Cybersecurity: il report 2024 di CERT-AgID

Come ogni anno, il principale punto di riferimento pubblico per la segnalazione e la descrizione tecnica delle minacce riscontrate, ovvero CERT-AgID, ha pubblicato un sunto sulle minacce, le campagne e gli indici di compromissione (IoC) riscontrati facendo anche un confronto con gli anni precedenti. Iniziamo la nostra rapida analisi dicendo che nel 2024 sono state riscontrate circa 1.770 campagne malevole che hanno anche portato a condividere circa 19mila IoC, cosa che fa segnare un aumento particolarmente pesante. In uno scenario del genere, con l’aumento di malware e campagne di phishing, si nota particolarmente il picco di minacce veicolate tramite PEC compromesse oltre alla grandissima minaccia rappresentata dalla app Telegram e dei suoi bot per diffondere sempre phishing e malware mantenendo l’anonimato.

Aumenta vertiginosamente anche il ricorso alla registrazione di domini molto simili a quelli dei principali enti pubblici come ad esempio INPS, AdE e forze dell’ordine, ciò può soltanto significare un loro sfruttamento sempre per perpetrare mail fasulle. Tra le minacce maggiormente diffuse, nel 2024, sono i malware che mirano al furto di informazioni, cosiddetti infostealer, ad arrivare primi sul podio, e vengono diffusi principalmente mediante file compressi contenenti script dannosi che avviano o propagano la catena di infezione. Tramite file Apk malevoli poi stanno aumentando anche a dismisura le campagne contro i device a sistema operativo Android, veicolando app che puntano al furto di credenziali critiche installando virus come i già noti Irata e SpyNote. Queste applicazioni vengono fornite alle potenziali vittime in modo fraudolento con campagne via SMS (smishing) ma spesso vengono anche inserite negli store in modo temporaneo.

Tornando ai numeri, CERT-AgID snocciola qualche dato sulle minacce rilevate facendo notare come durante lo scorso anno siano state segnalate 69 famiglie di malware delle quali, come abbiamo detto, due terzi sono di tipo infostealer mentre il terzo restante è di tipo Trojan. Le attività sopracitate di phishing via email e via SMS ha riguardato, secondo i dati AgID, 133 marchi famosi di ogni tipo, mirando al furto di credenziali dei sistemi bancari, password di caselle email e furto di documenti di identità. Tra i 10 malware più riscontrati nel nostro paese vediamo che il famoso AgentTesla con 161 segnalazioni, mentre al secondo e terzo posto, ben distanziati, ci sono FormBook e Remcos, mentre nonostante sia fuori dalla top10 ricordiamo che Vidar è attualmente la minaccia maggiormente veicolata mediante caselle PEC compromesse.

Nella classifica delle “scuse” maggiormente utilizzate da coloro che diffondono malware troviamo al primo posto i soliti pagamenti, che coprono il 30% del campione seguiti a distanza piuttosto vicina dagli ordini, al 24%, oltre che dal banking al 17% e dall’invio di documenti (11%). Il numero di campagne, per renderci conto delle dimensioni, nelle quali è stato segnalato il tema dei pagamenti ammonta a 141 nell’arco di tutto l’anno, e solo queste campagne hanno mirato a diffondere principalmente malware già citati tra i primi della precedente classifica. Sebbene non rientri tra i primi della classifica, CERT-AgID ci tiene ad aggiungere una menzione speciale per il tentativo di frode a nome della Agenzia delle Entrate, che puntava a diffondere un malware keylogger segnalato nel maggio 2024. Passando alle “scuse” sulle quali vengono basate le campagne di phishing troviamo al primo posto sempre il banking con il 42,8% e gli avvisi di rinnovo con il 21,1%, mentre le altre tematiche hanno percentuali molto più basse. Interessante è infine un argomento già citato in precedenza, ovvero il mezzo di diffusione del phishing, per il quale vengono diffuse delle percentuali dei riscontri. Dai dati di CERT-AgID vediamo come nell’82% dei casi il principale veicolo è sempre la posta elettronica ordinaria, seguita da un 13% circa di SMS ed infine dal 3,2% di caselle PEC, questo è un dato che può sembrare piccolo ma che statisticamente è più che triplicato rispetto al 2023 e che soprattutto ha iniziato ad aumentare dopo la metà dell’anno, contemporaneamente ad un calo drastico delle campagne di smishing.

Passando agli smartphone aggiungiamo a quanto detto in precedenza che la quantità di campagne riscontrate rispetto al 2023 è tre volte più alta (76 contro 29) e provengono principalmente da minacce veicolate via SMS chiedendo di installare update fasulli o app non necessarie che fanno scaricare file .apk che poi fanno il resto del lavoro rubando credenziali, controllano le OTP quando arrivano e poi successivamente effettuano transazioni bypassando gli avvisi. Abbiamo infine parlato degli infostealer e vediamo come essi abbiano portato gli hacker a pubblicare una quantità piuttosto preoccupante di dati trafugati alle vittime, previo pagamento ovviamente. CERT-AgID ha individuato online un numero pari a 34 compromissioni di vario genere, ma va detto che principalmente si tratterebbe di una pubblicazione illecita di database di imprese e servizi non pubblici contenenti centinaia di migliaia di email di enti pubblici congiuntamente a vari altri dati, tra i quali anche password. Da parte sua, AgID ha cercato in ogni caso di collaborare con i gestori delle caselle PEC così come con i provider di servizi per bloccare ogni tentativo di minaccia.

 

Fonte: 1