Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Contenuti

Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all’attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un’efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi Paesi e territori del globo.

Il trimestre in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) – l’estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – lungo tutto l’arco del secondo trimestre del 2016 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 171.895.830 attacchi condotti attraverso siti Internet compromessi, dislocati in 191 paesi diversi.
  • In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 54.539.948 URL unici.
  • Il nostro Anti-Virus Web ha effettuato il rilevamento di 16.119.489 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
  • Sono stati respinti tentativi di esecuzione di programmi malware preposti al furto delle risorse finanziarie attraverso l’accesso online ai conti bancari, sui computer di 1.132.031 utenti.
  • Gli attacchi condotti mediante l’utilizzo di malware crittografici sono stati respinti sui computer di 311.590 utenti unici.
  • Il nostro modulo Anti-Virus File ha rilevato con successo 249.619.379 oggetti maligni unici, o potenzialmente indesiderabili.
  • Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobile hanno effettuato il rilevamento di:
    • 3.626.458 pacchetti di installazione maligni;
    • 27.403 pacchetti di installazione relativi a Trojan bancari per piattaforme mobile;
    • 83.048 pacchetti di installazione relativi a Trojan “estorsori” per dispositivi mobile.

Le minacce IT per dispositivi mobile

Nel secondo trimestre del 2016, Kaspersky Lab ha rilevato 3.626.458 pacchetti di installazione nocivi, ovvero un numero di pacchetti maligni superiore di 1,7 volte rispetto a quanto riscontrato riguardo al trimestre precedente.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Numero complessivo di pacchetti di installazione maligni individuati
nel periodo 3° trimestre 2015 – 2° trimestre 2016

Ripartizione per tipologie dei programmi mobile individuati

Ad iniziare dal trimestre qui preso in esame, la suddivisione per tipologie di comportamento dei software destinati ai dispositivi mobile viene realizzata sulla base del numero di pacchetti di installazione effettivamente identificati, anziché in relazione al numero delle nuove varianti di software mobile via via individuate, come veniva invece fatto in precedenza.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Suddivisione per tipologie dei nuovi programmi mobile individuati –
1° e 2° trimestre del 2016 a confronto

La speciale graduatoria del secondo trimestre del 2016 riservata alla ripartizione dei software per piattaforme mobile via via rilevati, – suddivisione basata sugli specifici comportamenti evidenziati da tali programmi – risulta capeggiata dai RiskTool; si tratta, nella fattispecie, di applicazioni legittime, le quali, tuttavia, possono rivelarsi potenzialmente pericolose per gli utenti. La quota trimestrale ascrivibile ai RiskTool risulta sensibilmente aumentata, di quasi 1,5 volte, visto che tale indice è passato dal 31,6% fatto registrare nel primo trimestre del 2016 al 45,1% per esso riscontrato nel secondo trimestre dell’anno in corso.

Il secondo gradino del “podio” virtuale risulta occupato dagli AdWare, ovvero le invadenti applicazioni pubblicitarie potenzialmente indesiderate. Rispetto a quanto rilevato nel trimestre precedente, la quota attribuibile agli Adware è diminuita di 1,4 punti percentuali, attestandosi così su un valore pari al 14,2%.

L’indice inerente ai Trojan-SMS ha evidenziato una flessione molto più pronunciata; esso è in effetti diminuito di 1,7 volte, passando, nell’arco di soli tre mesi, dal 18,5% al 10,8%. I Trojan-SMS hanno in tal modo “perso”una posizione in classifica, scendendo dal secondo al terzo posto della speciale graduatoria. La maggior parte dei file rilevati, tra quelli riconducibili alla tipologia dei Trojan-SMS, è costituita dai malware mobile denominati, rispettivamente, Trojan-SMS.AndroidOS.Agent.qu e Trojan-SMS.AndroidOS.Agent.f; ad ognuno di essi risulta attribuibile circa il 30% del numero complessivo di file malevoli individuati.

Osserviamo, infine, come abbia fatto registrare un marcato decremento anche la quota relativa ai Trojan-Dropper, il cui indice è sceso dal 14,5% del primo trimestre dell’anno all’attuale 9,2%. La leadership inerente a questa specifica tipologia di programmi è andata ad appannaggio del malware classificato come Trojan-Dropper.AndroidOS.Agent.v; sono stati da noi complessivamente individuati oltre 50.000 pacchetti di installazione correlati a tale Trojan.

TOP-20 relativa ai programmi malware destinati alle piattaforme mobile

Il rating riservato ai programmi maligni, qui sotto inserito, non include i programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Denominazione % di utenti sottoposti ad attacco*
1 DangerousObject.Multi.Generic 80,87
2 Trojan.AndroidOS.Iop.c 11,38
3 Trojan.AndroidOS.Agent.gm 7,71
4 Trojan-Ransom.AndroidOS.Fusob.h 6,59
5 Backdoor.AndroidOS.Ztorg.a 5,79
6 Backdoor.AndroidOS.Ztorg.c 4,84
7 Trojan-Ransom.AndroidOS.Fusob.pac 4,41
8 Trojan.AndroidOS.Iop.t 4,37
9 Trojan-Dropper.AndroidOS.Gorpo.b 4,33
10 Trojan.AndroidOS.Ztorg.a 4,30
11 Trojan.AndroidOS.Ztorg.i 4,25
12 Trojan.AndroidOS.Iop.ag 4,00
13 Trojan-Dropper.AndroidOS.Triada.d 3,10
14 Trojan-Dropper.AndroidOS.Rootnik.f 3,07
15 Trojan.AndroidOS.Hiddad.v 3,03
16 Trojan-Dropper.AndroidOS.Rootnik.h 2,94
17 Trojan.AndroidOS.Iop.o 2,91
18 Trojan.AndroidOS.Rootnik.ab 2,91
19 Trojan.AndroidOS.Triada.e 2,85
20 Trojan-SMS.AndroidOS.Podec.a 2,83

* Quote percentuali relative al numero di utenti unici attaccati da tali malware mobile, sul numero complessivo di utenti dell’antivirus mobile di Kaspersky Lab sottoposti ad attacco

Il primo posto della speciale graduatoria relativa ai malware mobile più diffusi nel corso del secondo trimestre del 2016 è andato ad appannaggio di una serie di programmi malevoli classificati come DangerousObject.Multi.Generic (80,87%); questo verdetto viene utilizzato per identificare i programmi dannosi individuati e neutralizzati con l’ausilio delle tecnologie “in-the-cloud”. Tali tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database antivirus, né le apposite firme né gli euristici indispensabili per poter rilevare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella propria “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

Così come era avvenuto per l’analoga graduatoria relativa al trimestre precedente, anche all’interno della TOP-20 inerente al secondo trimestre del 2016 spicca la presenza di un elevato numero di programmi Trojan che ricorrono all’utilizzo della pubblicità come principale strumento di “monetizzazione”; tali software nocivi, evidenziati in blu nella tabella qui sopra riportata, risultano essere, complessivamente, ben sedici. Il loro scopo è esclusivamente quello di recapitare all’utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l’installazione di nuovi software pubblicitari. I Trojan sopra citati possono inoltre utilizzare i diritti di superutente per nascondersi all’interno della cartella di sistema; la rimozione degli stessi si rivela essere, quindi, un’operazione particolarmente complessa.

