartenenti alla Pubblica Amministrazione. Sono state identificate 34 compromissioni, prevalentemente riguardanti database illeciti di aziende private e servizi non istituzionali. Queste contenevano oltre 250.000 indirizzi e-mail di enti pubblici e numerosi dati personali, di cui circa la metà includeva anche password trafugate. Il CERT-AGID ha informato i gestori coinvolti e aggiornato i responsabili e gli utenti delle Pubbliche Amministrazioni per prevenire l’uso improprio delle credenziali rubate.
Proteggersi dalle tecniche di estorsione dei ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup. E’ fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
- Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
- Scegli una solida soluzione antivirus e mantienila sempre aggiornata: sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
- Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
- Evita di scaricare file o cliccare su link contenuti nelle email. Spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, anzi. L’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine, non abilitare mai le macro contenute nei documenti circolanti via email. A meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
- Forma i dipendenti, i collaboratori e chiunque acceda alla rete. Come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
- Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello). Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile. Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
- Adotta un SOC – Security Operation Center: un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come
Se necessiti di assistenza per proteggere la tua azienda dagli attacchi informatici o per gestire una crisi in corso, il team di SOS Hacking è pronto ad aiutarti. Compila il nostro form di contatto e ti ricontatteremo presto!