Top malware di maggio: l’Istruzione è il settore più colpito, mentre cresce il gruppo ransomware SafePay, che diventa la principale minaccia

• In Italia FakeUpdates si conferma la principale minaccia con un impatto dell’8,62%, facendo finalmente registrare una decrescita (-20,1%), seguito da Androxgh0st, mentre AsyncRat scalza Ramcos e sale al terzo posto;
• A livello globale FakeUpdates continua ad essere il malware più presente nonostante una flessione del 15% rispetto al mese precedente. Al secondo posto rimane Remcos, mentre al terzo torna a farsi vedere Androxgh0st;
• I ricercatori rilevano la crescente sofisticatezza dei criminali informatici, con la crescita di SafePay che sta emergendo come uno dei principali gruppi di ransomware;
• Un’importante operazione contro Lumma ne sta depotenziando l’impatto.

Milano  – Check Point Software Technologies Ltd. (NASDAQ : CHKP), pioniere e leader globale nelle soluzioni di sicurezza informatica, ha pubblicato il suo Indice globale delle minacce per maggio 2025. SafePay, un gruppo di ransomware relativamente nuovo e in rapida crescita, ha superato altre minacce divenendo il più diffuso nella lista dei principali gruppi di ransomware che utilizzano una strategia a doppia estorsione, mentre FakeUpdates continua a essere il malware più diffuso, con un impatto sulle organizzazioni di tutto il mondo. Il settore dell’istruzione rimane quello più preso di mira, riflettendo le vulnerabilità persistenti in tutte le istituzioni.

A maggio, Europol, l’FBI, Microsoft e altri partner hanno lanciato un’importante operazione contro Lumma, piattaforma di malware-as-a-service di primo piano, portando al sequestro di migliaia di domini e interrompendone in modo significativo l’attività. Tuttavia, i server principali di Lumma con sede in Russia sarebbero rimasti operativi e gli sviluppatori hanno rapidamente ripristinato la sua infrastruttura. L’operazione ne ha comunque causato un danno alla reputazione, creando sfiducia tra i suoi utenti. Sebbene l’interruzione tecnica sia stata significativa, i dati relativi a Lumma continuano a circolare, sollevando preoccupazioni circa l’impatto a lungo termine dell’operazione.

In Italia, anche il mese di maggio vede FakeUpdate come la minaccia più presente, con un impatto inferiore rispetto a quanto rilevato in aprile (-20,1%). Al secondo posto si conferma Androxgh0st, con un impatto anch’esso in riduzione rispetto al mese precedente (-10%), e al terzo sale AsyncRat. Formbook continua a rimanere fuori dal podio condivide il quinto posto con Raspberry Robin.

Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto dell’8,62%, (-2,17 rispetto a marzo, ovvero -20,1%, ma sempre superiore all’impatto rilevato a livello globale che scende a 5,41%). La seconda minaccia nel nostro Paese risulta essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto del 3,58% in riduzione rispetto al valore di aprile (-0,4, ovvero -10%) ma sempre superiore al dato globale che è del 2,6%). Al terzo posto nel mese di aprile torna a farsi notare AsyncRat (trojan che colpisce la piattaforma Windows). Questo malware invia informazioni di sistema sul sistema preso di mira a un server remoto. Riceve comandi dal server per scaricare ed eseguire plugin, uccidere processi, disinstallarsi/aggiornarsi e catturare schermate del sistema infetto, con un impatto del 2,17%, (-0,27 rispetto al dato di aprile, che corrisponde ad una riduzione di -12,4%). Anche in questo caso il dato di impatto nel nostro Paese è superiore a quello globale, che è di 1,7%.

“I dati del Global Threat Index di maggio sottolineano la crescente sofisticazione delle tattiche dei criminali informatici”, afferma Lotem Finkelstein, Director of Threat Intelligence di Check Point Software. “Con l’ascesa di gruppi come SafePay e la minaccia persistente di FakeUpdates, le organizzazioni devono adottare misure di sicurezza proattive e multilivello. Dal momento che le minacce informatiche diventano sempre più avanzate, è fondamentale stare al passo con gli attacchi in evoluzione grazie a informazioni sulle minacce in tempo reale e difese robuste”.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

1. ↔  Fakeupdates (alias SocGholish) è un malware downloader scoperto inizialmente nel 2018. Si diffonde tramite download drive-by su siti web compromessi o malevoli, invitando gli utenti a installare un falso aggiornamento del browser. Fakeupdates è associato al gruppo di hacker russo Evil Corp e viene utilizzato per distribuire vari payload secondari dopo l’infezione iniziale.
2. ↔  Remcos, un trojan per l’accesso remoto (RAT), rimane uno dei principali ceppi di malware, spesso utilizzato nelle campagne di phishing. La sua capacità di aggirare i meccanismi di sicurezza, come il controllo dell’account utente (UAC), lo rende uno strumento versatile per i criminali informatici.
3. ↑  Androxgh0st malware basato su Python che colpisce le applicazioni Laravel, è salito di livello. Esegue la scansione dei file .env esposti, spesso contenenti informazioni sensibili come le credenziali di accesso, che vengono poi esfiltrate. Una volta ottenuto l’accesso, è possibile distribuire ulteriore malware e sfruttare le risorse del cloud.

I gruppi di ransomware maggiormente rilevati

Il ransomware continua a dominare il panorama della criminalità informatica. Nel mese di maggio, SafePay cresce e si afferma come minaccia principale, con una nuova generazione di operatori che prendono di mira sia le grandi che le piccole aziende. Le tattiche utilizzate da questi gruppi stanno diventando sempre più sofisticate e la concorrenza tra loro si sta intensificando.

