Il mese di maggio 2025 conferma una situazione critica per la sicurezza informatica, in Italia e nel mondo. Secondo il Global Threat Index pubblicato da Check Point Software Technologies, il malware FakeUpdates resta il più diffuso a livello globale e nazionale, mentre il gruppo ransomware SafePay guadagna terreno fino a diventare la principale minaccia attiva, soprattutto nei confronti di settori chiave come quello dell’istruzione, il più bersagliato per il secondo mese consecutivo.
FakeUpdates resta il malware più diffuso in Italia (ma in calo)
In Italia, FakeUpdates (SocGholish) mantiene il primo posto tra i malware più attivi, con un impatto dell’8,62%, nonostante un calo del 20,1% rispetto ad aprile. Si tratta di un JavaScript downloader veicolato tramite falsi aggiornamenti del browser su siti compromessi, legato al gruppo russo Evil Corp, e noto per distribuire minacce secondarie come NetSupport, AZORult, GootLoader e Dridex.
Alle sue spalle, Androxgh0st, botnet scritta in Python che prende di mira sistemi Windows, Linux e macOS, sottraendo credenziali da file .env, ha registrato un impatto del 3,58% (-10%). Chiude il podio AsyncRat (2,17%), trojan ad accesso remoto capace di eseguire comandi da remoto, catturare schermate e scaricare plugin, in aumento di posizione rispetto al mese precedente.
A livello globale, la situazione è analoga: FakeUpdates rimane in vetta nonostante un calo del 15%, seguito da Remcos, altro RAT molto usato in campagne phishing, e da Androxgh0st.
SafePay: il ransomware in ascesa
Sul fronte ransomware, maggio segna l’emergere deciso di SafePay, osservato per la prima volta a novembre 2024 e sospettato di essere legato a ambienti russi. A differenza di molti gruppi simili, SafePay non adotta un modello ransomware-as-a-service, ma opera in modo centralizzato con tattiche coerenti, basate sulla doppia estorsione: criptazione dei dati e furto delle informazioni sensibili. Il gruppo ha già fatto registrare un numero insolitamente elevato di vittime.
Seguono nel ranking:
- Qilin (Agenda), attivo dal 2022, che prende di mira enti sanitari e istituti scolastici con tecniche sofisticate di movimento laterale nelle reti aziendali;
- Play Ransomware (PlayCrypt), che ha già colpito oltre 300 entità e sfrutta vulnerabilità note per infiltrarsi, come quelle delle VPN Fortinet.
Lumma sotto attacco, ma non è finita
Maggio ha visto anche una operazione congiunta di Europol, FBI e Microsoft contro la piattaforma di malware-as-a-service Lumma, con il sequestro di migliaia di domini malevoli. Tuttavia, i server principali con sede in Russia restano attivi, e il gruppo è riuscito a ripristinare rapidamente l’infrastruttura, anche se la sua reputazione risulta indebolita. I dati sottratti con Lumma continuano a circolare, mantenendo alta l’attenzione sulle sue possibili evoluzioni future.
Mobile: Anubis ancora in testa
Anche sul fronte mobile, il trojan bancario Anubis rimane il malware più diffuso, grazie alla sua capacità di eludere l’autenticazione a due fattori, registrare input da tastiera, registrare audio e comportarsi anche come ransomware. Lo seguono AhMyth, noto RAT Android travestito da app legittima, e Necro, downloader Android che si installa tramite app alterate e può trasformare gli smartphone in proxy per criminali.
L’istruzione resta il bersaglio preferito
Tra i settori più colpiti dagli attacchi informatici nel mese di maggio troviamo:
- Istruzione
- Governo
- Telecomunicazioni
Il mondo dell’educazione si conferma dunque particolarmente vulnerabile, sia per la scarsità di risorse in cybersecurity, sia per la grande superficie d’attacco che offre. Dati personali, sistemi obsoleti e reti condivise ne fanno un obiettivo attraente per malware e ransomware.
