Il CERT-AGID fa il punto riepilogativo sull’andamento delle campagne malevole italiane che hanno interessato l’Italia nel 2023. In particolare è stata osservata una crescita dell’uso illecito di strumenti di controllo remoto come TeamViewer, ScreenConnect e UltraVNC che si aggiunge alla costante diffusione degli infostealer. Anche le compromissioni da ransomware (come il caso Knight) rimangono la minaccia più rilevante nel 2023. Risultano inoltre in forte crescita anche gli attacchi spyware con funzionalità di RAT, veicolati tramite smishing e finalizzati ad ottenere il controllo completo dei dispositivi Android. Telegram si attesta come canale privilegiato del cybercrime per la vendita e divulgazione di dati rubati e per la rivendicazione di attacchi informatici. In riduzione invece il numero di campagne malspam via Posta Elettronica Certificata (PEC). Il canale più utilizzato rimane la Posta Elettronica Ordinaria (PEO).
I numeri
I ricercatori hanno identificato ben 54 famiglie di malware (78% di tipo infostealer, 22% di tipo RAT) con AgentTesla tra i primi dieci malware seguito da Formbook e Ursnif. SpyNote emerge come il più diffuso tra i malware Android.
I temi principali sfruttati nelle campagne malware sono stati Pagamenti (36%), Ordine (18%) e Resend (8%) e complessivamente 68 sono stati i brand invece coinvolti negli attacchi di smishing/phishing principalmente per il furto di credenziali bancarie e di accesso a webmail. ll formato di file adoperato più frequentemente nelle campagne malevole è stato il formato .ZIP utilizzato per contenere documenti MS Office, file .ISO, script, e PDF con link a script e risorse condivise.
Le fonti
Tutte le informazioni presentate sono state raccolte dal CERT-AGID attraverso diverse fonti e metodologie, tra cui segnalazioni provenienti da enti privati e pubbliche amministrazioni, rilevazioni automatizzate del CERT, analisi dettagliate di campioni malware e indagini sugli incidenti trattati.