1. SafePay è un gruppo di ransomware osservato per la prima volta nel novembre 2024, con indicatori che suggeriscono una possibile affiliazione russa. Il gruppo opera con un modello a doppia estorsione: crittografa i file delle vittime mentre sottrae dati sensibili per aumentare la pressione per il pagamento. Nonostante non operi come Ransomware-as-a-Service (RaaS), SafePay ha registrato un numero insolitamente elevato di vittime. La sua struttura centralizzata e guidata internamente porta a tattiche, tecniche e procedure (TTP) coerenti e a un targeting mirato.
2. Qilin, noto anche come Agenda, è un’operazione criminale di ransomware-as-a-service crittografa ed esfiltra i dati dalle organizzazioni compromesse, chiedendo poi un riscatto. Questa variante di ransomware è stata rilevata per la prima volta nel luglio 2022 ed è sviluppata in Golang. Agenda è nota per prendere di mira le grandi imprese e le organizzazioni di alto valore, con particolare attenzione ai settori della sanità e dell’istruzione. Qilin si infiltra tipicamente nei dispositivi delle vittime tramite e-mail di phishing contenenti link dannosi per stabilire l’accesso alle loro reti ed esfiltrare informazioni sensibili. Una volta entrato, Qilin di solito si muove lateralmente attraverso l’infrastruttura della vittima, alla ricerca di dati critici da criptare.
3. Play Ransomware, noto anche come PlayCrypt, è un ransomware apparso per la prima volta nel giugno 2022. Questo ransomware prende di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità nei primi 15 mesi di attività. Play Ransomware ottiene tipicamente l’accesso alle reti attraverso account validi compromessi o sfruttando vulnerabilità non corrette, come quelle presenti nelle VPN SSL Fortinet. Una volta all’interno, impiega tecniche come l’uso di binari living-off-the-land (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.

Dati basati sulle informazioni raccolte dai “siti della vergogna” gestiti da gruppi di ransomware che praticano la doppia estorsione.

Principali malware per dispositivi mobili

Anche nel mese di maggio Anubis si conferma al primo posto tra le minacce informatiche mobili più diffuse, seguito da AhMyth, e  Necra che sale al terzo.

1. ↔ Anubis è un trojan bancario versatile che ha avuto origine sui dispositivi Android e si è evoluto fino a includere funzionalità avanzate come l’aggiramento dell’autenticazione a più fattori (MFA) tramite l’intercettazione di password monouso (OTP) basate su SMS, keylogging, registrazione audio e funzioni ransomware. Viene spesso distribuito tramite app dannose sul Google Play Store ed è diventato una delle famiglie di malware mobile più diffuse. Inoltre, Anubis include funzionalità di trojan di accesso remoto (RAT), che consentono un’ampia sorveglianza e controllo sui sistemi infetti.
2. ↔ AhMyth è un trojan ad accesso remoto (RAT) che colpisce i dispositivi Android, tipicamente camuffato da app legittime come screen recorder, giochi o strumenti di criptovaluta. Una volta installato, ottiene ampie autorizzazioni per persistere dopo il riavvio ed esfiltrare informazioni sensibili come credenziali bancarie, dettagli di portafogli di criptovalute, codici di autenticazione a più fattori (MFA) e password. AhMyth consente anche il keylogging, la cattura dello schermo, l’accesso alla fotocamera e al microfono e l’intercettazione degli SMS, rendendolo uno strumento versatile per il furto di dati e altre attività malevole.
3. ↑ Necro è un downloader Android che recupera ed esegue componenti sui dispositivi infetti in base ai comandi dei suoi creatori. È stato scoperto in diverse app popolari su Google Play, nonché in versioni modificate di app su piattaforme non ufficiali come Spotify, WhatsApp e Minecraft. Necro è in grado di scaricare moduli pericolosi sugli smartphone, consentendo azioni come la visualizzazione e il clic su annunci invisibili, il download di file eseguibili e l’installazione di app di terze parti. Può anche aprire finestre nascoste per eseguire JavaScript, potenzialmente iscrivendo gli utenti a servizi a pagamento indesiderati. Inoltre, Necro può reindirizzare il traffico Internet attraverso dispositivi compromessi, trasformandoli in parte di una botnet proxy per i criminali informatici.

I settori più attaccati a livello globale

Il settore dell’istruzione continua a essere il più colpito nel maggio 2025, seguito da vicino dal settore governativo e delle telecomunicazioni. Questi settori rimangono obiettivi primari a causa delle loro infrastrutture critiche e delle ampie basi di utenti, che li rendono vulnerabili a una vasta gamma di attacchi informatici.

1. Istruzione
2. Governo
3. Telecomunicazioni

I dati di maggio evidenziano il continuo aumento di campagne malware sofisticate e multistadio. SafePay emerge come una minaccia ransomware di primo piano, FakeUpdates mantiene la sua posizione di malware più diffuso, le operazioni in corso contro Lumma infostealer dimostrano la crescente complessità degli attacchi informatici e Il settore dell’istruzione rimane un obiettivo primario, sottolineando ulteriormente la necessità per le organizzazioni di adottare misure di sicurezza proattive e stratificate per difendersi da queste minacce sempre più sofisticate.

Per l’intero Global Threat Index di maggio 2025 e ulteriori approfondimenti, visitate il blog di Check Point.