WatchGuard Labs rileva un aumento del 300% del malware per endpoint nel terzo trimestre del 2024

Sebbene la crescita del malware sia un fenomeno che stiamo osservando da diversi anni, l’aumento registrato dal team del WatchGuard Threat Lab nel terzo trimestre del 2024 è stato il più alto di sempre. Durante questo periodo, il numero totale di minacce malware sugli endpoint ha raggiunto una crescita astronomica del 300,48%, con 420.304 minacce rilevate.

Il precedente picco era stato registrato nel primo trimestre del 2024, con un aumento dell’81,77%, quasi il doppio rispetto al trimestre precedente. Tuttavia, nel Q3 il numero di minacce è quasi quadruplicato rispetto al Q2 2024, in cui erano state rilevate 104.951 minacce.

Perché queste minacce sono in aumento?

Di fronte a un incremento così massiccio delle minacce alla sicurezza, ci si potrebbe aspettare che la causa sia la comparsa di nuovi tipi di malware. Tuttavia, non solo questo non è stato il caso, ma si è verificata anche un’atipica riduzione del 74% nel numero di nuove minacce individuate, con solo 36 nuove varianti rilevate nel trimestre.

L’aumento esponenziale del volume totale di malware, unito al calo delle nuove minacce, suggerisce che gli attaccanti stiano riciclando malware esistenti invece di svilupparne di nuovi. Questo fenomeno è indicativo dell’uso del Malware-as-a-Service (MaaS), un modello in cui i cybercriminali meno esperti possono acquistare o affittare malware già pronti, senza dover scrivere codice da zero. In questo schema operativo, gli attori MaaS distribuiscono il malware a più acquirenti, che lo personalizzano in modo minimo prima di lanciarlo in varie campagne malevole.

Al contrario, nel Q3 si è verificato un incremento significativo nelle rilevazioni basate sul comportamento e sull’intelligenza artificiale, con un aumento del 773%, mentre la nostra soluzione di sicurezza per endpoint ha registrato un’impennata del 5199,71%. Questo indica che l’ondata di malware aveva già infettato i sistemi, ma è stata rilevata solo una volta raggiunti i dispositivi, senza che altre tecnologie abbiano avuto l'opportunità di analizzarla prima.

L’aumento delle rilevazioni basate sul machine learning e sul comportamento suggerisce che il malware modificato segue schemi riconoscibili dagli strumenti avanzati di analisi. Questo è coerente con il modello MaaS, che fornisce non solo malware pronto all'uso, ma anche strumenti per la sua creazione e personalizzazione, senza richiedere competenze tecniche avanzate. Tuttavia, questi kit includono spesso funzioni che consentono al malware di modificarsi automaticamente per sfuggire ai sistemi di rilevamento.

Le 10 minacce malware più diffuse nel Q3 2024

Proteggersi dalle minacce informatiche significa anche conoscere i pericoli. Per questo motivo, ecco la lista dei 10 malware più diffusi durante il trimestre:

1. Trj/Agent.OOW (Cryptominer malevolo) – 1.440 rilevazioni
   Questo malware funziona come un miner di criptovalute malevolo, sfruttando le risorse del sistema infetto a insaputa dell'utente.
2. Trj/WLT.A (Conficker) – 556 rilevazioni
   Un worm attivo dal 2008 che si diffonde attraverso dispositivi USB e reti vulnerabili, compromettendo i sistemi.
3. Trj/Chgt.AD (Malware sconosciuto) – 398 rilevazioni
   Questa minaccia è ancora sotto analisi. È stata rilevata per il suo comportamento anomalo, ma non è stata ancora classificata con certezza.
4. HackingTool/AutoKMS (KMSTool malevolo - SECOPatcher) – 344 rilevazioni
   Uno strumento usato per attivare software non autorizzati, ma che può essere sfruttato anche per attività malevole.
5. Trj/RnkBend.A (Glupteba) – 241 rilevazioni
   Un malware modulare che opera come una botnet, facilitando il furto di dati e l’uso non autorizzato delle risorse per il mining di criptovalute.
6. Trj/CI.A (Downloader) – 178 rilevazioni
   Un trojan che agisce come downloader per altre minacce, diffondendo infezioni con malware aggiuntivo nei sistemi colpiti.
7. PUP/Conduit.A (Installer di toolbar malevolo) – 159 rilevazioni
   Un programma potenzialmente indesiderato che installa toolbar invasive e può modificare le impostazioni del browser.
8. Trj/CI.A (Trojanized SLOW-PCfighter) – 140 rilevazioni
   Una variante di un software di ottimizzazione che nasconde un trojan per eseguire azioni malevole nel sistema.
9. Trj/Agent.OOW (Cryptominer malevolo - altra variante) – 123 rilevazioni
   Un'altra variante di malware per il mining di criptovalute, progettato per operare in background sfruttando la potenza di calcolo del computer infetto.
10. PUP/Conduit.A (Installer di toolbar malevolo - altra variante) – 121 rilevazioni
    Simile alla variante precedente, questo software installa toolbar indesiderate e raccoglie informazioni sugli utenti senza autorizzazione.

Per ulteriori informazioni sulle minacce informatiche e sulle scoperte del WatchGuard Threat Lab, consulta il nostro Internet security Report - Q3 2024.