Kaspersky Security Bulletin 2015. Statistiche principali dell’anno 2015

Contenuti

Il 2015 in cifre

  • Complessivamente, nel 2015, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di attacco, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – su 1.966.324 computer degli utenti.
  • I software nocivi “estorsori” (Trojan-Ransom) sono stati rilevati su 753.684 computer di utenti unici; inoltre, nel 2015, sono stati attaccati da malware crittografici (encryptor) 179.209 computer.
  • Nel corso del periodo annuale qui esaminato il nostro Anti-Virus Web ha complessivamente effettuato il rilevamento di 121.262.075 oggetti maligni unici (script, exploit, file eseguibili, etc.).
  • Le soluzioni anti-malware di Kaspersky Lab hanno respinto, in totale, 798.113.087 attacchi condotti attraverso siti Internet compromessi, dislocati in vari Paesi.
  • Una consistente porzione degli utenti della Rete (34,2%), anche per una sola volta durante l’anno, è risultata sottoposta ad attacchi informatici provenienti dal web.
  • Per condurre gli attacchi via Internet i malintenzionati si sono avvalsi di 6.563.145 host unici.
  • Il 24% degli attacchi web bloccati e neutralizzati grazie all’intervento dei prodotti anti-malware di Kaspersky Lab è stato condotto attraverso siti web nocivi dislocati sul territorio degli Stati Uniti.
  • Il nostro modulo Anti-Virus File ha rilevato con successo, sui computer degli utenti, 4.000.000 di programmi maligni o potenzialmente indesiderabili.

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

Nel corso del 2015, è stato da noi osservato l’utilizzo di nuove tecniche di camuffamento degli exploit, degli shellcode e del payload nocivo, allo scopo di ostacolare il rilevamento dell’infezione informatica e rendere particolarmente complessa l’analisi del codice nocivo da parte degli esperti di sicurezza IT. I cybercriminali hanno sfruttato, in particolar modo, i seguenti metodi dannosi:

Uno degli eventi di maggior rilievo verificatisi nel corso dell’anno è indubbiamente rappresentato dalla scoperta di due famiglie di vulnerabilità critiche individuate nell’ambito del sistema operativo Android. Lo sfruttamento delle vulnerabilità Stagefright ha consentito ai malintenzionati di poter eseguire da remoto codice arbitrario sul dispositivo mobile sottoposto ad attacco, inviando semplicemente un messaggio MMS, appositamente confezionato, al numero di telefono dell’utente-vittima. Da parte sua, lo sfruttamento delle vulnerabilità Stagefright 2 è stato realizzato per lo stesso identico scopo; nella circostanza, tuttavia, gli aggressori si sono avvalsi di un file multimediale appositamente allestito.

Nel 2015 sono risultati particolarmente popolari, presso i virus writer, gli exploit destinati all’applicazione Adobe Flash Player. Ciò trova una logica spiegazione nel fatto che, nel corso dell’anno qui esaminato, in tale prodotto sono state rilevate numerose vulnerabilità. Inoltre, a seguito dell’ingente fuga di dati subita da Hacking Team sono state rese pubblicamente disponibili informazioni relative a vulnerabilità sconosciute individuate in Flash Player; i malintenzionati, ovviamente, hanno approfittato di tale situazione.

Gli sviluppatori dei più diversi exploit pack hanno prontamente reagito alla scoperta di nuove falle di sicurezza in Adobe Flash Player, ed hanno quindi aggiunto nuovi exploit ai “prodotti” da essi confezionati. Elenchiamo, qui di seguito, le tredici vulnerabilità di Adobe Flash Player sfruttate dai malintenzionati; nella circostanza, i kit di exploit più diffusi sono stati dotati del necessario “supporto” per l’utilizzo di tali vulnerabilità:

  1. CVE-2015-0310
  2. CVE-2015-0311
  3. CVE-2015-0313
  4. CVE-2015-0336
  5. CVE-2015-0359
  6. CVE-2015-3090
  7. CVE-2015-3104
  8. CVE-2015-3105
  9. CVE-2015-3113
  10. CVE-2015-5119
  11. CVE-2015-5122
  12. CVE-2015-5560
  13. CVE-2015-7645

Come da tradizione ormai consolidata, è entrato a far parte della composizione di alcuni noti exploit pack un exploit appositamente creato per colpire la vulnerabilità CVE-2015-2419, rilevata nel browser Internet Explorer. Allo stesso modo, nel 2015 è stato osservato l’utilizzo, da parte dei malintenzionati, della vulnerabilità CVE-2015-1671 individuata nell’applicazione Microsoft Silverlight, allo scopo di produrre l’infezione informatica sui computer-vittima. Il relativo exploit, tuttavia, sembra non godere di particolare popolarità presso i principali “attori” del mercato cybercriminale dedito alla diffusione degli exploit.

Statistiche principali dell'anno 2015

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici –
in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa all’anno 2015

La speciale graduatoria delle applicazioni vulnerabili, qui sopra riportata, è stata elaborata sulla base dei dati statistici da noi raccolti in merito alle operazioni di rilevamento e neutralizzazione degli exploit da parte dei prodotti Kaspersky Lab; il grafico tiene in debita considerazione sia gli exploit utilizzati dai malintenzionati per la conduzione degli attacchi informatici via Web, sia gli exploit impiegati dai malfattori per compromettere le applicazioni custodite “localmente” sui computer o sui dispositivi mobili degli utenti.

Sebbene all’interno della graduatoria da noi stilata la quota ascrivibile agli exploit appositamente creati dai virus writer per colpire l’applicazione Adobe Flash Player si attesti su un valore non superiore al 4%, la presenza “in-the-wild” di tale genere di exploit risulta, in proporzione, decisamente maggiore. Nell’esaminare tali dati statistici occorre tenere in debita considerazione il fatto che le tecnologie sviluppate da Kaspersky Lab rilevano gli exploit nelle varie fasi. Pertanto, sono riconducibili alla categoria “Browser” (62%) anche i rilevamenti che riguardano le landing pages adibite alla distribuzione degli exploit. Secondo le osservazioni da noi effettuate, nella maggior parte dei casi tali pagine web diffondono proprio gli exploit destinati ad Adobe Flash Player.

È di particolare importanza sottolineare come, nel corso dell’anno oggetto della nostra analisi, sia stata rilevata, da parte degli esperti di Kaspersky Lab, una sensibile diminuzione del numero dei casi in cui è stato registrato l’utilizzo di exploit appositamente sviluppati per attaccare la piattaforma Java. Mentre alla fine del 2014 la quota ad essi ascrivibile, in relazione al volume complessivo di exploit neutralizzati, era risultata pari al 45%, tale indice, nel corso del 2015, è diminuito, in maniera progressiva, di ben 32 punti percentuali, sino ad attestarsi su un valore medio del 13%. Inoltre, al momento attuale, gli exploit Java appaiono completamente esclusi dalla composizione di tutti gli exploit pack più noti.

È stato comunque osservato, allo stesso tempo, un significativo incremento della quota relativa all’utilizzo degli exploit destinati alla suite Microsoft Office; tale indice, nell’arco di un anno, è in effetti salito dall’ 1% al 4%. Secondo le osservazioni da noi eseguite, nel corso del 2015 tali exploit sono stati distribuiti tramite appositi invii nocivi a mailing di massa.

Il malware “finanziario”

I dati statistici qui sotto indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ricevuti tramite gli utenti che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Le statistiche annuali relative al 2015 sono state redatte sulla base dei dati raccolti nel periodo novembre 2014 – ottobre 2015.

Complessivamente, nel 2015, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di attacco, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – su 1.966.324 computer di utenti della rete globale di sicurezza Kaspersky Security Network. Desideriamo sottolineare come, rispetto all’analogo valore rilevato nel 2014 (1.910.520), tale indice abbia fatto registrare un significativo incremento, pari al 2,8%.

Statistiche principali dell'anno 2015

Numero di utenti sottoposti ad attacco da parte di programmi malware destinati a colpire
la sfera finanziaria – Situazione relativa al periodo novembre 2014 – ottobre 2015

Statistiche principali dell'anno 2015

Numero di utenti sottoposti ad attacco da parte di malware finanziari nel corso del 2014 e del 2015

Nel 2015, l’attività del malware finanziario è sensibilmente aumentata nel periodo intercorrente tra i mesi di febbraio ed aprile; gli indici in assoluto più elevati sono stati registrati in marzo-aprile. Un ulteriore picco è stato poi riscontrato nel mese di giugno. Nell’anno 2014, per contro, il maggior numero di utenti attaccati da programmi malware ad orientamento finanziario era stato osservato nel periodo maggio-giugno. Rileviamo, inoltre, come dal mese di giugno al mese di ottobre, sia nel 2014 che nel 2015, il numero di utenti sottoposti ad attacco sia progressivamente diminuito.

Geografia degli attacchi

Al fine di valutare il grado di popolarità del malware finanziario presso gli ambienti cybercriminali, ed il livello di rischio esistente riguardo alle infezioni informatiche generate da tale tipologia di software nocivo – rischio al quale risultano sottoposti i computer degli utenti nei vari Paesi del globo – abbiamo stimato, per ogni Paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo di utenti unici dei nostri prodotti che, nei diversi Paesi, hanno subito attacchi informatici da parte di programmi malware.

Statistiche principali dell'anno 2015

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del 2015 mediante l’utilizzo di malware bancario (percentuale di utenti sottoposti ad attacco da parte di Trojan bancari, sul numero complessivo di utenti attaccati da programmi malware)

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco da parte di malware bancari nel corso del 2015

Paese* % di utenti sottoposti ad attacco**
1 Singapore 11,6
2 Austria 10,6
3 Svizzera 10,6
4 Australia 10,1
5 Nuova Zelanda 10,0
6 Brasile 9,8
7 Namibia 9,3
8 Hong Kong 9,0
9 Sudafrica 8,2
10 Libano 6,6

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di malware finanziari, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab attaccati nel Paese.

La leadership del ranking in questione è andata ad appannaggio di Singapore. Nella città-stato del Sud-est asiatico, sul numero complessivo di utenti Kaspersky Lab sottoposti ad attacco da parte di programmi malware – perlomeno una volta nel corso dell’anno – si è “imbattuto” nei temibili Trojan bancari l’11,6% degli utenti. Tale indice pone in risalto l’elevato grado di diffusione delle minacce “finanziarie” in relazione al numero complessivo di minacce IT circolanti nel Paese asiatico.

In Spagna, durante il periodo qui esaminato, è stato attaccato perlomeno una volta, da parte dei Trojan bancari, il 5,4% degli utenti sottoposti ad attacco da parte di software nocivi; in Italia, l’analoga quota si è attestata al 5,0%, in Gran Bretagna al 5,1%, in Germania al 3,8%, in Francia al 2,9%. L’indice relativo agli Stati Uniti è risultato pari al 3,2%, mentre la quota inerente al Giappone ha raggiunto un valore del 2,5%.

Per ciò che riguarda la Russia, ha avuto a che fare con i Trojan-Banker il 2,0% degli utenti attaccati dal malware.

TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del 2015, nell’ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking – redatta in base alle quote percentuali di utenti sottoposti ad attacco da parte dei vari programmi Trojan elencati nel rating – si presenta nella maniera seguente:

Denominazione* % di utenti sottoposti ad attacco**
1 Trojan-Downloader.Win32.Upatre 42,36
2 Trojan-Spy.Win32.Zbot 26,38
3 Trojan-Banker.Win32.ChePro 9,22
4 Trojan-Banker.Win32.Shiotob 5.10
5 Trojan-Banker.Win32.Banbra 3,51
6 Trojan-Banker.Win32.Caphaw 3,14
7 Trojan-Banker.AndroidOS.Faketoken 2,76
8 Trojan-Banker.AndroidOS.Marcher 2,41
9 Trojan-Banker.Win32.Tinba 2,05
10 Trojan-Banker.JS.Agent 1,88

* Rilevamenti eseguiti dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici attaccati da tali malware, sul numero complessivo di utenti sottoposti ad attacco da parte di malware finanziari.

È di particolare rilevanza sottolineare come la stragrande maggioranza delle famiglie di malware presenti nella composizione della speciale TOP-10 da noi elaborata, si avvalga della classica tecnica denominata “web injection”, comunemente utilizzata dai Trojan bancari per iniettare codice HTML arbitrario all’interno della pagina web visualizzata dall’utente tramite il proprio browser; al tempo stesso, i suddetti malware fanno largo uso di successivi processi di intercettazione dei dati sensibili relativi alle transazioni finanziarie eseguite in Rete dagli utenti, dati inseriti da questi ultimi nei form subdolamente aggiunti dal Trojan, i quali vanno a rimpiazzare i moduli originali.

La prima posizione della graduatoria è andata ad appannaggio della famiglia di malware denominata Trojan-Downloader.Win32.Upatre, la quale ha detenuto la leadership del rating lungo tutto l’arco dell’anno. I software dannosi riconducibili a tale specifica famiglia di programmi nocivi risultano essere tutt’altro che complessi e presentano, per di più, dimensioni decisamente esigue (non oltre i 3,5 Kb); le funzionalità di cui sono provvisti si limitano, in genere, al caricamento del “payload” sul computer-vittima: si tratta, di solito, di insidiosi Trojan-Banker appartenenti alla famiglia di malware attualmente nota con tre diversi appellativi – Dyre/Dyzap/Dyreza. Il compito principale al quale risultano adibiti i suddetti Trojan bancari è rappresentato dal furto dei dati sensibili relativi alle operazioni di pagamento condotte online dagli utenti. Per far ciò, Dyre provvede ad intercettare i dati della sessione bancaria in corso tra il browser della vittima e l’applicazione web di online banking; in altre parole, il Trojan applica l’insidiosa tecnica definita “Man-in-the-Browser” (MITB). Evidenziamo, inoltre, come tale malware venga attivamente distribuito anche tramite messaggi di posta elettronica appositamente confezionati, contenenti un allegato dannoso; si tratta, di fatto, di un documento che nasconde il downloader. Nel corso dell’estate 2015, il malware Trojan-Downloader.Win32.Upatre è stato ugualmente individuato su router domestici compromessi; questo testimonia, in maniera inequivocabile, l’utilizzo polivalente di tale programma Trojan da parte dei malintenzionati.

Al secondo posto della graduatoria troviamo poi un vero e proprio “habitué” del rating qui esaminato: si tratta del famigerato malware Trojan-Spy.Win32.Zbot, il quale mantiene saldamente le posizioni abitualmente occupate all’interno della speciale TOP-10. La sua presenza permanente ai vertici di tale classifica non è certo casuale. I Trojan della famiglia Zbot sono stati tra i primi ad utilizzare il metodo della web injection per cercare di carpire i dati relativi alle operazioni di pagamento svolte nell’ambito dei sistemi di banking online, e cercare di modificare il contenuto delle pagine web inerenti alla sfera bancaria. Essi hanno inoltre fatto uso di vari livelli di cifratura dei propri file di configurazione; allo stesso tempo, il file di configurazione, una volta decodificato, non viene custodito interamente in memoria, ma viene caricato in porzioni separate.

I rappresentanti della famiglia di malware denominata Trojan-Banker.Win32.ChePro sono stati individuati, per la prima volta, nel mese di ottobre del 2012. All’epoca, questi programmi Trojan attaccavano soprattutto gli utenti ubicati in Brasile, Portogallo e Russia; attualmente, tali software nocivi vengono dispiegati per condurre attacchi nei confronti di utenti-vittima situati in numerosi paesi. La maggior parte dei sample del malware ChePro è rappresentata da “semplici” downloader, ai quali occorrono ulteriori file per condurre “a buon fine” il processo di infezione del sistema. Si tratta, in genere, di malware bancari, i quali consentono di catturare l’immagine presente sullo schermo, registrare le sequenze dei tasti premuti dall’utente e leggere il contenuto della clipboard; tali funzionalità nocive forniscono l’opportunità di utilizzare il programma maligno per condurre attacchi, in pratica, nei confronti di qualsiasi sistema di banking online.

Rileviamo inoltre la presenza, all’interno della TOP-10 qui sopra riportata, di due famiglie di Trojan bancari destinati alle piattaforme mobile: Faketoken e Marcher. I programmi maligni riconducibili a tali famiglie realizzano il furto dei dati di pagamento sui dispositivi mobili provvisti di sistema operativo Android.

I rappresentanti della famiglia Trojan-Banker.AndroidOS.Faketoken sono soliti “operare” in abbinamento con i Trojan bancari preposti a colpire i computer desktop. Per realizzare la distribuzione del malware Faketoken, i cybercriminali ricorrono all’utilizzo di tecniche di ingegneria sociale: quando il cliente della banca, attraverso il proprio computer infetto, accede alla pagina del servizio di banking online, il Trojan provvede a modificare tale pagina, proponendo il download di un’applicazione Android, apparentemente preposta alla protezione delle transazioni finanziarie online. In realtà, il link in questione altro non fa se non condurre l’ignaro utente verso il download dell’applicazione nociva Faketoken. Una volta che il malware è penetrato nello smartphone dell’utente, i cybercriminali, per mezzo del computer-vittima infettato dal Trojan-Banker ottengono l’accesso al conto bancario preso di mira; il dispositivo mobile infetto, da parte sua, consente ai malintenzionati di poter intercettare la password one-time (codice segreto) utilizzata per la procedura di autenticazione a due fattori (mTAN). Ricordiamo, nell’occasione, che tali codici, trasmessi dalle banche ai propri clienti attraverso appositi messaggi SMS, consentono di confermare l’esecuzione della transazione bancaria in corso.

La seconda famiglia, composta da Trojan bancari appositamente sviluppati per colpire le piattaforme mobile, è denominata Trojan-Banker.AndroidOS.Marcher. Una volta infettato il dispositivo mobile, tali malware monitorano l’esecuzione di due sole applicazioni: da una parte, il client del mobile banking allestito da un noto istituto bancario europeo; dall’altra, Google Play. Nel caso in cui l’utente acceda all’app store Google Play, Marcher fa in modo che la potenziale vittima visualizzi una finestra fasulla di Google Play, preposta all’inserimento dei dati sensibili relativi alla carta di pagamento; i dati introdotti, ovviamente, vanno poi a finire nelle mani dei malintenzionati. Il Trojan agisce inoltre in maniera analoga quando l’utente provvede ad aprire l’applicazione bancaria.

Al decimo posto della graduatoria troviamo, infine, la famiglia Trojan-Banker.JS.Agent; si tratta di codici JS maligni, che rappresentano il risultato della procedura di iniezione di codice dannoso nella pagina web adibita al banking online. Il compito di simili codici è costituito dall’intercettazione dei dati di pagamento introdotti dall’utente negli appositi form presenti sulle pagine Internet riservate alle operazioni di banking online.

2015, un anno decisamente interessante per il ransomware

La classe dei Trojan-Ransom riunisce sia programmi malware preposti ad effettuare modifiche non autorizzate relativamente ai dati degli utenti, allo scopo di rendere di fatto inutilizzabili i computer-vittima (ad esempio i cosiddetti “encryptor”, temibili malware crittografici) – sia software nocivi appositamente creati dai virus writer per bloccare il normale funzionamento dei computer sottoposti ad attacco. Per procedere alle operazioni di decodifica dei file criptati, o di sblocco del computer, i malintenzionati che si avvalgono di tali programmi nocivi chiedono, di solito, il pagamento di un riscatto da parte delle proprie vittime.

Dal momento della sua comparsa, nell’anno 2013, con CryptoLocker, il ransomware ha fatto davvero molta strada. Nel 2014, ad esempio, è stata da noi individuata la prima versione di un ransomware destinato ad attaccare il sistema operativo Android. Abbiamo poi riscontrato, appena un anno dopo, come il 17% delle infezioni da noi rilevate si fosse manifestato proprio a livello di dispositivi Android.

Nel 2015 è ugualmente apparso il primo ransomware per l’OS Linux, classificato nell’apposita categoria Trojan-Ransom.Linux. Nella circostanza, il lato positivo della vicenda è rappresentato dal fatto che gli autori di tale malware crittografico hanno commesso un piccolo errore a livello di implementazione; questo ha reso possibile effettuare la decodifica dei file cifrati, senza dover procedere al pagamento del riscatto.

Purtroppo, simili errori di implementazione si verificano sempre più raramente. Questo ha indotto l’FBI ad affermare: “Il ransomware è davvero ben fatto… Sinceramente, spesso consigliamo agli utenti di pagare direttamente il riscatto”. Tuttavia, che questa non sia sempre una buona idea è stato dimostrato anche nel corso del 2015, quando la polizia olandese ha compiuto l’arresto di due persone sospettate di tenere le fila del malware CoinVault. Poco dopo, in effetti, abbiamo ricevuto tutte le 14.000 chiavi di crittografia, che abbiamo provveduto ad aggiungere ad un nuovo tool di decodifica. Tutte le vittime di CoinVault sono state quindi in grado di decriptare i propri file gratuitamente.

Il 2015 è stato ugualmente l’anno che ha segnato la nascita di TeslaCrypt. La particolare “storia” di TeslaCrypt ha visto questo malware utilizzare interfacce grafiche proprie di altre famiglie di ransomware. Inizialmente, si è trattato di CryptoLocker; in seguito si è registrato il passaggio a CryptoWall. In pratica, i cybercriminali hanno interamente copiato la relativa pagina HTML da CryptoWall 3.0, limitandosi esclusivamente a modificare gli URL.

Numero di utenti sottoposti ad attacco

Il grafico qui sotto riportato evidenzia il progressivo e sensibile aumento del numero di utenti sui computer dei quali, nel corso di quest’ultimo anno, è stato rilevato del malware riconducibile alla categoria dei Trojan-Ransom:

Statistiche principali dell'anno 2015

Numero di utenti sottoposti ad attacco da parte di programmi malware ascrivibili alla classe dei Trojan-Ransom
(situazione relativa al periodo 4° trimestre 2014 – 3° trimestre 2015)

Complessivamente, nel corso del 2015, i Trojan-Ransom sono stati rilevati su 753.684 computer. Il ransomware, in tutta evidenza, sta divenendo un problema sempre più serio ed allarmante.

TOP 10 relativa alle famiglie di Trojan-Ransom

La speciale graduatoria qui sotto inserita raccoglie le famiglie di ransomware maggiormente attive nel’attuale panorama del malware globale. L’elenco si compone di varie famiglie di malware estorsori, o di blocker, basate sui browser web, così come di alcuni noti encryptor (malware crittografici). I cosiddetti Windows blocker, il cui compito è quello di restringere l’accesso ad un sistema (ad esempio, la famiglia Trojan-Ransom.Win32.Blocker), per poi richiedere all’utente-vittima il pagamento di un riscatto, erano molto popolari sino ad alcuni anni fa (il fenomeno è partito dalla Russia, e si è successivamente esteso ad ovest); adesso, tuttavia, la loro diffusione non è così rilevante, tanto è vero che tale tipologia di malware non fa parte della speciale TOP 10 da noi stilata.

Denominazione* Quote percentuali di utenti**
1 Trojan-Ransom.HTML.Agent 38,0
2 Trojan-Ransom.JS.Blocker 20,7
3 Trojan-Ransom.JS.InstallExtension 8,0
4 Trojan-Ransom.NSIS.Onion 5,8
5 Trojan-Ransom.Win32.Cryakl 4,3
6 Trojan-Ransom.Win32.Cryptodef 3,1
7 Trojan-Ransom.Win32.Snocry 3,0
8 Trojan-Ransom.BAT.Scatter 3,0
9 Trojan-Ransom.Win32.Crypmod 1,8
10 Trojan-Ransom.Win32.Shade 1,8

*I dati statistici qui sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
**Quota percentuale di utenti sottoposti ad attacco da parte di una determinata famiglia di Trojan-Ransom, in relazione al numero complessivo di utenti attaccati da programmi malware riconducibili alla categoria dei Trojan-Ransom.

La prima posizione del rating è andata ad appannaggio della famiglia denominata Trojan-Ransom.HTML.Agent (38%), mentre sul secondo gradino del “podio” virtuale troviamo la famiglia di malware classificata come Trojan-Ransom.JS.Blocker (20.7%). Si tratta, nella fattispecie, di pagine web preposte a bloccare il funzionamento del browser, recanti contenuti indesiderati di vario tipo; in genere, attraverso di esse l’utente-vittima visualizza il relativo messaggio di estorsione (ad esempio un particolare “avvertimento” notificato, in apparenza, da parte delle forze dell’ordine). In alternativa, tali pagine web nocive contengono del codice JavaScript, la cui funzione è quella di bloccare il browser e di far apparire sullo schermo del computer un messaggio rivolto alla potenziale vittima.

La terza posizione della TOP 10 risulta occupata da Trojan-Ransom.JS.InstallExtension (8%), una pagina web appositamente creata per bloccare il browser; essa impone all’utente l’installazione di un’estensione per Chrome. Se si tenta di chiudere la pagina, viene spesso riprodotto il file audio voice.mp3, il quale, più o meno, recita così: “per chiudere la pagina, clicca sul pulsante Aggiungi”. Le estensioni interessate, di per se stesse, non sono dannose; la “proposta” di installazione, tuttavia, è estremamente molesta ed invadente, al punto che risulta difficile, per l’utente, poterla respingere. Questa particolare tipologia di diffusione delle estensioni per il browser viene adottata nell’ambito di uno specifico programma di partenariato. Le tre famiglie di malware sopra menzionate risultano particolarmente diffuse in Russia, così come in alcuni dei paesi situati nello spazio geografico post-sovietico.

Se andiamo ad esaminare più in dettaglio le aree in cui si registra la presenza più consistente di programmi ransomware (nel loro complesso, non solo per ciò che riguarda le tre famiglie di Trojan-Ransom che occupano le posizioni di vertice della TOP 10) rileviamo come i Paesi in cui tale genere di malware risulta in assoluto più diffuso sono, nell’ordine, Kazakhstan, Russia e Ukraina.

Cryakl è divenuto relativamente attivo nel corso del terzo trimestre del 2015, periodo in cui sono stati registrati dei picchi fino a 2.300 tentativi di infezione al giorno. Un interessante aspetto del malware Cryakl è indubbiamente rappresentato dallo schema di codifica da esso adottato. Anziché cifrare l’intero file, Cryakl provvede a criptare i primi 29 byte, più altri tre blocchi situati in maniera casuale all’interno del file. Tutto questo viene fatto allo scopo di eludere le tecnologie di rilevamento basate sul comportamento del malware, mentre la codifica dei primi 29 byte, in pratica, distrugge l’intestazione.

Cryptodef, da parte sua, altro non è se non il famigerato ransomware denominato Cryptowall. A differenza delle altre famiglie qui esaminate, Cryptowall viene individuato, con maggiore frequenza, sul territorio degli Stati Uniti. Di fatto, negli USA si registra un numero di infezioni tre volte superiore rispetto a quanto viene riscontrato, in maniera analoga, in Russia. Cryptowall viene distribuito tramite e-mail di spam maligno, attraverso le quali l’utente riceve un JavaScript zippato. Una volta eseguito, il JavaScript effettua il download del ransomware Сryptowall; viene così avviato il processo di codifica dei file dell’utente-vittima. Sono stati tra l’altro osservati dei cambiamenti nel messaggio abitualmente utilizzato dai cybercriminali per chiedere il pagamento del riscatto; adesso, gli autori del malware in questione si complimentano con le vittime per il fatto che queste ultime “sono entrate a far parte della grande community di Cryptowall”.

Gli encryptor possono essere implementati non solo in veste di eseguibili, ma anche utilizzando semplici linguaggi di script, come nel caso della famiglia Trojan-Ransom.BAT.Scatter. La famiglia di malware denominata Scatter ha fatto la sua comparsa nel 2014; in un lasso di tempo relativamente breve, essa ha compiuto una notevole evoluzione, acquisendo, in aggiunta alle capacità crittografiche originariamente possedute, due significative funzionalità supplementari, ovvero quelle di Email-Worm e Trojan-PSW. Nello specifico, per ciò che riguarda il lato crittografico, Scatter si avvale di due paia di chiavi asimmetriche; questo consente di cifrare i file dell’utente senza dover rivelare la propria chiave privata. Per codificare i file della vittima, il malware in causa impiega utility del tutto legittime, ma rinominate.

L’encryptor classificato come Trojan-Ransom.Win32.Shade, anch’esso molto diffuso in Russia, è in grado di richiedere al server C&C di comando e controllo un elenco contenente gli URL preposti a condurre verso ulteriori programmi malware. Shade provvede poi al download di tali software nocivi, ed installa gli stessi nel sistema sottoposto ad attacco. Nella circostanza, tutti i server C&C risultano collocati nella rete Tor. Si sospetta, inoltre, che i malware appartenenti a questa famiglia di Trojan-Ransom possano propagarsi attraverso un apposito programma di affiliazione.

TOP 10 relativa ai Paesi sottoposti ad attacco da parte di programmi malware della classe Trojan-Ransom

Paese* % di utenti attaccati da Trojan-Ransom**
1 Kazakhstan 5,47
2 Ukraina 3,75
3 Federazione Russa 3,72
4 Paesi Bassi 1,26
5 Belgio 1,08
6 Bielorussia 0,94
7 Kirghizistan 0,76
8 Uzbekistan 0,69
9 Tagikistan 0,69
10 Italia 0,57

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti dei prodotti Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative agli utenti unici i cui computer sono stati presi di mira da programmi Trojan-Ransom, in relazione al numero complessivo di utenti unici dei prodotti Kaspersky Lab presenti nel Paese.

Gli encryptor (malware crittografici)

Anche se gli attuali encryptor non risultano così popolari, presso i cybercriminali, come invece lo sono stati i blocker, essi infliggono, tuttavia, danni ancor più seri agli utenti. Vale quindi la pena riservare ad essi un’analisi a parte.

Numero di nuovi encryptor nella classe dei Trojan-Ransom

Il grafico qui sotto riportato evidenzia il progressivo aumento, anno per anno, del numero di nuove varianti di malware crittografico.

Statistiche principali dell'anno 2015

Numero di varianti di malware crittografici, riconducibili alla categoria dei Trojan-Ransom,
presenti nella Virus Collection di Kaspersky Lab (2013 – 2015)

Attualmente, il numero complessivo di varianti di malware crittografico presenti nella nostra Virus Collection ammonta ad almeno 11.000 unità. Nel 2015 sono state create, in totale, dieci nuove famiglie di encryptor.

Numero di utenti attaccati da malware crittografici

Statistiche principali dell'anno 2015

Numero di utenti sottoposti ad attacco da parte di malware encryptor riconducibili alla classe dei Trojan-Ransom
(2012 – 2015)

Nel corso del 2015, sono stati complessivamente attaccati da malware crittografici 179.209 utenti unici. Circa il 20% degli utenti sottoposti ad attacco fanno parte del settore corporate.

È importante tener presente che il numero effettivo di incidenti informatici causati dai Trojan crittografici è di varie volte superiore alla cifra qui sopra indicata; in effetti, i dati statistici da noi elaborati nella specifica circostanza si basano esclusivamente sui risultati relativi ai rilevamenti eseguiti grazie agli euristici e alle firme del malware. I prodotti Kaspersky Lab, nella maggior parte dei casi, effettuano il rilevamento dei Trojan “cifratori” tramite le apposite tecnologie comportamentali.

TOP 10 relativa ai Paesi sottoposti ad attacco da parte di malware crittografici (stilata in base alle quote percentuali di utenti attaccati)

Paese* % di utenti attaccati dagli encryptor
1 Paesi Bassi 1,06
2 Belgio 1,00
3 Federazione Russa 0,65
4 Brasile 0,44
5 Kazakhstan 0,42
6 Italia 0,36
7 Lettonia 0,34
8 Turchia 0,31
9 Ukraina 0,31
10 Austria 0,30

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti dei prodotti Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative agli utenti unici i cui computer sono stati presi di mira da malware crittografici riconducibili alla classe dei Trojan-Ransom, in relazione al numero complessivo di utenti unici dei prodotti Kaspersky Lab presenti nel Paese.

Al primo posto della speciale graduatoria troviamo i Paesi Bassi. La famiglia di encryptor in assoluto più diffusa è risultata essere CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Sottolineiamo, nella circostanza, come nel 2015 sia stato lanciato un programma di affiliazione che ha fatto ampio uso di CTB-Locker; evidenziamo, inoltre, come al malware in questione siano state aggiunte nuove lingue, incluso l’olandese. I computer degli utenti vengono principalmente infettati tramite messaggi e-mail dannosi contenenti allegati nocivi. Sembra proprio che in tale campagna malware sia coinvolto qualcuno di madrelingua olandese, visto che le e-mail vengono composte ricorrendo ad un utilizzo piuttosto accurato della lingua olandese.

Una situazione analoga si presenta in Belgio: anche in tale Paese, in effetti, il malware crittografico più diffuso è CTB-Locker.

Per ciò che riguarda la Russia, infine, l’encryptor al quale è riconducibile il maggior numero di attacchi informatici nei confronti degli utenti, risulta invece essere il malware denominato Trojan-Ransom.Win32.Cryakl.

Programmi malware in Internet (attacchi tramite siti web)

I dati statistici esaminati in questo capitolo del nostro consueto report annuale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall’Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web malevole/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

Le minacce IT in Internet: TOP-20

Nel corso del periodo annuale qui esaminato il nostro Anti-Virus Web ha complessivamente effettuato il rilevamento di ben 121.262.075 oggetti maligni unici (script, exploit, file eseguibili, etc.).

Nella fattispecie, abbiamo provveduto ad identificare le venti minacce IT che, durante l’anno 2015, sono state più frequentemente incontrate dagli utenti durante la navigazione in Internet. Così come nell’anno precedente, i programmi “pubblicitari” (Adware) ed i loro componenti sono andati ad occupare ben 12 posizioni della TOP-20 da noi stilata. Nel corso dell’anno qui esaminato, gli Adware ed i loro componenti sono stati rilevati sul 26,1% del numero complessivo di computer, appartenenti agli utenti dei prodotti Kaspersky Lab, sui quali è entrato in azione il nostro modulo Anti-Virus Web. Il consistente aumento del numero degli Adware attualmente in circolazione, i metodi alquanto aggressivi utilizzati per la loro diffusione, così come la particolare capacità, da parte dei software pubblicitari, di contrastare in maniera piuttosto efficace il rilevamento da parte delle soluzioni antivirus, confermano, indubbiamente, alcune specifiche tendenze osservate, nel corso del 2014, nell’ambito degli oggetti nocivi rilevati sul World Wide Web.

Sebbene la pubblicità aggressiva comporti, ovviamente, non pochi fastidi e disagi per gli utenti, occorre sottolineare come i cosiddetti programmi pubblicitari non arrechino, ad ogni caso, danni ai computer. Per tale motivo, abbiamo elaborato un ulteriore rating, del quale sono entrati a far parte esclusivamente gli oggetti dannosi (la TOP-20 qui sotto inserita non comprende, quindi, né i programmi riconducibili alla classe degli Adware, né i software appartenenti alla categoria dei Riskware). Gli oggetti nocivi che compaiono in tale classifica hanno da soli generato il 96,6% del volume complessivo di attacchi informatici condotti dai cybercriminali mediante l’utilizzo di programmi e oggetti nocivi dislocati nel web.

TOP-20 relativa agli oggetti nocivi provenienti da Internet

Denominazione* % sul totale complessivo
degli attacchi**
1 Malicious URL 75,76
2 Trojan.Script.Generic 8,19
3 Trojan.Script.Iframer 8,08
4 Trojan.Win32.Generic 1,01
5 Expoit.Script.Blocker 0,79
6 Trojan-Downloader.Win32.Generic 0,69
7 Trojan-Downloader.Script.Generic 0,36
8 Trojan.JS.Redirector.ads 0,31
9 Trojan-Ransom.JS.Blocker.a 0,19
10 Trojan-Clicker.JS.Agent.pq 0,14
11 Trojan-Downloader.JS.Iframe.diq 0,13
12 Trojan.JS.Iframe.ajh 0,12
13 Exploit.Script.Generic 0,10
14 Packed.Multi.MultiPacked.gen 0,09
15 Exploit.Script.Blocker.u 0,09
16 Trojan.Script.Iframer.a 0,09
17 Trojan-Clicker.HTML.Iframe.ev 0,09
18 Hoax.HTML.ExtInstall.a 0,06
19 Trojan-Downloader.JS.Agent.hbs 0,06
20 Trojan-Downloader.Win32.Genome.qhcr 0,05

* Oggetti neutralizzati sulla base dei rilevamenti effettuati dal componente Anti-Virus Web. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale sul totale complessivo degli attacchi web della malware, rilevati sui computer di utenti unici.

La TOP-20 analizzata nel presente capitolo del nostro report annuale annovera, per la maggior parte, la presenza di “verdetti” riconducibili ad oggetti nocivi utilizzati, in genere, per la conduzione di attacchi di tipo drive-by. Tali oggetti vengono rilevati mediante metodi euristici; è questo, ad esempio, il caso di Trojan.Script.Generic, Expoit.Script.Blocker, Trojan-Downloader.Script.Generic ed altri ancora. Gli oggetti nocivi riconducibili a tale specifica tipologia sono andati ad occupare ben 7 posizioni all’interno del rating da noi stilato.

Il verdetto classificato con la denominazione di “Malicious URL” viene applicato agli indirizzi Internet presenti nella nostra blacklist (si tratta, più precisamente, di URL destinati a condurre l’utente-vittima su pagine web preposte al redirect verso famigerati exploit, oppure su siti Internet imbottiti di exploit ed ulteriori programmi malware, o magari verso siti web appositamente allestiti per estorcere denaro alle vittime, etc.; tale verdetto comprende ugualmente gli URL che indirizzano i browser verso i centri di comando e controllo di estese botnet).

L’oggetto denominato Trojan.JS.Redirector.ads (8° posto) è costituito da uno script che i malintenzionati provvedono a collocare all’interno di determinati siti web infettati dal malware. Tale script, in pratica, reindirizza gli utenti verso altri siti Internet, ad esempio i siti web adibiti a casinò online. Il fatto che un simile oggetto sia entrato a far parte del rating dovrebbe servire a ricordare agli amministratori delle risorse Internet l’eccessiva facilità con la quale, di frequente, si producono, in maniera automatica, serie infezioni informatiche sui loro siti web, talvolta generate persino da programmi dannosi non particolarmente complessi e sofisticati.

Il verdetto Trojan-Ransom.JS.Blocker.a (9° posto) è, in sostanza, uno script che, mediante l’aggiornamento ciclico della pagina web, cerca di bloccare il browser dell’utente-vittima; nel frattempo, sullo schermo del computer appare un messaggio in cui si comunica che occorre pagare una sorta di “multa”, su un determinato portafoglio elettronico, a causa della presunta visualizzazione, da parte dell’utente, di materiale di natura inappropriata. Tale script si incontra principalmente sui siti pornografici; di solito, esso viene rilevato in Russia e nei paesi facenti parte della Comunità degli Stati Indipendenti (CSI).

Lo script che restituisce il verdetto Trojan-Downloader.JS.Iframe.diq (11° posto), ottenuto grazie al modulo Anti-Virus Web, viene ugualmente individuato sui siti web infetti gestiti attraverso le note piattaforme CMS WordPress, Joomla e Drupal. La campagna nociva appositamente allestita per realizzare un’infezione di massa dei siti web, tramite questo script, ha avuto inizio nel mese di agosto 2015. Nelle fasi preliminari dell’infezione, lo script in causa trasmette al server dei malintenzionati le informazioni relative all’intestazione della pagina infetta, al dominio in cui la stessa risiede, e all’indirizzo Internet della pagina attraverso la quale l’utente ha raggiunto la pagina web dannosa contenente lo script. In seguito, tramite un apposito iframe, viene caricato sul browser dell’utente un ulteriore script, preposto a raccogliere le informazioni riguardanti il sistema operativo installato sul computer-vittima, il fuso orario e la presenza di Adobe Flash Player. Successivamente, dopo una serie di reindirizzamenti, l’utente giunge su determinati siti Internet, la cui funzione è quella di generare l’installazione di un fastidioso Adware, mascherato sotto forma di aggiornamento per l’applicazione Adobe Flash Player; in alternativa, viene offerta l’installazione di specifici plugin per il browser web.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per Paesi delle fonti degli attacchi web condotti nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dal modulo Anti-Virus Web (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet. Nello stilare i dati statistici inerenti al presente capitolo del report non abbiamo preso in considerazione le fonti adibite alla diffusione degli Adware, così come gli host collegati all’attività dei cosiddetti “programmi pubblicitari”.

Per determinare l’origine geografica degli attacchi informatici condotti tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Per condurre i 798.113.087 attacchi via Web bloccati nel corso del 2015, i malintenzionati si sono avvalsi di ben 6.563.145 host unici.

L’80% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati dall’antivirus è risultato attribuibile ad attacchi provenienti da siti web ubicati in una ristretta cerchia di dieci paesi.

Statistiche principali dell'anno 2015

Ripartizione per paesi delle fonti degli attacchi web – Situazione relativa al 2015

Osserviamo, innanzitutto, come rispetto all’analoga graduatoria stilata dagli esperti di Kaspersky Lab relativamente all’anno precedente, non siano intervenute variazioni riguardo alla composizione del novero dei paesi presenti nelle prime quattro posizioni della classifica. La Francia è passata dalla settima alla quinta posizione del rating (5,07%), mentre l’Ukraina è scesa dalla quinta alla settima piazza della graduatoria (4,16%). Non fanno più parte della TOP-10 né il Canada, né il Vietnam; le “new entry” della classifica sono invece rappresentate da Cina e Svezia; tali paesi sono andati ad occupare, rispettivamente, la nona e la decima posizione.

La TOP-10 qui sopra riportata dimostra, in tutta evidenza, come i cybercriminali preferiscano condurre le proprie attività malevole, legate all’utilizzo degli hosting web, nei paesi che presentano un elevato tasso di sviluppo, dove il mercato dei servizi di hosting risulta particolarmente progredito.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato la frequenza con la quale, nel corso dell’anno qui analizzato, gli utenti dei prodotti Kaspersky Lab, ubicati nelle varie regioni geografiche mondiali, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Evidenziamo come l’indice in questione non dipenda, ad ogni caso, dal numero di utenti del Kaspersky Security Network presenti in un determinato Paese. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

I 20 Paesi nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti tramite Internet:

Paese* % di utenti unici**
1 Russia 48,90
2 Kazakhstan 46,27
3 Azerbaijan 43,23
4 Ukraina 40,40
5 Vietnam 39,55
6 Mongolia 38,27
7 Bielorussia 37,91
8 Armenia 36,63
9 Algeria 35,64
10 Qatar 35,55
11 Lettonia 34,20
12 Nepal 33,94
13 Brasile 33,66
14 Kirghizistan 33,37
15 Moldavia 33,28
16 Cina 33,12
17 Thailandia 32,92
18 Lituania 32,80
19 Emirati Arabi Uniti 32,58
20 Portogallo 32,31

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Osserviamo, in primo luogo, come le prime tre posizioni della speciale TOP-20 del 2015 siano rimaste invariate rispetto all’analoga graduatoria da noi stilata riguardo all’anno 2014. Così come in precedenza, la leadership del ranking in questione continua ad essere detenuta dalla Federazione Russa, nonostante l’indice ad essa ascrivibile abbia fatto registrare una significativa flessione, pari a 4,9 punti percentuali.

Non fanno più parte della TOP-20 i seguenti paesi: Germania, Tagikistan, Georgia, Arabia Saudita, Austria, Sri Lanka e Turchia. Le “new entry” sono invece rappresentate da Lettonia, Nepal, Brasile, Cina, Thailandia, Emirati Arabi Uniti e Portogallo.

In base al livello di “contaminazione” informatica cui sono stati sottoposti i computer degli utenti durante la quotidiana navigazione in Internet nel corso dell’anno qui preso in esame, risulta possibile suddividere i vari paesi del globo in tre gruppi distinti.

  1. Gruppo ad alto rischio
    Tale gruppo, contraddistinto da quote che vanno oltre il 41%, annovera i paesi che occupano le prime tre posizioni della TOP-20 del 2015, ovvero Russia, Kazakhstan e Azerbaijan. Ricordiamo, a tal proposito, come nel 2014 facessero parte di tale raggruppamento ben 9 nazioni.

  2. Gruppo a rischio
    Esso è relativo agli indici percentuali che spaziano nel range 21-40,9%. Complessivamente, sono entrati a far parte di questo secondo gruppo ben 109 paesi, tra cui: Francia (32,1%), Germania (32,0%), India (31,6%), Spagna (31,4%), Turchia (31,0%), Grecia (30,3%), Canada (30,2%), Italia (29,4%), Svizzera (28,6%), Australia (28,0%), Bulgaria (27,0%), Stati Uniti (26,4%), Georgia (26,2%), Israele (25,8%), Messico (24,3%), Egitto (23,9%), Romania (23,4%), Gran Bretagna (22,4%), Repubblica Ceca (22,0%), Irlanda (21,6%), Giappone (21,1%).

  3. Gruppo dei paesi nei quali la navigazione in Internet risulta più sicura (0-20,9%).
    Per ciò che riguarda l’anno 2015, in tale gruppo figurano 52 paesi.Tra le nazioni che fanno parte di esso citiamo: Kenya (20,8%), Ungheria (20,7%), Malta (19,4%), Paesi Bassi (18,7%), Norvegia (18,3%), Argentina (18,3%), Singapore (18,2%), Svezia (18%), Corea del Sud (17,2%), Finlandia (16,5%), Danimarca (15, 2%).

Statistiche principali dell'anno 2015

Nel corso dell’anno 2015, durante la quotidiana navigazione in Rete, è risultato sottoposto agli attacchi web, perlomeno una volta, il 34,2% dei computer appartenenti agli utenti Internet.

In media, nell’arco di questi ultimi dodici mesi, il livello di pericolosità relativo alla navigazione in Internet è diminuito di 4,1 punti percentuali. La specifica tendenza che vede il progressivo decremento di tale significativo indice si è manifestata già nel 2014; essa prosegue, quindi, per il secondo anno consecutivo. Tale circostanza può essere dovuta ad alcuni fattori:

  • In primo luogo, hanno iniziato ad apportare un efficace contributo all’impervia lotta condotta nei confronti dei siti web maligni sia i browser che i motori di ricerca; in effetti, nel corso del periodo qui preso in esame, gli sviluppatori di tali risorse software si sono adeguatamente preoccupati dei problemi relativi alla sicurezza IT degli utenti.
  • In secondo luogo, sempre più di frequente gli utenti accordano la loro preferenza alla navigazione in Internet mediante l’utilizzo di tablet e dispositivi mobili.
  • In terzo luogo, numerosi kit di exploit hanno iniziato a verificare se il nostro prodotto risulta installato o meno sul computer dell’utente. Se il prodotto Kaspersky Lab è effettivamente presente, allora gli exploit non compiono il tentativo di attaccare il potenziale computer-vittima.

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del 2015. Tali dati riguardano sia gli oggetti nocivi penetrati nel computer dell’utente mediante l’infezione di file o di supporti rimovibili, sia gli oggetti dannosi insediatisi inizialmente all’interno del computer-vittima non in forma manifesta (ad esempio certi programmi che accompagnano installer particolarmente complessi, file codificati, etc.). I dati statistici relativi alle minacce IT di natura locale prendono inoltre in considerazione gli oggetti individuati sui computer degli utenti a seguito della prima scansione del sistema da parte del nostro modulo Anti-Virus File.

Il presente capitolo del nostro consueto report annuale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Complessivamente, nel corso del 2015, sono stati registrati ben 4 milioni di programmi maligni di varia natura, o potenzialmente indesiderabili. Tale valore è in sostanza raddoppiato rispetto all’anno precedente.

Oggetti nocivi rilevati nei computer degli utenti: TOP-20

Nella fattispecie, abbiamo provveduto ad identificare le 20 minacce IT che, durante l’anno 2015, sono state più frequentemente rilevate sui computer degli utenti. Il rating qui sotto inserito non comprende, di fatto, né i programmi riconducibili alla classe degli Adware, né i software appartenenti alla categoria dei Riskware.

Paese* % di utenti unici**
1 DangerousObject.Multi.Generic 39,70
2 Trojan.Win32.Generic 27,30
3 Trojan.WinLNK.StartPage.gena 17,19
4 Trojan.Win32.AutoRun.gen 6,29
5 Virus.Win32.Sality.gen 5,53
6 Worm.VBS.Dinihou.r 5,40
7 Trojan.Script.Generic 5,01
8 DangerousPattern.Multi.Generic 4,93
9 Trojan-Downloader.Win32.Generic 4,36
10 Trojan.WinLNK.Agent.ew 3,42
11 Worm.Win32.Debris.a 3,24
12 Trojan.VBS.Agent.ue 2,79
13 Trojan.Win32.Autoit.cfo 2,61
14 Virus.Win32.Nimnul.a 2,37
15 Worm.Script.Generic 2,23
16 Trojan.Win32.Starter.lgb 2,04
17 Worm.Win32.Autoit.aiy 1,97
18 Worm.Win32.Generic 1,94
19 HiddenObject.Multi.Generic 1,66
20 Trojan-Dropper.VBS.Agent.bp 1,55

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

*I “verdetti” sono stati ottenuti grazie ai rilevamenti effettuati dai moduli anti-virus OAS e ODS. Le relative informazioni sono state da noi ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri esperti.
** Quote percentuali relative agli utenti unici sui computer dei quali l’anti-virus ha rilevato l’oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte del nostro modulo Anti-Virus File riguardo a malware.

Il primo posto della speciale graduatoria relativa ai malware più diffusi nel corso del 2015 a livello di infezioni informatiche locali è andato ad appannaggio di una serie di programmi nocivi classificati come “DangerousObject.Multi.Generic” (39,70%); questa denominazione viene utilizzata per identificare i programmi malware individuati e neutralizzati con l’ausilio delle tecnologie “in-the-cloud”. Tali tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database antivirus, né le apposite firme né gli euristici indispensabili per poter rilevare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

Osserviamo, inoltre, come la quota relativa ai virus continui inesorabilmente a diminuire: lo scorso anno, ad esempio, il malware denominato Virus.Win32.Sality.gen era stato individuato sui computer del 6,69% degli utenti unici, mentre nel 2015 l’analogo indice relativo al virus in questione si è attestato su un valore pari al 5,53%. Ha evidenziato una certa flessione anche la quota ascrivibile a Virus.Win32.Nimnul.a; essa è in effetti passata dal 2,8% fatto registrare nel 2014 al 2,37% riscontrato relativamente all’anno 2015. Il verdetto che occupa la ventesima posizione del rating, ovvero Trojan-Dropper.VBS.Agent.bp, è in pratica costituito da uno script VBS, il quale provvede ad estrarre (da se stesso) e salvare su disco il malware Virus.Win32.Nimnul.

Oltre ai rilevamenti euristici e ai virus, la TOP-20 qui esaminata annovera alcuni verdetti relativi ai worm, diffusi attraverso i supporti di memoria rimovibili, e ai loro componenti. La loro presenza all’interno del ranking è dovuta, in special modo, alle particolari modalità che caratterizzano il processo di diffusione dei worm, basato sulla realizzazione di un elevato numero di copie di tale genere di malware. Un worm può continuare ad auto-diffondersi per lungo tempo, anche se i server di comando ai quali esso fa riferimento non risultano più attivi.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

Al fine di delineare il panorama mondiale delle minacce informatiche locali a seconda del grado di presenza del malware nei vari paesi del globo, abbiamo considerato, per ognuna delle nazioni presenti in graduatoria, la frequenza con la quale gli utenti, nel corso del 2015, si sono “imbattuti” nei rilevamenti di malware effettuati dal nostro modulo Anti-Virus File. Nella circostanza, sono stati presi in considerazione gli oggetti individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di telefoni o apparecchi fotografici digitali, hard disk esterni). Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari paesi del mondo.

TOP-20 relativa ai paesi in cui sono state rilevate le quote percentuali più elevate in termini di rischio di contagio da infezioni informatiche locali

Paese* % di utenti unici**
1 Vietnam 70,83
2 Bangladesh 69,55
3 Russia 68,81
4 Mongolia 66,30
5 Armenia 65,61
6 Somalia 65,22
7 Georgia 65,20
8 Nepal 65,10
9 Yemen 64,65
10 Kazakhstan 63,71
11 Iraq 63,37
12 Iran 63,14
13 Laos 62,75
14 Algeria 62,68
15 Cambogia 61,66
16 Ruanda 61,37
17 Pakistan 61,36
18 Siria 61,00
19 Territori Palestinesi 60,95
20 Ukraina 60,78

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus File; essi sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).

** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

La leadership del rating qui sopra riportato risulta nuovamente detenuta, per il terzo anno di fila, dal Vietnam. Da parte loro, Mongolia e Bangladesh si sono scambiati le rispettive posizioni occupate all’interno della speciale graduatoria geografica inerente alla diffusione delle minacce informatiche locali. La Mongolia è in tal modo scesa dal secondo al quarto posto del ranking in questione, mentre il Bangladesh ha compiuto l’esatto cammino inverso, risalendo dalla quarta alla seconda piazza della classifica qui esaminata. La Russia, che lo scorso anno non era entrata a far parte della TOP-20, nel 2015 è andata subito ad occupare la terzo posizione della speciale graduatoria.

Non risultano più presenti, all’interno della TOP-20 qui analizzata, i seguenti paesi: India, Afghanistan, Egitto, Arabia Saudita, Sudan, Sri Lanka, Birmania, Turchia. I nuovi ingressi sono invece rappresentati da Russia, Armenia, Somalia, Georgia, Iran, Ruanda, Territori Palestinesi, Ukraina.

In media, per ciò che riguarda il gruppo dei paesi che compongono la TOP-20 del 2015, le nostre soluzioni anti-virus hanno rilevato – almeno una volta – oggetti maligni nel 67,7% dei computer (a livello di hard disk o supporti rimovibili collegati) appartenenti agli utenti del KSN; tali utenti, come abbiamo già specificato in precedenza, forniscono previamente l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Ricordiamo, a tal proposito, come l’analogo indice relativo all’anno 2014 fosse risultato pari al 58,7%.

Statistiche principali dell'anno 2015

Anche relativamente alle minacce informatiche di natura locale, i vari paesi possono essere suddivisi in specifiche categorie di rischio.

  1. Massimo livello di rischio di infezione informatica (indice superiore al 60%).
    Tale gruppo comprende, complessivamente, 22 paesi, tra cui: Kirghizistan (60,77%), Afghanistan (60,54%).

  2. Elevato livello di rischio di infezione informatica (41-60%).
    Di questo secondo raggruppamento, la cui forbice percentuale spazia dal 41 al 60%, fanno parte ben 98 paesi, tra cui: India (59,7%), Egitto (57,3%), Bielorussia (56,7%), Turchia (56,2%), Brasile (53,9%), Cina (53,4%), Emirati Arabi Uniti (52,7%), Serbia (50,1%), Bulgaria (47,7%), Argentina (47,4%), Israele (47,3%), Lettonia (45,9%), Spagna (44,6%), Polonia (44,3%), Germania (44,0%), Grecia (42,8%), Francia (42,6%), Corea (41,7%), Austria (41,7%).

  3. Medio livello di rischio di infezione informatica (21-40,9%).
    Il terzo gruppo annovera invece 45 nazioni, tra cui: Romania (40,0%), Italia (39,3%), Canada (39,2%), Australia (38,5%), Ungheria (38,2%), Svizzera (37,2%), Stati Uniti (36,7%), Gran Bretagna (34,7%), Irlanda (32,7%), Paesi Bassi (32,1%), Repubblica Ceca (31,5%), Singapore (31,4%), Norvegia (30,5%), Finlandia (27,4%), Svezia (27,4%), Danimarca (25,8%), Giappone (25, 6%).

La TOP-10 qui sotto inserita si riferisce a quei paesi che vantano in assoluto le quote percentuali più basse in termini di rischio di contagio dei computer degli utenti da parte di infezioni informatiche locali:

Paese % di utenti unici*
1 Cuba 20,8
2 Isole Seychelles 25,3
3 Giappone 25,6
4 Danimarca 25,8
5 Svezia 27,4
6 Finlandia 27,4
7 Andorra 28,7
8 Norvegia 30,5
9 Singapore 31,4
10 Repubblica Ceca 31,5

* Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

La TOP-10 qui sopra riportata presenta vari cambiamenti rispetto all’analoga graduatoria dell’anno precedente: ci riferiamo, nella fattispecie, all’ingresso in classifica di Andorra, mentre non fa più parte del rating la Martinica.

In media, nel gruppo relativo ai dieci paesi caratterizzati dal minor livello di rischio di infezioni IT di origine locale, è stato attaccato – perlomeno una volta nel corso dell’anno – il 26,9% dei computer degli utenti. Rispetto allo scorso anno, tale indice presenta un significativo incremento, pari a 3,9 punti percentuali.

Conclusioni

Sulla base delle analisi condotte in merito ai dati statistici da noi raccolti ed elaborati, risulta possibile individuare le principali tendenze che si manifestano nel costante processo di evoluzione delle attività legate al crimine informatico:

  • Attualmente, una significativa parte di coloro che svolgono attività di natura cybercriminale cerca di ridurre al minimo il rischio di possibili procedimenti penali nei propri confronti e, pertanto, passa dalla conduzione di attacchi basati sull’utilizzo di programmi maligni all’aggressiva distribuzione di programmi Adware.
  • Per ciò che riguarda il software dispiegato negli attacchi di massa, sta progressivamente crescendo la quota relativa all’utilizzo, da parte dei malfattori, di programmi non particolarmente complessi e sofisticati. Un simile approccio permette ai malintenzionati di aggiornare rapidamente il malware di cui essi dispongono e, quindi, di poter comunque realizzare attacchi di indubbia efficacia.
  • I cybercriminali, ormai, prendono regolarmente di mira anche le piattaforme diverse da Windows, ovvero Android e Linux: per tali sistemi operativi sono state in pratica create, e già utilizzate, tutte le varie tipologie di software nocivo.
  • Per condurre le proprie attività illecite, i criminali informatici utilizzano attivamente le più avanzate tecnologie in grado di garantire una perfetta condizione di anonimato; si tratta, nella fattispecie, della rete Tor – allo scopo di occultare i server di comando – e della criptovaluta Bitcoin, impiegata per effettuare transazioni finanziarie.

Una quota sempre maggiore dei rilevamenti eseguiti dall’antivirus riguarda la cosiddetta “zona grigia”: si tratta, in primo luogo, dei più diversi programmi “pubblicitari”, e dei relativi moduli. La composizione della speciale graduatoria riguardante le minacce IT più frequentemente incontrate dagli utenti, nel corso del 2015, durante la navigazione in Internet, riflette pienamente tale specifica circostanza: i programmi ascrivibili alla suddetta categoria di software occupano, in effetti, ben dodici posizioni all’interno della TOP-20 da noi stilata. Nel corso dell’anno qui esaminato, gli Adware ed i loro componenti sono stati rilevati sul 26,1% del numero complessivo di computer, appartenenti agli utenti dei prodotti Kaspersky Lab, sui quali è entrato in azione il nostro modulo Anti-Virus Web. Il consistente aumento del numero degli Adware attualmente in circolazione, i metodi alquanto aggressivi utilizzati per la loro diffusione, così come la particolare capacità, da parte dei software pubblicitari, di contrastare in maniera piuttosto efficace il rilevamento da parte delle soluzioni antivirus, confermano, indubbiamente, alcune specifiche tendenze osservate, nel corso del 2014, nell’ambito degli oggetti nocivi rilevati sul World Wide Web. La distribuzione di tale genere di software consente di realizzare considerevoli profitti; coloro che creano gli Adware, per ottenere rapidamente guadagni significativi, ricorrono a tecniche e metodi propri dei programmi nocivi.

Nel corso del 2015 è ulteriormente aumentata, presso i virus writer, la popolarità di cui godono gli exploit destinati all’applicazione Adobe Flash Player. Secondo le osservazioni da noi effettuate, le landing pages che celano i temibili kit di exploit in seno al web, nella maggior parte dei casi diffondono proprio gli exploit destinati ad Adobe Flash Player. Ciò trova una logica spiegazione in due diversi elementi: in primo luogo, nel corso dell’anno, in tale prodotto software sono state rilevate numerose vulnerabilità. In secondo luogo, a seguito dell’ingente fuga di dati subita da Hacking Team sono state rese pubblicamente disponibili informazioni relative a vulnerabilità ancora sconosciute, individuate in Flash Player; i malintenzionati, ovviamente, hanno approfittato di tale situazione.

Per ciò che riguarda, nello specifico, i Trojan bancari, durante il periodo qui analizzato si sono prodotti interessanti cambiamenti. Le innumerevoli varianti del trojan ZeuS, che per lunghi anni hanno capeggiato le speciali graduatorie relative al malware “finanziario”, hanno ceduto il passo al programma nocivo denominato Trojan-Banker.Win32.Dyreza. Nel corso del 2015, il primo posto del rating riservato ai software dannosi appositamente creati dai virus writer per realizzare il furto di denaro compromettendo i sistemi di Internet banking, è andato ad appannaggio di Upatre, malware adibito al download, sui computer-vittima, di insidiosi Trojan bancari appartenenti alla famiglia attualmente nota con tre diversi appellativi – Dyre/Dyzap/Dyreza. La quota relativa agli utenti sottoposti ad attacco da parte di Dyreza si è attestata su un valore superiore al 40% del numero complessivo di utenti che hanno subito attacchi informatici realizzati tramite le minacce IT rivolte alla sfera bancaria. Il banker in questione si avvale di un efficace schema di “web injection”, con il preciso scopo di carpire i dati sensibili che poi consentono di accedere al sistema di banking online preso di mira.

Sottolineiamo, inoltre, come siano entrate a far parte della TOP-10 del malware bancario ben due famiglie di Trojan-Banker destinati alle piattaforme mobile: si tratta di Faketoken e Marcher. Sulla base delle specifiche tendenze emerse in questi ultimi tempi, è lecito presupporre che, nel prossimo anno, all’interno del rating da noi stilato, si manifesti un significativo incremento delle quote percentuali ascrivibili ai Trojan bancari appositamente progettati per colpire i dispositivi mobili.

Nel 2015 sono intervenuti numerosi cambiamenti anche nell’ambito dei cosiddetti Trojan “estorsori” (Trojan-Ransom):

  1. Mentre scende, progressivamente, il grado di popolarità dei blocker, nell’arco di un anno è addirittura cresciuto del 48,3% il numero degli utenti sottoposti ad attacco da parte di temibili malware crittografici (encryptor). La codifica dei file è una tecnica dannosa che non genera il “semplice” blocco del funzionamento del computer; nella maggior parte dei casi, essa non dà alla vittima alcuna possibilità di ripristinare, attraverso metodi ordinari, l’accesso ai dati custoditi nel dispositivo compromesso. I malintenzionati ricorrono all’utilizzo dei malware crittografici, in maniera particolarmente attiva, proprio negli attacchi condotti contro gli utenti business; questi ultimi, a quanto pare, si dimostrano più inclini a procedere al pagamento del riscatto, rispetto agli utenti domestici. Tale circostanza è ad esempio confermata dalla comparsa, nel 2015, del primo Trojan-Ransom per l’OS Linux, destinato ai server web.

  2. Gli encryptor, inoltre, stanno sempre più divenendo dei malware multifunzionali a tutti gli effetti; alcuni di essi risultano già provvisti di molteplici moduli. Quindi, in aggiunta alla funzionalità nociva originariamente posseduta (cifratura dei file dell’utente), tali ransomware stanno acquisendo ulteriori funzionalità dannose, quali ad esempio, la capacità di realizzare il furto dei dati sensibili custoditi nel computer-vittima.

  3. Mentre si può dire che i malintenzionati abbiano appena iniziato a rivolgere le loro attenzioni al sistema operativo Linux, il primo Trojan-Ransom destinato all’OS Android è stato invece individuato già nell’anno 2014. Nel corso del 2015 è stato registrato un repentino aumento del numero degli attacchi rivolti alla piattaforma mobile Android; secondo i dati statistici da noi raccolti, nell’anno oggetto del presente report, il 17% degli attacchi informatici eseguiti mediante l’utilizzo di programmi ransomware è stato bloccato e neutralizzato proprio sui dispositivi provvisti di sistema operativo Android.

  4. La minaccia IT in questione si sta attivamente diffondendo su tutto il pianeta: i prodotti Kaspersky Lab, in effetti, hanno già rilevato i Trojan-Ransom in ben 200 paesi e territori; in pratica, ovunque.

Per quel che riguarda il 2016, ci attendiamo un’ulteriore evoluzione dei malware crittografici destinati alle piattaforme diverse da Windows: questo dovrebbe tradursi sia in un aumento della quota relativa agli attacchi condotti nei confronti dell’OS Android, sia nella comparsa, sulla scena del malware, di encryptor specificamente mirati al sistema operativo Mac. Considerando che l’OS Android viene attivamente utilizzato anche nel settore dell’elettronica di consumo, è ugualmente lecito attendersi i primi attacchi, da parte del malware crittografico, nei confronti dei cosiddetti dispositivi “intelligenti”.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *