Evoluzione delle minacce informatiche nel primo trimestre del 2016

Contenuti

Il trimestre in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) – l’estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – lungo tutto l’arco del primo trimestre del 2016 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 228.420.754 attacchi condotti attraverso siti Internet compromessi, dislocati in 195 Paesi diversi.
  • In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 74.001.808 URL unici.
  • Il nostro Anti-Virus Web ha effettuato il rilevamento di 18.610.281 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
  • Sono stati respinti tentativi di esecuzione di programmi malware preposti al furto delle risorse finanziarie attraverso l’accesso online ai conti bancari, sui computer di 459.970 utenti.
  • Gli attacchi condotti mediante l’utilizzo di malware crittografici sono stati respinti sui computer di 372.602 utenti unici.
  • Il nostro modulo Anti-Virus File ha rilevato con successo 174.547.611 oggetti dannosi unici, o potenzialmente indesiderabili.
  • Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobile hanno effettuato il rilevamento di:
    • 2.045.323 pacchetti di installazione nocivi;
    • 4.146 Trojan bancari per piattaforme mobile;
    • 2.896 Trojan “estorsori” per dispositivi mobile.

Il quadro della situazione

Il 2016 è iniziato da non molto, ma, nei primi tre mesi dell’anno in corso, nel campo della cyber-sicurezza si sono verificati così tanti eventi al punto che, solo alcuni anni fa, una simile quantità di avvenimenti si sarebbe rivelata più che sufficiente per “riempire” l’intero anno. Premesso che le tendenze già manifestatesi nei trimestri precedenti hanno continuato a mantenersi attuali, risulta del tutto evidente che si sono sensibilmente rafforzate le tendenze collegate alla criminalità informatica di stampo tradizionale, soprattutto per ciò che riguarda le minacce destinate ai dispositivi mobile e le epidemie globali generate dai cosiddetti software “estorsori”.

Di fatto, sono proprio i famigerati ransomware ad essere divenuti il tema dominante del trimestre; essi hanno in pratica scalzato gli attacchi mirati dalla prima posizione di questa temibile graduatoria. Tale situazione, purtroppo, continuerà ad evolversi nella stessa ottica e nella stessa direzione, anche nell’immediato futuro: i ransomware, con ogni probabilità, sono destinati a divenire, a tutti gli effetti, il “problema dell’anno”.

Gli attacchi mirati

BlackEnergy 2/3

L’incidente informatico più eclatante è indubbiamente rappresentato dal cyber-attacco APT denominato BlackEnergy, condotto nei confronti di società ucraine operanti nel settore energetico. Sebbene l’attacco si sia verificato, in realtà, proprio alla fine dello scorso anno, il quadro completo ed effettivo di ciò che è avvenuto è emerso soltanto grazie alle analisi effettuate in seguito. Inoltre, i tentativi, da parte dei cyber criminali, di organizzare nuovi attacchi si sono protratti anche nel corso del 2016.

L’attacco APT ha acquisito un carattere di unicità in ragione delle specifiche conseguenze da esso generate: gli hacker, in effetti, sono riusciti a disattivare il sistema di distribuzione di energia elettrica sul territorio dell’Ucraina Occidentale; gli aggressori, inoltre, hanno lanciato l’esecuzione del programma Wiper all’interno dei sistemi sottoposti ad attacco, allo scopo di eliminare i contenuti presenti nei computer infetti; il gruppo APT BlackEnergy, infine, ha sferrato un attacco DDoS di tipo telefonico a danno dei servizi di supporto ed assistenza forniti dalle società prese di mira.

Le pubblicazioni riguardo all’attacco in questione sono state piuttosto numerose; anche gli esperti di Kaspersky Lab hanno fatto luce su tutta una serie di aspetti legati all’attività del gruppo APT che si cela dietro questo clamoroso incidente informatico; in particolare, è stata da noi pubblicata una dettagliata analisi relativa allo strumento impiegato per realizzare la penetrazione all’interno dei sistemi-vittima, ovvero un file DOC nocivo.

Per coloro che desiderano saperne di più riguardo a tale attacco, raccomandiamo la lettura del report stilato dal SANS Institute statunitense assieme all’ICS-CERT.

Poseidon

Nello scorso mese di febbraio, gli esperti di Kaspersky Lab hanno rivelato i dettagli relativi al funzionamento del gruppo cybercriminale di lingua portoghese-brasiliana che ha creato Poseidon, la “boutique” degli attacchi mirati.

Sebbene il report sia stato presentato soltanto nel 2016, occorre sottolineare che il cyber-gruppo in questione opera già da molto tempo. Già nell’anno 2005, in effetti, erano state individuate campagne nocive alle quali, in tutta evidenza, avevano “messo mano” i membri di Poseidon; il primo sample del malware da essi utilizzato risale, addirittura, al 2001. Gli strumenti nocivi allestiti dall’APT Poseidon prendono di mira esclusivamente i computer provvisti di OS Windows: si va, in pratica, da Windows 95, di cui il gruppo si è “occupato” all’inizio della propria “carriera”, a Windows 8.1 e Windows Server 2012, per i quali sono stati creati i sample di malware più recenti, tra quelli individuati.

Ogni volta, lo scenario di attacco si adatta scrupolosamente, in maniera quasi zelante, alle caratteristiche peculiari della vittima. Nonostante il processo iniziale di infezione avvenga sempre in base alle stesse identiche modalità, nelle fasi successive della campagna nociva vengono tenuti in “debita” considerazione, da parte dei cyber criminali, i tratti caratteristici di ogni nuova vittima. Proprio per tale motivo, gli esperti del Global Research & Analysis Team (GReAT) di Kaspersky Lab hanno deciso di definire Poseidon come “la boutique del malware fatto su misura” (custom-tailored malware boutique).

Una volta ottenuto l’accesso al network aziendale, i malfattori esplorano attivamente la rete, raccogliendo la maggior quantità possibile di dati, allo scopo di innalzare i propri privilegi, creare una mappa del network locale e identificare, infine, il computer “desiderato”. L’obiettivo principale dell’attacco è rappresentato, di solito, dal controller del dominio locale Windows; una volta impadronitisi dello stesso, i malintenzionati sono poi in grado di carpire illecitamente oggetti ed elementi relativi alla proprietà intellettuale, dati coperti da segreto commerciale, ed altre informazioni particolarmente “pregiate”.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Nella maggior parte dei casi, le informazioni raccolte da Poseidon in favore dei propri “padroni” sono state utilizzate a fini ricattatori. Sfruttando queste informazioni, e servendosi di un’apposita società di copertura, i membri della cybergang hanno cercato di convincere le aziende prese di mira a sottoscrivere una sorta di contratto, in base al quale il gruppo Poseidon avrebbe operato, per tali imprese, in qualità di “consulente” per la sicurezza IT. Indipendentemente dal fatto che l’affare sia stato concluso o meno, Poseidon è comunque rimasto all’interno della rete.

Hacking Team

Un’altra famigerata “boutique” specializzata nella creazione di strumenti di cyber-spionaggio – la società italiana Hacking Team – è divenuta essa stessa, lo scorso anno, vittima di un grave attacco informatico, nel corso del quale è stato sottratto un gigantesco database relativo alla corrispondenza e-mail intrattenuta dai suoi dipendenti, ed è stata ugualmente rubata una parte del codice sorgente relativo a vari progetti.

Dopo un simile avvenimento, che ha di sicuro generato non pochi problemi riguardo alle attività condotte dall’azienda in questione, molti hanno ritenuto che il business di Hacking Team avrebbe potuto difficilmente continuare a svilupparsi. Tuttavia, proprio all’inizio del 2016 sono stati individuati nuovi moduli backdoor utilizzati da Hacking Team, e destinati ad OS X. Ciò indica in maniera inequivocabile che la suddetta società non ha affatto intenzione di interrompere la propria attività e continua ad effettuare sviluppi nel campo dei sistemi operativi secondari. Di conseguenza, le “creature” realizzate dalla stessa continueranno ad essere un vero problema per gli utenti che divengono oggetto di interesse da parte di coloro che commissionano i prodotti HT.

Un’ulteriore “storia”, direttamente collegata ad Hacking Team, riguarda poi la “caccia”, da parte nostra, ad una vulnerabilità zero-day in Microsoft Silverlight. Le informazioni relative al fatto che tale vulnerabilità, verosimilmente, esisteva, erano state trovate proprio nei documenti della società italiana. Basandosi su una quantità davvero ridotta di dati iniziali, “armati” con gli strumenti Yara e VirusTotal, i nostri esperti hanno lanciato l’esca, e poi si sono messi in attesa. E in effetti, in tal modo, sono riusciti ad individuare il relativo exploit zero-day. =

Operazione “Blockbuster”

Kaspersky Lab, come è noto, è divenuta una delle imprese partecipanti alla cosiddetta Operazione “Blockbuster”; si tratta, in sostanza, di un’approfondita indagine, condotta in maniera congiunta da parte di una serie di importanti società attive nel settore della sicurezza IT. Nella fattispecie, l’oggetto dell’indagine è rappresentato dalle attività nocive svolte dal Lazarus Group, che, probabilmente, è di origine nord-coreana, e si presume sia implicato, in particolar modo, nell’eclatante attacco informatico nei confronti di Sony Pictures Entertainment, avvenuto nel 2014.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

L’inizio dell’attività di Lazarus Group può essere di fatto ricondotto all’anno 2009; tuttavia, il tipo di attività che lo ha contraddistinto in seguito, è stato avviato, in pratica, solo a partire dal 2011. Questo temibile gruppo APT si è reso responsabile di attacchi particolarmente noti e clamorosi, quali, ad esempio, Troy, Dark Seoul (Wiper), WildPositron. Nel corso dell’indagine condotta, sono stati individuati oltre 40 tipi diversi di programmi malware, creati dal gruppo cybercriminale in questione durante gli anni in cui sono stati eseguiti gli attacchi. Servendosi di tali software dannosi, i malintenzionati hanno attaccato, in particolar modo, imprese e stabilimenti, organizzazioni finanziarie, emittenti radio e stazioni televisive. È stato ugualmente osservato l’utilizzo, da parte di Lazarus Group, di exploit preposti a sfruttare vulnerabilità di tipo 0-day.

Ospedali sotto attacco

Nella sezione del nostro report dedicata agli attacchi informatici di natura mirata non potevamo non menzionare l’interessante ricerca condotta da Sergey Lozhkin, la quale illustra il modo in cui, servendosi di strumenti e servizi pubblicamente accessibili, gli hacker possono agevolmente penetrare nella rete interna di una clinica, ed ottenere, così, il pieno accesso ai dati dei pazienti.

Purtroppo, stanno divenendo sempre più di frequente oggetto di attacchi del genere proprio i complessi ospedalieri. Nel primo trimestre del 2016 si sono verificati vari incidenti IT; essi hanno comportato l’infezione di diverse reti ospedaliere ad opera di programmi Trojan provvisti di funzionalità crittografiche; ne è conseguito che i dati sono stati codificati e, per il loro ripristino, è stato richiesto il pagamento di un riscatto alle strutture sanitarie coinvolte. ()

L’ultimo attacco in termini temporali si è rivelato essere l’assalto informatico condotto nei confronti del network MedStar Health, il quale ha interessato addirittura 10 cliniche. Secondo un comunicato ufficiale diramato dal network in questione, tuttavia, i dati presi di mira sono stati salvati senza dover ricorrere al pagamento del riscatto, come invece richiesto dai ricattatori. Un altro ospedale, situato in California, ha dovuto pagare, al contrario, ben 17.000 dollari.

La cybercriminalità

Adwind

Al Security Analyst Summit 2016 (SAS 2016), gli esperti del Global Research & Analysis Team (GReAT) di Kaspersky Lab hanno illustrato in dettaglio l’indagine da essi condotta riguardo all’attività del Trojan RAT Adwind (Remote Access Tool, strumento per l’accesso remoto). Avendo analizzato in maniera approfondita le attività svolte dal malware in causa, i ricercatori sono giunti alla conclusione che, persino la “storia” stessa relativa alla creazione di tale Trojan, si rivela piuttosto inusuale.

Il Trojan è stato progressivamente sviluppato nell’arco di alcuni anni; i primi sample dello stesso sono comparsi, in effetti, già nel 2012. In tempi diversi, al Trojan sono state assegnate denominazioni differenti: nel 2012, i cybercriminali hanno “commercializzato” la propria “creatura” con il nome di Frutas; nel 2013, invece, hanno battezzato il malware con l’appellativo di Adwind; nel 2014 il Trojan si è poi trasformato in Unrecom ed AlienSpy, mentre nel 2015 esso ha acquisito il nome di JSocket.

Gli esperti del GReAT ritengono che Adwind, e tutte le sue varie “reincarnazioni”, siano stati sviluppati da un unico hacker, particolarmente laborioso, il quale, da quattro anni a questa parte, vara costantemente nuove funzionalità e nuovi moduli nocivi.

Inizialmente, la piattaforma Adwind era disponibile esclusivamente in lingua spagnola; in seguito, tuttavia, essa è stata dotata di apposita interfaccia in inglese, che le ha consentito di essere “apprezzata” dai cybercriminali di tutto il mondo. I principali utilizzatori del Trojan sono malfattori dediti a sofisticate cyber-truffe, oppure malintenzionati privi di ogni scrupolo nei confronti delle società concorrenti; a questi si aggiungono, poi, i cosiddetti mercenari della Rete, pagati per realizzare operazioni di spionaggio online, a danno di singole persone o di imprese. Il software nocivo Adwind, inoltre, può essere utilizzato da qualsiasi persona che desideri, semplicemente, “monitorare”, spiare, o tenere sotto controllo “amici” e conoscenti.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Geograficamente parlando, le aree in cui si è registrata la massima concentrazione di vittime del Trojan Adwind sono via via cambiate nel corso di questi ultimi quattro anni. Nel 2013, sono stati colpiti, principalmente, i Paesi in cui si parla la lingua spagnola e la lingua araba. L’anno successivo, i criminali hanno messo gli occhi sulla Turchia e sull’India, così come su Emirati Arabi Uniti, Stati Uniti e Vietnam. Nel 2015, infine, al vertice dell’indesiderata graduatoria si è posizionata la Russia; Emirati Arabi Uniti, Turchia, Stati Uniti e Germania hanno comunque “sentito il fiato sul collo” di Adwind.

Possiamo dire che, fortunatamente, l’indagine da noi condotta non si è rivelata vana: in effetti, pochi giorni dopo la pubblicazione della stessa, il sito di JSocket ha smesso di funzionare, mentre l’autore di Adwind ha interrotto ogni attività. Da allora, non sono comparse nuove varianti del Trojan. Può darsi, comunque, che si stia preparando l’ennesima reincarnazione del Trojan; può anche essere, invece, che a questa lunga storia sia stata definitivamente posta la parola fine.

Le minacce IT legate alla sfera bancaria

Al Security Analyst Summit (SAS 2016), Kaspersky Lab ha annunciato la scoperta di due nuovi gruppi criminali collegati alle cyber-rapine bancarie in stile APT: si tratta, nella fattispecie, di Metel e GCMAN; è stata inoltre rilevata la ripresa delle attività da parte del famigerato gruppo Carbanak, con nuovi obiettivi.

Nel corso del 2015, gli esperti di Kaspersky Lab hanno condotto indagini in merito ad incidenti occorsi in ben 29 organizzazioni situate in Russia, ed attaccate dai tre raggruppamenti cybercriminali qui sopra citati.

Non si tratta, di fatto, di tutti i gruppi criminali – specializzati negli attacchi informatici alle banche – che, al momento attuale, risultano attivi sul territorio della Federazione Russa; i tre, tuttavia, sono in assoluto i gruppi più “intraprendenti”, e risultano coinvolti nei furti di denaro più clamorosi, effettuati sia dagli account dei clienti delle banche, sia sottraendo ingenti risorse finanziarie direttamente agli stessi istituti bancari.

Di particolare interesse si rivela indubbiamente l’attività di Carbanak 2.0. Nel mese di dicembre 2015 abbiamo confermato che tale gruppo è ancora attivo. Kaspersky Lab ha rilevato segnali inequivocabili della presenza dell’APT Carbanak in due attacchi distinti: uno a danno di una compagnia di telecomunicazioni, l’altro nei confronti di un’organizzazione finanziaria. Una caratteristica interessante del gruppo Carbanak 2.0 è rappresentata dal fatto che, rispetto al recente passato, quest’ultimo colpisce vittime di profilo diverso. La cybergang in questione sembra non interessarsi più alle banche: gli obiettivi del momento, in effetti, sono costituiti, per essa, dalle divisioni finanziarie e contabili di qualunque organizzazione possa risultare di specifico interesse per tali malintenzionati; per contro, questi ultimi ricorrono all’utilizzo dellle stesse tecniche dannose, e degli stessi identici strumenti, tipici degli attacchi APT.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Si è infine registrato un caso, davvero singolare, in cui il gruppo Carbanak 2.0 ha sfruttato l’accesso illecito ad un’organizzazione finanziaria, che custodiva informazioni sui titolari delle azioni societarie, proprio per modificare i dati inerenti ai proprietari dell’importante società. Le informazioni riguardanti la proprietà dell’impresa sono state così sostituite con i dati specifici relativi al “money mule” di turno.

Bangladesh

Spicca, tra gli eventi di risonanza mondiale relativi agli attacchi condotti nei confronti delle banche, ciò che è avvenuto con la Banca centrale del Bangladesh. Quello che sorprende, in particolar modo, non è soltanto l’inusuale obiettivo dell’attacco, ovvero una Banca centrale, ma anche la notevole quantità di denaro che i criminali sono riusciti a sottrarre; ad essa si aggiunge, poi, anche la somma, molto più ingente, che i cybercriminali hanno tentato di rubare, non riuscendo però nell’intento.

Le indagini sull’incredibile vicenda sono ancora in corso; tuttavia, grazie alle notizie ed ai comunicati resi di pubblico dominio, è possibile ricostruire un quadro completo di quello che è effettivamente successo. All’inizio dello scorso mese di febbraio, gli hacker sono riusciti ad ottenere l’accesso alle workstation di alcuni dipendenti della banca nazionale in questione; in seguito, i malintenzionati hanno iniziato ad inviare, a nome di questi ultimi, ordini di pagamento per il trasferimento di importi di denaro custoditi in varie banche, tra cui la Federal Reserve di New York. Disponendo del pieno accesso informatico, e spacciandosi per gli effettivi dipendenti, i malfattori sono riusciti a carpire circa 80 milioni di dollari. Il denaro rubato è stato illegalmente trasferito, online, su conti bancari privati situati nelle Filippine; la “refurtiva” è stata in seguito sottoposta alla consueta operazione di “lavaggio”, che ha visto la partecipazione di casinò e broker forex locali.

Altri 20 milioni di dollari dovevano poi essere dirottati verso lo Sri Lanka; qui, però, gli hacker hanno commesso un errore (ortografico!), riguardo al nome dell’organizzazione che avrebbe dovuto ricevere il denaro. Questo ha insospettito la Deutsche Bank, che, nella circostanza, era la banca corrispondente. Nel corso dell’indagine svolta è stato appurato che l’ordine di pagamento era stato “infettato” dagli hacker, e che una somma da capogiro, circa 900 milioni di dollari, risultava ancora in attesa del relativo trasferimento.

È davvero singolare il fatto che il Ministro delle Finanze del Bangladesh sia venuto a sapere quello che era successo soltanto un mese dopo, ed attraverso i mass media, i quali, nel frattempo, avevano riferito riguardo all’incresciosa vicenda. Il governatore della Banca centrale è stato poi costretto a dimettersi; gli investigatori, da parte loro, stanno cercando di individuare i colpevoli, mentre la banca sta adottando i necessari provvedimenti, volti a recuperare almeno una parte delle risorse finanziarie rubate.

I malware crittografici

Come abbiamo già affermato nella parte iniziale del nostro report, i Trojan crittografici sono divenuti il tema principale del trimestre, e possono peraltro divenire il problema principale dell’intero anno.

Contribuisce poi in maniera sensibile all’aggravamento della situazione il fatto che tutta una serie di malware “cifratori” risulta ora disponibile, per tutti coloro che lo desiderano, sotto forma di codici sorgente. Di conseguenza, anche i comuni script kiddie possono realizzare la propria variante del Trojan; tale circostanza, abbinata all’utilizzo particolarmente attivo della criptovaluta Bitcoin per le operazioni di pagamento del riscatto, consente agli stessi di poter organizzare gli attacchi con una certa facilità, e fornisce, tra l’altro, l’opportunità, per i malintenzionati, di rimanere impuniti.

Inoltre, è già comparso il termine RaaS, ovvero Ransomware-as-a-Service. In base a questo schema dannoso, i malintenzionati propongono di pagare per la distribuzione del Trojan, promettendo, di fatto, una percentuale sulla somma di denaro che sarà poi ricavata. I clienti di simili servizi sono rappresentati, principalmente, dai webmaster di vari siti pornografici. Vi sono, poi, servizi che funzionano in base al modello inverso: essi offrono un set completo di strumenti per garantire l’operatività del malware crittografico, e trattengono in seguito parte del ricavato in veste di commissione.

Secondo le segnalazioni effettuate da varie società, nel corso del primo trimestre dell’anno si sono registrati dei casi di utilizzo del ransomware da parte di una serie di noti gruppi APT, soprattutto cinesi. Da parte nostra, abbiamo ugualmente rilevato casi del genere, e non solo con il coinvolgimento di gruppi cinesi. Se questi metodi diverranno, a tutti gli effetti, una precisa tendenza, tale minaccia raggiungerà un nuovo livello, anche in considerazione del fatto che le conseguenze del “lavoro” svolto dai malware cifratori si differenziano solo in minima parte dalle spiacevoli conseguenze che si producono, per gli utenti-vittima, attraverso l’operato dei Trojan riconducibili alla tipologia Wiper. Sia nel primo caso che nel secondo, i dati divengono inaccessibili per i proprietari degli stessi.

I malware crittografici, inoltre, stanno ampliando il proprio raggio di azione, a livello di infezioni realizzate. Nel primo trimestre del 2016, in effetti, sono divenuti oggetto di attacchi da parte di CTB-Locker gli stessi server web.

In precedenza, CTB-Locker, noto anche come Onion, famigerato ransomware crittografico, si distingueva dagli altri estorsori per il fatto di utilizzare la rete anonima Tor, allo scopo di impedire l’eventuale disattivazione dei propri server di comando e controllo, visto che, di solito, risulta possibile disabilitare soltanto i server statici. L’utilizzo della rete Tor, inoltre, consentiva al malware di evitare possibili blocchi e rilevamenti. Un ulteriore elemento proteggeva, infine, gli operatori di CTB-Locker: il pagamento del riscatto veniva accettato esclusivamente se eseguito in Bitcoin, la nota criptovaluta anonima decentralizzata.

La nuova versione del malware provvede a codificare i file custoditi nei server web, per poi richiedere, in qualità di riscatto, il pagamento di meno della metà di 1 Bitcoin (~ 150 dollari USD). Se l’importo non viene pagato entro il termine stabilito, l’entità del riscatto sarà raddoppiata, raggiungendo all’incirca i 300 dollari. Una volta eseguito il pagamento, viene generata la chiave necessaria per la decodifica dei file presenti nel server web.

Ad ogni caso, a livello di malware cifratori, l’epidemia informatica di maggiore entità, nel corso del primo trimestre del 2016, si è rivelata essere quella causata dal Trojan crittografico denominato Locky (rilevato dalle soluzioni di sicurezza di Kaspersky Lab come Trojan-Ransom.Win32.Locky).

Le attività dannose legate alla diffusione di tale malware non sembrano affievolirsi: sinora, i prodotti Kaspersky Lab hanno individuato tentativi di infezione dei computer degli utenti, da parte di questo temibile Trojan, in ben 114 Paesi.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Per distribuire Locky, i malintenzionati effettuano massicci mailing di spam, composti da messaggi di posta elettronica che recano, in allegato, downloader nocivi. Inizialmente, le e-mail di spam nocivo contenevano, in qualità di allegato, un file DOC provvisto di apposita macro dannosa, che provvedeva a scaricare dal server remoto il Trojan Locky, avviandone poi l’esecuzione.

Al momento attuale, le campagne di spam nocivo stanno proseguendo; ad ogni caso, gli allegati ai messaggi dannosi non sono più costituiti da file DOC, bensì da archivi ZIP, contenenti uno o più script offuscati, compilati in JavaScript. Le e-mail in questione vengono per lo più elaborate in lingua inglese; si incontrano, tuttavia, anche versioni bilingue di tali messaggi.

La novità tecnica di maggior rilievo, per ciò che riguarda i malware crittografici attualmente in circolazione, è rappresentata dalla funzione di codifica non dei file stessi, bensì dell’hard disk nel suo complesso. Si tratta, più precisamente, della cifratura della Master File Table. Questo specifico “trucco” è stato utilizzato dal Trojan denominato “Petya” (tale nome, tra l’altro, non significa necessariamente che esso sia stato creato da virus writer di lingua russa).

Una volta completata la codifica della Master File Table, il ransomware Petya rivela il suo vero volto, che si presenta sotto forma di un minaccioso teschio composto da caratteri ASCII. Successivamente, ha inizio la procedura standard che accompagna tutti i malware crittografici: il Trojan richiede il pagamento di un riscatto da parte della vittima, per un importo che, nella circostanza, ammonta a 0,9 Bitcoin (circa 380 dollari USD).

Evoluzione delle minacce informatiche nel primo trimestre del 2016

In questa fase, l’unico elemento che distingue Petya dagli altri malware estorsori è rappresentato dal fatto che esso è in grado di “lavorare” senza usufruire della connessione ad Internet. Questo, tuttavia, non costituisce motivo di particolare sorpresa, visto che Petya, in pratica, “si divora” il sistema operativo, assieme alla capacità di collegarsi in Rete. L’utente-vittima, quindi, deve necessariamente cercarsi un altro computer, per poter pagare il riscatto ed ottenere così il ripristino dei dati.

Nel mese di marzo è stato individuato un ulteriore malware crittografico destinato alla piattaforma Mac OS X: si tratta del ransomware denominato Trojan-Ransom.OSX.KeRanger. I cyber criminali hanno infettato, per mezzo di tale software nocivo, due installer del client BitTorrent relativo al progetto open source Transmission, i quali risultavano disponibili, per l’operazione di download, sul loro sito web ufficiale. Molto probabilmente, il sito del progetto open source è stato oggetto di violazione, ed i file destinati al download sono stati rimpiazzati con versioni maligne degli stessi, “debitamente” ricompilate. Il malware “cifratore” KeRanger è risultato essere firmato tramite certificato Apple valido; per tale motivo, esso è potenzialmente in grado di bypassare l’abituale controllo effettuato dal sistema operativo Mac OS X attraverso la funzione Gatekeeper.

Le statistiche relative ai Trojan crittografici

I malware crittografici appartengono alla classe dei Trojan-Ransom, ovvero ai cosiddetti Trojan “estorsori”. Attualmente, tale classe comprende, oltre ad essi, i programmi identificati come “browser ransomware” (o browser locker), i software estorsori “dedicati” ai browser. Nel flusso generale dei rilevamenti riconducibili ai Trojan-Ransom, la quota relativa ai browser ransomware si è attestata al 25%; questi ultimi vengono rilevati, principalmente, in Russia e nei Paesi della ex-CSI (Comunità degli Stati Indipendenti; una parte di quelle nazioni che occupano lo spazio geografico post-sovietico). In questa sezione del report non ci soffermeremo sui programmi estorsori per browser; riferiremo in dettaglio solo riguardo ai software crittografici dannosi.

Numero di nuove varianti di Trojan crittografico

Il grafico qui sotto inserito evidenzia il sensibile aumento del numero complessivo di nuove versioni dei Trojan crittografici, verificatosi nel corso degli ultimi due trimestri:

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Numero di nuove varianti di malware crittografico –
4° trimestre del 2015 e 1° trimestre del 2016 a confronto

Al momento attuale, la “collezione” di Kaspersky Lab contiene circa 15.000 varianti di Trojan crittografico. Soltanto nel primo trimestre del 2016 sono state da noi individuate 2.900 nuove varianti e 9 nuove famiglie di malware crittografico.

Numero di utenti sottoposti ad attacco da parte di Trojan crittografici

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Numero di utenti unici attaccati da malware crittografico – Situazione relativa al 1° trimestre 2016

Nel primo trimestre del 2016 sono stati complessivamente attaccati, da parte di malware crittografici, 372.602 utenti unici. Rispetto al trimestre precedente, il numero di utenti sottoposti ad attacco è cresciuto di ben 30%. Circa il 17% degli attacchi condotti mediante l’utilizzo dei famigerati software “cifratori” si è verificato nei confronti del settore corporate.

È importante ricordare che il numero effettivo degli incidenti occorsi risulta superiore: i dati statistici qui riportati, in effetti, costituiscono esclusivamente il riflesso dei risultati ottenuti grazie ai rilevamenti eseguiti tramite firma, ed ai rilevamenti di natura euristica, mentre una parte considerevole dei Trojan crittografici viene rilevata dai prodotti Kaspersky Lab per mezzo di tecnologie basate sul comportamento, con relativa emissione di verdetti di tipo “Generic”, i quali non consentono di poter distinguere le varie tipologie di malware.

TOP-10 relativa ai Paesi in cui si è registrata la quota più elevata di utenti sottoposti ad attacco informatico da parte di Trojan crittografici

Paese* % di utenti attaccati dai
malware crittografici**
1 Italia 3,06
2 Paesi Bassi 1,81
3 Belgio 1,58
4 Lussemburgo 1,36
5 Bulgaria 1,31
6 Croazia 1,16
7 Ruanda 1,15
8 Libano 1,13
9 Giappone 1,11
10 Maldive 1,11

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici i cui computer sono stati attaccati da Trojan crittografici, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Le prime sei posizioni della nostra TOP-10 risultano occupate da Paesi europei. Nel primo trimestre del 2016, il primo posto della speciale graduatoria è andato ad appannaggio dell’Italia (3,06%); qui, la famiglia di malware crittografico attualmente più diffusa è Teslacrypt (Trojan-Ransom.Win32.Bitman). Seguono, in classifica, Paesi Bassi (1,81%) e Belgio (1,58%).

TOP-10 inerente alle famiglie di Trojan crittografici maggiormente diffuse

Denominazione Verdetti* Quota percentuale di utenti**
1 Teslacrypt Trojan-Ransom.Win32.Bitman/Trojan-Ransom.JS.Cryptoload 58,43%
2 CTB-Locker Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion 23,49%
3 Cryptowall / Cryptodef Trojan-Ransom.Win32.Cryptodef 3,41%
4 Cryakl Trojan-Ransom.Win32.Cryakl 3,22%
5 Scatter Trojan-Ransom.BAT.Scatter/Trojan-Downloader.JS.Scatter/Trojan-Dropper.JS.Scatter/Trojan-Ransom.Win32.Scatter 2,47%
6 Rakhni Trojan-Ransom.Win32.Rakhni/Trojan-Downloader.Win32.Rakhni 1,86%
7 Locky Trojan-Ransom.Win32.Locky 1,30%
8 Shade Trojan-Ransom.Win32.Shade 1,21%
9 iTorLock / Troli Trojan-Ransom.MSIL.Lortok 0,84%
10 Mor / Gulcrypt Trojan-Ransom.Win32.Mor 0,78%

* I dati statistici qui sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacco da parte di una specifica famiglia di Trojan-Ransom, sul numero complessivo di utenti attaccati da tale genere di malware estorsore.

Sul gradino più alto del podio, nel primo trimestre del 2016, peraltro con un ampio margine percentuale, si è collocata la famiglia Teslacrypt, rappresentata da due verdetti – Trojan-Ransom.Win32.Bitman e Trojan-Ransom.JS.Cryptoload. Il secondo verdetto si caratterizza per gli script, distribuiti tramite un apposito archivio ZIP, allegato a messaggi e-mail di spam. In passato, tali script generavano il download di software nocivi quali, ad esempio, Fareit ed il malware crittografico Cryptowall; negli ultimi tempi, però, i malintenzionati sono passati alla diffusione di TeslaCrypt. È di particolare interesse osservare come, nel primo trimestre dell’anno in corso, siano state distribuite, in tal modo, le nuove versioni di questo malware “cifratore”, provviste di algoritmo di crittografia migliorato: gli autori, in effetti sono passati dall’AES al più solido ed “affidabile” RSA-4096.

Al secondo posto del rating troviamo, poi, la famiglia denominata CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). La caratteristica peculiare che contraddistingue i programmi nocivi appartenenti alla famiglia in questione è rappresentata dalla diffusione degli stessi attraverso un programma di partenariato; un ulteriore tratto distintivo è costituito dal supporto per numerose lingue. Come abbiamo riferito in precedenza, nel primo trimestre del 2016 è stata individuata la versione di CTB-Locker per server web. Tale variante ha attaccato con successo e codificato i file contenuti nelle cartelle root di oltre 70 server, dislocati in 10 diversi Paesi.

La terza posizione del ranking risulta occupata dalla famiglia Trojan-Ransom.Win32.Cryptodef, nota anche come Cryptowall. I malware riconducibili a tale famiglia vengono distribuiti, così come nel caso di Teslacrypt, attraverso mailing di spam nocivo.

Alla quinta piazza della speciale graduatoria è andata a collocarsi la famiglia di malware crittografici denominata Scatter. All’inizio dell’anno corrente è stata registrata una nuova ondata di diffusione di questo software dannoso tramite apposite campagne di spam nocivo. Nella fattispecie, i messaggi contenevano un link verso uno script JS, mascherato in modo tale da indurre l’utente a scaricare ed eseguire lo stesso a livello locale. Un elemento di notevole interesse è rappresentato dal fatto che, una volta avviato, lo script in causa provvede a “salvare” su disco non solo Scatter, ma anche altri due programmi malware: si tratta, più precisamente, di Nitol (un bot DDoS) e di Pony (un Trojan in grado di realizzare il furto di informazioni, in genere password).

La famiglia composta dai malware crittografici Locky, posizionatasi al settimo posto della TOP-10 da noi stilata, ha fatto molto parlare di sé, nel trimestre qui preso in esame, per la vastissima area geografica che ne ha contraddistinto la diffusione, quasi una sorta di “giro del mondo”; ad ogni caso, la distribuzione di Locky è avvenuta prevalentemente nei Paesi europei. Il sito dei malintenzionati, collocato nella rete Tor, sul quale i cybercriminali hanno elencato in dettaglio le loro richieste, supporta oltre una ventina di lingue; tra di esse, tuttavia, non compaiono né il russo, né le lingue parlate nei Paesi ex-CSI (Comunità degli Stati Indipendenti). A quanto pare, per qualche ragione, i malfattori non intendono attaccare gli utenti situati in tali Paesi; questo elemento trova una precisa conferma nei dati statistici raccolti attraverso il KSN.

Le statistiche del primo trimestre 2016

Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all’attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un’efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi Paesi e territori del globo.

Le minacce IT per dispositivi mobile

I malintenzionati stanno continuando a perfezionare nuove tecniche per ingannare e raggirare gli utenti in maniera sempre più subdola. Nel corso del trimestre qui preso in esame, sono stati da noi individuati due insidiosi Trojan mobile realizzati dai virus writer allo scopo di contrastare i meccanismi di protezione standard implementati nei sistemi operativi. Una delle varianti di Trojan-Banker.AndroidOS.Asacub, ad esempio, sovrappone la propria finestra nociva, provvista di appositi pulsanti, alla finestra di sistema standard relativa alla richiesta dei diritti di amministratore del dispositivo. In tal modo, il Trojan riesce a nascondere all’utente l’ottenimento di ulteriori diritti all’interno del sistema e, con l’inganno, costringe la vittima a confermare l’acquisizione di tali diritti. Il secondo Trojan in grado di ricorrere all’utilizzo di simili meccanismi è il malware mobile denominato Trojan-SMS.AndroidOS.Tiny.aw. Nelle ultime versioni di Android, in caso di invio di un SMS verso un numero premium (a pagamento), il sistema richiede all’utente la relativa autorizzazione. Il Trojan-SMS Tiny, in pratica, sovrappone a tale finestra di dialogo la propria schermata, non coprendo, peraltro, i pulsanti presenti nella parte inferiore della finestra originale.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

La finestra contenente la richiesta effettuata dal malware mobile Trojan-SMS.AndroidOS.Tiny.aw; tale finestra si sovrappone alla notifica del sistema riguardo all’invio dell’SMS (traduzione: “Inviare la richiesta per ottenere il database del gioco?”)

La richiesta del Trojan è formulata in modo tale che l’utente, molto probabilmente, confermerà l’invio dell’SMS al numero premium, senza avere la minima idea di cosa, in realtà, potrà avvenire in seguito.

Nell’analogo report relativo al terzo trimestre del 2015 avevamo riferito riguardo al Trojan bancario denominato Trojan-Banker.AndroidOS.Marcher. Nel corso del trimestre qui analizzato siamo riusciti ad individuare nuove varianti di Marcher, in grado di condurre attacchi nei confronti di almeno 40 applicazioni collegate alla sfera bancaria, relative, per la maggior parte, ad istituti bancari europei. A differenza di quanto normalmente avviene con gli altri Trojan mobile, per sovrapporsi alle app bancarie Marcher utilizza pagine web di phishing, e non finestre nocive proprie.

Nel primo trimestre dell’anno in corso, abbiamo osservato un sensibile aumento del livello di attività del Trojan estorsore per piattaforme mobile classificato come Trojan-Ransom.AndroidOS.Fusob.pac, il quale provvede a bloccare il dispositivo dell’utente, per poi richiedere il pagamento di un riscatto per la relativa operazione di decodifica. Nel primo trimestre del 2016, Fusob è divenuto il Trojan mobile di tal genere in assoluto più diffuso; esso, in effetti, si è reso responsabile di oltre il 64% del numero totale di attacchi condotti dagli estorsori mobile nei confronti degli utenti. Desideriamo sottolineare, a tal proposito, come il numero complessivo di utenti sottoposti ad attacco da parte di Trojan-Ransom per dispositivi mobile, sia cresciuto di oltre 1,8 volte rispetto all’analogo valore rilevato nel trimestre precedente.

Numero di nuove minacce mobile

Nel trimestre oggetto del presente report, Kaspersky Lab ha rilevato 2.045.323 pacchetti di installazione nocivi, ovvero un numero di pacchetti nocivi superiore di ben 11 volte rispetto al quarto trimestre del 2015, e di 1.2 volte rispetto a quanto riscontrato riguardo al terzo trimestre dell’anno passato.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Numero complessivo di pacchetti di installazione nocivi individuati
nel periodo 2° trimestre 2015 – 1° trimestre 2016

Ripartizione per tipologie del malware mobile individuato

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Suddivisione delle nuove varianti di malware mobile in base ai loro specifici comportamenti dannosi – Primo trimestre del 2016 e quarto trimestre del 2015 a confronto

La speciale graduatoria del primo trimestre del 2016 riservata alla ripartizione degli oggetti nocivi per dispositivi mobile in base agli specifici comportamenti nocivi da essi evidenziati, risulta capeggiata dagli Adware, ovvero le fastidiose applicazioni pubblicitarie potenzialmente indesiderate. Rispetto a quanto rilevato nel trimestre precedente, la quota attribuibile agli Adware è aumentata di 13 punti percentuali, attestandosi così su un valore pari al 42,7%. Tale indice è ad ogni caso inferiore rispetto all’analogo valore riscontrato riguardo alle app pubblicitarie nel terzo trimestre del 2015 (52,5%).

Alla seconda piazza del rating troviamo poi i Trojan-SMS; è interessante osservare come, per il secondo trimestre di fila, si sia registrato un aumento della quota relativa agli oggetti dannosi riconducibili a tale tipologia. Nel quarto trimestre del 2015, in effetti, la quota ascrivibile ai Trojan-SMS – nel flusso generale delle minacce mobile – aveva fatto segnare un repentino incremento, passando dal 6,2% al 19,8%; nel primo trimestre del 2016, tale indice ha acquisito un ulteriore 0,7%, ed ha in tal modo raggiunto un valore medio del 20.5%.

Direttamente alle spalle dei Trojan-SMS, nella speciale classifica trimestrale, si sono piazzati i Trojan-Spy, con una quota pari al 10%. Tali programmi nocivi realizzano il furto dei dati personali degli utenti; essi intercettano, tra l’altro, gli SMS in entrata provenienti dagli istituti bancari e contenenti il codice segreto mTAN.

I RiskTool, quinti in graduatoria, sono, di fatto, applicazioni legittime, le quali, tuttavia, possono rivelarsi potenzialmente pericolose per gli utenti; il loro utilizzo inappropriato, da parte del proprietario dello smartphone o del malintenzionato di turno, può in effetti generare perdite di natura finanziaria. Ricordiamo, nella circostanza, che tali oggetti, per quasi due anni, hanno occupato ininterrottamente la prima o la seconda posizione del rating qui sopra riportato. A partire dal quarto trimestre del 2015, tuttavia, i RiskTool sono scesi al 5° posto del ranking da noi stilato. Nell’ultimo trimestre dello scorso anno, l’indice ad essi attribuibile era risultato pari al 5,6%; nel primo trimestre del 2016, tale quota ha fatto registrare un significativo aumento, raggiungendo il 7,4%.

L’indice percentuale relativo ai Trojan-Banker continua a crescere costantemente; nel primo trimestre dell’anno in corso, esso si è attestato su un valore medio pari all’1,2%.

TOP-20 relativa ai programmi malware destinati alle piattaforme mobile

Il rating riservato ai programmi nocivi, qui sotto inserito, non include i programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Denominazione % di utenti sottoposti
ad attacco*
1 DangerousObject.Multi.Generic 73,7
2 Backdoor.AndroidOS.Ztorg.c 11,3
3 Trojan.AndroidOS.Iop.c 8,9
4 Trojan.AndroidOS.Ztorg.a 8,7
5 Trojan-Ransom.AndroidOS.Fusob.pac 6,2
6 Trojan-Dropper.AndroidOS.Agent.ar 4,6
7 Trojan-Clicker.AndroidOS.Gopl.a 4,5
8 Backdoor.AndroidOS.Ztorg.b 4,3
9 Trojan.AndroidOS.Iop.m 3,7
10 Trojan.AndroidOS.Agent.ej 3,7
11 Trojan.AndroidOS.Iop.q 3,5
12 Trojan.AndroidOS.Ztorg.i 3,3
13 Trojan.AndroidOS.Muetan.b 3,1
14 Trojan.AndroidOS.Agent.gm 3,1
15 Trojan-SMS.AndroidOS.Podec.a 3,1
16 Trojan-Downloader.AndroidOS.Leech.a 3,0
17 Trojan-Dropper.AndroidOS.Guerrilla.b 2,8
18 Exploit.AndroidOS.Lotoor.be 2,8
19 Backdoor.AndroidOS.Ztorg.a 2,8
20 Backdoor.AndroidOS.Triada.d 2,4

* Quote percentuali relative al numero di utenti unici attaccati da tali malware mobile, sul numero complessivo di utenti dell’antivirus mobile di Kaspersky Lab sottoposti ad attacco

Il primo posto della speciale graduatoria relativa ai malware mobile più diffusi nel corso del primo trimestre del 2016 è andato ad appannaggio di una serie di programmi dannosi classificati come DangerousObject.Multi.Generic (73,7%); tale verdetto viene utilizzato per identificare i programmi dannosi individuati e neutralizzati con l’ausilio delle tecnologie “in-the-cloud”. Tali tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database antivirus, né le apposite firme né gli euristici indispensabili per poter rilevare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella propria “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

All’interno della TOP-20 in questione, occupano un numero di posizioni sempre maggiore i programmi Trojan che ricorrono all’utilizzo della pubblicità come principale strumento di monetizzazione. Il loro scopo è esclusivamente quello di recapitare all’utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l’installazione di nuovi software pubblicitari. I Trojan sopra citati possono inoltre utilizzare i diritti di superutente per nascondersi all’interno della cartella di sistema; la rimozione degli stessi si rivela essere, quindi, un’operazione particolarmente complessa. Nel primo trimestre del 2016 sono entrati a far parte della TOP-20 da noi stilata ben sedici programmi riconducibili a tale specifica tipologia: se scorriamo la graduatoria, troviamo, in effetti, tre programmi appartenenti alla famiglia Backdoor.AndroidOS.Ztorg, ed altri tre ascrivibili alla famiglia Trojan.AndroidOS.Iop; Trojan.AndroidOS.Ztorg conta, poi, due programmi, mentre ne presentano uno a testa le seguenti famiglie: Trojan-Dropper.AndroidOS.Agent.ar, Trojan-Clicker.AndroidOS.Gopl.a, Trojan.AndroidOS.Agent.ej, Trojan.AndroidOS.Muetan.b, Trojan.AndroidOS.Agent.gm, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Guerrilla.b, Backdoor.AndroidOS.Triada.d.

Rileviamo inoltre, per la prima volta, la presenza del software nocivo denominato Backdoor.AndroidOS.Triada all’interno della TOP-20 relativa ai malware mobile maggiormente attivi. La principale funzionalità di cui è provvisto il Trojan è rappresentata dal redirecting delle transazioni finanziarie eseguite tramite SMS, realizzate nel corso del processo di pagamento, da parte dell’utente, di contenuti extra di vario genere, inerenti ad app legittime. Il risultato di tutto ciò è che, una volta effettuato il pagamento, il denaro dell’utente va a finire dritto dritto nelle mani dei cybercriminali. Triada è, di fatto, il malware mobile in assoluto più complesso e sofisticato fra tutti quelli a noi noti. Un tratto distintivo dell’app dannosa è rappresentato dall’utilizzo del processo di sistema Zygote per l’introduzione del proprio codice nocivo nell’ambito di tutte le applicazioni presenti nel dispositivo. Una volta penetrato all’interno del dispositivo dell’utente-vittima, Triada si introduce, in pratica, in tutti i processi in esecuzione, continuando però ad “esistere” soltanto nella memoria operativa. Inoltre, tutti i processi del Trojan eseguiti separatamente vengono nascosti all’utente e alle altre applicazioni.

Al 5° posto della speciale TOP-20 da noi elaborata è andato a collocarsi il Trojan “estorsore” denominato Trojan-Ransom.AndroidOS.Fusob.pac (6,2%). Questo temibile malware mobile richiede alla propria vittima, per procedere allo sblocco del dispositivo infetto, il pagamento di un riscatto pari a 200 dollari USD. Una significativa parte delle vittime del ransomware in questione si trova in America Settentrionale (Stati Uniti e Canada), ed ugualmente in Europa (in particolar modo in Germania, Italia, Gran Bretagna, Spagna e Svizzera).

Trojan-SMS.AndroidOS.Podec.a (3%) fa parte della TOP-20 delle minacce mobile di natura nociva già da più di un anno; in questi ultimi tempi, tuttavia, tale malware ha iniziato a perdere posizioni in classifica. Difatti, mentre nei trimestri precedenti esso rientrava sempre nella composizione della TOP-5 delle minacce IT per dispositivi mobile maggiormente attive, nel primo trimestre del 2016 il Trojan-SMS Podec compare nella parte inferiore della graduatoria. Il numero di utenti sottoposti ad attacco da parte di tale Trojan è diminuito di 1,7 volte rispetto all’analogo valore rilevato nel quarto trimestre del 2015. Ultimamente, le funzionalità possedute dal Trojan mobile in causa sono in pratica rimaste invariate; inoltre, così come in precedenza, il principale metodo di monetizzazione, riguardo ad esso, continua ad essere rappresentato dall’iscrizione dell’utente-vittima a costosi servizi a pagamento.

Rileviamo, infine, come sia entrato a far parte del rating il malware denominato Exploit.AndroidOS.Lotoor.be; si tratta, in sostanza, di un exploit utilizzato dai malintenzionati per ottenere i diritti locali di superutente.

Geografia delle minacce mobile

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del primo trimestre del 2016, dai programmi malware specificamente sviluppati per colpire i dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo Paese)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobile:

Paese* % di utenti sottoposti
ad attacco**
1 Cina 38,2
2 Bangladesh 27,6
3 Uzbekistan 21,3
4 Algeria 17,6
5 Nigeria 17,4
6 India 17,0
7 Filippine 15,7
8 Indonesia 15,6
9 Ucraina 15,0
10 Malaysia 14,0

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

La leadership di tale graduatoria è andata ad appannaggio della Cina; nel Paese-colosso dell’Estremo Oriente, in pratica, circa il 40% degli utenti si è imbattuto in malware destinati alle piattaforme mobile. Ricordiamo, a tal proposito, che la Cina era andata ugualmente ad occupare la prima posizione nell’ambito del rating annuale relativo al 2015.

In tutti i Paesi che fanno parte della TOP-10 qui sopra inserita, ad eccezione della Cina, risultano particolarmente “popolari” gli stessi oggetti mobile, ovvero i cosiddetti Trojan pubblicitari, presenti nella TOP-20 dei malware mobile maggiormente attivi, ed i programmi riconducibili alla classe degli AdWare. I Trojan pubblicitari trovano ampia diffusione anche in Cina; occorre tuttavia specificare che, nel Paese asiatico, si incontrano altre famiglie di tali programmi malware, principalmente Backdoor.AndroidOS.GinMaster e Backdoor.AndroidOS.Fakengry. In Cina, inoltre, vengono attivamente distribuiti anche i programmi appartenenti alla famiglia RiskTool.AndroidOS.SMSreg. Ricordiamo, con l’occasione, che un utilizzo non particolarmente attento di tali programmi può produrre addebiti indesiderati sull’account mobile dell’utente.

I Paesi più sicuri, in relazione a tale importante indice, sono i seguenti: Taiwan (2,9%), Australia (2,7%) e Giappone (0,9%).

I Trojan bancari per piattaforme mobile

Nel periodo oggetto della nostra consueta analisi trimestrale dedicata all’evoluzione del malware, sono stati da noi individuati 4.146 Trojan-Banker destinati ai dispositivi mobile, ovvero un numero di Trojan bancari superiore di 1,7 volte rispetto all’analoga quantità rilevata per gli stessi nel trimestre precedente.

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Numero di sample di Trojan bancari per piattaforme mobile individuati da Kaspersky Lab (Situazione relativa al periodo 2° trimestre 2015 – 1° trimestre 2016)

Evoluzione delle minacce informatiche nel primo trimestre del 2016

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del primo trimestre 2016, dai Trojan bancari destinati ai dispositivi mobile
(numero di utenti sottoposti ad attacco)

Il numero complessivo degli utenti sottoposti ad attacco dipende, ovviamente, dal numero totale di utenti mobile presenti in un determinato Paese. Per valutare e comparare il livello di rischio esistente, nei vari Paesi, riguardo alle infezioni informatiche generate dai Trojan-Banker per dispositivi mobile, abbiamo provveduto ad allestire un apposito rating relativo ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte dei suddetti Trojan bancari.

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobile:

Paese* % di utenti attaccati da Trojan bancari**
1 Cina 0,45
2 Australia 0,30
3 Russia 0,24
4 Uzbekistan 0,20
5 Ucraina 0,08
6 Francia 0,06
7 Bielorussia 0,05
8 Turchia 0,05
9 Giappone 0,03
10 Kazakhstan 0,03

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari Paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Come evidenzia la tabella qui sopra inserita, la speciale graduatoria del primo trimestre 2016 è capeggiata dalla Cina; nel Paese dell’Estremo Oriente, la maggior parte degli attacchi condotti attraverso i banker mobile è risultata attribuibile ai Trojan appartenenti alle famiglie Trojan-Banker.AndroidOS.Faketoken e Trojan-Banker.AndroidOS.Svpeng. La seconda piazza del rating è andata ad appannaggio dell’Australia, dove, peraltro, si è verificato un importante cambiamento per ciò che riguarda la graduatoria inerente alle famiglie di Trojan maggiormente diffuse nel Paese: in effetti, in precedenza, la leadership era detenuta dai rappresentanti della famiglia Trojan-Banker.AndroidOS.Acecard, mentre nel primo trimestre del 2016 quest’ultima ha ceduto il passo ai malware mobile appartenenti alla famiglia Trojan-Banker.AndroidOS.Marcher.

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti attaccati da parte di Trojan-Banker per piattaforme mobile, rispetto al numero complessivo di utenti unici sottoposti ad attacco

Un significativo indice del livello di popolarità ormai raggiunto – nei vari Paesi, presso gli ambienti cybercriminali – dai Trojan bancari per piattaforme mobile, è di sicuro rappresentato dal rapporto effettivamente esistente tra il numero di utenti sottoposti ad attacco da parte degli stessi banker mobile – almeno una volta nel corso del trimestre preso in esame – ed il numero complessivo di utenti, in ogni singolo Paese, che, nel corso del 1° trimestre del 2016, hanno visto entrare in azione, perlomeno una volta, il nostro modulo antivirus dedicato ai dispositivi mobile. Tale rating si distingue, quindi, dal precedente, riportato qui sopra:

Paese* % di utenti sottoposti
ad attacco**
1 Australia 13,4
2 Russia 5,1
3 Gran Bretagna 1,6
4 Turchia 1,4
5 Austria 1,3
6 Francia 1,3
7 Polonia 1,2
8 Cina 1,1
9 Hong Kong 1
10 Svizzera 0,9

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali, registrate nei vari Paesi, relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti unici – in ogni singolo Paese – attaccati da parte di malware mobile.

Ricordiamo che l’Australia è entrata a far parte della “trojka” dei Paesi che hanno fatto registrare le quote percentuali più basse riguardo al numero di utenti attaccati dai programmi malware destinati alle piattaforme mobile. L’Australia, tuttavia, è andata ad occupare la prima posizione della classifica qui sopra riportata; in questo Paese, più del 13% del numero complessivo di utenti sottoposti ad attacco da parte dei malware appositamente sviluppati per colpire smartphone e tablet, è stato attaccato dai banker mobile. La Cina, invece, leader del rating precedente, si è collocata in una delle ultime posizioni di questa ulteriore TOP-10; ciò significa che, presso i cybercriminali insediati entro i confini del territorio della Repubblica Popolare Cinese, i Trojan bancari per dispositivi mobile godono di minore popolarità rispetto ad altre tipologie di malware mobile.

I Trojan “estorsori” per dispositivi mobile

Nel primo trimestre del 2016 sono stati da noi complessivamente individuati 2.896 Trojan-Ransom per piattaforme mobile, un numero che supera di 1,4 volte l’analoga quantità rilevata, per gli stessi, nel trimestre precedente.

q1_2016_mw_it_15

Numero di sample di Trojan estorsori per piattaforme mobile individuati da Kaspersky Lab (Situazione relativa al periodo 2° trimestre 2015 – 1° trimestre 2016)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan estorsori per dispositivi mobile:

Paese* % di utenti sottoposti
ad attacco**
1 Kazakhstan 0,92
2 Germania 0,83
3 Uzbekistan 0,80
4 Canada 0,71
5 Italia 0,67
6 Paesi Bassi 0,66
7 Gran Bretagna 0,59
8 Svizzera 0,58
9 USA 0,55
10 Spagna 0,36

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari Paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan-Ransom per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

In tutti i Paesi facenti parte di questa TOP-10, ad eccezione del Kazakhstan e dell’Uzbekistan, la famiglia di ransomware mobile più “popolare” risulta essere Fusob, ed in particolar modo la variante Trojan-Ransom.AndroidOS.Fusob.pac (ricordiamo, a tal proposito, che questo programma malware si è collocato al quinto posto del rating generale, relativo all’insieme delle minacce mobile).

In Kazakhstan ed in Uzbekistan, i Paesi che sono andati ad occupare, rispettivamente, il primo e il terzo gradino del “podio” virtuale, la principale minaccia per gli utenti è rappresentata dai Trojan estorsori della famiglia Small. Si tratta, nella fattispecie, di un Trojan-Ransom piuttosto “semplice”, il quale sovrappone la propria finestra nociva a tutte le altre finestre che compaiono sullo schermo del dispositivo, bloccando, in tal modo, il funzionamento di quest’ultimo. Per procedere all’operazione di sblocco, i malintenzionati richiedono, di solito, il pagamento di una cifra piuttosto contenuta (a partire da 10 dollari).

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

Nel primo trimestre dell’anno in corso, così come in precedenza, si sono rivelati particolarmente popolari, presso i cybercriminali, gli exploit destinati all’applicazione Adobe Flash Player. È stato osservato, nel trimestre qui preso in esame, l’utilizzo di due nuove vulnerabilità individuate in tale software:

  • CVE-2015-8651
  • CVE-2016-1001

Il primo exploit pack che ha fornito il “necessario” supporto per lo sfruttamento, da parte dei malintenzionati, delle vulnerabilità in questione, è risultato essere il famigerato Angler.

Uno degli eventi di maggior rilievo verificatisi nel corso del primo trimestre del 2016 è indubbiamente rappresentato dall’utilizzo di un temibile exploit per Microsoft Silverlight, relativo alla vulnerabilità CVE-2016-0034. Al momento della pubblicazione del presente report, tale vulnerabilità viene sfruttata dagli exploit pack Angler e RIG.

Come da tradizione ormai consolidata, è entrato a far parte della composizione di alcuni noti exploit pack un exploit appositamente creato per colpire la vulnerabilità CVE-2015-2419, rilevata nel browser Internet Explorer.

Il quadro generale relativo all’utilizzo degli exploit nel primo trimestre dell’anno in corso, appare nel modo seguente:

q1_2016_mw_it_16

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa al primo trimestre del 2016

Come era lecito attendersi, rileviamo una diminuzione della quota relativa agli exploit destinati alla piattaforma Java (-3 punti percentuali), mentre, al contempo, si registra un aumento della frequenza di utilizzo degli exploit per Adobe Flash Player (+ 1%). Un dato particolarmente rilevante è rappresentato dal sensibile incremento dell’indice riguardante gli exploit appositamente confezionati per attaccare la suite Microsoft Office (+ 10 punti percentuali). Spiccano in larga maggioranza, in questo gruppo, gli exploit volti a sfruttare le vulnerabilità individuate in Microsoft Word. La significativa crescita percentuale fatta registrare dagli exploit destinati ad Office è dovuta, principalmente, alle numerosi mailing di massa composte da messaggi di spam attraverso i quali i malintenzionati hanno distribuito tali oggetti nocivi.

Complessivamente, nel trimestre oggetto del presente report, si è mantenuta la specifica tendenza, da noi peraltro osservata già da alcuni anni a questa parte, che vede i malintenzionati ricorrere principalmente all’utilizzo di exploit per Adobe Flash Player ed Internet Explorer. Nell’ambito del grafico da noi elaborato, quest’ultimo rientra nella categoria “Browsers”, della quale fanno ugualmente parte i rilevamenti che riguardano le landing pages adibite alla distribuzione degli exploit.

Programmi malware in Internet (attacchi tramite siti web)

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall’Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web dannose/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

Nel primo trimestre del 2016, il nostro Anti-Virus Web ha effettuato il rilevamento di 18.610.281 oggetti dannosi unici (script, exploit, file eseguibili, etc.); sono stati inoltre individuati e bloccati, da parte del modulo Anti-Virus Web di Kaspersky Lab, 74.001.808 URL unici.

Le minacce online rivolte al settore finanziario

Complessivamente, nel primo trimestre del 2016, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di 459.970 utenti della rete globale di sicurezza Kaspersky Security Network. Osserviamo, ad ogni caso, una sensibile diminuzione del livello di attività dei cosiddetti malware finanziari: tale indice ha fatto registrare un decremento del 23,0% rispetto all’analogo valore rilevato nel trimestre precedente (597.415). Ricordiamo, a tal proposito, che nel primo trimestre del 2015 erano stati registrati tentativi di attacco tramite malware bancario su 699.652 computer degli utenti; nell’arco di un anno, quindi, il numero delle vittime è diminuito del 34,26%.

q1_2016_mw_it_17

Numero di utenti sottoposti ad attacco da parte di malware finanziari – Situazione relativa al primo trimestre del 2016

Geografia degli attacchi

Al fine di valutare e comparare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari – rischio al quale risultano sottoposti i computer degli utenti nei vari Paesi del globo – abbiamo stimato, per ogni Paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel Paese.

q1_2016_mw_it_18

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del primo trimestre del 2016 mediante l’utilizzo di malware bancario (percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari

Paese* % di utenti sottoposti
ad attacco**
1 Brasile 3,86
2 Austria 2,09
3 Tunisia 1,86
4 Singapore 1,83
5 Russia 1,58
6 Venezuela 1,58
7 Marocco 1,43
8 Bulgaria 1,39
9 Hong Kong 1,37
10 Emirati Arabi Uniti 1,30

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dall’anti-virus; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di Trojan bancari, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Come evidenzia la tabella qui sopra riportata, nel primo trimestre del 2016 la leadership della speciale TOP-10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte dei Trojan bancari nei vari Paesi, è andata nuovamente ad appannaggio del Brasile. Uno dei motivi del notevole incremento, nel Paese sudamericano, delle minacce “finanziarie”, è rappresentato dalla comparsa di Trojan bancari di tipo cross-platform. Rileviamo come la maggior parte dei Paesi presenti nella speciale TOP-10 si caratterizzi per un elevato livello di sviluppo tecnologico e/o per la presenza di un sistema bancario ben esteso; questo, ovviamente, attira in particolar modo le losche attenzioni dei cybercriminali.

In Russia, durante il periodo qui esaminato, è stato attaccato perlomeno una volta, da parte dei Trojan bancari, l’1,58% degli utenti (tale indice ha evidenziato un aumento di 1 punto percentuale rispetto al trimestre precedente). La quota relativa agli Stati Uniti è invece risultata pari allo 0,26%; in Spagna l’analogo indice si è attestato allo 0,84%, in Italia allo 0,79%, in Germania allo 0,52%; Gran Bretagna e Francia, infine, hanno fatto registrare, rispettivamente, valori pari allo 0,48% e allo 0,36%.

TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del primo trimestre del 2016, nell’ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking – redatta sulla base del numero totale di utenti sottoposti ad attacco – si presenta nella maniera seguente:

Denominazione Numero di utenti sottoposti ad attacco
1 Trojan-Spy.Win32.Zbot 419940
2 Trojan-Downloader.Win32.Upatre 177665
3 Trojan-Banker.Java.Agent 68467
4 Trojan-Banker.Win32.Gozi 53978
5 Trojan-Banker.Win32.BestaFera 25923
6 Trojan.Win32.Tinba 24964
7 Trojan-Banker.Win32.Banbra 22942
8 Trojan-Banker.AndroidOS.Agent 19782
9 Trojan-Banker.AndroidOS.Abacus 13446
10 Trojan-Banker.Win32.ChePro 9209

Come evidenzia la TOP-10 qui sopra inserita, la famiglia di malware denominata Trojan-Spy.Win32.Zbot mantiene saldamente, con ampio margine, la testa della speciale classifica da noi stilata. La sua presenza permanente ai vertici di tale graduatoria non è certo casuale. I Trojan della famiglia Zbot sono stati tra i primi ad utilizzare il metodo della web injection per cercare di carpire i dati relativi alle operazioni di pagamento svolte nell’ambito dei sistemi di banking online, e cercare di modificare il contenuto delle pagine web inerenti alla sfera bancaria. Essi utilizzano vari livelli di cifratura dei propri file di configurazione; allo stesso tempo, il file di configurazione, una volta decodificato, non viene custodito interamente in memoria, ma viene caricato in porzioni separate.

La seconda posizione del rating relativo al primo trimestre dell’anno in corso è andata ad appannaggio dei malware appartenenti alla famiglia di software nocivi classificata come Trojan-Downloader.Win32.Upatre. I programmi dannosi riconducibili a tale specifica famiglia di malware risultano essere tutt’altro che complessi e presentano, per di più, dimensioni decisamente esigue (non oltre i 3,5 Kb); le funzionalità di cui sono provvisti si limitano, in genere, al caricamento del “payload” sul computer-vittima: si tratta, di solito, di insidiosi Trojan-Banker appartenenti alla famiglia attualmente nota con tre diversi appellativi – Dyre/Dyzap/Dyreza. Il compito principale al quale risultano adibiti tali Trojan bancari è rappresentato dal furto dei dati sensibili relativi alle operazioni di pagamento condotte online dagli utenti. Per far ciò, Dyre provvede ad intercettare i dati della sessione bancaria in corso tra il browser della vittima e l’applicazione web di online banking; in altre parole, il Trojan applica la subdola tecnica definita “Man-in-the-Browser” (MITB).

È di particolare rilevanza sottolineare come la stragrande maggioranza delle famiglie di malware presenti nella composizione della speciale TOP-10 da noi elaborata, si avvalga di apposite tecniche di “web injection”, utilizzate per iniettare codice HTML arbitrario all’interno della pagina web visualizzata dall’utente tramite il proprio browser; al tempo stesso, i suddetti malware fanno largo uso di sofisticati processi di intercettazione dei dati sensibili relativi alle transazioni finanziarie eseguite in Rete dagli utenti, dati inseriti da questi ultimi in form appositamente contraffatti, i quali vanno poi a rimpiazzare i moduli originali.

Nel primo trimestre del 2016, la TOP-3 del rating qui sopra riportato annovera la presenza di un Trojan-Banker di tipo cross-platform, scritto e compilato in Java. I Trojan Java multipiattaforma hanno iniziato ad essere utilizzati in maniera particolarmente attiva dai cybercriminali brasiliani. Gli esperti di Kaspersky Lab hanno inoltre individuato un nuovo programma malware, anch’esso scritto in linguaggio Java, ed utilizzato per carpire le informazioni sensibili di natura finanziaria: si tratta del RAT denominato Adwind. Adwind risulta interamente compilato in Java; proprio per tale motivo, esso è in grado di attaccare tutte le piattaforme più diffuse – Windows, Mac OS, Linux e Android. Il programma malware in causa consente ai criminali di raccogliere ed esfiltrare i dati sensibili; i cybercriminali, con Adwind, hanno inoltre la possibilità di controllare e gestire da remoto il dispositivo infetto. Attualmente, il malware in questione è in grado di realizzare degli screenshot, catturando, in tal modo, i contenuti presenti sul display della vittima; esso ha poi la capacità di intercettare e memorizzare le sequenze dei tasti premuti dall’utente; compiere il furto di password e dati inseriti nel browser e nei moduli web; fotografare e realizzare video tramite la webcam; effettuare registrazioni audio per mezzo del microfono presente sul dispositivo; raccogliere dati di natura generale riguardo all’utente o al sistema preso di mira; carpire i certificati VPN, così come le chiavi relative ai wallet (portafogli virtuali) contenenti criptovaluta; Adwind, infine, è in grado di gestire gli SMS.

Al quarto posto della TOP-10 inerente alle famiglie di malware è andato a collocarsi il Trojan bancario denominato Trojan-Banker.Win32.Gozi, il quale fa uso della tecnica dannosa che prevede l’introduzione del malware all’interno dei processi di popolari browser web, allo scopo di eseguire il furto delle informazioni di pagamento. Alcuni esemplari di tale programma Trojan possono infettare l’MBR (Master Boot Record), e mantenere poi la propria presenza nel sistema operativo, persino nel caso in cui l’OS venga in seguito reinstallato.

Uno dei software nocivi più “curiosi” ed interessanti, tra i malware preposti al furto dei dati riguardanti la sfera finanziaria, non entrato a far parte della TOP-10, è Gootkit. Tale programma malevolo si rivela di particolare interesse, in primo luogo, per il fatto che esso risulta scritto mediante l’utilizzo della piattaforma software Node.JS. Gootkit presenta un’architettura modulare. L’interprete del codice di cui si compone il malware è contenuto nel corpo di quest’ultimo; di conseguenza, Gootkit si caratterizza per le sue dimensioni davvero imponenti (circa 5 MB). Per effettuare il furto dei dati di pagamento, Gootkit si avvale di procedure di intercettazione del traffico http, e dell’inserimento nel processo del browser. Tra le funzionalità standard di cui è provvisto il Trojan, troviamo ugualmente l’esecuzione di comandi arbitrari, l’auto-aggiornamento e la creazione di screenshot. Questo Trojan-Banker, ad ogni caso, non ha conosciuto un’ampia diffusione.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per Paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dai prodotti Kaspersky Lab (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli attacchi informatici condotti tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel primo trimestre del 2016 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto 228.420.754 attacchi condotti attraverso siti Internet compromessi dislocati in 195 diversi Paesi. Il 76% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati, è risultato attribuibile ad assalti provenienti da siti web ubicati in una ristretta cerchia di dieci Paesi.

q1_2016_mw_it_19

Ripartizione per Paesi delle fonti degli attacchi web – Situazione relativa al primo trimestre del 2016

Rileviamo, innanzitutto, come la leadership della speciale classifica da noi stilata sia andata ad appannaggio dei Paesi Bassi (24,60%); in seconda posizione troviamo gli Stati Uniti, la cui quota è risultata pari al 21,44%; ricordiamo a tal proposito che, nell’analoga graduatoria relativa al trimestre precedente, gli USA occupavano la prima posizione del rating, mentre l’Olanda era andata a collocarsi al secondo posto. La terza e la quarta piazza della TOP-10 relativa alle fonti geografiche degli attacchi web risultano occupate da Russia (7,45%) e Germania (6%); anche questi due Paesi, nell’arco del trimestre, si sono scambiati le rispettive posizioni in classifica. Non fa più parte della graduatoria il Vietnam, mentre la “new entry” del rating – ovvero la Bulgaria – si è collocata all’ottavo posto, con un indice pari all’1,75%.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari Paesi del globo – abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni Paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

Paese* % di utenti unici**
1 Russia 36,28
2 Kazakhstan 33,19
3 Cina 32,87
4 Azerbaijan 30,28
5 Ucraina 29,96
6 Bielorussia 29,16
7 Slovenia 26,88
8 Armenia 26,27
9 Vietnam 25,14
10 Moldavia 24,68
11 Kirghizistan 24,46
12 Spagna 24,00
13 India 23,98
14 Brasile 23,68
15 Italia 22,98
16 Algeria 22,88
17 Lituania 22,58
18 Croazia 22,04
19 Turchia 21,46
20 Francia 21,46

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

La leadership del rating qui esaminato è rimasta invariata rispetto al trimestre precedente: la prima posizione della graduatoria, in effetti, continua ad essere occupata dalla Russia (36,3%). Rileviamo inoltre come, rispetto al quarto trimestre dello scorso anno, non facciano più parte della TOP-20 i seguenti Paesi: Cile, Mongolia, Bulgaria e Nepal. Le “new entry” del trimestre sono invece rappresentate da Slovenia (26,9%), India (24%) e Italia (23%).

q1_2016_mw_it_20

Tra i Paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo Germania (17,7%), Canada (16,2%), Belgio (14,5%), Svizzera (14%), USA (12,8%), Gran Bretagna (12,7%), Singapore (11,9%), Norvegia (11,3%), Honduras (10,7%), Paesi Bassi (9,6%) e Cuba (4,5%).

Complessivamente, a livello mondiale, nel corso del trimestre qui analizzato, una consistente porzione degli utenti della Rete (21,2%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web. Rispetto al quarto trimestre del 2015, tale significativo indice presenta una diminuzione pari a 1,5 punti percentuali.

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del terzo trimestre del 2014. Tali dati riguardano quindi proprio quelle infezioni che non sono penetrate nei computer attraverso il Web, la posta elettronica o le porte di rete.

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Lungo tutto l’arco del primo trimestre dell’anno in corso, il nostro modulo Anti-Virus File ha rilevato con successo 174.547.611 oggetti nocivi unici, o potenzialmente indesiderabili.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

È stata calcolata, per ogni Paese, la percentuale di utenti dei prodotti Kaspersky Lab che, nel corso del periodo preso in esame nel presente report, ha visto entrare in azione il modulo Anti-Virus File, specificamente dedicato al rilevamento delle minacce IT locali. Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari Paesi del mondo.

TOP-20 relativa ai Paesi in cui sono state rilevate le quote percentuali più elevate in termini di rischio di contagio da infezioni informatiche locali

Paese* % di utenti unici**
1 Somalia 66,88%
2 Yemen 66,82%
3 Armenia 65,17%
4 Kirghizistan 64,45%
5 Russia 64,18%
6 Tagikistan 64,06%
7 Bangladesh 63,60%
8 Vietnam 61,31%
9 Afghanistan 60,72%
10 Kazakhstan 60,62%
11 Nepal 59,60%
12 Uzbekistan 59,42%
13 Etiopia 59,23%
14 Ucraina 58,90%
15 Bielorussia 58,51%
16 Laos 58,46%
17 Ruanda 58,10%
18 Iraq 57,16%
19 Algeria 57,15%
20 Moldavia 56,93%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di apparecchi fotografici digitali, telefoni, hard disk esterni).

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Desideriamo innanzitutto porre in evidenza come la TOP-20 relativa al primo trimestre del 2016 presenti una nuova leadership: si tratta della Somalia; il Paese africano ha fatto registrare una quota pari al 66,9%. Da parte sua, il Bangladesh, insediatosi in passato al primo posto della graduatoria per vari trimestri di fila, è sceso invece al settimo posto del rating (63,6%). Le “new entry” della TOP-20, in relazione al trimestre precedente, sono rappresentate dai seguenti Paesi: Uzbekistan (12° posto, con una quota pari al 59,4%), Ucraina (14° posto; 58,9%), Bielorussia (15° posto; 58,5%), Iraq (18° posto; 57,2%) e Moldavia (20° posto; 57,0%).

q1_2016_mw_it_21

Paesi con il più basso livello di contaminazione informatica a carattere “locale”: Repubblica Ceca (27,2%), Danimarca (23,2%) e Giappone (21,0%).

In media, nel mondo, durante il primo trimestre del 2016, sono state rilevate minacce IT di origine locale – perlomeno una volta – sul 44,5% dei computer degli utenti; tale indice ha fatto pertanto registrare, rispetto al quarto trimestre dello scorso anno, un aumento pari allo 0,8%.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *