I tecnici del Computer Emergency Response Team (CERT) di AgID hanno divulgato qualche giorno fa i risultati di una ricerca che copre i mesi che vanno da gennaio a giugno dell’anno in corso. Da questo studio emerge che nel nostro paese sono attualmente diffuse ben 33 diverse famiglie di malware, seppur con evidenti differenze. In questo articolo vediamo quali sono i software malevoli che colpiscono maggiormente in Italia e come lo fanno.
Aiutandoci col grafico pubblicato da CERT-AGID, vediamo innanzitutto come FormBook (37 campagne riscontrate) sia attualmente il malware più diffuso nei primi sei mesi del 2021. Come gran parte dei virus che vedremo, anche FormBook viene diffuso mediante la normale posta elettronica ed il suo obiettivo è rubare informazioni alle vittime. I temi utilizzati sono per la maggior parte legati a pagamenti ed ordini. Questo si può dire anche del secondo malware più diffuso, ovvero AgentTesla (34 campagne), che aggiunge il banking tra i temi trattati utilizzando molti più tipi di file corrotti.
A poche campagne di distanza c’è il noto Ursnif (32 campagne), diffuso sempre via mail e prevalentemente tramite file zip ed Excel. Gli argomenti delle campagne sono più orientati verso fattori economici e con finti mittenti di spicco come INPS e Mise. È interessante vedere che due malware su tre nella top3, FormBook ed Ursnif, utilizzino il Covid come tema di attacco. Nel resto della classifica, oltretutto, nessun altro virus viene veicolato con questo escamotage.
Andando avanti, nelle tre posizioni successive troviamo Qakbot (22 campagne), Lokibot (17 campagne) e Dridex (14 campagne). Tutti e tre i malware vengono diffusi utilizzando la Posta Elettronica e con i temi classici di pagamenti e documenti vari. Ciò è dimostrato anche guardando le estensioni dei file più comunemente inviati. Arrivando alla settima posizione troviamo Flubot , che a differenza di tutti quelli visti ora viene diffuso via SMS usando il tema dei finti delivery. Assieme a Flubot, gli unici malware che non diffusi mediante email sono Emotet (10 campagne) e sLoad (6 campagne), per i quali vengono usate le caselle PEC corrotte.
Manca all’appello soltanto IceID, al nono posto (9 campagne), che come tutte le altre famiglie viste finora si diffonde via email. I temi utilizzati per agganciare le vittime, negli ultimi casi che abbiamo visto, sono quelli classici come i finti documenti e gli avvisi di pagamento.
Tutti i malware visti finora possono essere inseriti nella categoria Infostealer, questo significa che non sono considerati ransomware. Come sappiamo però le maggiori minacce provengono proprio da quest’ultimo tipo di virus. Il fatto che non siano presenti in classifica è dovuto all’esclusività di certi attacchi, che sono mirati a determinate aziende. È lecito dire che questa classifica contiene ovviamente tutti attacchi perpetrati indistintamente, per prendere possesso di informazioni ed account. Molto spesso, poi, questi malware vengono utilizzati come viatico per attacchi ransomware successivi.
Fonti: 1