Resoconto del primo semestre 2022: raddoppiano le campagne malware rispetto al 2021
semestre
Nel confronto, ciclicamente effettuato, dei dati delle campagne malevole censite e registrate dagli analisti del CERT-AgID, appare subito evidente che il numero delle campagne volte a veicolare malware, registrate nel periodo compreso tra gennaio e giugno 2022, è più che raddoppiato rispetto a quanto censito nello stesso periodo del 2021. La situazione risulta invece meno preoccupante, ma comunque anch’essa in crescita, per quanto riguarda le campagne di phishing.
Nel primo semestre del 2022, il CERT-AgID ha registrato in Italia un totale di 1.272 campagne malevole (+70.05% rispetto al 2021) e diffuso alle sue organizzazioni accreditate 22.510 IoC (+173.51% rispetto al 2021).
I motivi di tale incremento sono in parte anche da attribuire ad una costante evoluzione dell’infrastruttura di monitoraggio ed all’aumento delle segnalazioni spontanee pervenute alla nostra specifica casella di posta elettronica (malware@cert-agid.gov.it) da parte delle PA e di utenti privati.
Tabelle comparative Gennaio – Giugno (2022 – 2021)
Di seguito pubblichiamo le tabelle comparative con i dati relativi ai primi 6 mesi del 2022 messi a confronto con quelli del primo semestre del 2021.
Campagne
| 2022 | 2021 | % | |
| Totale | 1.272 | 748 | 70,05% |
| Malware | 513 | 240 | 113,75% |
| Phishing | 759 | 508 | 49,41% |
Indicatori di Compromissione
| 2022 | 2021 | % | |
| Totale | 22.510 | 8.230 | 173,51% |
| Malware | 21.105 | 7.050 | 199,36% |
| Phishing | 1.405 | 1.180 | 19,07% |
Top 3 Malware attivi
| 2022 | 2021 | % | |
| Emotet | 169 | 10 | 1590,00% |
| Formbook | 73 | 39 | 87,18% |
| AgentTestla | 58 | 27 | 114,81% |
Risulta notevole l’incremento delle campagne Emotet nel 2022 rispetto alla prima metà del 2021 (+1590%). Come è possibile osservare dal grafico sotto riportato, Emotet è stato inattivo per circa 10 mesi a seguito all’operazione svoltasi nel gennaio 2021 nella quale furono smantellate le botnet conosciute come Epoch 1, 2 e 3. È quindi riapparso in Italia a fine novembre del 2021 ma ha incrementato considerevolmente il numero delle sue campagne a partire dal mese di febbraio 2022, utilizzando le botnet note come Epoch 4 e 5.
Altra importante osservazione riguarda l’assenza di Dridex, di cui l’ultima campagna in Italia è stata osservata dal CERT-AgID agli inizi di Dicembre 2021, e di Trickbot che non viene veicolato in Italia dal mese di Agosto 2021.
Mantengono invece una presenza costante le campagne Ursnif, Qakbot e Lokibot.
D’altro canto, è interessante notare l’incremento di malware specifici per dispositivi Android. Rispetto al primo semestre del 2021, caratterizzato principalmente da Flubot e dall’app Immuni Fake, nel 2022 sono stati osservate ben 8 nuove famiglie di malware, veicolate prevalentemente come applicazioni fake di istituti bancari o come antispam, aventi come obiettivo l’acquisizione del controllo del dispositivo, la sottrazione di credenziali ed in particolare il furto di SMS per intercettare il secondo fattore di autenticazione (2FA) nelle operazioni di login.
Malware per Android
| 2022 | 2021 | % | |
| Campagne | 32 | 13 | 146,15% |
| Malware | 8 | 2 | 300,00% |
Leggermente in calo le campagne che hanno interessato la Posta Elettronica Certificata, efficacemente constrastate dal CERT-AgID grazie alla collaborazione dei Gestori PEC.
PEC
| 2022 | 2021 | % | |
| Campagne | 12 | 15 | -20,00% |
| Malware | 2 | 5 | -60,00% |
| Phishing | 2 | 3 | -33,33% |
| IoC | 425 | 619 | -31.34% |