Internet Security Report di WatchGuard, nel Q1 2025 il numero totale di rilevamenti di malware unici cresciuto del 171% (trimestre su trimestre), il valore più alto mai registrato dal WatchGuard Threat Lab. L’analisi trimestrale descrive le principali minacce malware, di rete ed endpoint osservate dai ricercatori del WatchGuard Threat Lab. I dati analizzati sono basati su intelligence sulle minacce aggregata e anonima proveniente da prodotti di rete ed endpoint WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati.
Anche nel Q1 2025 i canali cifrati si confermano tra i vettori primari di attacco
All’aumento del 171%, si accompagna un notevole incremento di malware zero day. Un segnale di una netta crescita delle minacce evasive progettate per aggirare il rilevamento basato su firme, ossia sistemi di sicurezza tradizionali che si basano su pattern per individuare le minacce. In particolare, il rilevamento proattivo tramite machine learning (ML) offerto da WatchGuard IntelligentAV (IAV) è aumentato del 323%, evidenziando il suo ruolo cruciale nell’intercettare malware avanzato. I rilevamenti del Gateway AntiVirus (GAV) sono cresciuti del 30%, mentre il malware veicolato tramite Transport Layer Security (TLS) è aumentato di 11 punti, a sottolineare come i canali cifrati siano un vettore di attacco primario.
Come gli hacker sfidano le difese tradizionali
L’impennata di IAV e l’incremento del malware via TLS mettono in evidenza come gli attaccanti facciano sempre più affidamento su tecniche di offuscamento e cifratura, che sfidano le difese tradizionali. I risultati sottolineano la necessità di una maggiore visibilità e di una sicurezza adattiva per contrastare queste minacce sofisticate e nascoste su larga scala. Il Threat Lab ha anche osservato un +712% nelle nuove minacce malware sugli endpoint. A sottolineare la gravità di questo dato, le nuove minacce malware sono risultate in calo costante negli ultimi 3 trimestri. La minaccia principale sugli endpoint è risultata essere LSASS dumper. Si tratta di un malware per il furto di credenziali utilizzato per attività come l’accesso ai sistemi, la gestione delle password e la creazione di token di accesso.
La guerra dell’IA è cominciata
Corey Nachreiner, Chief Security Officer di WatchGuard Technologies I risultati più recenti dell’Internet Security Report riferito a Q1 2025 sembrano confermare una tendenza più ampia nel settore della cybersecurity. Ovvero: la guerra dell’IA è cominciata. Gli attaccanti fanno sempre più affidamento su tecniche di social engineering e phishing potenziate dagli strumenti di intelligenza artificiale. Ora gli attaccanti hanno la capacità di lanciare campagne altamente mirate su larga scala grazie a pipeline automatizzate. Il che evidenzia la necessità per le organizzazioni di adottare misure di sicurezza robuste, precise e potenti per restare al passo con i progressi dell’IA e i rischi informatici in evoluzione.
Chi scende e chi sale tra le minacce rilevate nel Q1 2025
Il ransomware è diminuito dell’85% rispetto al trimestre precedente. Anche se la seconda minaccia malware più rilevata è stata Termite ransomware, un payload ransomware. Questo conferma la tendenza del settore a un calo del ‘crypto ransomware’, malware che cripta i file. Gli attaccanti si stanno ora orientando verso il furto di dati anziché la cifratura, anche grazie ai miglioramenti nei backup e nelle strategie di recovery adottate dalle aziende.
Gli script, ossia i file derivati o basati su linguaggi di scripting, sono diminuiti di circa la metà in questo trimestre, raggiungendo il livello più basso mai registrato. Storicamente, il Threat Lab ha osservato gli script come principale vettore di attacco per il rilevamento del malware sugli endpoint. Altre tecniche Living off The Land (LoTL), come quelle basate su Windows, hanno invece registrato l’aumento maggiore trimestre su trimestre (+18%), colmando il vuoto lasciato dagli script.
Q1 2025: Application.Cashback.B.0835E4A4 il malware più diffuso
Il malware più rilevato su connessioni cifrate è stato Trojan.Agent.FZPI, nuovo file HTML malevolo che unisce file dall’aspetto legittimo con comunicazioni cifrate. Questa minaccia combina diverse tecniche utilizzate dai cybercriminali negli ultimi anni in un unico super allegato di phishing. Le organizzazioni devono implementare un’ispezione TLS robusta, analisi comportamentale e protezioni endpoint efficaci per rilevare e neutralizzare questa minaccia.
Nel Q1 2025, il malware più diffuso è stato Application.Cashback.B.0835E4A4. Una minaccia appena identificata e tra le famiglie di malware più pervasive mai registrate, con un impatto massimo in Cile (76%) e in Irlanda (65%). La diffusione delle varianti di Application.Cashback segnala la necessità di difese specifiche per regione per contrastare queste minacce sofisticate.
Come sta cambiando il panorama degli attacchi di rete
Il numero unico di firme di rete attivate, ossia di attacchi noti rilevati sulle reti, è diminuito del 16% rispetto al trimestre precedente. Questo perché gli attaccanti si sono concentrati su un insieme più ristretto di exploit. Il panorama degli attacchi di rete evidenzia che, sebbene emergano nuovi exploit, gli attaccanti continuano a sfruttare pesantemente vulnerabilità legacy non patchate su larga scala. Costringendo così le organizzazioni a gestire entrambe le sfide contemporaneamente.
Preferito il web alla mail
Le minacce malware continuano a emergere più via email che via web. Questo suggerisce che i cybercriminali stanno prendendo di mira gli utenti con tecniche di phishing tradizionale, rese più convincenti dall’IA. Tuttavia, strumenti basati su IA e machine learning hanno rilevato un numero significativamente maggiore di minacce al perimetro di rete ed endpoint nel Q1 2025.
