Malware evasivo in aumento e minacce crittografate
I dati analizzati in questo report sono basati su intelligence sulle minacce aggregata e anonima proveniente da prodotti di rete ed endpoint WatchGuard attivi.
Aumentano del 40% di malware evasivo su connessioni crittografate. I rischi nascosti e le strategie di difesa avanzata secondo il report WatchGuard Q2 2025.
WatchGuard Technologies ha pubblicato i risultati del suo ultimo Internet Security Report, un’analisi trimestrale che descrive le principali minacce malware, di rete ed endpoint. Queste sono state osservate dai ricercatori del WatchGuard Threat Lab nel secondo trimestre del 2025, tra aprile e giugno.
I principali risultati del report mostrano un aumento del 40% (su base trimestrale) di malware avanzato ed evasivo. I dati evidenziano che i canali crittografati, in particolare quelli che utilizzano il protocollo TLS (Transport Layer Security), sono stati il vettore d’attacco preferito dagli attaccanti. Sebbene TLS sia essenziale per proteggere gli utenti, gli attaccanti lo sfruttano sempre più per camuffare payload malevoli.
Malware e crittografia
In generale, le rilevazioni di malware sono aumentate del 15% nel Q2. Spinte da un incremento dell’85% rilevato da Gateway AntiVirus (GAV) e da un aumento del 10% da IntelligentAV (IAV). Evidenziando il ruolo crescente di IAV nel rilevare minacce sofisticate. Con il 70% di tutto il malware ora distribuito attraverso connessioni crittografate. I dati evidenziano l’affidamento crescente degli attaccanti su offuscamento e attacchi stealth. E la necessità per le organizzazioni di migliorare la visibilità nel traffico crittografato e adottare strategie di protezione flessibili.
Il Threat Lab ha inoltre osservato un leggero aumento degli attacchi di rete, pari all’8,3%. Allo stesso tempo, la varietà degli attacchi si è ridotta, con 380 firme uniche rilevate rispetto alle 412 del trimestre precedente. Degna di nota è la comparsa di una nuova rilevazione di JavaScript malevolo, “WEB-CLIENT JavaScript Obfuscation in Exploit Kits”, a conferma della rapidità con cui nuove minacce possono diffondersi utilizzando tecniche di offuscamento per eludere i controlli legacy. I risultati mostrano che, pur emergendo nuovi exploit, gli attaccanti continuano a fare ampio uso di vulnerabilità più vecchie e diffuse in browser,framework web e strumenti open-source.
Ulteriori risultati chiave
Le nuove minacce malware uniche sono aumentate del 26%, segnalando quanto sia diffuso l’uso della cifratura di packing, una tecnica di evasione, tra gli attori delle minacce. Queste minacce polimorfe eludono il rilevamento basato su firme, causando un aumento delle rilevazioni da parte di servizi avanzati come WatchGuard APT Blocker e IntelligentAV.
Il Threat Lab ha individuato inaspettatamente due minacce malware veicolate tramite USB: PUMPBENCH, una backdoor per accesso remoto, e HIGHREPS, un loader. Entrambi hanno distribuito un coin miner, XMRig, per il mining di Monero (XMR), probabilmente legato all’uso di hardware wallet tra i possessori di criptovalute.
I ransomware sono diminuiti del 47%, riflettendo un passaggio verso meno attacchi, ma più mirati e impattanti su obiettivi di alto profilo, con conseguenze più gravi. Tuttavia, è aumentato il numero di gruppi di estorsione attivi, tra cui Akira e Qilin tra i più aggressivi.
I “dropper” hanno dominato il malware di rete. Sette delle prime dieci rilevazioni sono payload di prima fase, tra cui Trojan.VBA.Agent.BIZ e il ladro di credenziali PonyStealer, che sfruttano macro abilitate dagli utenti per il compromesso iniziale. Anche la famigerata botnet Mirai è riemersa dopo cinque anni, soprattutto nella regione APAC. La predominanza dei dropper indica la preferenza degli attaccanti per infezioni multi-stadio.
I malware zero-day continuano a dominare, rappresentando oltre il 76% di tutte le rilevazioni e quasi il 90% del malware trasmesso tramite connessioni crittografate. Ciò sottolinea la necessità di capacità avanzate di rilevamento oltre le firme, in particolare per le minacce nascoste nel traffico TLS.
Le minacce basate su DNS persistono, incluse quelle legate al trojan di accesso remoto DarkGate, un malware loader che agisce anche come RAT, confermando il DNS filtering come un livello difensivo critico.
In linea con i precedenti aggiornamenti trimestrali del Threat Lab, i dati analizzati in questo report sono basati su intelligence sulle minacce aggregata e anonima proveniente da prodotti di rete ed endpoint WatchGuard attivi. I cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.