Il malware denominato Trojan.AndroidOS.Iop.c (11,38%), salito dal terzo al secondo posto della speciale TOP-20 da noi stilata, è risultato essere il malware mobile in assoluto più diffuso nel corso del secondo trimestre del 2016. Lungo tutto l’arco del periodo oggetto del presente report, abbiamo individuato questo Trojan in ben 180 diversi paesi; la maggior parte degli utenti sottoposti ad attacco, tuttavia, si è rivelata essere ubicata in Russia, India ed Algeria. Il malware Iop.c è in grado di sfruttare varie vulnerabilità del sistema, allo scopo di ottenere i diritti locali di superutente. Il principale metodo di “monetizzazione” da esso praticato consiste nel far visualizzare all’utente, in maniera forzata, pubblicità fastidiose ed invadenti; il Trojan in questione, inoltre, installa (in genere furtivamente) vari programmi sul dispositivo dell’utente-vittima; vi sono, tra questi ultimi, ulteriori software nocivi.

Il quarto ed il settimo posto del rating risultano occupati da due rappresentanti della famiglia di software “estorsori” denominata Trojan-Ransom.AndroidOS.Fusob. Questi temibili Trojan, in pratica, bloccano il dispositivo dell’utente, richiedendo poi alla vittima il pagamento di un riscatto pari a 100-200 dollari, per poter procedere al ripristino del normale funzionamento dell’apparecchio mobile compromesso. La maggior parte delle vittime di tale programma maligno risulta situata sul territorio di Germania e Stati Uniti; nel corso del secondo trimestre del 2016 sono stati da noi complessivamente individuati attacchi informatici, condotti attraverso l’utilizzo del Trojan in questione, in oltre 120 paesi.

Il malware denominato Trojan-SMS.AndroidOS.Podec.a (2,83%) fa parte della TOP-20 delle minacce mobile di natura nociva già da più di un anno; in questi ultimi tempi, tuttavia, tale programma ha iniziato a perdere posizioni in classifica. Rileviamo in effetti che, mentre in precedenza esso rientrava stabilmente nella composizione della TOP-5 delle minacce IT per dispositivi mobile maggiormente attive, già per il secondo trimestre di fila Podec si posiziona nella parte inferiore della speciale graduatoria da noi stilata. Ultimamente, le funzionalità possedute dal Trojan mobile in causa sono in pratica rimaste invariate; inoltre, così come in precedenza, il principale metodo di monetizzazione, riguardo ad esso, continua ad essere rappresentato dall’iscrizione dell’utente-vittima a costosi servizi a pagamento.

Geografia delle minacce mobile

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre del 2016, dai programmi malware specificamente sviluppati per colpire i dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese)

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobile:

Paese* % di utenti sottoposti ad attacco**
1 Cina 36,31
2 Bangladesh 32,66
3 Nepal 30,61
4 Uzbekistan 22,43
5 Algeria 22,16
6 Nigeria 21,84
7 India 21,64
8 Indonesia 21,35
9 Pakistan 19,49
10 Iran 19,19

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

Il primo posto della speciale TOP-10 “geografica” elaborata dagli esperti di Kaspersky Lab è andato ad appannaggio della Cina: oltre il 36% degli utenti ubicati nel paese-colosso dell’Estremo Oriente si è imbattuto – almeno una volta nel corso del trimestre preso in esame – in programmi malware destinati ai dispositivi mobile. Ricordiamo, a tal proposito, che la Cina era andata ugualmente ad occupare la prima posizione nell’ambito dell’analogo rating relativo al trimestre precedente.

In tutti i paesi che fanno parte della TOP-10 qui sopra inserita, ad eccezione della Cina, risultano particolarmente “popolari” gli stessi oggetti mobile, ovvero i cosiddetti Trojan pubblicitari, presenti nella TOP-20 dei malware mobile maggiormente attivi, ed i programmi riconducibili alla classe degli AdWare. In pratica, in quasi tutti i paesi in questione il software nocivo maggiormente “popolare” è risultato essere Trojan.AndroidOS.Iop.c. I Trojan pubblicitari, da parte loro, trovano ampia diffusione anche in Cina; occorre tuttavia specificare che, nel paese asiatico, si incontrano altre famiglie di tali programmi malware, principalmente Backdoor.AndroidOS.GinMaster e Backdoor.AndroidOS.Fakengry. Così, il noto malware mobile Trojan.AndroidOS.Iop.c, nel rating appositamente riservato alla Cina, è andato ad occupare soltanto il 16° posto della graduatoria.

Forniamo, qui di seguito, ulteriori indicazioni riguardo alle posizioni in cui si sono situati vari altri paesi nell’ambito del ranking qui analizzato: la Russia (10,4%), ad esempio, si è collocata al 26° posto dello stesso, la Germania (8,5%) al 38°, l’Italia (6,2%) al 49°; seguono inoltre, in classifica, la Francia (5,9%) – 52° posto; gli Stati Uniti (5,0%), in 59a posizione; la Gran Bretagna (4,6%), infine, compare al 64° posto della graduatoria da noi stilata.

I paesi più sicuri, in termini di quota percentuale di utenti sottoposti ad attacco, sono risultati essere i seguenti: Austria (3,6%), Svezia (2,9%) e Giappone (1,7%).

I Trojan bancari per piattaforme mobile

Ad iniziare dal trimestre qui preso in esame, il numero complessivo dei Trojan bancari destinati ai dispositivi mobile viene determinato in base al numero di pacchetti di installazione effettivamente individuati, e non in relazione al numero di varianti di Trojan-Banker via via rilevate, come veniva invece fatto in precedenza. Nel periodo oggetto della nostra consueta analisi trimestrale dedicata all’evoluzione del malware, sono stati da noi individuati, in totale, 27.403 Trojan-Banker appositamente sviluppati per colpire le piattaforme mobile, ovvero un numero di Trojan bancari inferiore di 1,2 volte rispetto all’analoga quantità rilevata per gli stessi nel trimestre precedente.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Numero di pacchetti di installazione, relativi a Trojan bancari per dispositivi mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 3° trimestre 2015 – 2° trimestre 2016)

Desideriamo innanzitutto sottolineare come, nel secondo trimestre del 2016, i cinque Trojan-Banker mobile in assoluto più “popolari” siano risultati riconducibili a due sole famiglie di malware, ovvero Trojan-Banker.AndroidOS.Asacub e Trojan-Banker.AndroidOS.Svpeng.

Ad ogni caso, nel trimestre qui esaminato, il Trojan bancario maggiormente utilizzato dai cybercriminali si è rivelato essere Trojan-Banker.AndroidOS.Asacub.i. Questo Trojan fa uso in maniera particolarmente attiva di varie tecnologie malevole, allo scopo di ingannare gli utenti e bypassare, quindi, le specifiche restrizioni previste a livello di sistema operativo. Nel primo trimestre dell’anno in corso eravamo riusciti ad individuare una versione di tale Trojan mobile che si caratterizzava per il fatto di sovrapporre la propria finestra maligna alla finestra di dialogo standard del sistema relativa alla richiesta di ottenimento dei diritti di amministratore del dispositivo; quindi, premendo sul pulsante “Sì”, l’utente non avrebbe potuto in alcun modo immaginare di fornire involontariamente il proprio assenso alla richiesta subdolamente effettuata dal Trojan. Nel secondo trimestre del 2016, poi, abbiamo scoperto una variante di Asacub che richiede all’utente-vittima l’autorizzazione per divenire l’applicazione principale in relazione alla gestione dei messaggi SMS.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Finestra di dialogo inerente alla richiesta effettuata dal malware mobile Trojan-Banker.AndroidOS.Asacub.i, relativa all’ottenimento dei diritti di applicazione predefinita per la gestione dei messaggi SMS

Questo consente al programma Trojan di poter bypassare le limitazioni implementate a livello di sistema, introdotte con Android 4.4, e di nascondere all’utente-vittima gli SMS in entrata (vengono occultati, di solito, i messaggi provenienti da banche e sistemi di pagamento). Per far sì che l’utente mantenga poi, a livello di impostazioni, l’app maligna in causa come predefinita, riguardo alla gestione degli SMS, gli autori del Trojan hanno dovuto realizzare, tra le altre cose, un’apposita interfaccia per operare con tali messaggi.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

L’interfaccia di Trojan-Banker.AndroidOS.Asacub.i utilizzata per la composizione e l’invio dei messaggi SMS

Il Trojan mobile Asacub si diffonde attivamente attraverso messaggi SMS di spam.

La speciale graduatoria del secondo trimestre 2016 relativa al numero di utenti sottoposti ad attacco da parte di Trojan bancari per dispositivi mobile, risulta capeggiata da Russia e Germania:

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre 2016, dai Trojan bancari destinati ai dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese)

Il numero complessivo degli utenti sottoposti ad attacco dipende, ovviamente, dal numero totale di utenti mobile presenti in un determinato paese. Per valutare e comparare il livello di rischio esistente, nei vari paesi, riguardo alle infezioni informatiche generate dai Trojan-Banker per dispositivi mobile, abbiamo provveduto ad allestire un apposito rating relativo ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte dei suddetti Trojan bancari, in relazione al numero totale di utenti mobile presenti in ogni singolo paese.

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobile:

Paese* % di utenti attaccati da Trojan bancari**
1 Russia 1,51
2 Australia 0,73
3 Uzbekistan 0,45
4 Corea 0,35
5 Cina 0,34
6 Ucraina 0,33
7 Danimarca 0,28
8 Germania 0,24
9 Turchia 0,23
10 Kirghizistan 0,17

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

Come evidenzia la tabella qui sopra inserita, il rating relativo al secondo trimestre del 2016 è capeggiato dalla Russia (1,51%); in tale paese, la maggior parte degli attacchi portati attraverso i banker mobile è risultata attribuibile ai Trojan appartenenti alle famiglie Trojan-Banker.AndroidOS.Asacub, Trojan-Banker.AndroidOS.Svpeng e Trojan-Banker.AndroidOS.Faketoken.

La Cina (0,34%), leader dell’analoga graduatoria relativa al primo trimestre dell’anno in corso, ha “perso” varie posizioni in classifica, collocandosi, di fatto, al quinto posto della TOP-10 da noi stilata.

L’Australia (0,73%), da parte sua, è andata ad occupare, così come nel trimestre precedente, la seconda piazza del ranking; la maggior parte degli attacchi informatici di tal genere, registrati sul territorio di questo paese, è risultata riconducibile a malware mobile facenti parte delle famiglie Trojan-Banker.AndroidOS.Marcher e Trojan-Banker.AndroidOS.Acecard.

In Russia e in Australia, i software nocivi per piattaforme mobile in assoluto più “popolari” presso i malintenzionati, si sono rivelati essere proprio i Trojan-Banker. In questi due paesi, in effetti, sono state registrate le quote percentuali più elevate di utenti presi di mira dai famigerati banker mobile (14%), rispetto al numero complessivo di utenti unici sottoposti ad attacco.

I Trojan “estorsori” per dispositivi mobile

Ad iniziare dal trimestre qui preso in esame, il numero complessivo di Trojan estorsori per piattaforme mobile viene determinato in base al numero di pacchetti di installazione effettivamente individuati, e non in relazione al numero di varianti di Trojan-Ransom progressivamente rilevate, come veniva invece fatto in precedenza.

Nel secondo trimestre del 2016 sono stati da noi individuati, in totale, 83.048 pacchetti di installazione inerenti a programmi ransomware mobile; si tratta, all’incirca, della medesima quantità rilevata per gli stessi nel trimestre precedente, mentre il valore qui sopra indicato risulta superiore di quasi 7 volte rispetto a quanto riscontrato nel quarto trimestre del 2015.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Numero di pacchetti di installazione, relativi a Trojan estorsori per dispositivi mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 3° trimestre 2015 – 2° trimestre 2016)

Il repentino aumento del numero dei pacchetti di installazione di ransomware mobile, verificatosi nel corso del 2016, è in gran parte dovuto alla rapida ed attiva diffusione dei programmi Trojan appartenenti alla famiglia Trojan-Ransom.AndroidOS.Fusob. Nel primo trimestre del 2016 era risultato riconducibile a tale famiglia oltre il 96% dei pacchetti di installazione individuati, inerenti a malware mobile facenti parte della specifica tipologia Trojan-Ransom; nel secondo trimestre dell’anno in corso, l’analoga quota si è attestata su un valore pari all’85%.

Il Trojan estorsore in assoluto più diffuso si è rivelato essere, nel trimestre oggetto della nostra analisi, Trojan-Ransom.AndroidOS.Fusob.h. In esso si è imbattuto quasi il 60% degli utenti sottoposti ad attacco da parte di programmi ransomware destinati ai dispositivi mobile. Una volta avviato, tale Trojan richiede i diritti di amministratore, raccoglie informazioni sul dispositivo preso di mira, tra cui le coordinate GPS e la cronologia delle chiamate, e provvede poi ad effettuare l’upload dei dati carpiti sul server allestito dai malintenzionati. Successivamente, esso è in grado di ricevere l’apposito comando relativo al blocco del dispositivo. Nel secondo trimestre del 2016 abbiamo ugualmente rilevato una sensibile crescita del numero di pacchetti di installazione correlati al malware mobile denominato Trojan-Ransom.AndroidOS.Congur.b: la loro quota è in effetti salita dallo 0,8 all’8,8%. Questo Trojan intende prendere di mira gli utenti mobile di lingua cinese; esso sostituisce la password del sistema (PIN) – oppure la imposta, nel caso in cui la stessa non sia stata inserita in precedenza – e rende in tal modo impossibile l’utilizzo del dispositivo. La richiesta relativa al pagamento del riscatto compare poi sullo schermo del dispositivo bloccato.

Il maggior numero di utenti sottoposti ad attacco da parte di Trojan-Ransom per piattaforme mobile si è registrato, nel secondo trimestre dell’anno, in Germania, Stati Uniti e Russia:

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre 2016, dai Trojan estorsori destinati ai dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese)

Per valutare e comparare il livello di rischio esistente, nei vari paesi, riguardo alle infezioni informatiche generate dai programmi ransomware per dispositivi mobile, abbiamo provveduto ad allestire un apposito rating relativo ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte dei suddetti Trojan-Ransom, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan estorsori per dispositivi mobile:

Paese* % di utenti sottoposti ad attacco**
1 Canada 2,01
2 Germania 1,89
3 USA 1,66
4 Svizzera 1,63
5 Messico 1,55
6 Gran Bretagna 1,51
7 Danimarca 1,35
8 Italia 1,35
9 Kazakhstan 1,35
10 Paesi Bassi 1,15

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan-Ransom per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

In tutti i paesi facenti parte della TOP-10 qui sopra riportata, ad eccezione del Kazakhstan, la famiglia di ransomware mobile maggiormente diffusa si è rivelata essere Fusob. Negli Stati Uniti, oltre a Fusob, è risultata particolarmente “popolare” la famiglia di malware estorsori denominata Trojan-Ransom.AndroidOS.Svpeng. Questi temibili Trojan ransomware, di solito, richiedono alle proprie vittime, per procedere allo sblocco del dispositivo infetto, il pagamento di un riscatto il cui importo può variare dai 100 ai 500 dollari USD.

In Kazakhstan la principale minaccia per gli utenti mobile continua ad essere rappresentata dai Trojan estorsori della famiglia Small. Si tratta, nella fattispecie, di un Trojan-Ransom piuttosto “semplice”, il quale sovrappone la propria finestra malevola a tutte le altre finestre che compaiono sullo schermo del dispositivo, bloccando, in tal modo, il funzionamento di quest’ultimo. Per procedere all’operazione di sblocco, i malintenzionati richiedono, in genere, il pagamento di una cifra piuttosto contenuta (a partire da 10 dollari).

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

Nel secondo trimestre dell’anno in corso, così come in precedenza, si sono rivelati particolarmente popolari, presso i cybercriminali, gli exploit destinati all’applicazione Adobe Flash Player. È stato osservato, nel trimestre qui preso in esame, l’utilizzo di due nuove vulnerabilità individuate in tale prodotto software:

  • CVE-2016-4117
  • CVE-2016-4171

L’exploit appositamente creato per colpire la vulnerabilità CVE-2016-4117 è stato di fatto aggiunto ai famigerati exploit pack Magnitude e Neutrino. La vulnerabilità CVE-2016-4171 è stata sfruttata dal gruppo ScarCruft nell’ambito di attacchi informatici mirati. L’attività di tale gruppo APT è stata da noi descritta in maniera dettagliata verso la metà dello scorso mese di giugno.

Un avvenimento di particolare rilevanza è indubbiamente rappresentato dall’uscita di scena, nel corso del trimestre qui analizzato, degli exploit pack Angler e Nuclear, tradizionali ed incontrastati leader del “mercato” in questione. L’inatteso tramonto di Angler ha indotto i malintenzionati ad orientarsi verso altri exploit kit, per la distribuzione dei programmi malware. Abbiamo in effetti osservato, in particolar modo, una crescita senza precedenti del livello di “popolarità” dell’exploit pack denominato Neutrino.

Il quadro generale relativo all’utilizzo degli exploit nel secondo trimestre dell’anno in corso, appare nel modo seguente:

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa al secondo trimestre del 2016

Il grafico evidenzia come, nonostante l’uscita di scena dei leader di questo specifico “mercato”, la ripartizione qui illustrata sia in pratica rimasta pressoché invariata rispetto al trimestre precedente: segnaliamo, tuttavia, una lieve diminuzione, pari ad 1 punto percentuale, delle quote relative agli exploit appositamente confezionati per attaccare le vulnerabilità individuate nella suite Microsoft Office (14%) e nella piattaforma Java (7%); per contro, l’indice inerente all’OS Android (24%) ha fatto registrare un aumento pari al 2%. Da tutto questo possiamo indubbiamente trarre la conclusione che l’attuale “domanda” di exploit pack si sia di fatto trasferita sui rimanenti “attori”: RIG, Magnitude e Neutrino. Quest’ultimo, al termine del trimestre oggetto della nostra analisi, è risultato essere il leader indiscusso per numero di tentativi di download di programmi malware.

Programmi malware in Internet (attacchi tramite siti web)

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall’Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web malevole/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

Nel secondo trimestre del 2016 il nostro Anti-Virus Web ha effettuato il rilevamento di 16.119.489 oggetti dannosi unici (script, exploit, file eseguibili, etc.); sono stati inoltre individuati e bloccati, da parte del modulo Anti-Virus Web di Kaspersky Lab, 54.539.948 URL unici.

Le minacce online rivolte al settore finanziario

I dati statistici qui sotto indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ricevuti tramite gli utenti che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Numero di utenti sottoposti ad attacco da parte di malware finanziari

Nel secondo trimestre del 2016, a causa della continua comparsa di nuovi software malevoli riconducibili alla categoria dei Trojan bancari, ed in ragione delle evidenti modifiche apportate dai virus writer alle funzionalità di cui risultano provvisti i banker già in circolazione sulla scena del malware globale, abbiamo provveduto ad aggiornare in maniera sostanziale l’elenco dei “verdetti” ascrivibili alla classe delle minacce IT relative alla sfera bancaria degli utenti. Per tale motivo, risulta sensibilmente cambiato, rispetto ai dati pubblicati nei trimestri precedenti, il numero delle vittime del malware finanziario. Per effettuare le consuete ed importanti comparazioni abbiamo quindi ricalcolato i dati statistici inerenti al trimestre precedente, tenendo in debita considerazione tutti i programmi malware presenti nell’elenco da noi aggiornato.

Complessivamente, nel secondo trimestre del 2016, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di ben 1.132.031 utenti della rete globale di sicurezza Kaspersky Security Network. Desideriamo sottolineare come, rispetto all’analogo valore rilevato nel trimestre precedente (979.607), risulti considerevolmente aumentato (+ 15,6%) il numero complessivo degli utenti sottoposti ad attacco da parte di malware finanziari.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Numero di utenti sottoposti ad attacco da parte di malware finanziari –
Situazione relativa al secondo trimestre del 2016

Geografia degli attacchi

Al fine di valutare e comparare nel modo più preciso possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato, per ogni paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel paese.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del secondo trimestre del 2016 mediante l’utilizzo di malware bancario (percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari

Paese* % di utenti attaccati da
Trojan bancari**
1 Turchia 3,45
2 Russia 2,92
3 Brasile 2,63
4 Pakistan 2,60
5 Venezuela 1,66
6 Tunisia 1,62
7 Giappone 1,61
8 Singapore 1,58
9 Libia 1,57
10 Argentina 1,48

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dall’anti-virus; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di Trojan bancari, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Come evidenzia la tabella qui sopra riportata, nel secondo trimestre del 2016 la leadership della speciale TOP-10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte dei Trojan bancari, nei vari paesi, è andata ad appannaggio della Turchia. Uno dei motivi dell’elevato numero di minacce “finanziarie” presenti in tale paese, è rappresentato dal repentino aumento del livello di attività, nella corrispondente regione geografica, del Trojan bancario Gozi, i cui sviluppatori hanno di recente unito i propri “sforzi” con i cybercriminali responsabili della creazione del programma Trojan denominato Nymaim.

In Russia, nel corso del trimestre qui analizzato, si è imbattuto in qualche temibile Trojan-Banker, perlomeno una volta, il 2,92% degli utenti; la Federazione Russa si è in tal modo collocata al secondo posto del rating da noi stilato.

Il terzo gradino del podio “virtuale” risulta poi occupato dal Brasile. Riteniamo che, nel prossimo trimestre, sia del tutto lecito attendersi, nei paesi dell’America Latina, un vero e proprio picco del livello di attività delle cyber-minacce finanziarie, in relazione allo svolgimento dei prossimi Giochi Olimpici di Rio de Janeiro 2016. È del tutto evidente come le tematiche “olimpiche” risultino, per la maggior parte degli utenti, particolarmente attraenti; i cybercriminali, di fatto, sfruttano costantemente, per allestire i propri attacchi, l’elevato livello di popolarità di cui godono, su scala planetaria, determinati avvenimenti sportivi; questi ultimi, nella specifica circostanza, divengono una sorta di allettante esca per le potenziali vittime.

La TOP-5 relativa ai paesi che, nel secondo trimestre del 2016, hanno fatto registrare le quote percentuali più basse in relazione al numero di utenti attaccati da programmi malware destinati alla sfera finanziaria, risulta composta dalle seguenti nazioni: Canada (0,33%), Stati Uniti (0,4%), Gran Bretagna (0,4%), Francia (0,43%) e Paesi Bassi (0,5%).

Rileviamo, infine, che l’indice relativo all’Italia si è attestato su un valore pari allo 0,62%, mentre Spagna e Germania, hanno fatto registrare, rispettivamente, lo 0,83% e l’1,03% di utenti sottoposti ad attacco da parte di Trojan bancari.

TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del secondo trimestre del 2016, nell’ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking – redatta sulla base della quota percentuale di utenti sottoposti ad attacco – si presenta nella maniera seguente:

Denominazione* Quota percentuale di utenti sottoposti ad attacco**
1 Trojan-Spy.Win32.Zbot 15,72
2 Trojan-Banker.Win32.Gozi 3,28
3 Trojan.Win32.Qhost 2,35
4 Trojan-Banker.Win32.Shiotob 2,27
5 Trojan-Banker.Win32.BestaFera 2,12
6 Trojan.Win32.Nymaim 1,98
7 Trojan-Banker.Win32.ChePro 1,90
8 Trojan-Banker.Win32.Banbra 1,77
9 Trojan.Win32.Neurevt 0,67
10 Backdoor.Win32.Shiz 0,66

* Rilevamenti eseguiti dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito il proprio assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici attaccati da tali malware, sul numero complessivo di utenti sottoposti ad attacco da parte di malware finanziari.

Il leader della speciale classifica qui sopra riportata — Trojan-Spy.Win32.Zbot – occupa stabilmente le prime posizioni della graduatoria; non si tratta di un evento casuale, visto che i codici sorgente di tale Trojan stati resi pubblicamente accessibili già nell’anno 2012. Una simile circostanza ha generato la comparsa, sulla scena del malware, di nuovi Trojan bancari, i quali hanno di fatto preso in prestito frammenti del codice nocivo di cui si compone Zbot.

Nel secondo trimestre del 2016 è stato osservato un repentino aumento delle attività condotte dai malintenzionati mediante l’utilizzo del malware classificato come Trojan.Win32.Nymaim; il software nocivo in questione è così entrato a far parte, per la prima volta, della nostra ТОР-10, andando subito ad occupare la sesta piazza del rating. Tale programma Trojan, inizialmente, era stato appositamente sviluppato dai virus writer per bloccare l’accesso a dati di particolare rilevanza, e richiedere, quindi, il pagamento di un riscatto (ransomware); la nuova versione di Nymaim, tuttavia, oltre all’abituale funzionalità di Trojan estorsore, possiede anche la tipica funzionalità di cui sono provvisti i Trojan-Banker, grazie alla quale viene realizzato il furto di informazioni legate alla sfera finanziaria dell’utente-vittima. Tutto questo trova una logica spiegazione nel fatto che gli autori di Nymaim, ed i malintenzionati che hanno provveduto a sviluppare il malware Gozi (anch’esso facente parte della TOP-10 delle cyber-minacce finanziarie relativa al trimestre qui preso in esame), hanno in pratica unito i loro sforzi; adesso, i proprietari del Trojan Nymaim hanno incluso nel codice sorgente della propria “creatura” vari frammenti del codice nocivo che caratterizza il Trojan bancario Gozi, il quale consente ai malfattori di ottenere l’accesso remoto ai computer infetti.

Tra gli “habitué” del ranking qui analizzato, troviamo poi la famiglia di malware denominata Trojan-Banker.Win32.ChePro; l’ampia diffusione di quest’ultima rappresenta, di fatto, uno dei motivi dell’elevato livello di attività delle minacce finanziarie che si registra, in genere, in Brasile. I programmi Trojan in questione sono, nella fattispecie, temibili malware bancari che consentono di catturare l’immagine presente sullo schermo, registrare le sequenze dei tasti premuti dall’utente e leggere il contenuto della clipboard; tali funzionalità nocive forniscono l’opportunità di utilizzare il programma maligno per condurre attacchi, in pratica, nei confronti di qualsiasi sistema di banking online. I malintenzionati cercano ugualmente di ricorrere all’utilizzo di nuovi metodi che permettano ai software nocivi da essi dispiegati di evitare, il più a lungo possibile, il rilevamento da parte delle soluzioni antivirus. È di particolare interesse rilevare come alcuni Trojan appartenenti alla suddetta famiglia facciano ricorso alla geolocalizzazione, oppure richiedano al sistema lo specifico fuso orario, e la versione di Windows utilizzata, allo scopo di infettare esclusivamente gli utenti ubicati in una determinata regione geografica.

Ci soffermiamo, infine, ad esaminare un’ulteriore famiglia di malware, entrata a far parte per la prima volta della TOP-10 relativa alle cyber-minacce finanziarie maggiormente attive nel trimestre: si tratta di Trojan.Win32.Neurevt. I rappresentanti di tale famiglia di Trojan sono stati scoperti nell’anno 2013; essi vengono utilizzati dai cybercriminali non solo allo scopo di compiere il furto dei dati sensibili di cui si avvalgono gli utenti, nell’ambito dei sistemi di banking online, per effettuare i pagamenti – ma anche per l’invio di spam (è stato ad esempio rilevato che alcuni sample provvedevano ad inviare messaggi di spam su Skype) e per la conduzione di attacchi DDoS (nello specifico, i malintenzionati hanno implementato una funzionalità che consente di realizzare lo scenario “Slowloris HTTP flooding”).

I malware crittografici

Al momento attuale, la “collezione” di Kaspersky Lab contiene circa 26.000 varianti di Trojan crittografico. Soltanto nel secondo trimestre del 2016 sono state da noi individuate 9.296 nuove varianti e 28 nuove famiglie di malware crittografico.

Il grafico qui sotto inserito evidenzia in maniera netta il sensibile aumento del numero complessivo di nuove versioni dei Trojan crittografici verificatosi nel corso dell’ultimo trimestre:

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Numero di nuove varianti di malware crittografico – 1° e 2° trimestre del 2016 a confronto

Fra i Trojan dotati di caratteristiche e funzionalità particolarmente “eclatanti” ed inusuali, comparsi sulla scena del malware estorsore nel secondo trimestre dell’anno, spiccano indubbiamente i seguenti software nocivi:

  • CryptXXX (Trojan-Ransom.Win32.CryptXXX)

    Tale malware crittografico ha iniziato a diffondersi in maniera massiccia, attraverso gli exploit pack, a partire dal mese di aprile 2016. Le prime versioni di CryptXXX contenevano determinati errori e mancanze a livello di algoritmo di cifratura dei file; questo ha consentito a Kaspersky Lab di rilasciare una speciale utility per la decodifica di questi ultimi. Purtroppo, i malintenzionati hanno poi inserito apposite modifiche nelle successive versioni della loro temibile “creatura”; tale mossa ha reso di fatto impossibile decriptare i file compromessi dalle versioni più recenti del ransomware CryptXXX.

  • ZCryptor (Trojan-Ransom.MSIL.Zcryptor)

    Questo malware si caratterizza per il fatto di combinare, in se stesso, il tipico payload nocivo dei famigerati programmi “cifratori” ed il metodo di diffusione abitualmente adottato dai worm. I Trojan estorsori, in genere, non sono provvisti di strumenti per l’auto-propagazione; ZCryptor, tuttavia, rappresenta un evidente esempio di eccezione a tale regola. Nel momento in cui viene realizzata l’infezione, questo Trojan, al pari dei “classici” worm, provvede ad effettuare copie di se stesso sulle unità rimovibili, generando poi appositi file autorun.inf, in maniera tale da ottenere l’avvio automatico del proprio file eseguibile nel momento in cui il supporto di memoria viene collegato ad un altro sistema (se, ovviamente, in quest’ultimo l’autorun non risulta disattivato).

  • RAA (Trojan-Ransom.JS.RaaCrypt)

    A volte individuiamo dei malware crittografici che si distinguono dagli altri per qualche specifica peculiarità a livello di funzionalità possedute; altre volte, lo sguardo attento dell’analista viene attirato dall’insolita modalità di implementazione del software nocivo esaminato. Nel caso di RAA, l’elemento atipico si è rivelato essere la scelta, da parte dei virus writer, del linguaggio di programmazione: si tratta, in effetti, di un ransomware compilato interamente in JavaScript. L’intero corpo del malware è contenuto in un singolo file .js, che viene recapitato alla vittima sotto forma di allegato ad un messaggio e-mail di spam. Una volta eseguito, il blocker fa sì che la vittima visualizzi un documento contenente una notifica di errore fasulla; nel frattempo, però, il Trojan RAA provvede a cifrare subdolamente i file custoditi nel computer dell’utente.

  • Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

  • Bart (Trojan-Ransom.Win32.Bart)

    Si tratta di un encryptor che provvede a collocare i file della vittima all’interno di appositi archivi ZIP protetti da password; quest’ultima viene determinata in base all’algoritmo Diffie-Hellman su curva ellittica. Le modalità relative alla richiesta di pagamento del riscatto, così come l’aspetto del sito cui fa riferimento il malware Bart, ricalcano esattamente gli analoghi tratti caratteristici del famigerato ransomware Locky.

  • Satana (Trojan-Ransom.Win32.Satan)

    La temibile combinazione tra blocker dell’MBR (Master Boot Record) ed encryptor dei file risulta chiaramente ispirata all’analoga funzionalità posseduta dai noti programmi Trojan Petya + Mischa. “Satana”, a differenza di Petya, non cifra l’MFT (Master File Table); per di più, il modulo MBR di cui esso è provvisto appare chiaramente incompleto, visto che la verifica della password inserita dalla vittima non produce alcun effetto, se non quello di dare avvio ad un ciclo infinito. Riportiamo, qui di seguito, un frammento del codice malevolo che mette in evidenza tale singolare caratteristica.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Numero di utenti sottoposti ad attacco da parte di Trojan crittografici

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Numero di utenti unici attaccati da malware crittografico – Situazione relativa al 2° trimestre 2016

Nel secondo trimestre del 2016 sono stati complessivamente attaccati, da parte di malware crittografici, 311.590 utenti unici. Rispetto al trimestre precedente, il numero di utenti sottoposti ad attacco è diminuito di 16 punti percentuali. Circa il 21% degli attacchi condotti mediante l’utilizzo dei famigerati software “cifratori” si è verificato nei confronti del settore corporate.

È importante ricordare che il numero effettivo degli incidenti occorsi risulta superiore: i dati statistici qui riportati, in effetti, costituiscono esclusivamente il riflesso dei risultati ottenuti grazie ai rilevamenti eseguiti tramite firma, ed ai rilevamenti di natura euristica, mentre una parte considerevole dei Trojan crittografici viene rilevata dai prodotti Kaspersky Lab per mezzo di tecnologie basate sul comportamento, con relativa emissione di verdetti di tipo “Generic”, i quali non consentono di poter distinguere le varie tipologie di malware.

