Nel mese di maggio 2025, FakeUpdates si conferma il malware più diffuso a livello globale e in Italia, nonostante un lieve calo. Secondo i dati forniti dal Global Threat Index di Check Point Software, l’8,62% degli attacchi registrati nel nostro Paese ha coinvolto questo downloader in JavaScript, che continua a rappresentare un pericolo concreto per aziende e istituzioni. Si tratta di un valore in flessione del 20,1% rispetto al mese precedente, ma comunque superiore alla media globale, ferma al 5,41%.
Subito dopo, si posizionano Androxgh0st (3,58%) e AsyncRat (2,17%), che ha superato Remcos guadagnando terreno nella classifica delle minacce più attive sul territorio nazionale. A livello globale, invece, oltre a FakeUpdates, si confermano Remcos e lo stesso Androxgh0st tra i malware più diffusi.
I ricercatori sottolineano che FakeUpdates resta molto pericoloso, poiché viene utilizzato per diffondere altri software dannosi come GootLoader, Dridex e AZORult, avviando infezioni multiple e continue nei sistemi compromessi.
SafePay diventa la nuova minaccia ransomware
La vera novità del mese è rappresentata da SafePay, un ransomware emerso a fine 2024 che ha guadagnato rapidamente notorietà. A differenza di altri ransomware distribuiti come RaaS (Ransomware-as-a-Service), SafePay adotta un modello più diretto: crittografa i file e contemporaneamente ruba dati sensibili, portando avanti attacchi a doppia estorsione senza ricorrere a intermediari.
Le sue attività sono cresciute in maniera significativa, facendo suonare un campanello d’allarme anche tra i team internazionali. Non a caso, a maggio è stata avviata un’operazione congiunta da parte di Europol, FBI e Microsoft, che ha portato al sequestro di migliaia di domini associati al malware Lumma, diffuso anche in Italia. Nonostante il colpo, alcuni server ospitati in Russia sono rimasti attivi e gli sviluppatori hanno ripristinato l’infrastruttura in tempi rapidi.
Istruzione nel mirino: infrastrutture fragili e pochi aggiornamenti
Nel quadro generale, il settore dell’Istruzione risulta ancora una volta il più colpito dai malware. Scuole, università e centri di formazione spesso dispongono di reti obsolete e poco protette, che li rendono facili bersagli per attacchi multistadio. Subito dopo si collocano i comparti governativo e delle telecomunicazioni, realtà strategiche in cui ogni interruzione di servizio può generare conseguenze significative.
Secondo Lotem Finkelstein, direttore della threat intelligence di Check Point, il panorama delle minacce è in continua evoluzione:
“Con l’ascesa di ransomware come SafePay e la continua diffusione di FakeUpdates, diventa indispensabile adottare strategie di difesa multilivello e aggiornate in tempo reale“.
I dati del Global Threat Index di maggio fotografano una realtà complessa, in cui gli attacchi diventano sempre più sofisticati e richiedono una reazione altrettanto avanzata da parte di aziende, enti pubblici e infrastrutture critiche.
