Evoluzione delle minacce informatiche nel terzo trimestre del 2016. Le statistiche

Contenuti

Il quadro della situazione

Le statistiche

Tutti i dati statistici ricondotti nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all’attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un’efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi Paesi e territori del globo.

Il trimestre in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) – l’estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – lungo tutto l’arco del terzo trimestre del 2016 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 171.802.109 attacchi condotti attraverso siti Internet compromessi, dislocati in 190 Paesi diversi.
  • In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 45.169.524 URL unici.
  • Il nostro Anti-Virus Web ha effettuato il rilevamento di 12.657.673 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
  • Sono stati respinti tentativi di esecuzione di programmi malware preposti al furto delle risorse finanziarie attraverso l’accesso online ai conti bancari, sui computer di 1.198.264 utenti.
  • Gli attacchi condotti mediante l’utilizzo di malware crittografici sono stati respinti sui computer di 821.865 utenti unici.
  • Il nostro modulo Anti-Virus File ha rilevato con successo 116.469.744 oggetti dannosi unici, o potenzialmente indesiderabili.
  • Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobile hanno effettuato il rilevamento di:
    • 1.520.931 pacchetti di installazione dannosi;
    • 30.167 pacchetti di installazione relativi a Trojan bancari per piattaforme mobile;
    • 37.150 pacchetti di installazione relativi a Trojan “estorsori” per dispositivi mobile.

Le minacce IT per dispositivi mobile

Caratteristiche peculiari del trimestre preso in esame

Pokémon GO: grande popolarità tra gli utenti… e tra i cybercriminali

Uno degli eventi più significativi ed eclatanti del terzo trimestre del 2016 è indubbiamente rappresentato dall’uscita del popolare videogioco Pokémon GO. I cyber criminali, ovviamente, non “potevano” di certo ignorare la risonanza globale dell’avvenimento, ed hanno di fatto cercato di utilizzare per i propri loschi fini l’enorme clamore suscitato dalla capillare diffusione, su scala mondiale, del gioco in questione. Nella maggior parte dei casi, i cybercriminali hanno provveduto ad aggiungere del codice nocivo al gioco originale, distribuendo poi l’app malevola attraverso store di terze parti. In tal modo è stata ad esempio realizzata la diffusione del famigerato Trojan bancario denominato Trojan-Banker.AndroidOS.Tordow, il quale si avvale di determinate vulnerabilità individuate nel sistema per cercare di ottenere i diritti di superutente sul dispositivo mobile. Una volta acquisiti tali diritti, il Trojan Tordow riesce a proteggersi nei confronti della sua possibile rimozione; inoltre, esso è in grado di carpire le password custodite a livello di browser.

Il caso più eclatante di sfruttamento malevolo, da parte di cybercriminali, dell’elevato livello di popolarità raggiunto dall’applicazione Pokémon Go – allo scopo di infettare i dispositivi mobile degli utenti – è tuttavia rappresentato dall’inserimento, da parte dei cyber criminali, di una speciale “guida” dedicata a tale gioco all’interno del negozio ufficiale di applicazioni Google Play Store. L’app in questione, denominata “Guide For Pokémon GO”, si è rivelata essere, in realtà, un temibile Trojan pubblicitario, in grado di ottenere i diritti di superutente sul dispositivo sottoposto ad attacco, sfruttando certe vulnerabilità del sistema.

In seguito, siamo riusciti ad individuare due ulteriori varianti di tale Trojan, le quali erano state collocate nello store Google Play sotto forma di applicazioni di diversa natura. Una di esse, camuffata in veste di equalizzatore, è stata oggetto – secondo i dati resi noti da Google Play – di un elevato numero di installazioni (da 100.000 a 500.000).

mw_q3_it_10

L’insidioso malware Trojan.AndroidOS.Ztorg.ad, individuato all’interno
del negozio ufficiale di applicazioni Google Play Store

È di particolare interesse il fatto che, per “promuovere” il Trojan, i cyber criminali abbiano scelto una società che riconosce agli utenti un bonus a seguito dell’installazione delle app pubblicizzate.

mw_q3_it_11

Screenshot relativo all’app attraverso la quale si induce l’utente ad effettuare l’installazione del Trojan; come si può vedere, viene riconosciuto, all’utente-vittima, un bonus pari a 5 centesimi di dollaro

Nella circostanza, le “regole” applicate dalla suddetta società prevedono che la stessa non collabori con gli utenti sul cui dispositivo risultano abilitati i privilegi di root. In tal modo, nel tentativo di guadagnare qualche soldo, l’utente non solo infetta il proprio dispositivo con un Trojan, ma non riceverà nemmeno il denaro promesso, visto che, una volta realizzata l’infezione, faranno la loro comparsa, sul dispositivo, proprio i diritti di superutente.

Quando la pubblicità nasconde un Trojan

Nel terzo trimestre del 2016, il Trojan per dispositivi mobile in assoluto più “popolare” si è rivelato essere Trojan-Banker.AndroidOS.Svpeng.q. Nell’arco di soli tre mesi, il numero degli utenti unici da esso sottoposti ad attacco è cresciuto, in pratica, di ben 8 volte.

Oltre il 97% di coloro che sono stati presi di mira da Svpeng è risultato essere ubicato entro i confini della Federazione Russa. I cyber criminali sono riusciti ad ottenere un livello di diffusione talmente elevato, per il Trojan in causa, pubblicizzando lo stesso attraverso la nota rete pubblicitaria Google AdSense. Si tratta, indubbiamente, di uno dei network pubblicitari che godono di maggiore popolarità, all’interno del segmento russo di Internet; per far sì che gli utenti visualizzino pubblicità mirate, nell’ambito del servizio AdSense vengono utilizzati molti siti web particolarmente noti e frequentati. Di fatto, chiunque lo desideri può pagare e registrare il proprio annuncio pubblicitario, su tale rete; questo è proprio ciò che, nell’occasione, hanno fatto anche i suddetti cyber criminali. Tuttavia, assieme alla réclame, questi ultimi hanno collocato su AdSense anche il Trojan Svpeng. Di conseguenza, nel momento in cui un utente mobile avesse visitato una pagina web contenente il loro annuncio pubblicitario, sarebbe stato generato il download, sul dispositivo della vittima, del temibile malware Svpeng.

Il Trojan bancario Gugi bypassa le protezioni di Android 6

Nell’analogo report dedicato al secondo trimestre del 2016 avevamo riferito riguardo alla famiglia di Trojan bancari denominata Trojan-Banker.AndroidOS.Asacub, composta da software nocivi in grado di eludere alcune restrizioni implementate a livello di sistema. Per quel che riguarda il trimestre qui preso in esame, vale certamente la pena esprimere alcune considerazioni sulla famiglia di malware mobile classificata come Trojan-Banker.AndroidOS.Gugi, i cui rappresentanti hanno di fatto “imparato” a bypassare alcuni meccanismi di protezione IT adottati in Android 6, ingannando, in pratica, gli utenti-vittima. In primo luogo, il Trojan richiede i diritti necessari per sovrapporsi alle altre applicazioni; in secondo luogo, utilizzando il diritto precedentemente acquisito, esso obbliga l’utente a concedere a Gugi i diritti occorrenti per poter operare con gli SMS ed effettuare le chiamate.

Un Trojan ransomware nel negozio ufficiale di applicazioni Google Play

Nel corso del terzo trimestre del 2016, è stata da noi rilevata la diffusione del Trojan estorsore per piattaforme mobile classificato come Trojan-Ransom.AndroidOS.Pletor.d, attraverso l’app store ufficiale Google Play. Nella circostanza, il Trojan in causa si spacciava in veste di applicazione per la manutenzione del dispositivo; facevano parte dei compiti a cui era in apparenza preposta tale “app” l’eliminazione dei dati non necessari, la velocizzazione del funzionamento del dispositivo mobile, e persino… la protezione anti-virus.

mw_q3_it_12

Il programma malware Trojan-Ransom.AndroidOS.Pletor.d, individuato all’interno del Google Play Store

In realtà, il Trojan verificava in quale Paese si trovasse il dispositivo preso di mira e, nel caso in cui l’apparecchio non risultasse né in Russia, né in Ucraina, tale ransomware avrebbe richiesto i diritti di amministratore del dispositivo, per poi stabilire una connessione con il server appositamente allestito dai criminali informatici, allo scopo di ricevere i necessari comandi. Nonostante le precedenti versioni del Trojan codificassero i dati dell’utente, tale variante non risulta provvista di una simile funzionalità; il Trojan, in pratica, blocca esclusivamente il funzionamento del dispositivo, aprendo la propria finestra al di sopra di tutte le finestre in quel momento aperte sul dispositivo mobile sottoposto ad attacco, e provvede a richiedere il pagamento di un riscatto per procedere alla relativa operazione di sblocco.

Statistiche relative alle minacce mobile

Nel terzo trimestre del 2016, Kaspersky Lab ha rilevato 1.520.931 pacchetti di installazione nocivi, ovvero un numero di pacchetti dannosi inferiore di 2,3 volte rispetto a quanto riscontrato riguardo al trimestre precedente.

mw_q3_it_13

Numero complessivo di pacchetti di installazione dannosi individuati
nel periodo 4° trimestre 2015 – 3° trimestre 2016

Ripartizione per tipologie dei programmi mobile individuati

mw_q3_it_14

Suddivisione per tipologie dei nuovi programmi mobile individuati – 2° e 3° trimestre del 2016 a confronto

La speciale graduatoria del terzo trimestre del 2016 riservata alla ripartizione dei software per piattaforme mobile via via rilevati – suddivisione basata sugli specifici comportamenti evidenziati da tali programmi – risulta capeggiata dai RiskTool; si tratta, nella fattispecie, di applicazioni legittime, le quali, tuttavia, possono rivelarsi potenzialmente pericolose per gli utenti. La quota trimestrale ascrivibile ai RiskTool ha continuato ad aumentare sensibilmente (essa è salita di 1,2 volte, per la precisione); tale indice è in effetti passato dal 45,1% fatto registrare nel secondo trimestre del 2016 al 55,8% per esso riscontrato nel terzo trimestre dell’anno in corso. Ricordiamo, a tal proposito, che nel secondo trimestre dell’anno la quota percentuale relativa ai programmi riconducibili a questa specifica tipologia era già aumentata di quasi 1,5 volte rispetto al trimestre precedente.

A causa dell’elevato numero di programmi di tipo RiskTool, e del conseguente sensibile incremento dell’indice ad essi ascrivibile all’interno del flusso complessivo degli oggetti rilevati, sono di riflesso diminuite le quote percentuali inerenti a quasi tutte le altre tipologie di programma mobile, anche nei casi in cui l’effettiva quantità di programmi individuati risulta cresciuta, in cifre assolute, rispetto al precedente trimestre.

La diminuzione percentuale più marcata, nel terzo trimestre del 2016, è stata fatta registrare dai Trojan-Ransom, il cui indice, nell’arco di tre mesi, è sceso di ben 2,4 volte, passando dal 5,72% al 2,37%. Questo è dovuto, in particolar modo, all’evidente diminuzione del livello di attività della famiglia di ransomware mobile denominata Trojan-Ransom.AndroidOS.Fusob, della quale riferiremo in seguito, in maniera più dettagliata.

Per contro, è stato da noi osservato un lieve aumento – dall’1,88% all’1,98% – della quota relativa ai Trojan-Banker.

TOP-20 relativa ai programmi malware destinati alle piattaforme mobile

Il rating riservato ai programmi dannosi, qui sotto inserito, non include i programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Denominazione Quota percentuale
di utenti sottoposti
ad attacco*
1 DangerousObject.Multi.Generic 78,46
2 Trojan-Banker.AndroidOS.Svpeng.q 11,45
3 Trojan.AndroidOS.Ztorg.t 8,03
4 Backdoor.AndroidOS.Ztorg.c 7,24
5 Backdoor.AndroidOS.Ztorg.a 6,55
6 Trojan-Dropper.AndroidOS.Agent.dm 4,91
7 Trojan.AndroidOS.Hiddad.v 4,55
8 Trojan.AndroidOS.Agent.gm 4,25
9 Trojan-Dropper.AndroidOS.Agent.cv 3,67
10 Trojan.AndroidOS.Ztorg.aa 3,61
11 Trojan-Banker.AndroidOS.Svpeng.r 3,44
12 Trojan.AndroidOS.Ztorg.pac 3,31
13 Trojan.AndroidOS.Iop.c 3,27
14 Trojan.AndroidOS.Muetan.b 3,17
15 Trojan.AndroidOS.Vdloader.a 3,14
16 Trojan-Dropper.AndroidOS.Triada.s 2,80
17 Trojan.AndroidOS.Muetan.a 2,77
18 Trojan.AndroidOS.Triada.pac 2,75
19 Trojan-Dropper.AndroidOS.Triada.d 2,73
20 Trojan.AndroidOS.Agent.eb 2,63

* Quote percentuali relative al numero di utenti unici attaccati da tali malware mobile, sul numero complessivo di utenti dell’antivirus mobile di Kaspersky Lab sottoposti ad attacco

Il primo posto della speciale graduatoria relativa ai malware mobile più diffusi nel corso del terzo trimestre del 2016 è andato ad appannaggio di una serie di programmi dannosi classificati come DangerousObject.Multi.Generic (78,46%); questo verdetto viene utilizzato per identificare i programmi dannosi individuati e neutralizzati con l’ausilio delle tecnologie “in-the-cloud”. Tali tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database antivirus, né le apposite firme né gli euristici indispensabili per poter rilevare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella propria “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

Così come era avvenuto per l’analoga graduatoria relativa al trimestre precedente, anche all’interno della TOP-20 inerente al terzo trimestre del 2016 spicca la presenza di un elevato numero di programmi Trojan che ricorrono all’utilizzo della pubblicità come principale strumento di “monetizzazione”; tali software nocivi, evidenziati in blu nella tabella qui sopra riportata, risultano essere, complessivamente, ben diciassette. Il loro scopo è esclusivamente quello di recapitare all’utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l’installazione di nuovi software pubblicitari, spesso realizzata in maniera furtiva. I Trojan sopra citati possono inoltre utilizzare i diritti di superutente per nascondersi all’interno della cartella di sistema; la rimozione degli stessi si rivela essere, quindi, un’operazione particolarmente complessa.

Una volta acquisiti i privilegi di superutente nell’ambito del dispositivo, i Trojan possono di fatto compiere, all’insaputa dell’utente, un gran numero di azioni malevole diverse, ad esempio installare vari programmi provenienti dal negozio ufficiale di applicazioni Google Play Store, incluso determinate app a pagamento.

È opportuno a tal proposito segnalare come i Trojan facenti parte della famiglia Ztorg, i quali occupano ben quattro posizioni all’interno della speciale TOP-20 del malware mobile da noi stilata, siano spesso distribuiti attraverso l’app store ufficiale Google Play. Dalla fine del 2015 in poi, abbiamo rilevato più di 10 casi del genere (tra cui la subdola diffusione di un Trojan pubblicitario sotto forma di “guida” per il celebre videogioco Pokémon GO). Varie volte, il Trojan in questione ha fatto registrare oltre 100.000 installazioni; una volta, poi, sono stati addirittura effettuati 500.000 download di tale app malevola.

mw_q3_it_15

Ecco qui Trojan.AndroidOS.Ztorg.ad, mascherato in veste di “guida” per Pokémon GO,
nel negozio ufficiale di applicazioni Google Play Store

Sono inoltre entrati a far parte del rating qui analizzato due rappresentanti della nota famiglia di banker mobile Trojan-Banker.AndroidOS.Svpeng. Come abbiamo riferito in precedenza, la variante Svpeng.q è divenuta, a tutti gli effetti, il malware mobile in assoluto più diffuso nel corso del terzo trimestre del 2016. I cyber criminali sono riusciti a raggiungere un livello di “popolarità” così elevato grazie al subdolo sistema adottato per la distribuzione del Trojan, ovvero attraverso il noto network pubblicitario AdSense, di cui è solito avvalersi un gran numero di siti web situati nel segmento russo di Internet.

Geografia delle minacce mobile

mw_q3_it_16

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del terzo trimestre del 2016, dai programmi malware specificamente sviluppati per colpire i dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo Paese)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobile:

Paese* Quota percentuale
di utenti sottoposti
ad attacco**
1 Bangladesh 35,57
2 Nepal 31,54
3 Iran 31,38
4 Cina 26,95
5 Pakistan 26,83
6 Indonesia 26,33
7 India 24,35
8 Nigeria 22,88
9 Algeria 21,82
10 Filippine 21,67

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Nel terzo trimestre dell’anno corrente, il primo posto della speciale TOP-10 “geografica” elaborata dagli esperti di Kaspersky Lab è andato ad appannaggio del Bangladesh; in pratica, quasi il 36% degli utenti ubicati nel Paese asiatico si è imbattuto – almeno una volta nel corso del trimestre preso in esame – in programmi malware destinati ai dispositivi mobile. La Cina, per contro, leader delle analoghe graduatorie relative ai due precedenti trimestri del 2016, ha “perso” varie posizioni in classifica, collocandosi, di fatto, al quarto posto della TOP-10 da noi stilata.

In tutti i Paesi che fanno parte del rating qui sopra inserito, ad eccezione della Cina, risultano particolarmente “popolari” gli stessi oggetti mobile, ovvero i cosiddetti Trojan pubblicitari, presenti nella TOP-20 dei malware mobile maggiormente attivi; essi sono riconducibili, principalmente, alle famiglie Ztorg, Iop, Hiddad e Triada. I Trojan pubblicitari, da parte loro, trovano ampia diffusione anche in Cina; occorre tuttavia specificare che, nel Paese dell’Estremo Oriente, si incontrano altre famiglie di tali programmi malware, ed in particolar modo Backdoor.AndroidOS.GinMaster e Backdoor.AndroidOS.Fakengry.

Forniamo, qui di seguito, ulteriori indicazioni riguardo alle posizioni in cui si sono situati vari altri Paesi nell’ambito del ranking qui analizzato: la Russia (12,1%), ad esempio, si è collocata al 24° posto dello stesso, la Francia (6,7%) al 52°; seguono inoltre, in classifica, gli Stati Uniti (5,3%) – 63° posto; l’Italia (5,1%), in 65a posizione; la Germania (4,9%) – in 68a posizione; la Gran Bretagna (4,7%), infine, compare al 71° posto della graduatoria da noi stilata.

Occorre sottolineare come, nell’arco di tre mesi, la situazione relativa ad Italia e Germania sia sensibilmente migliorata: nel trimestre precedente, in effetti, gli indici ascrivibili a tali Paesi si erano attestati, rispettivamente, su valori pari al 6,2% e all’8,5%. Tale specifica circostanza si è verificata a seguito della marcata diminuzione del livello di attività della nota famiglia di ransomware mobile denominata Fusob.

I Paesi più sicuri, in termini di quota percentuale di utenti sottoposti ad attacco, sono risultati essere i seguenti: Austria (3,3%), Croazia (3,1%) e Giappone (1,7%).

I Trojan bancari per piattaforme mobile

Nel periodo oggetto della nostra consueta analisi trimestrale dedicata all’evoluzione del malware, sono stati da noi individuati 30.167 pacchetti di installazione relativi a Trojan-Banker destinati ai dispositivi mobile, ovvero un numero di pacchetti superiore di 1,1 volte rispetto all’analoga quantità rilevata per gli stessi nel trimestre precedente.

mw_q3_it_17

Numero di pacchetti di installazione, relativi a Trojan bancari per dispositivi mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 4° trimestre 2015 – 3° trimestre 2016)

Nel trimestre qui esaminato, il Trojan bancario maggiormente utilizzato dai cybercriminali si è rivelato essere Trojan-Banker.AndroidOS.Svpeng.q, grazie all’intensa distribuzione realizzata, per lo stesso, attraverso la nota rete pubblicitaria AdSense. Oltre la metà degli utenti che, lungo tutto l’arco del terzo trimestre del 2016 si sono imbattuti in Trojan bancari appositamente progettati e sviluppati per attaccare le piattaforme mobile, ha avuto a che fare proprio con Trojan-Banker.AndroidOS.Svpeng.q. Nel terzo trimestre dell’anno in corso, il Trojan in causa ha costantemente aumentato il ritmo e l’intensità di diffusione: nel mese di settembre, in pratica, è stato da noi registrato un numero di utenti unici sottoposti ad attacco superiore di ben 8 volte rispetto all’analoga quantità rilevata nel precedente mese di giugno.

mw_q3_it_18

Numero di utenti unici attaccati dalla famiglia di Trojan bancari per dispositivi mobile denominata
Trojan-Banker.AndroidOS.Svpeng – Situazione relativa al periodo giugno – settembre 2016

Oltre il 97% degli utenti mobile sottoposti ad attacco è risultato essere situato in Russia. La suddetta famiglia malware, composta da temibili Trojan-Banker destinati alle piattaforme mobile, ricorre all’utilizzo di apposite finestre di phishing sia per realizzare il furto dei dati sensibili relativi alle carte di credito, sia per carpire login e password di cui viene fatto uso nell’ambito dei sistemi di banking online. I cyber criminali, inoltre, sottraggono agli utenti significative somme di denaro tramite determinati servizi SMS, tra cui quelli relativi al mobile banking.

mw_q3_it_19

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del terzo trimestre 2016, dai Trojan bancari destinati ai dispositivi mobile (quota percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobile:

Paese* % di utenti
sottoposti ad attacco**
1 Russia 3,12
2 Australia 1,42
3 Ucraina 0,95
4 Uzbekistan 0,60
5 Tagikistan 0,56
6 Kazakhstan 0,51
7 Cina 0,49
8 Lettonia 0,47
9 Corea 0,41
10 Bielorussia 0,37

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari Paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Come evidenzia la tabella qui sopra inserita, il rating relativo al terzo trimestre del 2016 è capeggiato dalla Russia (3,12%); in tale Paese, rispetto al trimestre precedente, risulta in sostanza raddoppiata la quota percentuale relativa agli utenti presi di mira dagli attacchi informatici sferrati mediante l’utilizzo dei Trojan-Banker mobile.

L’Australia (1,42%), da parte sua, è andata ad occupare, così come nel secondo trimestre dell’anno in corso, la seconda posizione del ranking; la maggior parte degli attacchi informatici di tal genere, registrati sul territorio di questo Paese, è riconducibile a malware mobile facenti parte delle famiglie Trojan-Banker.AndroidOS.Acecard e Trojan-Banker.AndroidOS.Marcher.

Nel trimestre oggetto del presente report, i Trojan bancari per piattaforme mobile in assoluto più diffusi sono risultati essere i software nocivi appartenenti alle famiglie Svpeng, Faketoken, Regon, Asacub, Gugi e Grapereh. Desideriamo infine sottolineare come, nel trimestre qui analizzato, la famiglia Trojan-Banker.AndroidOS.Gugi abbia “imparato” a bypassare alcuni meccanismi di protezione IT implementati nell’OS Android, ingannando, in pratica, gli utenti-vittima.

I Trojan “estorsori” per dispositivi mobile

Nel terzo trimestre del 2016 sono stati da noi individuati 37.150 pacchetti di installazione relativi a Trojan “estorsori” (Trojan-Ransom) destinati ai sistemi operativi mobile.

mw_q3_it_20

Numero di pacchetti di installazione, relativi a programmi ransomware mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 4° trimestre 2015 – 3° trimestre 2016)

Il repentino aumento del numero dei pacchetti di installazione di ransomware mobile, verificatosi nel corso del primo e del secondo trimestre del 2016, è in gran parte dovuto alla rapida ed attiva diffusione, in quel periodo, dei programmi Trojan appartenenti alla famiglia Trojan-Ransom.AndroidOS.Fusob. Nel primo trimestre del 2016 era in effetti risultato riconducibile a tale famiglia oltre il 96% dei pacchetti di installazione individuati, inerenti a malware mobile facenti parte della specifica tipologia Trojan-Ransom; nel secondo trimestre dell’anno in corso, l’analoga quota si era poi attestata su un valore pari all’85%. Nel trimestre oggetto del presente report, l’indice ascrivibile ai suddetti programmi Trojan ha fatto registrare un’ulteriore diminuzione; la quota relativa alla famiglia Fusob è di fatto risultata pari al 73%.

mw_q3_it_21

Numero di utenti sottoposti ad attacco da parte della famiglia di ransomware mobile Trojan-Ransom.AndroidOS.Fusob – Situazione relativa al periodo gennaio – settembre 2016

Tale famiglia di malware mobile ha attaccato il maggior numero di utenti nel mese di marzo 2016; da allora, la quantità di utenti sottoposti ad attacco sta progressivamente diminuendo; come evidenzia il grafico, il Paese più frequentemente preso di mira da Fusob è risultato essere la Germania.

Nonostante la pronunciata diminuzione del numero di utenti complessivamente bersagliati, la variante Trojan-Ransom.AndroidOS.Fusob.h è ugualmente divenuta il Trojan “estorsore” per dispositivi mobile maggiormente diffuso nel terzo trimestre dell’anno in corso. In esso si è imbattuto oltre il 53% degli utenti sottoposti ad attacco da parte di programmi ransomware mobile. Una volta avviato, tale Trojan richiede i diritti di amministratore, raccoglie informazioni sul dispositivo preso di mira, tra cui le coordinate GPS e la cronologia delle chiamate, e provvede poi ad effettuare l’upload dei dati carpiti sul server allestito dai cyber criminali. In seguito esso può ricevere, da parte dei cybercriminali, lo specifico comando attraverso il quale il dispositivo viene bloccato.

mw_q3_it_22

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del terzo trimestre 2016, dai Trojan estorsori destinati ai dispositivi mobile (quota percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan estorsori per dispositivi mobile:

Paese* % di utenti
sottoposti ad attacco**
1 Canada 0,95
2 USA 0,94
3 Kazakhstan 0,71
4 Germania 0,63
5 Gran Bretagna 0,61
6 Messico 0,58
7 Australia 0,57
8 Spagna 0,54
9 Italia 0,53
10 Svizzera 0,51

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari Paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan-Ransom per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

In tutti i Paesi facenti parte della TOP-10 qui sopra riportata, ad eccezione del Kazakhstan, la famiglia di ransomware mobile maggiormente diffusa si è rivelata essere Fusob. Negli Stati Uniti, oltre a Fusob, è risultata particolarmente “popolare” la famiglia di malware estorsori denominata Trojan-Ransom.AndroidOS.Svpeng. Questa famiglia di Trojan estorsori ha fatto la sua comparsa sulla scena del malware nell’anno 2014, in qualità di variante della famiglia di banker mobile classificata come Trojan-Banker.AndroidOS.Svpeng. Si tratta di temibili Trojan ransomware, i quali, di solito, richiedono alle proprie vittime, per procedere allo sblocco del dispositivo infetto, il pagamento di un riscatto il cui importo può variare dai 100 ai 500 dollari USD.

In Kazakhstan la principale minaccia per gli utenti mobile continua ad essere rappresentata dai Trojan estorsori della famiglia Small. Si tratta, nella fattispecie, di un Trojan-Ransom piuttosto “semplice”, il quale sovrappone la propria finestra malevola a tutte le altre finestre che compaiono sullo schermo del dispositivo, bloccando, in tal modo, il funzionamento di quest’ultimo. Per procedere all’operazione di sblocco, i cyber criminali richiedono, in genere, il pagamento di una cifra piuttosto contenuta (a partire da 10 dollari).

Le applicazioni vulnerabili maggiormente sfruttate dai cyber criminali

Nel terzo trimestre del 2016 si è registrata l’inattesa uscita, dal mercato cybercriminale, del noto exploit pack Neutrino; ricordiamo, a tal proposito, che due altri famigerati exploit kit, Angler e Nuclear, erano già usciti di scena nel corso del trimestre precedente.

Rimangono tuttavia particolarmente attivi, al momento attuale, gli exploit pack denominati RIG e Magnitude. Nel terzo trimestre dell’anno, RIG è salito alla ribalta numerose volte; questo set di temibili exploit, in effetti, è andato ad occupare in maniera decisamente efficace, nel torbido mercato della criminalità informatica, la nicchia lasciata libera dagli exploit pack sopra menzionati.

Il quadro generale relativo all’utilizzo degli exploit nel terzo trimestre dell’anno in corso, appare nel modo seguente:

mw_q3_it_23

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa al terzo trimestre del 2016

Così come nel trimestre precedente, la leadership della graduatoria in questione è andata ad appannaggio degli exploit destinati ai vari browser web, ed ai componenti di questi ultimi; la quota ad essi riconducibile (45%) è tuttavia diminuita di 3 punti percentuali. Seguono in classifica, peraltro con un considerevole gap percentuale, gli exploit appositamente confezionati per colpire le vulnerabilità individuate nell’OS Android (19%), la cui quota, nel trimestre qui preso in esame, ha fatto registrare un significativo decremento, pari a 5 punti percentuali. Completano la composizione dei leader gli exploit creati dai virus writer per attaccare la suite Microsoft Office; l’indice attribuibile a tali exploit, per contro, è lievemente cresciuto, passando dal 14% al 16% nell’arco di tre mesi.

Continuano ad ogni caso a godere di notevole popolarità, presso i cybercriminali, anche gli exploit volti a sfruttare le vulnerabilità rilevate in Adobe Flash Player; la loro quota, peraltro, è più che raddoppiata, nel corso del trimestre: essa è in effetti salita dal 6% al 13%. Il motivo di tale specifica circostanza, come abbiamo accennato in precedenza, risiede nel sempre più frequente impiego, da parte dei cyber criminali, dell’exploit pack RIG: il repentino aumento della quota ascrivibile agli exploit SWF si è di fatto verificato proprio a seguito della conduzione di alcune campagne malware che hanno visto la partecipazione dell’exploit kit RIG in qualità di “attore” di primaria importanza.

Programmi malware in Internet (attacchi tramite siti web)

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall’Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web malevole/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

Nel terzo trimestre del 2016, il nostro Anti-Virus Web ha effettuato il rilevamento di 12.657.673 oggetti dannosi unici (script, exploit, file eseguibili, etc.); sono stati inoltre individuati e bloccati, da parte del modulo Anti-Virus Web di Kaspersky Lab, 45.169.524 URL unici. Le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 171.802.109 attacchi condotti attraverso siti Internet compromessi, dislocati in 190 Paesi diversi.

Le minacce online rivolte al settore finanziario

I dati statistici qui sotto indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ottenuti tramite gli utenti che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Complessivamente, nel terzo trimestre del 2016, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di ben 1.198.264 utenti della rete globale di sicurezza Kaspersky Security Network. Desideriamo sottolineare come, rispetto all’analogo valore rilevato nel trimestre precedente (1.132.031), risulti considerevolmente aumentato (+ 5,8%) il numero complessivo degli utenti sottoposti ad attacco da parte di malware finanziari.

Per molti utenti europei dei sistemi di banking online, il terzo trimestre dell’anno rappresenta il periodo per eccellenza, per quel che riguarda ferie e vacanze; ciò significa che, in tale stagione dell’anno, aumenta il numero dei pagamenti effettuati online dai suddetti utenti della Rete. Parallelamente a questo si osserva, in genere, un significativo aumento del numero delle cyber-minacce destinate alla sfera finanziaria degli utenti.

mw_q3_it_24

Numero di utenti sottoposti ad attacco da parte di malware finanziari –
Situazione relativa al terzo trimestre del 2016

Come si può osservare nel grafico qui sopra riportato, nel terzo trimestre dell’anno corrente il livello di attività delle minacce informatiche di natura finanziaria è costantemente aumentato, di mese in mese.

Geografia degli attacchi

Al fine di valutare e comparare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari – rischio al quale risultano sottoposti i computer degli utenti nei vari Paesi del globo – abbiamo stimato, per ogni Paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel Paese.

mw_q3_it_25

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del terzo trimestre del 2016 mediante l’utilizzo di malware bancario (quota percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari

Paese* % di utenti attaccati
da Trojan bancari**
1 Russia 4,20
2 Sri Lanka 3,48
3 Brasile 2,86
4 Turchia 2,77
5 Cambogia 2,59
6 Ucraina 1,90
7 Venezuela 1,90
8 Vietnam 1,86
9 Argentina 1,86
10 Uzbekistan 1,77

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dall’anti-virus; essi sono stati da noi ottenuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di Trojan bancari, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Come evidenzia la tabella qui sopra inserita, nel terzo trimestre del 2016 la leadership della speciale TOP-10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte dei Trojan bancari, nei vari Paesi, è andata ad appannaggio della Russia. I software nocivi riconducibili alla famiglia di Trojan-Banker denominata ZeuS (Zbot), che peraltro capeggiano la graduatoria basata sul numero di utenti attaccati in tutto il mondo, risultano essere particolarmente attivi proprio entro i confini della Federazione Russa. Tale elemento, tuttavia, non costituisce motivo di particolare sorpresa, visto che dietro lo sviluppo del malware in causa si celano, presumibilmente, dei cybercriminali russi, i quali conoscono a meraviglia le specificità che caratterizzano i sistemi di online banking adottati dagli istituti bancari della Federazione Russa, così come la mentalità degli utenti russi stessi; tali peculiarità vengono ovviamente tenute in debita considerazione nello sviluppo di questo temibile programma dannoso. In Russia inoltre, così come in precedenza, continua ad essere attivamente distribuito il Trojan bancario Gozi; ricordiamo che per esso, nel secondo trimestre del 2016, era stato rilevato un repentino aumento del livello di attività, dovuto al fatto che i suoi sviluppatori avevano unito le proprie forze con i cybercriminali responsabili della creazione di un altro minaccioso Trojan-Banker, denominato Nymaim. Osserviamo, infine, come la Russia abbia occupato l’indesiderata posizione di leadership anche nell’ambito della TOP-10 riservata ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di banker destinati ai dispositivi mobile.

L’assoluta “new entry” del rating qui sopra inserito è rappresentata dallo Sri Lanka, un Paese con chiara vocazione turistica, il quale, peraltro, si è repentinamente posizionato al secondo posto della speciale graduatoria da noi elaborata. Nel Paese asiatico in questione si è imbattuto in cyber-minacce finanziarie il 3,48% degli utenti; riteniamo che tra questi ultimi, indubbiamente, vi siano stati dei cittadini stranieri, giunti nello Sri Lanka per motivi turistici, per trascorrere le proprie vacanze, e che poi hanno utilizzato il banking online per effettuare dei pagamenti. I malware bancari maggiormente attivi in tale regione geografica si sono rivelati essere i “rappresentanti” della famiglia di banker denominata Fsysna, i quali, in precedenza, erano stati individuati nell’ambito della conduzione di attacchi informatici diretti ad utenti di istituti bancari latino-americani.

Per il secondo trimestre di fila, il terzo gradino del podio “virtuale” della TOP-10 qui analizzata, risulta occupato dal Brasile. Nell’analogo report relativo al secondo trimestre dell’anno in corso, avevamo previsto un vero e proprio picco del livello di attività delle cyber-minacce finanziarie nei Paesi dell’America Latina e, in particolar modo, proprio in Brasile, in relazione all’imminente svolgimento dei Giochi Olimpici di Rio de Janeiro 2016. L’aumento della quota percentuale riguardante gli utenti sottoposti ad attacco in territorio brasiliano si è invece rivelato del tutto trascurabile; in effetti, nel terzo trimestre dell’anno, è stato preso di mira dalle minacce informatiche rivolte all’ambito finanziario il 2,86% degli utenti situati in Brasile, mentre nel secondo trimestre del 2016 tale indice si era attestato su un valore di poco inferiore, pari al 2,63%. Allo stesso tempo, sono risultati sottoposti ad attacchi piuttosto intensi, da parte dei cybercriminali, gli utenti ubicati in un altro Paese sudamericano, l’Argentina; ne è conseguito che tale Paese è andato ad occupare il nono posto del rating in questione.

La stagione delle vacanze e delle ferie estive ha indubbiamente influito in maniera significativa sugli indici percentuali relativi, in pratica, a quasi tutti i Paesi presenti nella speciale TOP-10. In Russia, Ucraina ed Uzbekistan, gli utenti sono soliti trascorrere i principali periodi di vacanza proprio in questa parte dell’anno; altri Paesi presenti in graduatoria, poi, (Sri Lanka, Brasile, Turchia, Cambogia, etc.) sono, da parte loro, dei Paesi particolarmente attraenti dal punto di vista turistico. I turisti, in genere, fanno ampio uso dei sistemi di banking online; una simile circostanza, come si può intuire, risulta particolarmente “appetibile”, per i cyber criminali che ricorrono all’utilizzo dei famigerati malware bancari.

Rileviamo, infine, che l’indice relativo all’Italia si è attestato su un valore pari allo 0,60%, mentre Spagna e Germania hanno fatto registrare, rispettivamente, lo 0,61% e l’1,21% di utenti sottoposti ad attacco da parte di insidiosi Trojan-Banker; l’analoga quota inerente agli Emirati Arabi Uniti è invece risultata pari all’1,14%.

TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del terzo trimestre del 2016, nell’ambito degli attacchi informatici eseguiti dai cyber criminali nei confronti degli utenti dei sistemi di online banking – redatta sulla base della quota percentuale di utenti sottoposti ad attacco – si presenta nella maniera seguente:

Denominazione* Quota percentuale
di utenti sottoposti
ad attacco**
1 Trojan-Spy.Win32.Zbot 34,58
2 Trojan.Win32.Qhost/Trojan.BAT.Qhost 9,48
3 Trojan.Win32.Fsysna 9,467
4 Trojan-Banker.Win32.Gozi 8,98
5 Trojan.Win32.Nymaim 8,32
6 Trojan-Banker.Win32.Shiotob 5,29
7 Trojan-Banker.Win32.ChePro 3,77
8 Trojan-Banker.Win32.BestaFera 3,31
9 Trojan-Banker.Win32.Banbra 2,79
10 Trojan.Win32.Neurevt 1,79

* Rilevamenti eseguiti dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito il proprio assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici attaccati da tali malware, sul numero complessivo di utenti sottoposti ad attacco da parte di malware finanziari.

Leader incontrastato della speciale classifica qui sopra riportata rimane il malware Trojan-Spy.Win32.Zbot, i cui codici sorgente, dopo essere stati resi pubblicamente disponibili (già nell’anno 2012) sono divenuti, per i cybercriminali, uno strumento facilmente accessibile, di semplice utilizzo, per realizzare il furto dei dati di pagamento di cui si avvalgono gli utenti. Non è di certo motivo di particolare sorpresa il fatto che tale malware occupi costantemente la prima posizione nell’ambito del rating qui esaminato: i malfattori, in effetti, arricchiscono di continuo tale famiglia con l’introduzione di nuovi sample, compilati sulla base del codice sorgente, e contenenti differenze minimali rispetto all’originale.

Il secondo posto della graduatoria è andato ad appannaggio delle famiglie di malware inerenti ai programmi Trojan denominati Qhost (verdetti: Trojan.Win32.Qhost e Trojan.BAT.Qhost). Le funzionalità di cui sono provvisti i software nocivi riconducibili a tale famiglia sono, di fatto, piuttosto “primitive”: il Trojan, nella circostanza, modifica il contenuto del file Host (si tratta di un file di testo speciale, contenente il database dei nomi di dominio, ed utilizzato al momento della trasmissione di questi ultimi agli indirizzi dei nodi di rete), in modo tale che, visitando determinati siti Internet, saranno scaricati, sulla workstation infetta, i componenti dannosi relativi al suddetto programma Trojan, i quali, a loro volta, eseguiranno il furto delle informazioni riguardanti le operazioni di pagamento. Inoltre, il Trojan in questione provvede ad aggiungere al file Host una serie di record, i quali non permettono al browser dell’utente di connettersi alle applicazioni web e alle risorse informatiche messe a disposizione da noti produttori di soluzioni antivirus.

La TOP-10 relativa alle cyber-minacce finanziarie maggiormente attive nel corso del terzo trimestre del 2016, annovera ugualmente la presenza di un nuovo malware, il quale si è già dimostrato particolarmente attivo, ad esempio, nello Sri Lanka: si tratta, più precisamente, della famiglia di Trojan bancari classificata come Trojan.Win32.Fsysna. I cybercriminali ricorrono all’utilizzo dei programmi malware appartenenti a tale famiglia non solo per realizzare il furto dei dati di pagamento, attraverso le workstation infette, ma anche per l’invio di massicce quantità di spam. Il Trojan, nella fattispecie, reindirizza a nome della macchina infetta i messaggi e-mail di spam, dal centro di comando al server di posta elettronica. Inoltre, alcuni “rappresentanti” di tale famiglia di malware sono persino provvisti della specifica funzionalità di Trojan crittografico. Fsysna è quindi, nel suo genere, una sorta di “coltellino svizzero”, utilizzato per compiere il furto di denaro; si tratta di un’arma particolarmente versatile, ormai presente nel già ricco “arsenale” di cui dispongono certi criminali informatici.

Abbiamo infine osservato, nel terzo trimestre dell’anno in corso, una sensibile diminuzione delle attività nocive riconducibili a Trojan-Spy.Win32.Lurk, nota e temibile cyber-minaccia finanziaria: il numero complessivo di utenti sottoposti ad attacco da parte di tale programma malware è in effetti diminuito di ben 7,10 punti percentuali. Nel trimestre qui esaminato, Lurk non è entrato a far parte della TOP-10 relativa alle minacce informatiche di natura finanziaria maggiormente diffuse; esso continua tuttavia a rappresentare un elemento di notevole pericolosità, per gli utenti dei sistemi di banking online. In considerazione del fatto che i membri del gruppo cybercriminale situato alle origini della creazione di tale minaccia IT sono stati di recente catturati (abbiamo riferito in merito all’arresto di tali delinquenti in un articolo a parte), è del tutto logico attendersi, nel prossimo trimestre, un’ulteriore diminuzione del livello di attività di questo Trojan bancario.

I malware crittografici

I programmi malware in grado di codificare i file custoditi sui computer-vittima rappresentano, attualmente, una delle minacce IT più temibili, sia per gli utenti privati che per gli utenti corporate. Tali software nocivi stanno acquisendo un livello di popolarità sempre maggiore, presso gli ambienti cybercriminali, visto che essi permettono – ai cyber criminali che ne fanno uso – di realizzare sostanziosi profitti illeciti, a fronte di “investimenti” relativamente contenuti.

Nel terzo trimestre del 2016, abbiamo complessivamente individuato 21 nuove famiglie di malware crittografico, e 32.091 nuove varianti di tale tipologia di programma dannoso. Allo stesso tempo, abbiamo provveduto ad aggiungere alla nostra speciale “collezione” di cryptoblocker anche alcune famiglie di malware che già esistevano in precedenza.

Mentre il numero delle nuove famiglie di Trojan crittografico individuate è risultato leggermente inferiore all’analogo valore rilevato riguardo al secondo trimestre dell’anno (25 famiglie), il numero delle nuove varianti osservate si è rivelato essere superiore di ben 3,5 volte rispetto a quanto è stato riscontrato, a tal proposito, nel trimestre precedente.

mw_q3_it_26

Numero di nuove varianti di malware crittografico – 1°, 2° e 3° trimestre del 2016 a confronto

I virus writer, come è noto, cercano costantemente di perfezionare le proprie “creature”. I cybercriminali, inoltre, sono di continuo alla ricerca di nuove metodologie malevole per realizzare l’infezione dei computer-vittima, soprattutto per quel che riguarda gli attacchi informatici condotti nei confronti di società ed organizzazioni di vario genere, i quali, dal punto di vista degli hacker, possono indubbiamente rivelarsi molto più redditizi, rispetto agli attacchi condotti nei confronti degli utenti privati.

Esecuzione da remoto del malware crittografico

Si incontrano sempre più di frequente casi in cui i cyber criminali effettuano attacchi brute-force, diretti alle password, allo scopo di ottenere l’accesso remoto al sistema informatico della vittima (si tratta, di solito, di un’organizzazione), per poi infettare la macchina compromessa mediante l’utilizzo di un pericoloso Trojan crittografico. Due interessanti esempi di questo nuovo metodo di diffusione del malware sono rappresentati da Xpan e Dcryptor, comparsi sulla scena cybercriminale proprio nel terzo trimestre dell’anno in corso.

Il ransomware Xpan/TeamXRat

I malfattori lanciano l’esecuzione di Trojan-Ransom.Win32.Xpan dopo essere riusciti a penetrare, da remoto, all’interno del sistema IT di cui dispone la vittima. Questo programma Trojan viene distribuito da criminali informatici brasiliani; essi realizzano un attacco brute-force tramite la password RDP (Remote Desktop Protocol, il protocollo standard utilizzato per l’accesso remoto al desktop di Windows), per poi infettare il sistema compromesso per mezzo del Trojan Xpan, il quale provvede a cifrare i file, e mostra poi alla vittima la consueta minacciosa notifica relativa alla richiesta di pagamento del riscatto.

Dcryptor/Mamba

Il malware denominato Trojan-Ransom.Win32.Dcryptor è ugualmente conosciuto con lo pseudonimo di Mamba. L’infezione attraverso tale software nocivo viene realizzata, dai cybercriminali, in modalità manuale: questi ultimi, innanzitutto, lanciano un attacco brute-force diretto alle password, con il preciso intento di ottenere l’accesso da remoto al computer dell’utente-vittima; successivamente, i malfattori lanciano l’esecuzione del Trojan, trasmettendo la password di codifica sotto forma di specifico argomento (parametro) a livello di riga di comando.

Il Trojan Dcryptor si avvale, nel realizzare l’infezione, di DiskCryptor, un’utility del tutto legittima. Il risultato prodotto da tale infezione informatica è a dir poco devastante: il malware in causa, in effetti, non cifra esclusivamente i file custoditi sulle unità disco di rete, ma anche interi settori dell’hard disk del computer locale. In tal modo, risulterà bloccato il caricamento del sistema operativo: al momento dell’avvio del computer, in effetti, l’utente non assisterà al normale start dell’OS, ma visualizzerà sul proprio schermo un minaccioso messaggio contenente la richiesta di riscatto e, al tempo stesso, l’indirizzo di posta elettronica da utilizzare per poter comunicare con i cyber criminali.

Il Trojan in questione ricorda, di fatto, il famigerato malware crittografico Petya/Mischa e, con la sua comparsa, va di sicuro a consolidare una tendenza ormai emergente: i cybercriminali sono alla ricerca di metodi sempre nuovi ed “originali”, per cercare di privare la vittima dell’accesso ai propri dati.

I malware crittografici elaborati con i linguaggi di scripting

Un’ulteriore tendenza del trimestre, che ha particolarmente attirato la nostra attenzione, è rappresentata dal fatto che sta progressivamente aumentando il numero dei malware crittografici realizzati mediante l’utilizzo di linguaggi di scripting. Ad esempio, nel terzo trimestre del 2016 hanno fatto la loro apparizione, in maniera improvvisa, alcune nuove famiglie di programmi malware scritti in Python:

  • HolyCrypt (Trojan-Ransom.Python.Holy)
  • CryPy (Trojan-Ransom.Python.Kpyna)
  • Trojan-Ransom.Python.Agent

In qualità di ulteriore esempio, citiamo poi il ransomware Stampado (Trojan-Ransom.Win32.Stampa), un temibilissimo malware cifratore comparso nel mese di giugno passato, scritto nel linguaggio di automazione AutoIt.

Numero di utenti sottoposti ad attacco da parte di Trojan crittografici

Nel terzo trimestre del 2016 sono stati complessivamente attaccati, da parte di malware crittografici, 821.865 utenti unici della rete globale di sicurezza KSN (Kaspersky Security Network). Rispetto all’analogo valore rilevato nel trimestre precedente, il numero degli utenti sottoposti ad attacco risulta aumentato, all’incirca, di 2,6 volte.

mw_q3_it_27

Numero di utenti unici attaccati da Trojan crittografici – Situazione relativa al 3° trimestre del 2016

Il contributo maggiore, all’interno di tali statistiche, è stato fornito dai rappresentanti della famiglia di malware Trojan-Downloader.JS.Cryptoload. Si tratta, più precisamente, di Trojan-Downloader elaborati nel linguaggio JavaScript; il loro obiettivo è costituito dallo scaricare ed installare, sui computer-vittima, programmi nocivi riconducibili a varie famiglie di malware crittografico.

Geografia degli attacchi

mw_q3_it_28

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti da malware crittografici nel corso del terzo trimestre del 2016
(quota percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai Paesi in cui si è registrata la quota più elevata di utenti sottoposti ad attacco informatico da parte di Trojan crittografici

Paese* % di utenti attaccati
dai malware crittografici**
1 Giappone 4,83
2 Croazia 3,71
3 Corea 3,36
4 Tunisia 3,22
5 Bulgaria 3,20
6 Hong Kong 3,14
7 Taiwan 3,03
8 Argentina 2,65
9 Maldive 2,63
10 Australia 2,56

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici i cui computer sono stati attaccati da Trojan crittografici, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Così come nel secondo trimestre del 2016, la leadership del rating qui sopra riportato risulta detenuta dal Giappone.

Osserviamo, inoltre, come siano entrati a far parte della TOP-10 in questione – relativa ai Paesi che evidenziano le quote percentuali più elevate in termini di utenti sottoposti ad attacco da parte di malware crittografici – Tunisia, Hong Kong, Argentina e Australia; hanno invece abbandonato le prime dieci posizioni della speciale graduatoria da noi stilata l’Italia, Djibouti, il Lussemburgo ed i Paesi Bassi.

TOP-10 inerente alle famiglie di Trojan crittografici maggiormente diffuse
Denominazione Verdetti* Quota percentuale
di utenti sottoposti
ad attacco**
1 CTB-Locker Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion 28,34
2 Locky Trojan-Ransom.Win32.Locky 9,60
3 CryptXXX Trojan-Ransom.Win32.CryptXXX 8,95
4 Teslacrypt Trojan-Ransom.Win32.Bitman 1,44
5 Shade Trojan-Ransom.Win32.Shade 1,10
6 Cryakl Trojan-Ransom.Win32.Cryakl 0,82
7 Cryrar/ ACCDFISA Trojan-Ransom.Win32.Cryrar 0,73
8 Cerber Trojan-Ransom.Win32.Zerber 0,59
9 CryptoWall Trojan-Ransom.Win32.Cryptodef 0,58
10 Crysis Trojan-Ransom.Win32.Crusis 0,51

* I dati statistici qui sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ottenuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacco da parte di una specifica famiglia di Trojan-Ransom, sul numero complessivo di utenti attaccati da tale genere di malware estorsore.

Così come nel trimestre precedente, anche nel terzo trimestre del 2016 la prima posizione del rating inerente al grado di diffusione delle varie famiglie di malware crittografico, è andata ad appannaggio di CTB-Locker. La composizione dei leader viene poi completata da Locky e CryptXXX, due Trojan-Ransom tristemente noti. Continua inoltre ad apparire in graduatoria (al 4° posto) il malware crittografico TeslaCrypt, nonostante gli autori dello stesso abbiano in pratica interrotto lo sviluppo di tale famiglia di Trojan, e ne abbiano addirittura pubblicato la master key già nello scorso mese di maggio; occorre ad ogni caso rilevare come, nel trimestre qui preso in esame, il livello di diffusione di TeslaCrypt sia diminuito di ben 5,8 volte.

Crysis

È entrato a far parte per la prima volta della TOP-10 analizzata in questo particolare capitolo del nostro report, il ransomware crittografico denominato Crysis (il relativo verdetto è Trojan-Ransom.Win32.Crusis). Questo Trojan è stato scoperto nel mese di febbraio 2016, ed ha subito, da allora, diverse revisioni e rielaborazioni del proprio codice.

È indubbiamente di particolare interesse il fatto che l’elenco degli indirizzi di posta elettronica di cui fanno uso, per la richiesta di pagamento del riscatto, coloro che diffondono il malware Crysis, coincida, in parte, con l’elenco degli indirizzi e-mail collegati ad altri due ben noti programmi Trojan, ovvero Cryakl ed Aura. Allo stesso tempo, l’analisi dei file eseguibili relativi a tali famiglie dimostra, in tutta evidenza, come i suddetti malware non presentino, a livello di codice, stringhe od elementi in comune. A quanto pare, i software nocivi in causa vengono distribuiti nell’ambito di appositi schemi di partenariato; nella fattispecie, i cybercriminali preposti alla diffusione dei suddetti malware cifratori si occupano, contemporaneamente, di tre diversi Trojan, utilizzando, tuttavia, lo stesso identico indirizzo e-mail, al quale debbono poi rivolgersi gli utenti-vittima per venire a conoscenza delle condizioni previste per il riscatto.

Polyglot/MarsJoke

Questo Trojan ha fatto la sua comparsa sulla scena mondiale del malware nel mese di agosto 2016 (è stato da noi pubblicato un dettagliato report, riguardo a Polyglot). Esso non è entrato a far parte della speciale TOP-10 qui esaminata, ma risulta comunque di particolare interesse, a seguito di una singolare peculiarità: gli autori del Trojan hanno cercato, in tutto e per tutto, di copiare CTB-Locker, un malware ampiamente noto; quest’ultimo, tra l’altro, è andato ad occupare per il secondo trimestre di fila la posizione di leadership nell’ambito del rating da noi allestito. Sia l’aspetto “esteriore”, sia la struttura “interna” di Polyglot ricordano fortemente il “prototipo” da cui esso è derivato; i malfattori, ad ogni caso, hanno commesso un errore, il quale consente di poter decodificare i file criptati senza dover procedere al pagamento del riscatto.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per Paesi delle fonti degli attacchi web condotti nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dai prodotti Kaspersky Lab (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli attacchi informatici condotti tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel terzo trimestre del 2016 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 171.802.109 attacchi condotti attraverso siti Internet compromessi dislocati in 190 diversi Paesi. In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 45.169.524 URL unici.

L’83% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati, è risultato attribuibile ad attacchi provenienti da siti web ubicati in una ristretta cerchia di dieci Paesi.

mw_q3_it_29

Ripartizione per Paesi delle fonti degli attacchi web – Situazione relativa al terzo trimestre del 2016

La leadership del rating è rimasta invariata: la prima posizione della speciale graduatoria, in effetti, risulta occupata, così come nel trimestre precedente, dagli Stati Uniti (33,51%). Per contro, la Federazione Russa è scesa dalla seconda alla quarta posizione del ranking (9%). Il secondo gradino del “podio” virtuale del terzo trimestre dell’anno è andato ad appannaggio della Germania (10,5%). Osserviamo, infine, come non faccia più parte della graduatoria il Canada, mentre la “new entry” del rating – Cipro – è andata a collocarsi al nono posto, con un indice pari all’1,24%.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai programmi malware, e distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari Paesi del globo – abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni Paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

Desideriamo sottolineare il fatto che, a partire dal trimestre qui analizzato, tale rating prenderà in considerazione unicamente gli attacchi informatici condotti attraverso oggetti dannosi riconducibili alla classe dei Malware; nell’effettuare i calcoli statistici non abbiamo quindi tenuto conto dei rilevamenti eseguiti dal nostro modulo Anti-Virus Web relativamente ai programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Paese* % di utenti
sottoposti ad attacco**
1 Slovenia 30,02
2 Bulgaria 29,49
3 Armenia 29,30
4 Italia 29,21
5 Ucraina 28,18
6 Spagna 28,15
7 Brasile 27,83
8 Bielorussia 27,06
9 Algeria 26,95
10 Qatar 26,42
11 Grecia 26,10
12 Portogallo 26,08
13 Russia 25,87
14 Francia 25,44
15 Kazakhstan 25,26
16 Azerbaijan 25,05
17 Emirati Arabi Uniti 24,97
18 Vietnam 24,73
19 Cina 24,19
20 Albania 23,23

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web da parte di oggetti dannosi riconducibili alla classe dei Malware, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Complessivamente, a livello mondiale, nel corso del trimestre qui preso in esame, una consistente porzione degli utenti della Rete (20,2%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web, imputabili alla classe dei Malware.

mw_q3_it_30

Geografia degli attacchi web condotti dai cybercriminali nel corso del terzo trimestre del 2016 mediante l’utilizzo di programmi malware (quota percentuale di utenti sottoposti ad attacco)

Tra i Paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo Croazia (14,21%), Gran Bretagna (14,19%), Singapore (13,78%), USA (13,45%), Norvegia (13,07%), Repubblica Ceca (12,80%), Sudafrica (11,98%), Svezia (10,96%), Corea (10,61%), Paesi Bassi (9,95%), Giappone (9,78%).

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del terzo trimestre del 2016. Tali dati riguardano sia gli oggetti nocivi penetrati nel computer dell’utente mediante l’infezione di file o di supporti rimovibili, sia gli oggetti dannosi insediatisi inizialmente all’interno del computer-vittima non in forma manifesta (ad esempio certi programmi che accompagnano installer particolarmente complessi, file codificati, etc.).

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Lungo tutto l’arco del terzo trimestre dell’anno in corso, il nostro modulo Anti-Virus File ha rilevato con successo 116.469.744 oggetti dannosi unici, o potenzialmente indesiderabili.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

È stata calcolata, per ogni Paese, la percentuale di utenti dei prodotti Kaspersky Lab che, nel corso del periodo preso in esame nel presente report, ha visto entrare in azione il modulo Anti-Virus File, specificamente dedicato al rilevamento delle minacce IT locali. Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari Paesi del mondo.

Sottolineiamo il fatto che, a partire dal trimestre qui analizzato, tale rating prenderà in considerazione unicamente gli attacchi informatici condotti attraverso oggetti dannosi riconducibili alla classe dei Malware; nell’effettuare i calcoli statistici non abbiamo quindi tenuto conto dei rilevamenti eseguiti dal nostro modulo Anti-Virus File relativamente ai programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Paese* % di utenti
sottoposti ad attacco**
1 Vietnam 52,07
2 Afghanistan 52,00
3 Yemen 51,32
4 Somalia 50,78
5 Etiopia 50,50
6 Uzbekistan 50,15
7 Ruanda 50,14
8 Laos 49,27
9 Venezuela 49,27
10 Filippine 47,69
11 Nepal 47,01
12 Djibouti 46,49
13 Burundi 46,17
14 Siria 45,97
15 Bangladesh 45,48
16 Cambogia 44,51
17 Indonesia 43,31
18 Tagikistan 43,01
19 Mozambico 42,98
20 Birmania 42,85

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ottenute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di apparecchi fotografici digitali, telefoni, hard disk esterni).

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali appartenenti alla classe dei Malware, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

In media, nel mondo, durante il terzo trimestre del 2016, sono state rilevate – perlomeno una volta – minacce IT locali ascrivibili alla classe dei Malware sul 22,9% dei computer degli utenti.

mw_q3_it_31

Paesi con il più basso livello di contaminazione informatica a carattere “locale”: Spagna (14,68%), Singapore (13,86%), Italia (13,30%), Finlandia (10,94%), Norvegia (10,86%), Francia (10,81%), Australia (10,77%), Repubblica Ceca (9,89%), Croazia (9,70%), Irlanda (9,62%), Germania (9,16%), Gran Bretagna (9,09%), Canada (8,92%), Svezia (8,32%), USA (8,08%), Danimarca (6,53%), Giappone (6,53%).

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *