Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Contenuti

Il trimestre in cifre

Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) – l’estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – lungo tutto l’arco del primo trimestre del 2017 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 479.528.279 attacchi condotti attraverso siti Internet compromessi, dislocati in 190 Paesi diversi.

In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 79.209.775 URL unici.

Sono stati respinti tentativi di esecuzione di programmi malware preposti al furto delle risorse finanziarie attraverso l’accesso online ai conti bancari, sui computer di 288.000 utenti.

Gli attacchi condotti mediante l’utilizzo di malware crittografici sono stati respinti sui computer di 240.799 utenti unici.

Il nostro modulo Anti-Virus File ha rilevato con successo 174.989.956 oggetti dannosi unici, o potenzialmente indesiderabili.

Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobile hanno effettuato il rilevamento di:

  • 1.333.605 pacchetti di installazione nocivi;
  • 32.038 pacchetti di installazione relativi a Trojan bancari per piattaforme mobile;
  • 218.625 pacchetti di installazione relativi a Trojan “estorsori” per dispositivi mobile.

Le minacce IT per dispositivi mobile

Caratteristiche peculiari del trimestre preso in esame

La rapida ascesa di Trojan-Ransom.AndroidOS.Egat

Nel primo trimestre del 2017 abbiamo rilevato una crescita davvero esplosiva del numero di attacchi condotti mediante l’utilizzo di software dannosi riconducibili alla famiglia di ransomware mobile denominata Trojan-Ransom.AndroidOS.Egat: il numero di utenti sottoposti ad attacco da parte di tali malware è in effetti aumentato di oltre 13 volte rispetto al trimestre precedente. Nonostante questa famiglia di programmi Trojan risulti a noi nota sin dal mese di giugno 2016, solo adesso abbiamo osservato un repentino incremento del numero di attacchi eseguiti attraverso i ransomware mobile in questione.

Questi ultimi sono provvisti della funzionalità standard che caratterizza, in genere, i cosiddetti Trojan “estorsori” destinati alle piattaforme mobile: essi bloccano, in effetti, il funzionamento del dispositivo, sovrapponendo la propria finestra dannosa a tutte le altre finestre che compaiono sullo schermo, per poi richiedere il pagamento di un riscatto in denaro per l’eventuale operazione di sblocco. Nella maggior parte dei casi, l’importo del riscatto oscilla tra i 100 e i 200 dollari $. Il maggior numero di utenti sottoposti ad attacco è risultato essere situato in Europa, ed in special modo in Germania, Inghilterra e Italia.

Significativi aggiornamentI per ZTorg

Siamo riusciti ad individuare, all’interno dell’app store Google Play, circa 30 nuovi Trojan della famiglia Ztorg. Ricordiamo, a tal proposito, che si tratta proprio della famiglia di malware mobile a cui apparteneva l’insidioso Trojan camuffato sotto forma di “guida” per il celebre videogioco Pokémon GO, da noi individuato all’interno di Google Play nell’estate del 2016, e che è stato oggetto di oltre 500.000 installazioni nocive. Una volta installati, i programmi malware riconducibili a questa famiglia verificano innanzitutto se la loro esecuzione sia stata effettivamente lanciata su un vero dispositivo, e non tramite una virtual machine. Se il controllo effettuato ha “buon” esito, dal server remoto viene scaricato il modulo principale, il quale, sfruttando eventuali vulnerabilità presenti nel sistema, cerca di ottenere i diritti di superutente. Se riesce in tale “impresa”, il malware installa i propri moduli nelle cartelle di sistema e, al tempo stesso, modifica le impostazioni del dispositivo in modo tale da poter rimanere all’interno di quest’ultimo anche dopo un eventuale reset alle impostazioni di fabbrica.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Ecco come si presentava, nel negozio di applicazioni Google Play, il programma Trojan denominato Trojan.AndroidOS.Ztorg.bp

Il Trojan si avvale di vari moduli, i quali, in maniera furtiva, scaricano ed installano sul dispositivo-vittima programmi di vario genere, mostrano messaggi pubblicitari all’utente, e sono persino in grado di effettuare l’acquisto di applicazioni. Occorre sottolineare come le funzionalità di cui è dotato il malware qui esaminato, abbiano subito alcune lievi variazioni: è in effetti diminuito il numero di verifiche eseguite riguardo all’effettiva presenza di un dispositivo reale; inoltre, il codice dannoso responsabile del download, della decodifica e del caricamento del modulo principale è stato inserito nella libreria di cui viene realizzato l’upload.

Elevato livello di attività di Asacub

Nel primo trimestre del 2017 è stata da noi rilevata un’attività di distribuzione particolarmente intensa riguardo al Trojan bancario per piattaforme mobile denominato Trojan-Banker.AndroidOS.Asacub. Nell’arco dei tre mesi oggetto del nostro report, i “rappresentanti” di questa temibile famiglia di malware hanno in effetti attaccato più di 43.000 dispositivi mobile, un numero che supera di ben 2,5 volte l’analoga quantità rilevata, per gli stessi, nel trimestre precedente. Oltre il 97% degli utenti mobile sottoposti ad attacco è risultato essere situato in Russia. Il principale canale utilizzato dai cyber criminali per la diffusione del Trojan Asacub è di fatto divenuto lo spam via SMS. Cliccando sul link nocivo predisposto dagli hacker, l’utente viene indirizzato verso una pagina web in cui si invita a visualizzare il contenuto di un determinato ММS, utilizzato per camuffare il download del Trojan in questione sul dispositivo. È interessante rilevare come, cliccando sullo stesso identico link nell’ambito dell’OS Windows, si verifichi, invece, il download del malware classificato come Backdoor.Win32.Htbot.bs.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Il sito dal quale viene scaricato Trojan-Banker.AndroidOS.Asacub

È ugualmente di particolare interesse osservare come Trojan-Banker.AndroidOS.Asacub stia acquisendo in misura sempre maggiore specifiche funzioni di spyware. In effetti, oltre alle funzionalità standard abitualmente possedute dai banker mobile, quali il furto e l’invio di messaggi SMS, oppure la sovrapposizione di specifiche finestre di phishing alle varie applicazioni installate sul dispositivo, questo Trojan provvede anche a carpire la cronologia delle chiamate, i contatti e le coordinate GPS dell’utente.

Statistiche relative alle minacce mobile

Nel primo trimestre del 2017, Kaspersky Lab ha rilevato 1.333.605 pacchetti di installazione nocivi. Tale indice è in pratica rimasto invariato rispetto all’analogo valore riscontrato in relazione al quarto trimestre del 2016.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Numero complessivo di pacchetti di installazione dannosi individuati
nel periodo 2° trimestre 2016 – 1° trimestre 2017

Ripartizione per tipologie dei programmi mobile individuati

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Suddivisione per tipologie dei nuovi programmi mobile individuati –
4° trimestre del 2016 e 1° trimestre del 2017 a confronto

Nel primo trimestre dell’anno, l’aumento più consistente, riguardo al numero di pacchetti di installazione individuati, è stato evidenziato dai software nocivi appartenenti alla categoria dei Trojan “estorsori” per dispositivi mobile; la quota ad essi ascrivibile è in effetti cresciuta di 3,5 volte, passando dal 4,64% al 16,42%. Nella fattispecie, l’aumento di maggior rilievo ha riguardato la famiglia denominata Trojan-Ransom.AndroidOS.Congur, della quale parleremo più avanti.

Al secondo posto, per quel che riguarda il tasso di crescita mostrato, troviamo poi i programmi Trojan-Spy, la cui quota ha fatto registrare un incremento di 1,83 punti percentuali, attestandosi così al 10,27%. Tale circostanza si è verificata in ragione del significativo aumento del numero dei malware mobile riconducibili alle famiglie Trojan-Spy.AndroidOS.SmForw e Trojan-Spy.AndroidOS.SmsThief, specializzate nel furto dei messaggi SMS.

Le diminuzioni percentuali più marcate, nel trimestre qui preso in esame, sono state rilevate riguardo alle quote degli Adware (7,32%) e dei Trojan-Dropper (6,99%) — rispettivamente 4,99% e 4,48% in meno. Osserviamo infine, come sia ugualmente diminuita (- 2,55%) anche la quota inerente ai programmi potenzialmente indesiderati facenti parte della categoria RiskTool.

TOP 20 relativa ai programmi malware destinati alle piattaforme mobile

Il rating riservato ai programmi nocivi, qui sotto inserito, non include i programmi potenzialmente pericolosi o indesiderati, quali i RiskTool e gli Adware.

All’interno della TOP 20 da noi stilata, inerente al primo trimestre del 2017, spicca la presenza di un elevato numero di programmi Trojan che ricorrono all’utilizzo della pubblicità come principale strumento di “monetizzazione”; tali software nocivi, evidenziati in blu nella tabella qui sotto riportata, risultano essere, complessivamente, ben quattordici. Essi si caratterizzano, inoltre, per il fatto che cercano di ottenere od utilizzare i diritti di superutente. Il loro scopo è esclusivamente quello di recapitare all’utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l’installazione furtiva di nuovi software pubblicitari. Utilizzando i diritti di superutente, poi, questi Trojan possono nascondersi all’interno della cartella di sistema; la rimozione degli stessi si rivela essere, quindi, un’operazione particolarmente complessa.

Denominazione
del programma
malware
Quota percentuale
di utenti sottoposti
ad attacco*
1 DangerousObject.Multi.Generic 70,09%
2 Trojan.AndroidOS.Hiddad.an 9,35%
3 Trojan.AndroidOS.Boogr.gsh 4,51%
4 Backdoor.AndroidOS.Ztorg.c 4,18%
5 Trojan.AndroidOS.Sivu.c 4,00%
6 Backdoor.AndroidOS.Ztorg.a 3,98%
7 Trojan.AndroidOS.Hiddad.v 3,89%
8 Trojan-Dropper.AndroidOS.Hqwar.i 3,83%
9 Trojan.AndroidOS.Hiddad.pac 2,98%
10 Trojan.AndroidOS.Triada.pac 2,90%
11 Trojan.AndroidOS.Iop.c 2,60%
12 Trojan-Banker.AndroidOS.Svpeng.q 2,49%
13 Trojan.AndroidOS.Ztorg.ag 2,34%
14 Trojan.AndroidOS.Ztorg.aa 2,03%
15 Trojan.AndroidOS.Agent.eb 1,81%
16 Trojan.AndroidOS.Agent.bw 1,79%
17 Trojan.AndroidOS.Loki.d 1,76%
18 Trojan.AndroidOS.Ztorg.ak 1,67%
19 Trojan-Downloader.AndroidOS.Agent.bf 1,59%
20 Trojan-Dropper.AndroidOS.Agent.cv 1,54%

* Quote percentuali relative al numero di utenti unici attaccati da tali malware mobile, sul numero complessivo di utenti dell’antivirus mobile di Kaspersky Lab sottoposti ad attacco

Come da tradizione ormai consolidata, anche nel primo trimestre dell’anno in corso il primo posto della speciale TOP 20 relativa ai malware mobile più diffusi, è andato nuovamente ad appannaggio di una serie di programmi dannosi classificati come DangerousObject.Multi.Generic (70,09%); questo verdetto viene da noi utilizzato per identificare i software dannosi individuati e neutralizzati con l’ausilio delle tecnologie “in-the-cloud”. Tali tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database delle firme antivirus, i dati indispensabili per poter rilevare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella propria “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

Il secondo gradino del “podio” virtuale risulta occupato dal programma Trojan per dispositivi mobile denominato Trojan.AndroidOS.Hiddad.an (9,35%); tale malware si presenta, ingannevolmente, nelle vesti di vari giochi o programmi particolarmente popolari. È interessante rilevare come, una volta avviato, esso provveda ad effettuare il download e la successiva installazione, sul dispositivo-vittima, dell’applicazione per la quale si è in precedenza spacciato. Il Trojan, inoltre, richiede i diritti di amministratore del dispositivo, con il preciso scopo di contrastare la propria eventuale rimozione. Il principale obiettivo che si prefigge Trojan.AndroidOS.Hiddad.an è rappresentato dal mostrare messaggi pubblicitari proposti in maniera particolarmente aggressiva; la maggior parte del suo “pubblico” si concentra in Russia (86% degli utenti sottoposti ad attacco).

Alla terza posizione della speciale TOP 20 spicca poi la presenza del malware classificato come Trojan.AndroidOS.Boogr.gsh (4,51%). Con tale specifico verdetto vengono rilevati i file riconosciuti come dannosi dal nostro sistema basato sul machine learning, ovvero sull’apprendimento automatico. Nonostante tale sistema sia in grado di rilevare qualsiasi tipo di programma malware, nel trimestre qui analizzato i software nocivi più diffusi, tra quelli identificati, si sono rivelati essere i Trojan pubblicitari in grado di avvalersi dei diritti di superutente.

L’ottava posizione della graduatoria da noi elaborata risulta occupata dal verdetto Trojan-Dropper.AndroidOS.Hqwar.i (3,83%). Con tale particolare denominazione vengono rilevati i Trojan protetti da una determinata utility di compressione o da uno specifico offuscatore. Nella maggior parte dei casi, sotto tale nome si nascondono i temibili rappresentanti delle famiglie di Trojan bancari per dispositivi mobile denominate FakeToken e Svpeng.

Al dodicesimo posto della speciale classifica relativa ai malware mobile più diffusi nel 1° trimestre del 2017, è andato poi a collocarsi il Trojan bancario denominato Trojan-Banker.AndroidOS.Svpeng.q (2,49%). I software nocivi appartenenti a questa famiglia si sono dimostrati particolarmente attivi, nel corso degli ultimi tre trimestri; il malware qui sopra menzionato, da parte sua, è risultato essere il Trojan bancario mobile maggiormente utilizzato dai cybercriminali nel periodo oggetto del presente report.

Osserviamo, infine, come la sedicesima posizione del rating da noi stilato sia andata ad appannaggio di Trojan.AndroidOS.Agent.bw (1,79%). Al pari di Trojan.AndroidOS.Hiddad.an, anche questo programma Trojan, destinato a colpire principalmente coloro che abitano in India (più del 92% del numero totale di utenti attaccati), si spaccia per software e giochi che godono di notevole popolarità; una volta lanciato sul dispositivo-vittima, esso scarica ed installa su quest’ultimo varie app, provenienti dal server allestito dai malintenzionati.

Geografia delle minacce mobile

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del primo trimestre del 2017, dai programmi malware specificamente sviluppati per colpire i dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo Paese)

TOP-10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobile:

Paese* Quota percentuale di utenti
sottoposti ad attacco**
1 Iran 47,35%
2 Bangladesh 36,25%
3 Indonesia 32,97%
4 Cina 32,47%
5 Nepal 29,90%
6 India 29,09%
7 Algeria 28,64%
8 Filippine 27,98%
9 Nigeria 27,81%
10 Ghana 25,85%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Nel primo trimestre del 2017, leader della speciale TOP 10 basata sulle quote percentuali più elevate di utenti mobile sottoposti ad attacco, è divenuto l’Iran (47,35%). Il secondo posto della graduatoria risulta poi occupato dal Bangladesh: il 36,25% degli utenti ubicati nel Paese asiatico si è imbattuto – almeno una volta nel corso del trimestre preso in esame – in programmi malware destinati ai dispositivi mobile. Seguono, all’interno della classifica da noi stilata, Indonesia e Cina; in entrambi i Paesi dell’Estremo Oriente – collocatisi rispettivamente alla terza e alla quarta posizione del rating – la quota relativa agli utenti che hanno subito tentativi di attacco è risultata di poco superiore al 32%.

Forniamo, qui di seguito, ulteriori indicazioni riguardo alle posizioni in cui si sono situati vari altri Paesi nell’ambito del ranking analizzato: la Russia (11,6%), ad esempio, si è collocata al 40° posto dello stesso; la Francia (8,1%) al 57°; gli Stati Uniti (6,9%) al 69°; l’Italia (7,1%), da parte sua, è andata ad occupare la 66a posizione; la Germania, con una quota pari al 6,2% si trova invece in 72a posizione; la Gran Bretagna (5,8%), infine, compare al 75° posto della speciale graduatoria geografica del malware mobile.

I Paesi più sicuri, in termini di quota percentuale di utenti sottoposti ad attacco, sono risultati essere i seguenti: Finlandia (2,7%), Georgia (2,5%) e Giappone (1,5%).

In tutti i Paesi che fanno parte della TOP 20, risultano particolarmente “popolari”, all’incirca, gli stessi oggetti mobile: i programmi riconducibili alla classe degli AdWare – ed in special modo i “rappresentanti” della famiglia AdWare.AndroidOS.Ewind – e i cosiddetti Trojan pubblicitari.

I Trojan bancari per piattaforme mobile

Nel periodo oggetto della nostra consueta analisi trimestrale dedicata all’evoluzione del malware, sono stati da noi individuati 32.038 pacchetti di installazione relativi a Trojan-Banker destinati ai dispositivi mobile, ovvero un numero di pacchetti inferiore di 1,1 volte rispetto all’analoga quantità rilevata per gli stessi nel quarto trimestre del 2016.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Numero di pacchetti di installazione, relativi a Trojan bancari per dispositivi mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 2° trimestre 2016 — 1° trimestre 2017)

Per il terzo trimestre di fila, il Trojan bancario mobile maggiormente utilizzato dai cybercriminali si è rivelato essere Trojan-Banker.AndroidOS.Svpeng.q. Lo scopo principale di tale programma malware – destinato, in primo luogo, agli utenti di lingua russa – è rappresentato dal furto di denaro. Per ottenere le informazioni sensibili relative alle carte di credito, e carpire i dati necessari per eseguire le procedure di autenticazione nell’ambito dei sistemi di banking online, il Trojan in questione ricorre all’utilizzo di apposite finestre di phishing. I malintenzionati, inoltre, sottraggono agli utenti significative somme di denaro tramite determinati servizi SMS, tra cui quelli relativi al mobile banking. Seguono il Trojan Svpeng, nella speciale graduatoria riservata ai Trojan bancari mobile in assoluto più “popolari”, i malware denominati Trojan-Banker.AndroidOS.Faketoken.z e Trojan-Banker.AndroidOS.Asacub.san. Occorre sottolineare come la maggior parte degli utenti presi di mira dagli attacchi lanciati da questa temibile “trojka” di software dannosi, si trovi sul territorio della Federazione Russa.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del primo trimestre 2017, dai Trojan bancari destinati ai dispositivi mobile (quota percentuale di utenti sottoposti ad attacco)

TOP 10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobile:

Paese* % di utenti sottoposti
ad attacco**
1 Russia 1,64%
2 Australia 1,14%
3 Turchia 0,81%
4 Uzbekistan 0,61%
5 Tagikistan 0,48%
6 Moldavia 0,43%
7 Ucraina 0,41%
8 Kazakhstan 0,37%
9 Kirghizistan 0,32%
10 Singapore 0,26%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari Paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Nonostante la posizione di leadership occupata nel trimestre qui preso in esame, risulta sensibilmente diminuito, rispetto al terzo trimestre del 2016, il livello di attività manifestato dalla famiglia Svpeng: la quota relativa al numero di utenti attaccati, in territorio russo, da tali malware mobile, si è in pratica quasi dimezzata, passando dal 3,12% all’1,64%. La Russia, ad ogni caso, continua a capeggiare la speciale TOP 20 geografica da noi stilata.

Il secondo gradino del “podio” virtuale del primo trimestre dell’anno è andato ad appannaggio dell’Australia (1,14%). La maggior parte degli attacchi informatici di tal genere, registrati sul territorio di questo Paese, è riconducibile a software nocivi facenti parte delle famiglie Trojan-Banker.AndroidOS.Acecard e Trojan-Banker.AndroidOS.Marcher. Chiude infine la composizione della TOP 3 la Turchia, con una quota pari allo 0,81%.

I Trojan ransomware per dispositivi mobile

Nel primo trimestre del 2017 sono stati da noi individuati 218.625 pacchetti di installazione relativi a Trojan “estorsori” (Trojan-Ransom) destinati ai sistemi operativi mobile, un numero che supera di ben 3,5 volte l’analoga quantità rilevata, per gli stessi, nel trimestre precedente.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Numero di pacchetti di installazione, relativi a programmi ransomware mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 2° trimestre 2016 – 1° trimestre 2017)

Nella prima metà del 2016 era stato da noi osservato un consistente aumento del numero dei pacchetti di installazione di ransomware mobile, in gran parte dovuto alla rapida ed attiva diffusione, in quel periodo, dei programmi Trojan appartenenti alla famiglia Trojan-Ransom.AndroidOS.Fusob. Nel secondo semestre dello stesso anno, poi, il livello di attività fatto registrare da tale famiglia era sensibilmente diminuito; una simile circostanza, ovviamente, si era riflessa in maniera evidente sul numero di pacchetti di installazione da noi complessivamente individuati. Nel quarto trimestre del 2016, ad ogni caso, veniva già rilevata una significativa tendenza riguardo alla crescita del numero di tali pacchetti dannosi, crescita che poi è letteralmente esplosa, in maniera repentina, nel primo trimestre del 2017. Il motivo di tutto ciò è da imputare, principalmente, all’elevato grado di diffusione della famiglia di ransomware mobile denominata Trojan-Ransom.AndroidOS.Congur; oltre l’86% dei pacchetti di installazione individuati, relativamente ai Trojan estorsori, si è in effetti rivelato essere riconducibile proprio ad essa. Di solito, i rappresentanti della famiglia Congur sono dotati di funzionalità tutt’altro che sofisticate, per non dire alquanto semplici: essi modificano il codice PIN del dispositivo (oppure impostano il proprio, se tale codice risulta assente); in seguito, i ransomware in questione richiedono all’utente-vittima di mettersi in contatto direttamente con i malintenzionati, attraverso il messenger QQ, per l’eventuale sblocco dell’apparecchio. È opportuno a tal proposito segnalare il fatto che esistono alcune varianti di tale Trojan in grado di utilizzare i diritti di superutente già esistenti, allo scopo di installare il proprio modulo all’interno della cartella di sistema.

Nonostante tutto questo, nel primo trimestre dell’anno in corso, il ransomware mobile in assoluto più diffuso è di nuovo risultato essere Trojan-Ransom.AndroidOS.Fusob.h. In tale malware si è imbattuto oltre il 45% degli utenti sottoposti ad attacco da parte di programmi ransomware mobile. Una volta avviato, questo temibile Trojan richiede i diritti di amministratore, raccoglie informazioni sul dispositivo preso di mira, tra cui le coordinate GPS e la cronologia delle chiamate, e provvede poi ad effettuare l’upload dei dati carpiti sul server allestito dai malintenzionati. In seguito esso può ricevere, da parte dei cybercriminali, lo specifico comando attraverso il quale il dispositivo viene bloccato.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del primo trimestre 2017, dai Trojan estorsori destinati ai dispositivi mobile (quota percentuale di utenti sottoposti ad attacco)

TOP 10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan estorsori per dispositivi mobile:

Paese* % di utenti sottoposti
ad attacco**
1 USA 1,23%
2 Uzbekistan 0,65%
3 Canada 0,56%
4 Kazakhstan 0,54%
5 Italia 0,44%
6 Germania 0,37%
7 Corea 0,35%
8 Danimarca 0,30%
9 Gran Bretagna 0,29%
10 Spagna 0,28%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari Paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan-Ransom per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Il primo posto della speciale TOP 10 geografica del ransomware mobile è andato ad appannaggio degli Stati Uniti (1,23%); nel Paese nordamericano la famiglia di Trojan estorsori maggiormente attiva si è rivelata essere Trojan-Ransom.AndroidOS.Svpeng. Questi Trojan ransomware per dispositivi mobile hanno fatto la loro comparsa sulla scena del malware nell’anno 2014, in qualità di variante della temibile famiglia di banker mobile classificata come Trojan-Banker.AndroidOS.Svpeng. Per procedere all’operazione di sblocco del dispositivo infetto, tali software nocivi richiedono, in genere, il pagamento di una cifra che varia dai 100 ai 500 dollari $.

In Uzbekistan (0,65%), il Paese dell’Asia Centrale collocatosi al 2° posto della graduatoria, una considerevole parte degli attacchi portati dai ransomware mobile è risultata essere opera di Trojan-Ransom.AndroidOS.Loluz.a. Si tratta, nella fattispecie, di un Trojan provvisto di funzionalità piuttosto semplici: esso blocca il funzionamento del dispositivo attraverso la propria finestra dannosa; per poter ottenere lo sblocco dello smartphone o del tablet, poi, Loluz richiede alla vittima di mettersi direttamente in contatto con i malintenzionati, tramite telefono.

Alla quarta posizione della TOP 10 da noi stilata troviamo il Kazakhstan (0,54%). La principale minaccia, per gli utenti mobile che abitano in questo Paese, continua ad essere rappresentata dai Trojan estorsori della famiglia Small. Si tratta, di fatto, di un Trojan-Ransom piuttosto “semplice”, il quale sovrappone la propria finestra nociva a tutte le altre finestre che compaiono sullo schermo del dispositivo, ostacolando, in tal modo, il funzionamento di quest’ultimo. Per procedere allo sblocco, i malintenzionati richiedono, di solito, il pagamento di una cifra piuttosto contenuta (a partire da 10 dollari $).

In tutti gli altri Paesi facenti parte della TOP 10 qui sopra riportata, la famiglia di ransomware mobile maggiormente diffusa si è rivelata essere Fusob.

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

Il primo trimestre del 2017 è stato caratterizzato dal prepotente ritorno del noto exploit pack Neutrino, autore di una vera e propria “rinascita”, dopo che, nel terzo trimestre dello scorso anno, il famigerato exploit kit in questione era di fatto uscito di scena. Al pari dell’exploit pack Magnitude, altrettanto “celebre”, anche Neutrino ha in sostanza cambiato il proprio format di diffusione, allontanandosi progressivamente dalle campagne di massa, per divenire in misura sempre maggiore una sorta di exploit kit “privato”. A dir la verità, la nicchia lasciata improvvisamente vacante, nell’ambito del mercato cybercriminale, dal set di exploit Neutrino, si era subito rivelata un ambito terreno di conquista per alcuni nuovi “attori” del settore, quali Nebula, Terror ed altri ancora; i vari tentativi messi in atto dai malintenzionati, ad ogni caso, non hanno avuto esito “positivo”: in effetti, dopo un breve periodo di intensa attività, la distribuzione dei nuovi exploit pack è cessata in tempi piuttosto rapidi. Al momento attuale, il kit di exploit “pubblico”maggiormente diffuso, e maggiormente sofisticato, continua comunque ad essere RIG, con le sue numerose varianti.

I dati statistici relativi al primo trimestre del 2017 evidenziano, in primo luogo, come il numero degli utenti sottoposti ad attacco sia sensibilmente diminuito (quasi del 10%). Ciò è dovuto, in particolar modo, sia all’evidente fattore di effettiva “debolezza” che si riscontra, attualmente, sulla scena degli exploit pack, sia ad una pronunciata diminuzione del livello di efficacia manifestato, complessivamente, dagli exploit. L’unica piattaforma in controtendenza, per la quale si è di fatto registrata una crescita, si è rivelata essere Adobe Flash. Nonostante da molto tempo a questa parte, non siano state in alcun modo individuate, riguardo a quest’ultima, nuove vulnerabilità, il numero degli utenti complessivamente attaccati è comunque salito del 20%. La diminuzione di attività più marcata si è invece registrata riguardo agli exploit destinati ai vari browser: soltanto il 44% degli attacchi ha in effetti preso di mira i browser web (contro il 54% del trimestre precedente).

Le vulnerabilità in assoluto più sfruttate hanno continuato ad essere, anche nel primo trimestre dell’anno in corso, CVE-2016-0189, CVE-2014-6332 e CVE-2013-2551. Segnaliamo, inoltre, le vulnerabilità rilevate nel Chakra engine di Microsoft Edge, rese di pubblico dominio proprio all’inizio dell’anno. Oltre ad una dettagliata descrizione delle vulnerabilità, tale “studio” comprendeva un Proof of Concept pronto all’uso, il quale, subito dopo la relativa pubblicazione, è stato integrato nell’exploit pack Sundown e, da qui, è poi trasmigrato su Neutrino, Kaixin ed ulteriori kit di exploit. Lo sfruttamento di tali vulnerabilità non si è tuttavia rivelato possedere sufficiente efficacia; tra l’altro, le patch per queste ultime erano state già rilasciate nel mese di novembre, assieme all’aggiornamento MS16-129. Tutto questo ha fatto sì che le vulnerabilità in causa non ottenessero una larga diffusione; le stesse, al momento attuale, non vengono in pratica quasi mai utilizzate.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco — Situazione relativa al primo trimestre del 2017

Un elevato livello di attività è stato ugualmente mostrato, nel corso del primo trimestre del 2017, dalle campagne dannose preposte alla distribuzione di documenti infetti, attraverso la conduzione di appositi mailing di massa; nella circostanza, per ottenere la diffusione dei file nocivi, i cybercriminali sono ricorsi all’utilizzo di exploit destinati a colpire Microsoft Office. E sebbene la quota percentuale ascrivibile agli utenti della suite Office sottoposti ad attacco, sia rimasta in pratica invariata, occorre evidenziare come, spesso, gli stessi identici utenti siano stati attaccati più volte: in media, un utente oggetto di attacco da parte dei kit di exploit, si è visto inviare, nell’arco del trimestre qui preso in esame, ben 3 documenti dannosi.

In generale si osserva, attualmente, il manifestarsi di una precisa tendenza, che vede un significativo incremento dell’utilizzo di astute tecniche di ingegneria sociale, dispiegate con il preciso intento di riuscire a recapitare con successo il payload nocivo sui computer delle potenziali vittime. Le campagne malware preposte alla distribuzione di messaggi e-mail infetti si basano sempre sul medesimo elemento: costringere l’utente, in un modo o nell’altro, a compiere determinate azioni, di vario genere: decomprimere un file custodito in un archivio protetto da password, concedere il permesso relativo all’esecuzione delle macro incorporate nel documento nocivo, etc. Questo metodo, peraltro, inizia ad essere applicato anche agli exploit appositamente confezionati per attaccare le vulnerabilità individuate nei browser. Magnitude, ad esempio, propone agli utenti che si avvalgono di Internet Explorer 11 e Windows 10 di scaricare un file nocivo mascherato sotto forma di aggiornamento per il componente anti-malware Microsoft Defender. Alcune campagne di spam, poi, vengono costruite sulla specifica imitazione della pagina di aggiornamento del browser Google Chrome. Riteniamo, da parte nostra, che tale specifica tendenza proseguirà anche nell’immediato futuro; indubbiamente, si rivela molto più agevole, per i malintenzionati, supportare ed implementare campagne del genere. Il livello di “penetrazione” di queste ultime, inoltre, appare in costante crescita.

Programmi malware in Internet (attacchi tramite siti web)

Le minacce online rivolte al settore finanziario

I dati statistici qui sotto indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ottenuti tramite gli utenti che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A partire dal primo trimestre 2017, le statistiche in questione includono i programmi malware destinati agli apparecchi bancomat (ATM) e ai terminali POS, mentre non comprendono le minacce IT per dispositivi mobile.

Complessivamente, nel primo trimestre del 2017, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di uno o più programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di 288.000 utenti della rete globale di sicurezza Kaspersky Security Network.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Numero di utenti sottoposti ad attacco da parte di malware bancari –
Situazione relativa al periodo gennaio-marzo 2017

Geografia degli attacchi

Al fine di valutare e comparare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari e dai programmi malware appositamente sviluppati per colpire i bancomat e i terminali POS – rischio al quale risultano sottoposti i computer degli utenti nei vari Paesi del globo – abbiamo stimato, per ogni Paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel Paese.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del primo trimestre del 2017 mediante l’utilizzo di malware bancario (quota percentuale di utenti sottoposti ad attacco)

TOP 10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari

Paese* % di utenti attaccati
da Trojan bancari**
1 Germania 1,70
2 Cina 1,37
3 Libia 1,12
4 Kazakhstan 1,02
5 Palestina 0,92
6 Togo 0,91
7 Tunisia 0,89
8 Armenia 0,89
9 Venezuela 0,88
10 Taiwan 0,87

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dall’anti-virus; essi sono stati da noi ottenuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).

** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di Trojan bancari e programmi malware destinati agli apparecchi bancomat (ATM) e ai terminali POS, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Come evidenzia la tabella qui sopra inserita, nel primo trimestre del 2017 la leadership della speciale TOP 10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte di Trojan bancari e programmi malware ATM/POS, nei vari Paesi del mondo, è andata ad appannaggio della Germania (1,70%). Alla seconda posizione della graduatoria è andata poi a collocarsi, con un gap percentuale piuttosto pronunciato, la Cina (1,37%); chiude infine la composizione della TOP 3 la Libia, con una quota pari all’1,12%.

Quanto agli altri Paesi europei, segnaliamo, ad esempio, all’interno del rating da noi stilato, l’89a posizione della Spagna (0,24%), mentre al 126° posto della speciale classifica geografica del malware “finanziario” troviamo la Gran Bretagna (0,15%).

TOP 10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP 10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del primo trimestre del 2017, nell’ambito degli attacchi informatici eseguiti dai cyber criminali nei confronti degli utenti dei sistemi di online banking – redatta sulla base della quota percentuale di utenti sottoposti ad attacco – si presenta nella maniera seguente:

Denominazione* Quota percentuale
di utenti sottoposti
ad attacco**
1 Trojan-Spy.Win32.Zbot 45,93
2 Trojan.Win32.Nymaim 29,70
3 Trojan.Win32.Neurevt 3,31
4 Trojan-Banker.Win32.Gozi 3,15
5 Trojan-Spy.Win32.SpyEyes 2,71
6 Backdoor.Win32.ZAccess 2,11
7 Backdoor.Win32.Shiz 1,67
8 Trojan.Multi.Capper 1,67
9 Trojan.Win32.Tinba 1,00
10 Trojan.Win32.Shifu 1,00

* Rilevamenti eseguiti dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito il proprio assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

** Quote percentuali relative al numero di utenti unici attaccati da tali malware, sul numero complessivo di utenti sottoposti ad attacco da parte di malware finanziari.

Leader incontrastato della classifica qui sopra riportata continua a rimanere, così come nello scorso anno, il malware denominato Trojan-Spy.Win32.Zbot (45,93%). I codici sorgente di questo temibile Trojan, dopo essere stati resi pubblicamente disponibili a seguito di un’eclatante fuga di dati, risultano in pratica accessibili a tutti i cyber criminali che intendono farne uso. I cyber criminali, quindi, arricchiscono di continuo tale famiglia con l’introduzione di nuovi sample, compilati sulla base del codice sorgente, e contenenti differenze minimali rispetto all’originale.

Il secondo gradino del “podio” virtuale risulta poi occupato dal programma Trojan classificato come Trojan.Win32.Nymaim (29,70%). Le prime versioni dei software nocivi riconducibili a tale famiglia risultavano essere, in pratica, dei “semplici” Trojan downloader, preposti a caricare, sul computer-vittima, programmi specifici, a seconda del Paese preso di mira, dei malware “unici” in grado di bloccare il funzionamento del computer. Successivamente, sono state individuate nuove versioni dei programmi Trojan appartenenti alla famiglia Trojan.Win32.Nymaim, le quali includevano un particolare componente di Gozi, un ulteriore Trojan utilizzato dai cybercriminali per realizzare il furto delle informazioni sensibili relative ai sistemi di banking online di cui si avvalgono gli utenti. Lo stesso Trojan Gozi, da parte sua, con una quota pari al 3,15%, è andato ad occupare la quarta posizione del rating da noi stilato.

In terza posizione troviamo poi il malware denominato Trojan.Win32.Neurevt (3,31%); si tratta, nella fattispecie, di un programma Trojan multifunzionale scritto nel linguaggio di programmazione C++. Questo Trojan utilizza la tecnologia rootkit per cercare di occultare la propria presenza all’interno del sistema; inietta poi il suo codice nocivo in tutti i processi al momento in esecuzione, e blocca il funzionamento di alcuni programmi antivirus; esso è inoltre in grado di monitorare e bloccare l’installazione di altri programmi Trojan particolarmente diffusi.

I malware crittografici

Nel primo trimestre del 2017, abbiamo complessivamente individuato 11 nuove famiglie di Trojan crittografici, e 55.679 nuove varianti di tale tipologia di programma dannoso.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Numero di nuove varianti di malware crittografico – Situazione relativa al periodo Q2 2016 – Q1 2017

La maggior parte delle varianti individuate è risultata appartenere alla famiglia Cerber (rilevata con il “verdetto” Trojan-Ransom.Win32.Zerber). Questo temibile malware crittografico, identificato per la prima volta un anno fa, continua a svilupparsi senza sosta; prova ne è il fatto che continuiamo ad individuare, con regolarità, nuove versioni dello stesso, costantemente “migliorate”.

Numero di utenti sottoposti ad attacco da parte di Trojan crittografici

Nel primo trimestre del 2017 sono stati complessivamente registrati tentativi di infezione, da parte di malware crittografici, sui computer di 240.799 utenti unici della rete globale di sicurezza KSN (Kaspersky Security Network).

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Numero di utenti unici attaccati da Trojan crittografici – Situazione relativa al 1° trimestre del 2017

Tale indice risulta essere di quasi due volte inferiore rispetto all’analogo valore registrato relativamente al quarto trimestre del 2016; non dobbiamo ad ogni caso considerare in alcun modo che si possa trattare di una minaccia IT ormai in fase calante. Con ogni probabilità, la significativa differenza riscontrata a tal riguardo è dovuta alle metodologie di rilevamento adottate, per cui il numero effettivo degli incidenti informatici generati dal malware crittografico è, di fatto, notevolmente superiore: i dati statistici qui riportati costituiscono esclusivamente il riflesso dei risultati ottenuti grazie ai rilevamenti eseguiti tramite firma, ed ai rilevamenti di natura euristica, mentre una parte considerevole dei Trojan crittografici viene rilevata dai prodotti Kaspersky Lab per mezzo di tecnologie basate sul comportamento, con relativa emissione di verdetti di tipo “Generic”, i quali non consentono di poter distinguere le varie tipologie di malware.

Geografia degli attacchi

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del primo trimestre 2017, dai Trojan crittografici (quota percentuale di utenti sottoposti ad attacco)

TOP 10 relativa ai Paesi in cui si è registrata la quota più elevata di utenti sottoposti ad attacco informatico da parte di Trojan crittografici

Paese* % di utenti attaccati
dai malware crittografici**
1 Italia 1,87%
2 Brasile 1,07%
3 Giappone 0,99%
4 Vietnam 0,74%
5 Paesi Bassi 0,73%
6 Cambogia 0,70%
7 Uganda 0,66%
8 Filippine 0,65%
9 Venezuela 0,63%
10 Nigeria 0,60%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 50.000 utenti).
** Quote percentuali relative al numero di utenti unici i cui computer sono stati attaccati da Trojan crittografici, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Come evidenzia la tabella qui sopra inserita, la prima posizione della speciale TOP 10 geografica – relativa ai Paesi che hanno fatto registrare le quote percentuali più elevate in termini di utenti sottoposti ad attacco da parte di malware crittografici – risulta occupata dall’Italia (1,87%), che non faceva parte dell’analoga graduatoria inerente al terzo trimestre del 2016. Il secondo posto del ranking è poi andato ad appannaggio del Brasile (1,07%); di fatto, anche il Paese sudamericano non figurava, in precedenza, nella TOP 10 qui analizzata. Tale specifica circostanza riflette in pieno, peraltro, quanto da noi osservato in merito al sensibile aumento del numero di Trojan ransomware indirizzati ai potenziali utenti-vittima ubicati entro i confini del territorio brasiliano. Uno degli esempi più chiari ed evidenti, riguardo a tali software dannosi, è indubbiamente rappresentato dal ransomware Xpan, la cui analisi è stata già pubblicata, a cura dei nostri esperti, nel mese di settembre dello scorso anno.

Il Giappone (0,99%), che nel secondo e nel terzo trimestre del 2016 era andato ad occupare la prima posizione della nostra graduatoria, è sceso di ben due posizioni in classifica, ma continua a far parte, per il momento, delle posizioni di vertice della TOP 10 in questione.

TOP 10 inerente alle famiglie di Trojan crittografici maggiormente diffuse


Denominazione
Verdetti* Quota percentuale
di utenti sottoposti
ad attacco**
1 Cerber Trojan-Ransom.Win32. Zerber 18,04%
2 Spora Trojan-Ransom.Win32.Spora 7,59%
3 Locky Trojan-Ransom.Win32.Locky 7,35%
4 Sage Trojan-Ransom.Win32.SageCrypt 3,44%
5 Cryrar/ ACCDFISA Trojan-Ransom.Win32.Cryrar 3,20%
6 Shade Trojan-Ransom.Win32.Shade 2,82%
7 (verdetto generico) Trojan-Ransom.Win32.Gen 2,37%
8 Crysis/Dharma Trojan-Ransom.Win32.Crusis 2,30%
9 CryptoWall Trojan-Ransom.Win32.Cryptodef 2,25%
10 (verdetto generico) Trojan-Ransom.Win32.Snocry 2,16%

* I dati statistici qui sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ottenuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacco da parte di una specifica famiglia di Trojan-Ransom, sul numero complessivo di utenti attaccati da tale genere di malware estorsore.

Nel primo trimestre del 2017, il malware crittografico in assoluto più diffuso – in base al numero complessivo di utenti sottoposti ad attacco – si è rivelato essere il programma Trojan Cerber (18,04%). Tale circostanza era, di fatto, più che prevedibile, vista l’enorme quantità di varianti di ogni genere prodotta da questo temibile Trojan crittografico, peraltro oggetto di un’attiva e vasta opera di distribuzione da parte dei cyber criminali.

Il secondo gradino del “podio” virtuale annovera poi la presenza del ransomware denominato Spora (7,59%). Questo nuovo Trojan, individuato per la prima volta nel mese di gennaio 2017, agli “albori” della propria “carriera” attaccava esclusivamente potenziali vittime di lingua russa; tuttavia, soltanto poche settimane dopo la sua scoperta, Spora si diffondeva già in tutto il mondo; in tal modo, per la fine del primo trimestre dell’anno in corso, il malware crittografico in causa entrava a far parte della “trojka” dei programmi Trojan-Ransom in cui si sono imbattuti più di frequente gli utenti. La terza posizione del rating è occupata dal famigerato Locky (7,35%), comparso sulla scena all’incirca un anno fa; in questi ultimi tempi, tuttavia, il livello di attività manifestato da questo temutissimo malware crittografico risulta leggermente diminuito.

Desideriamo evidenziare, inoltre, la presenza in classifica di un ulteriore, nuovo programma Trojan: si tratta di Sage (3,44%), anch’esso comparso, come Spora, proprio nel primo trimestre del 2017. Nonostante la “giovane età”, il ransomware Sage è andato subito ad occupare il quarto posto del rating da noi stilato. Le rimanenti posizioni della graduatoria qui analizzata sono andate ad appannaggio di varie “vecchie conoscenze”, ovvero programmi malware che figuravano già negli analoghi report riguardanti i trimestri precedenti.

Segnaliamo infine, tra le “scoperte” più interessanti del trimestre preso in esame, il Trojan crittografico denominato PetrWrap, utilizzato dai cyber criminali nell’ambito degli attacchi informatici mirati condotti nei confronti di società ed organizzazioni in genere. I dati statistici da noi raccolti dimostrano in maniera evidente come tale tipologia di attacco, in questi ultimi tempi, stia acquisendo un livello di “popolarità” sempre maggiore.

Geografia delle fonti degli attacchi web: TOP 10

Tali dati statistici si riferiscono alla ripartizione per Paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dai prodotti Kaspersky Lab (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli assalti informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel primo trimestre del 2017 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 479.528.279 attacchi condotti attraverso siti Internet compromessi dislocati in 191 diversi Paesi. In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 79.209.775 URL unici.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Ripartizione per Paesi delle fonti degli attacchi web –
Situazione relativa al primo trimestre del 2017

Osserviamo, innanzitutto, la presenza di una nuova leadership nell’ambito della graduatoria riservata ai Paesi in cui è stato rilevato il maggior numero di fonti degli attacchi condotti attraverso il web: nel primo trimestre del 2017, in effetti, la prima posizione del rating è andata ad appannaggio dei Paesi Bassi, con una quota pari al 38%. Al secondo posto troviamo gli Stati Uniti (30%), per lungo tempo Paese leader della speciale classifica da noi elaborata; da rilevare, ad ogni caso, come la quota ascrivibile agli USA non sia in sostanza diminuita di molto, rispetto agli analoghi indici percentuali riscontrati nel corso del 2016. La Germania, da parte sua, con una quota del 9% (da notare l’elevato gap percentuale fatto registrare rispetto ai due Paesi che occupano il vertice della graduatoria), è andata a collocarsi in terza posizione.

Russia (4%) e Francia (3%) occupano poi, rispettivamente, il quarto ed il quinto posto del ranking dedicato alle fonti geografiche degli attacchi portati attraverso Internet.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai programmi malware, e distribuite attraverso la Rete, abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni Paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

Desideriamo sottolineare il fatto che, a partire dal report relativo al trimestre precedente, tale rating prende in considerazione unicamente gli attacchi informatici portati attraverso oggetti nocivi riconducibili alla classe dei Malware; nell’effettuare i calcoli statistici non abbiamo quindi tenuto conto dei rilevamenti eseguiti dal nostro modulo Anti-Virus Web relativamente ai programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Paese* % di utenti
sottoposti ad attacco**
1 Algeria 37,67
2 Bielorussia 33,61
3 Tunisia 32,04
4 Ucraina 31,98
5 Kazakhstan 29,96
6 Azerbaijan 29,95
7 Albania 29,80
8 Bangladesh 29,51
9 Qatar 29,41
10 Armenia 29,02
11 Grecia 28,21
12 Moldavia 27,46
13 Venezuela 27,37
14 Kirghizistan 27,02
15 Vietnam 26,87
16 Russia 26,67
17 Marocco 25,65
18 Sri Lanka 25,42
19 Brasile 25,10
20 Serbia 24,18

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web da parte di oggetti nocivi riconducibili alla classe dei Malware, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

Complessivamente, a livello mondiale, nel corso del trimestre qui preso in esame, una consistente porzione degli utenti della Rete (20,05%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web, imputabili alla classe dei Malware.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Geografia degli attacchi web condotti dai cybercriminali nel corso del primo trimestre del 2017 mediante l’utilizzo di programmi malware (quota percentuale di utenti sottoposti ad attacco)

Tra i Paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo Lussemburgo (14,4%), Germania (13,9%), Norvegia (13,83%), Sudafrica (12,5%), USA (10,56%), Uganda (10,29%), Giappone (9,18%).

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del primo trimestre del 2017. Tali dati riguardano sia gli oggetti nocivi penetrati nel computer dell’utente mediante l’infezione di file o di supporti rimovibili, sia gli oggetti dannosi insediatisi inizialmente all’interno del computer-vittima non in forma manifesta (ad esempio certi programmi che accompagnano installer particolarmente complessi, file codificati, etc.).

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Lungo tutto l’arco del primo trimestre del 2017, il nostro modulo Anti-Virus File ha rilevato con successo 174.989.956 oggetti nocivi unici, o potenzialmente indesiderabili.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

È stata calcolata, per ogni Paese, la percentuale di utenti dei prodotti Kaspersky Lab che, nel corso del periodo preso in esame nel presente report, ha visto entrare in azione il modulo Anti-Virus File, specificamente dedicato al rilevamento delle minacce IT locali. Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari Paesi del mondo.

Tale rating prenderà in considerazione unicamente gli attacchi informatici portati attraverso oggetti dannosi riconducibili alla classe dei Malware; nell’effettuare i calcoli statistici non abbiamo quindi tenuto conto dei rilevamenti eseguiti dal nostro modulo Anti-Virus File relativamente ai programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Paese* % di utenti sottoposti
ad attacco**
1 Yemen 54,84
2 Afghanistan 54,27
3 Uzbekistan 53,80
4 Tagikistan 51,32
5 Etiopia 50,87
6 Djibouti 50,03
7 Algeria 49,38
8 Vietnam 49,15
9 Turkmenistan 48,39
10 Ruanda 47,57
11 Mongolia 47,25
12 Somalia 46,96
13 Siria 46,96
14 Bangladesh 46,64
15 Iraq 46,59
16 Sudan 46,35
17 Nepal 46,19
18 Kazakhstan 46,00
19 Laos 45,39
20 Bielorussia 43,45

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ottenute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di apparecchi fotografici digitali, telefoni, hard disk esterni).

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali appartenenti alla classe dei Malware, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel Paese.

In media, nel mondo, durante il primo trimestre del 2017, sono state rilevate – perlomeno una volta – minacce IT locali ascrivibili alla classe dei Malware sul 23,63% dei computer degli utenti. L’indice relativo alla Russia, nell’ambito di tale rating, è risultato pari al 30,51%.

Evoluzione delle minacce informatiche nel primo trimestre del 2017. Le statistiche

Paesi con il più basso livello di contaminazione informatica a carattere “locale”: Polonia (14,85%), Singapore (12,21%), Italia (13,30%), Francia (11,15%), Australia (10,51%), Gran Bretagna (9,08%), Canada (8,66%), Repubblica Ceca (7,83%), USA (7,57%), Danimarca (6,35%), Giappone (6,18%).

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *