Aumentano le campagne fraudolente via PEC, l’uso di bot Telegram come C2 e la registrazione di domini potenzialmente ingannevoli: è quanto emerge dal report del CERT-AGID, che riepiloga le attività di verifica e l’analisi delle campagne malevole trattate dall’Agenzia nel corso del 2024.
In base a quanto previsto dal Codice dell’Amministrazione Digitale e, in linea con gli obiettivi descritti dal “Piano triennale per l’informatica nella pubblica amministrazione”, AgID si impegna, tramite il CERT-AgID, a mantenere e sviluppare servizi di sicurezza preventivi e funzioni di accompagnamento utili per la crescita e la diffusione della cultura della sicurezza informatica.
Dal censimento delle parole più utilizzate per veicolare diversi tipi di malware è emerso che i principali temi sfruttati rimangono simili a quelli degli anni precedenti. Particolarmente ricorrente è stato il tema “Pagamenti”, utilizzato in ben 141 campagne.
Rispetto allo scorso anno, invece, le campagne malevoli tramite PEC compromesse sono triplicate, raggiungendo 57 attacchi, di cui 12 distribuiscono malware e 45 mirano al phishing, soprattutto nel settore bancario. In queste operazioni, il malware Vidar ha avuto un ruolo centrale. Al contempo, si è registrato un calo del 37% nello smishing, con attacchi via SMS che simulano comunicazioni da enti legittimi, indirizzando verso risorse dannose.
Nel 2024, anche le campagne malware mirate ai dispositivi Android sono aumentate, passando da 29 a 76. Irata è il malware più diffuso, seguito da SpyNote e altre varianti minori. Questi malware sono principalmente distribuiti tramite smishing, con attori malevoli che impersonano istituti bancari e inducono le vittime a installare applicazioni dannose. Le app, scaricate da link in messaggi falsi, rubano credenziali bancarie e, in alcuni casi, intercettano gli SMS per ottenere i codici OTP e completare transazioni fraudolente in tempo reale.
L’obiettivo del report e delle attività di monitoraggio dell’Agenzia è quello di sensibilizzare gli utenti sull’importanza della sicurezza informatica. Il Cert-AGID conduce periodicamente anche dei webinar, all’interno dei quali si discute di minacce informatiche, di come intercettarle e degli strumenti offerti gratuitamente dall’Agenzia alle pubbliche amministrazioni per contrastarle.
Uno di questi è il Feed degli Indicatori di Compromissione (IoC), che elenca e condivide con le PA che ne fanno richiesta i dati raccolti dal CERT nelle attività quotidiane di monitoraggio, come gli indirizzi IP utilizzati per attività fraudolente, URL di siti malevoli, hash di file dannosi e altre informazioni sulle campagne in atto. Il CERT-AGID fornisce, inoltre, anche uno strumento progettato per cercare file malevoli all'interno di un filesystem: si tratta del software Hashr, recentemente rilasciato in una nuova versione.
Questi due strumenti forniti da AgID costituiscono un’opportunità per le amministrazioni al fine di migliorare la sicurezza dei propri sistemi IT, adeguandosi alle indicazioni del Piano Triennale per l'Informatica 2024-2026 e rafforzando la resilienza digitale della Pubblica Amministrazione.
Fonte: www.agid.gov.it