TOP-10 relativa ai paesi in cui si è registrata la quota più elevata di utenti sottoposti ad attacco informatico da parte di Trojan crittografici

Paese* % di utenti attaccati dai
malware crittografici**
1 Giappone 2,40
2 Italia 1,50
3 Djibouti 1,46
4 Lussemburgo 1,36
5 Bulgaria 1,34
6 Croazia 1,25
7 Maldive 1,22
8 Corea 1,21
9 Paesi Bassi 1,15
10 Taiwan 1,04

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici i cui computer sono stati attaccati da Trojan crittografici, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Nell’ambito della TOP-10 da noi stilata, l’esatta metà delle posizioni risulta occupata da paesi europei; ricordiamo, a tal proposito, che nel trimestre precedente la speciale graduatoria annoverava ben sei paesi situati sul continente europeo.

Nel trimestre oggetto del presente report, tuttavia, il primo posto del ranking è andato ad appannaggio di una nazione asiatica, ovverosia il Giappone (2,40%); Il Paese del Sol Levante, nel primo trimestre dell’anno in corso occupava “soltanto” la nona posizione della graduatoria. I malware crittografici più frequentemente rilevati in Giappone sono risultati essere Teslacrypt, Locky e Cryakl.

Osserviamo, infine, come le “new entry” del secondo trimestre siano rappresentate da Djibouti (1,46%), Corea (1,21%) e Taiwan (1,04%).

TOP-10 inerente alle famiglie di Trojan crittografici maggiormente diffuse

Denominazione Verdetti* Quota percentuale di utenti**
1 CTB-Locker Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion 14,59
2 Teslacrypt Trojan-Ransom.Win32.Bitman 8,36
3 Locky Trojan-Ransom.Win32.Locky 3,34
4 Shade Trojan-Ransom.Win32.Shade 2,14
5 Cryrar/ ACCDFISA Trojan-Ransom.Win32.Cryrar 2,02
6 Cryptowall Trojan-Ransom.Win32.Cryptodef 1,98
7 Cryakl Trojan-Ransom.Win32.Cryakl 1,93
8 Cerber Trojan-Ransom.Win32.Zerber 1,53
9 Scatter Trojan-Ransom.BAT.Scatter/Trojan-Downloader.JS.Scatter/Trojan-Dropper.JS.Scatter/Trojan-Ransom.Win32.Scatter 1,39
10 Rakhni Trojan-Ransom.Win32.Rakhni/Trojan-Downloader.Win32.Rakhni 1,13

* I dati statistici qui sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacco da parte di una specifica famiglia di Trojan-Ransom, sul numero complessivo di utenti attaccati da tale genere di malware estorsore.

Sul gradino più alto del podio, nel secondo trimestre del 2016, peraltro con un consistente margine percentuale, si è collocata la famiglia di malware crittografici denominata CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). La seconda piazza della speciale graduatoria è andata ad appannaggio della famiglia TeslaCrypt, rappresentata, nel trimestre qui preso in esame, da un solo verdetto – Trojan-Ransom.Win32.Bitman. Il malware rilevato con il verdetto Trojan-Ransom.JS.Cryptoload, associato in precedenza a TeslaCrypt, ed utilizzato per effettuare il download dell’encryptor, non risulta più essere esclusivamente impiegato per tale famiglia. Il famigerato malware crittografico TeslaCrypt, nonostante abbia apportato un “contributo” decisamente significativo alle statistiche trimestrali, ha per fortuna cessato la propria esistenza nel mese di maggio del 2016; i suoi “proprietari”, in effetti, hanno disattivato i relativi server di comando e controllo, rendendo poi pubblicamente accessibile la master key, necessaria per la decodifica dei file compromessi.

Rileviamo inoltre come, rispetto al trimestre precedente, siano entrate a far parte della ТОР-10 qui analizzata le famiglie Cerber e Cryrar.

Il malware crittografico Cerber viene abitualmente diffuso attraverso lo spam e gli exploit pack. Il sito di riferimento dell’encryptor, nascosto nei meandri della rete Tor, risulta tradotto in numerose lingue. I tratti peculiari che caratterizzano maggiormente il ransomware Cerber sono senza dubbio i seguenti:

  • Esso esplora meticolosamente il sistema infetto: Cerber verifica innanzitutto la presenza del software antivirus; l’eventuale esecuzione all’interno di una virtual machine (Parallels, VmWare, QEMU, VirtualBox) o dell’emulatore Wine; verifica la presenza di varie utility abitualmente utilizzate da ricercatori ed analisti (cercando di individuare, a tale scopo, determinati processi e file sul disco); il malware in questione è persino provvisto di una sorta di blacklist relativa ai numeri di serie del drive di sistema.
  • Cerber controlla, poi, il layout della tastiera e l’indirizzo IP del sistema infetto. Se esso rileva che la macchina sottoposta ad attacco risulta ubicata in uno dei paesi ex-CSI (Comunità degli Stati Indipendenti), tale malware interrompe il processo di infezione.
  • L’encryptor cerca inoltre di contrastare l’azione protettiva svolta dalle soluzioni antivirus: esso termina i processi relativi a queste ultime, blocca il funzionamento dei servizi, elimina determinati file.
  • Cerber, oltre ad emettere le consuete notifiche in formato TXT e HTML, attraverso le quali viene comunicata agli utenti l’infezione ransomware in corso (tale genere di avvisi caratterizza ugualmente varie altre famiglie di malware crittografico), esegue anche uno script VBS, che avvia la riproduzione di un minaccioso messaggio vocale, con il seguente testo: “Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!” (Attenzione! Attenzione! Attenzione! I vostri documenti, foto, database ed altri importanti file sono stati cifrati!).

Il malware Cryrar, noto anche come “Anti Cyber Crime Department of Federal Internet Security Agency” (ACCDFISA), “Anti-Child Porn Spam Protection”, ed ugualmente conosciuto con ulteriori denominazioni, ha fatto la sua comparsa, sulla scena del ransomware, già nell’anno 2012. La caratteristica peculiare di tale encryptor è indubbiamente rappresentata dal fatto che esso colloca i file dell’utente-vittima all’interno di appositi archivi RAR autoestraenti, protetti da password. Come evidenziano i dati statistici raccolti attraverso il KSN, questo malware, decisamente “longevo”, non sembra sinora voler cedere il passo ai propri “rivali” di più recente creazione.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dai prodotti Kaspersky Lab (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli assalti informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel secondo trimestre del 2016 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto 171.895.830 attacchi condotti attraverso siti Internet compromessi dislocati in 191 diversi paesi. In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 54.539.948 URL unici.

L’81% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati, è risultato attribuibile ad assalti provenienti da siti web ubicati in una ristretta cerchia di dieci paesi.

Evoluzione delle minacce informatiche nel secondo trimestre del 2016. Le statistiche

Ripartizione per paesi delle fonti degli attacchi web – Situazione relativa al secondo trimestre del 2016

Rileviamo, innanzitutto, che nel secondo trimestre dell’anno in corso gli Stati Uniti (35,44%) sono tornati ad occupare la prima posizione della speciale classifica da noi stilata, peraltro con un ampio margine percentuale nei confronti della Russia (10,28%), la quale, a sua volta, è salita dalla terza alla seconda piazza della graduatoria relativa alle fonti geografiche degli attacchi web. I Paesi Bassi (6,91%), che all’inizio dell’anno occupavano la prima posizione del rating, hanno “perso” varie posizioni in classifica, e si sono in tal modo collocati al quarto posto della TOP-10; la quota ascrivibile a tale paese è complessivamente diminuita, nell’arco di un solo trimestre, di 17,7 punti percentuali. Sul terzo gradino del “podio” virtuale è poi salita la Germania (8,9%). Non fa più parte della graduatoria la Bulgaria, mentre la “new entry” del rating – il Canada – è andata a collocarsi al nono posto, con un indice pari allo 0,96%.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

Paese* % di utenti unici**
1 Azerbaijan 32,10
2 Russia 30,80
3 Cina 29,35
4 Slovenia 27,54
5 Ucraina 27,46
6 Kazakhstan 27,03
7 Vietnam 26,02
8 Algeria 25,63
9 Armenia 25,09
10 Bielorussia 24,60
11 Brasile 24,05
12 Francia 22,45
13 Moldavia 22,34
14 Kirghizistan 22,13
15 Bulgaria 22,06
16 Italia 21,68
17 Cile 21,56
18 Qatar 20,10
19 India 20,00
20 Portogallo 19,84

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

La leadership del rating qui esaminato risulta variata rispetto al trimestre precedente: il primo posto della graduatoria, in effetti, è andato ad appannaggio dell’Azerbaijan (32,1%); ricordiamo che tale paese, nell’analoga TOP-20 di tre mesi fa, occupava la quarta piazza del ranking. La Russia (30,8%), da parte sua, è scesa dalla prima alla seconda posizione della speciale classifica, mentre il Kazakhstan (27,03%) è passato dalla seconda alla sesta piazza del rating da noi elaborato.

Rileviamo inoltre come, rispetto al primo trimestre dell’anno, non facciano più parte della TOP-20 i seguenti paesi: Spagna, Lituania, Croazia e Turchia. Le “new entry” del trimestre sono invece rappresentate da Bulgaria (22,06%), Cile (21,56%), Qatar (20,10%) e Portogallo(19,84%).

18-it

Tra i paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo Canada (15%), Romania (14,6%), Belgio (13,7%), Messico (13,2%), Stati Uniti (12,8%), Svizzera (12,4%), Nuova Zelanda (12,1%), Repubblica Ceca (12%), Argentina (9,9%), Giappone (9,5%), Paesi Bassi (8,3), Svezia (8,2%), Germania (8%).

Complessivamente, a livello mondiale, nel corso del trimestre qui analizzato, una consistente porzione degli utenti della Rete (19,4%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web. Rispetto al primo trimestre del 2016, tale significativo indice presenta una diminuzione pari a 1,8 punti percentuali.

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del secondo trimestre del 2016. Tali dati riguardano sia gli oggetti nocivi penetrati nel computer dell’utente mediante l’infezione di file o di supporti rimovibili, sia gli oggetti malevoli insediatisi inizialmente all’interno del computer-vittima non in forma manifesta (ad esempio certi programmi che accompagnano installer particolarmente complessi, file codificati, etc.).

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Lungo tutto l’arco del secondo trimestre del 2016, il nostro modulo Anti-Virus File ha rilevato con successo 249.619.379 oggetti maligni unici, o potenzialmente indesiderabili.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

È stata calcolata, per ogni paese, la percentuale di utenti dei prodotti Kaspersky Lab che, nel corso del periodo preso in esame nel presente report, ha visto entrare in azione il modulo Anti-Virus File, specificamente dedicato al rilevamento delle minacce IT locali. Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari paesi del mondo.

TOP-20 relativa ai paesi in cui sono state rilevate le quote percentuali più elevate in termini di rischio di contagio da infezioni informatiche locali

Paese* % di utenti unici**
1 Somalia 65,80
2 Vietnam 63,33
3 Tagikistan 62,00
4 Russia 61,56
5 Kirghizistan 60,80
6 Bangladesh 60,19
7 Afghanistan 60,00
8 Armenia 59,74
9 Ucraina 59,67
10 Nepal 59,66
11 Etiopia 59,63
12 Laos 58,43
13 Kazakhstan 57,72
14 Ruanda 57,33
15 Djibouti 56,07
16 Yemen 55,98
17 Venezuela 55,76
18 Algeria 55,58
19 Cambogia 55,56
20 Iraq 55,55

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di apparecchi fotografici digitali, telefoni, hard disk esterni).

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Nel secondo trimestre del 2016, la leadership del rating qui esaminato è rimasta invariata: la prima posizione della speciale graduatoria, in effetti, risulta occupata, così come in precedenza, dalla Somalia (65,8%). Rileviamo, tuttavia, come lo Yemen (55,98%) sia sceso dal secondo al sedicesimo posto del ranking in questione, mentre il Vietnam (63,33%) ha compiuto il cammino inverso, risalendo dall’ottava alla seconda piazza della classifica qui sopra riportata. In terza posizione si è poi insediato il Tagikistan (62%), sesto nella graduatoria relativa al primo trimestre dell’anno in corso. La Federazione Russa, da parte sua, è salita dalla quinta alla quarta posizione, nonostante l’indice ad essa ascrivibile sia diminuito di 2,62 punti percentuali, attestandosi in tal modo su un valore pari al 61,56%.

Le “new entry” della TOP-20, in relazione al trimestre precedente, sono rappresentate dai seguenti paesi: Djibouti (56,07%; quindicesimo posto), Venezuela (55,76%; diciassettesimo posto) e Cambogia (55,56%; diciannovesimo posto).

19-it

Paesi con il più basso livello di contaminazione informatica a carattere “locale”: Croazia (29%), Singapore (28,4%), Germania (28,1%), Norvegia (27,6%), Stati Uniti (27,1%), Svizzera (26,3%), Giappone (22,1%), Danimarca (21,4%), Svezia (21,3%).

In media, nel mondo, durante il secondo trimestre del 2016, sono state rilevate minacce IT di origine locale – perlomeno una volta – sul 43,3% dei computer degli utenti; tale indice ha fatto pertanto registrare, rispetto al primo trimestre dell’anno in corso, una diminuzione pari all’1,2 %.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *