Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Contenuti

Il trimestre in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) – l’estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – lungo tutto l’arco del secondo trimestre del 2015 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 379.972.834 attacchi condotti attraverso siti Internet compromessi, dislocati in vari paesi.
  • Il nostro Anti-Virus Web ha effettuato il rilevamento di 26.084.253 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
  • In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 65.034.577 URL unici.
  • Il 51% degli attacchi web bloccati e neutralizzati grazie all’intervento dei prodotti anti-malware di Kaspersky Lab è stato condotto attraverso siti web malevoli dislocati sul territorio della Russia.
  • Sono state complessivamente registrate 5.903.377 notifiche relative a tentativi di infezione da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l’accesso online ai conti bancari degli stessi.
  • Il nostro modulo Anti-Virus File ha rilevato con successo 110.731.713 oggetti maligni unici, o potenzialmente indesiderabili.
  • Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobili hanno effettuato il rilevamento di:
    • 1.048.129 pacchetti di installazione;
    • 291.887 nuove varianti di programmi dannosi specificamente creati dai virus writer per infettare i dispositivi mobili;
    • 630 Trojan bancari per piattaforme mobile.

Il quadro della situazione

Attacchi mirati e campagne di malware

APT CozyDuke, alias ‘Office Monkeys’: altro che scimmie in ufficio!

Abbiamo di recente pubblicato l’analisi da noi condotta riguardo a CozyDuke, un’ulteriore temibile APT impiegata in operazioni di cyber-spionaggio, riconducibile alla nota famiglia ‘Duke’, la quale comprende, tra l’altro, MiniDuke, CosmicDuke e OnionDuke. CozyDuke (ugualmente conosciuta con gli appellativi di ‘CozyBear’, ‘CozyCar’ e ‘Office Monkeys’) intende colpire organizzazioni governative ed imprese commerciali situate negli Stati Uniti, in Germania, Corea del Sud e Uzbekistan.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

L’attacco prevede l’utilizzo di tutta una serie di tecniche particolarmente sofisticate, quali crittografia, speciali funzionalità anti-rilevamento ed un set ben sviluppato di componenti strutturalmente simili a quelli posseduti dalle precedenti minacce IT dispiegate nell’ambito della famiglia ‘Duke’.

Ad ogni caso, una delle caratteristiche più evidenti di CozyDuke è rappresentata dall’utilizzo di insidiosi metodi di ingegneria sociale, allo scopo di poter mettere inizialmente piede all’interno delle organizzazioni e delle società prese di mira. Alcune delle e-mail di spear-phishing abitualmente distribuite dagli attacker contengono un link nocivo, preposto a condurre gli utenti-vittima verso siti web precedentemente violati (incluso siti di alto profilo, del tutto legittimi), i quali ospitano, di fatto, un archivio ZIP malevolo. L’archivio in questione contiene, a sua volta, un RAR SFX che provvede ad installare il malware, mostrando al contempo, come diversivo, un PDF completamente vuoto. Un ulteriore approccio consiste nell’invio di video flash fasulli, in qualità di allegati e-mail. Nella fattispecie, l’esempio maggiormente degno di nota è costituito dal file compresso denominato ‘OfficeMonkeys LOL Video.zip’, dal quale deriva, peraltro, uno dei coloriti appellativi con cui viene indicato il malware in causa. Tale file, una volta lanciato, genera a sua volta l’immissione di un eseguibile CozyDuke nel computer-vittima, mentre l’utente, nel frattempo, visualizza il famigerato video-esca dal contenuto decisamente divertente; in esso, per l’appunto, vengono mostrate delle scimmie intente a “lavorare” in ufficio… Ovviamente, questo induce le vittime ad inoltrare il video ai propri colleghi, aumentando, in tal modo, il numero dei computer compromessi dal malware.

L’ampio utilizzo di astute tecniche di ingegneria sociale – attraverso le quali si cerca di far sì che il personale dell’organizzazione o della società presa di mira metta in qualche modo a repentaglio la sicurezza aziendale – da parte del gruppo CozyDuke e numerosi altri aggressori intenti a condurre attacchi di natura mirata, non fa altro che sottolineare, una volta di più, l’irrinunciabile necessità di conferire al personale un’adeguata educazione riguardo alle tematiche di sicurezza IT, in modo tale che ciò diventi un componente fondamentale nello sviluppo di qualsiasi strategia di sicurezza aziendale.

Naikon: furto di dati di intelligence geopolitica nel Mar Cinese Meridionale

Nello scorso mese di maggio è stato da noi pubblicato un dettagliato report riguardo all’APT Naikon, utilizzata nella conduzione di numerose campagne di cyber-spionaggio rivolte ad obiettivi sensibili situati nel Sud-Est Asiatico e nell’area geografica raccolta attorno alle sponde del Mar Cinese Meridionale. Gli aggressori sembrano essere di lingua cinese; essi risultano attivi da almeno cinque anni. Nel corso di tale periodo, gli attacker hanno principalmente focalizzato le loro attenzioni su agenzie governative di alto profilo, così come su istituzioni civili e militari situate in paesi quali Filippine, Malaysia, Cambogia, Indonesia, Vietnam, Myanmar, Singapore, Nepal, Thailandia, Laos e Cina.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Come avviene in molte altre campagne APT, gli attaccanti ricorrono all’utilizzo di e-mail di spear-phishing, allo scopo di indurre i potenziali utenti-vittima ad effettuare il download del malware sul proprio computer. Le e-mail in questione presentano un file allegato, contenente informazioni che possono di fatto risultare interessanti per la vittima designata. Tale file sembra essere, a prima vista, un documento Word standard; si tratta, in realtà, di un file eseguibile provvisto di doppia estensione, oppure di un eseguibile che, a livello di nome del file, si avvale del meccanismo denominato RTLO (right to left override, per ottenere la scrittura dei caratteri da destra a sinistra), allo scopo di mascherare la vera estensione del file stesso. Nel momento in cui la vittima provvede ad aprire uno di questi allegati dannosi, viene avviata l’installazione di uno spyware sul computer sottoposto ad attacco; al contempo, l’utente visualizza il suddetto “documento-esca”, che, apparentemente, sembra non destare alcun sospetto.

Il modulo principale di Naikon è costituito da uno strumento di amministrazione remota (RAT, Remote Administration Tool): tale modulo supporta ben 48 comandi, preposti ad esercitare il pieno controllo sui computer infetti. Si tratta, nella fattispecie, di comandi che consentono di effettuare un inventario completo dei file di sistema, eseguire il download e l’upload di dati, così come di realizzare l’installazione di speciali moduli add-on. Oltre a ciò Naikon fa uso, talvolta, di insidiosi keylogger, con il preciso intento di carpire le credenziali degli utenti-vittima.

Ad ogni paese target viene poi assegnato un proprio “operatore culturale”, in grado di sfruttare al meglio le caratteristiche peculiari delle varie culture e mentalità locali, come, ad esempio, la particolare tendenza, in certi paesi, ad utilizzare gli account e-mail personali nell’ambito delle attività lavorative. Il gruppo Naikon si avvale ugualmente di specifici proxy server, collocati entro i confini dei vari paesi bersaglio, in modo da gestire al meglio, con cadenza giornaliera, le connessioni stabilite con i computer infetti e poter rapidamente trasferire i dati raccolti verso i server di Comando e Controllo (C2) progressivamente allestiti.

Il report principale ed il report di follow-up relativi all’APT Naikon sono disponibili all’interno del nostro sito web.

Quando le spie vengono a loro volta spiate

Mentre eravamo intenti a condurre le nostre indagini riguardo a Naikon, abbiamo scoperto le attività del gruppo APT denominato Hellsing. Si tratta di un gruppo che prende di mira in particolar modo entità governative e diplomatiche situate nel continente asiatico: la maggior parte delle vittime di Hellsing risulta in effetti ubicata in Malaysia e nelle Filippine, sebbene siano state ugualmente osservate vittime in India, Indonesia e negli Stati Uniti.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Di per se stesso, Hellsing è un gruppo di cyber-spionaggio piccolo e tecnicamente irrilevante (si stima che siano state bersagliate dall’APT in questione circa 20 organizzazioni). Ciò che rende la situazione particolarmente interessante è tuttavia il fatto che tale gruppo è stato a sua volta colpito da un attacco di spear-phishing condotto dal gruppo APT Naikon – ed ha deciso di passare immediatamente al contrattacco! Nella circostanza, la vittima dell’assalto si è rivolta al mittente per ottenere una conferma riguardo all’effettiva autenticità dell’e-mail ricevuta; successivamente, il gruppo Hellsing si è visto recapitare la risposta formulata dall’attacker Naikon, ma si è ben guardato, ovviamente, dall’aprire il documento allegato al messaggio di posta elettronica. Anzi, poco tempo dopo, Hellsing ha provveduto ad inviare un’e-mail di risposta agli attaccanti di Naikon, la quale conteneva, a sua volta, il proprio malware. È evidente che, dopo essersi accorti di essere bersagliati da un attacco IT, il gruppo Hellsing si è messo all’opera per identificare gli aggressori e raccogliere allo stesso tempo informazioni di intelligence riguardo alle attività condotte da questi ultimi.

In passato, abbiamo visto gruppi APT calpestarsi accidentalmente i piedi a vicenda; è stato ad esempio realizzato il furto delle rubriche di proprietà dalle vittime, e sono stati in seguito effettuati estesi mailing di massa rivolti a tutti gli indirizzi presenti in tali elenchi. Un attacco APT contro APT, tuttavia, è un evento a dir poco inconsueto.

Grabit, non solo attacchi ai “pesci grossi”

Molte campagne di spionaggio in cui si ricorre all’utilizzo di attacchi mirati bersagliano in particolar modo società di grandi dimensioni, enti governativi ed altre organizzazioni di alto profilo. Leggendo poi certi titoli altisonanti, che spesso compaiono su quotidiani e riviste online, si è facilmente indotti ad immaginare che le suddette organizzazioni siano le uniche entità effettivamente prese di mira dagli aggressori. Tuttavia, una delle campagne oggetto delle nostre indagini nel corso dell’ultimo trimestre, ha dimostrato chiaramente come gli attaccanti non siano interessati esclusivamente ai “pesci grossi”. Ogni società, ente, od istituzione, in effetti, rappresenta un potenziale bersaglio, in ragione delle risorse di cui dispone, oppure in considerazione del fatto che un attacco sferrato nei suoi confronti può magari permettere ai malintenzionati di infiltrarsi all’interno di un’altra organizzazione.

La campagna di cyber-spionaggio denominata Grabit è stata concepita allo scopo di realizzare il furto di dati sensibili appartenenti a società ed organizzazioni di piccole e medie dimensioni, situate principalmente in Thailandia, Vietnam ed India, anche se abbiamo riscontrato ulteriori vittime di Grabit negli USA, negli Emirati Arabi Uniti, in Turchia, Russia, Cina, Germania ed in altri paesi. L’attacco in questione ha preso di mira soprattutto i seguenti settori: chimica, nanotecnologie, istruzione, agricoltura, mass media e costruzioni. Secondo le nostre stime, il gruppo che si nasconde dietro gli assalti effettuati è riuscito a compiere il furto di circa 10.000 file.

Il malware viene recapitato sotto forma di documento Word allegato ad un messaggio e-mail. Tale documento contiene, di fatto, una macro malevola, denominata ‘AutoOpen’. Essa provvede ad aprire un socket TCP, per poi inviare una richiesta HTTP ad un server remoto, in precedenza violato dal gruppo Grabit, in modo tale da essere utilizzato in qualità di hub per la distribuzione del malware. Successivamente, da tale server viene scaricato il programma utilizzato per condurre le operazioni di cyber-spionaggio. In alcuni casi, la suddetta macro risulta protetta da password (gli attacker sembrano aver dimenticato che un file DOC è a tutti gli effetti un archivio; così, quando lo stesso viene aperto all’interno di un editor, le stringhe che compongono la macro vengono mostrate in chiaro). Gli attaccanti controllano poi i computer compromessi dal malware avvalendosi di un tool di spionaggio disponibile in commercio, chiamato HawkEye (sviluppato da HawkEyeProducts). Oltre a ciò, essi ricorrono all’utilizzo di una serie di strumenti per l’amministrazione remota (Remote Administration Tools, RAT).

Gli attaccanti, da un lato, hanno implementato alcune tecniche preposte a rendere notevolmente complessa l’analisi del malware Grabit, quali dimensioni del codice variabili, offuscamento e codifica dello stesso. Dall’altro lato, gli attacker non riescono a nascondere le proprie tracce all’interno del sistema sottoposto ad assalto. Il risultato di tutto ciò è una sorta di “cavaliere debole e goffo avvolto da una possente armatura”; questo induce a ritenere che gli aggressori non abbiano scritto tutto il codice nocivo di propria mano.

Il ritorno di Duqu

Nella primavera del 2015, eseguendo un normale sweep di sicurezza, Kaspersky Lab rilevava un’estesa cyber-intrusione, la quale interessava, di fatto, numerosi sistemi interni. La successiva indagine, condotta su larga scala dai nostri esperti, ha permesso di scoprire l’esistenza di una nuova piattaforma malware, elaborata da uno dei gruppi più abili, misteriosi e potenti del mondo APT, ovvero Duqu, talvolta definito una sorta di “fratellastro” di Stuxnet. La nuova piattaforma malware è stata da noi chiamata ‘Duqu 2.0’.

Per ciò che riguarda nello specifico Kaspersky Lab, l’attacco è andato a sfruttare una vulnerabilità zero-day individuata nel kernel di Windows (poi risolta da Microsoft il 9 giugno 2015, mediante la release di un’apposita patch); nella circostanza, potrebbero essere state colpite altre due vulnerabilità (attualmente “fissate”), le quali, al momento dell’attacco, erano ugualmente classificabili come “zero-day”. Il principale obiettivo degli aggressori era quello di spiare le tecnologie in uso presso Kaspersky Lab, le indagini in corso ed i processi interni.

Kaspersky Lab, tuttavia, non è stato l’unico target preso di mira dal gruppo Duqu 2.0. Alcune delle infezioni generate dal malware in causa sono apparse correlate agli eventi di cui è risultato protagonista il gruppo dei cosiddetti paesi P5+1, eventi connessi ai negoziati condotti con l’Iran relativamente all’accordo sul nucleare. Nella fattispecie, sembra proprio che gli aggressori abbiano lanciato attacchi informatici nei confronti di alcune delle sedi in cui hanno avuto luogo le trattative ad alto livello sopra menzionate. Inoltre, il gruppo APT ha eseguito un attacco del tutto simile in occasione del 70° anniversario della liberazione del lager di Auschwitz-Birkenau.

Una delle più importanti caratteristiche del malware Duqu 2.0 è indubbiamente rappresentata dalla mancanza di persistenza, visto che lo stesso non lascia quasi nessuna traccia all’interno del sistema. Il malware, in effetti, non apporta alcuna modifica alle impostazioni del disco o del sistema: in sostanza, la nuova piattaforma malevola è stata progettata in maniera tale da poter sopravvivere quasi esclusivamente nella memoria dei sistemi informatici infetti. Tale elemento suggerisce un’importante considerazione: gli attacker, in pratica, agiscono ben sicuri del fatto di poter mantenere la loro presenza all’interno del sistema, anche nel caso in cui il computer-vittima venga riavviato ed il malware venga eliminato dalla memoria.

Il documento che illustra i dettagli tecnici inerenti a Duqu 2.0 e l’analisi del modulo di persistenza del malware possono essere consultati sul nostro sito web.

Le “storie” di sicurezza IT più significative del trimestre

Simda, la botnet che “gioca a nascondino”

Nello scorso mese di aprile, Kaspersky Lab ha preso parte alle operazioni di smantellamento della botnet Simda, coordinate dal Global Complex for Innovation di INTERPOL. Le indagini, avviate inizialmente da Microsoft, hanno visto la successiva partecipazione di ulteriori aziende leader del mercato IT, tra cui Kaspersky Lab e Trend Micro, in stretta collaborazione con il Japan’s Cyber Defense Institute, funzionari della Dutch National High Tech Crime Unit (NHTCU) dei Paesi Bassi, il Federal Bureau of Investigation (FBI) degli Stati Uniti, la Police Grand-Ducale Section Nouvelles Technologies del Lussemburgo e il Dipartimento del Cybercrimine “K” del Ministero dell’Interno russo, supportati dall’INTERPOL National Central Bureau di Mosca.

La vasta operazione congiunta ha permesso di smantellare ben 14 server, situati in Olanda, negli Stati Uniti, in Lussemburgo, Polonia e Russia. L’analisi preliminare condotta su alcuni dei server log sottoposti a procedure di sinkhole ha rivelato come fossero stati complessivamente colpiti dalle attività cybercriminali svolte nell’ambito della botnet Simda addirittura 190 paesi.

Nella fattispecie, i bot vengono distribuiti attraverso una serie di siti web infetti, preposti a reindirizzare i visitatori degli stessi verso temibili kit di exploit. I bot in questione generano il download e l’esecuzione di componenti aggiuntivi, ospitati nei propri server di update, e sono di fatto in grado di poter modificare il file hosts custodito sul computer infetto: in tal modo, i computer già infettati possono continuare ad inviare richieste HTTP ai server maligni, indicando di essere ancora vulnerabili nei confronti di un’eventuale nuova infezione provocata dai medesimi kit di exploit.

Sebbene la botnet Simda sia risultata relativamente estesa (si stima che siano stati complessivamente infettati 770.000 computer), i creatori della stessa hanno compiuto ogni possibile sforzo per cercare di rendere la loro “rete-zombie” invisibile ai “radar” di cui sono dotati i sistemi anti-malware. Il malware su cui si basa Simda, in effetti, è in grado di rilevare procedure di emulazione, tool di sicurezza e virtual machine; esso si avvale, oltre a ciò, di tutta una serie di metodi volti ad individuare gli ambienti sandbox, nell’intento di trarre in inganno i ricercatori e gli analisti attraverso il consumo di tutte le risorse della CPU, oppure notificando al proprietario della botnet gli indirizzi IP esterni relativi al network utilizzato per condurre la ricerca; questo sofisticato malware, infine, è persino atto ad implementare il polimorfismo server-side.

Simda è addirittura capace di auto-disattivarsi, trascorso un breve periodo di tempo. Tale specifica peculiarità è strettamente correlata ai fini che persegue questa botnet davvero particolare: si tratta, in pratica, di un vero e proprio meccanismo di distribuzione del malware, appositamente creato per disseminare in ogni angolo del mondo software nocivi o potenzialmente indesiderati. Tra l’altro, coloro che diffondono malware di ogni genere attraverso Simda, cercano di fare in modo che sui computer sottoposti ad attacco venga effettivamente installato il malware appartenente ai loro “clienti”.

I prodotti Kaspersky Lab sono in grado di rilevare, attualmente, centinaia di migliaia di varianti di Simda, al pari di numerosi programmi maligni riconducibili a terze parti, distribuiti attraverso la botnet qui esaminata. Potete tra l’altro utilizzare gratuitamente il nostro scanner degli IP relativi ai bot Simda per controllare se il vostro IP, nel passato, si è connesso ad un server C2 facente parte delle infrastrutture della misteriosa botnet “invisibile”.

Phishing, certamente, ma non come lo conosciamo!

All’inizio del 2014 veniva scoperta, da parte di Wang Jing – dottorando in matematica presso la Nanyang Technological University di Singapore – una vulnerabilità davvero critica all’interno dei popolari protocolli Internet OAuth e OpenID. Egli aveva individuato, più precisamente, una preoccupante falla di sicurezza in seguito denominata ‘Covert redirect’ (redirect nascosto), la quale avrebbe potuto di fatto consentire ad un attacker di compiere il furto dei dati personali degli utenti una volta eseguita la semplice procedura di autenticazione, senza avere direttamente accesso a username o password degli stessi (una dettagliata descrizione del problema, incluso un apposito link al blog di Wang Jing, è disponibile su Threatpost).

Di recente è stata da noi scoperta una temibile campagna di phishing volta a sfruttare proprio la vulnerabilità OAuth. Il protocollo OAuth, come è noto, permette agli utenti dei servizi online di concedere a terze parti un accesso limitato alle proprie risorse protette, senza che si riveli necessario condividere le credenziali di login. Si tratta di un protocollo comunemente utilizzato nell’ambito di determinate applicazioni per social network – ad esempio per ottenere agevolmente l’accesso all’elenco dei contatti di qualcuno, oppure ad altri dati.

L’utente Kaspersky Lab che ha riferito in merito all’attacco di phishing subito, ha ricevuto un’e-mail in cui si comunicava che qualcuno aveva utilizzato il suo ID Windows Live, e si chiedeva, inoltre, di recarsi sul sito di Windows Live, cliccando sull’apposito link presente nel messaggio; su tale sito web l’utente avrebbe in effetti potuto prendere visione delle misure di sicurezza da adottare nella specifica circostanza.

Sulla base di questi elementi, sembra proprio che si tratti di una tecnica di phishing del tutto standard, la quale prevede il redirect della vittima verso il consueto sito Internet fasullo. In questo caso, tuttavia, il link inserito nel messaggio e-mail conduceva al sito web legittimo. In sostanza, le credenziali di login della vittima non vengono carpite dai malintenzionati, ma vengono di fatto utilizzate per il normale accesso al sito legittimo. Ad ogni caso, una volta ottenuta l’autorizzazione ad accedere al sito web, la vittima riceve una richiesta relativa a tutta una serie di autorizzazioni, da parte di un’applicazione sconosciuta. Tali permessi possono includere, tra l’altro, il login automatico, l’accesso alle informazioni del profilo, all’elenco dei contatti e agli indirizzi e-mail. Se le vittime concedono le autorizzazioni in questione viene in pratica aperta la porta ai cybercriminali, che potranno facilmente impadronirsi dei dati personali degli utenti; le informazioni così sottratte saranno poi utilizzate, come al solito, per distribuire messaggi di spam e link di phishing, oppure per ulteriori scopi fraudolenti.

Per salvaguardare al meglio i vostri dati personali, vi consigliamo di adottare le seguenti misure di protezione:

  • Non cliccare sui link ricevuti via e-mail o tramite messaggi privati sui social network.
  • Non consentire in alcun modo l’accesso ai propri dati personali ad applicazioni sospette o ritenute non attendibili.
  • Prima di accettare richieste del genere, leggere attentamente le descrizioni relative alle autorizzazioni che verranno in tal modo concesse all’applicazione.
  • Leggere sempre su Internet le recensioni ed i feedback degli utenti riguardo all’applicazione in causa.
  • Revisionare ed eventualmente annullare le autorizzazioni già concesse ad altre applicazioni installate sul vostro computer, accedendo alle relative impostazioni.

Città “intelligenti”: quando i sistemi di sicurezza non sono poi così “smart”

Nel corso di questi ultimi anni, l’utilizzo dei sistemi CCTV – da parte di entità governative e forze dell’ordine, per garantire la videosorveglianza dei luoghi pubblici – è cresciuto enormemente. La maggior parte di noi considera tale specifica circostanza come una sorta di ragionevole compromesso, in cui si sacrifica una porzione della propria privacy nella speranza di potersi mantenere al sicuro nei confronti di eventuali atti di natura criminale. Al tempo stesso, ci aspettiamo che i dati raccolti mediante l’utilizzo di tale tecnologia vengano gestiti in maniera sicura e responsabile, in modo tale che questo genere di sorveglianza non finisca, poi, per fare più del male che del bene, magari con i potenziali pericoli che finiscono per sovrastare i benefici effettivamente arrecati.

Molte telecamere CCTV sono provviste di apposita connessione wireless ad Internet; ciò consente agli organi di polizia di poterne effettuare il monitoraggio da remoto. Il problema, purtroppo, è che, al momento attuale, la tecnologia wireless non è ancora così sicura come potrebbe di fatto essere: è quindi teoricamente possibile, per i cybercriminali, monitorare passivamente i feed video ottenuti per mezzo delle telecamere di sorveglianza, iniettare codice maligno all’interno del network, sostituire i feed video reali con filmati fasulli pre-registrati, oppure disabilitare la connessione alla Rete dei sistemi in causa. Due ricercatori operanti nel campo della sicurezza IT (Vasilios Hioureas di Kaspersky Lab e Thomas Kinsey di Exigent Systems) hanno recentemente condotto un’indagine relativa ai potenziali punti deboli – in termini di sicurezza – evidenziati dai sistemi CCTV installati in una determinata città. Il report stilato in merito da Vasilios può essere consultato all’interno del nostro sito web.

I ricercatori hanno dato inizio all’indagine esaminando visivamente le apparecchiature di sorveglianza installate in vari luoghi della città. È stato subito rilevato come non fosse stato fatto alcun tentativo, da parte degli installatori, di mascherare la marca delle telecamere; è risultato quindi estremamente agevole poter determinare chi fosse il produttore di queste ultime, così come il modello delle stesse. Sulla base di tali elementi, una volta esaminate le relative specifiche tecniche, è stato ricreato, in laboratorio, un apposito modello in scala. Di fatto, le attrezzature installate lungo le strade e le piazze della cittadina erano potenzialmente in grado di assicurare efficaci controlli di sicurezza; questi ultimi, tuttavia, non erano stati ancora implementati. Inoltre, i pacchetti di dati trasmessi attraverso la rete mesh non risultavano in alcun modo codificati; un attacker avrebbe quindi potuto creare agevolmente una propria versione del software, e manipolare, in seguito, i dati circolanti lungo la rete in questione.

Riteniamo doveroso precisare che, nell’occasione, i due ricercatori non hanno tentato di introdursi all’interno del network reale, ma hanno analizzato sia l’hardware che i protocolli di comunicazione, ricreando poi il suddetto modello in scala. La topologia di rete che caratterizza un network di telecamere di sorveglianza è ben diversa rispetto ad una rete wireless domestica standard. In una rete domestica, tutti i dispositivi si connettono ad Internet – nonché l’uno con l’altro – attraverso un router. Qualsiasi dispositivo collegato a tale router potrebbe potenzialmente ingannare gli altri dispositivi presenti in rete, indicando agli stessi di essere il router, e quindi monitorare o modificare i dati, mediante l’esecuzione di un attacco di tipo Man-in-the-Middle.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Il network utilizzato per il sistema di telecamere di sorveglianza risulta ben più complicato, in ragione delle distanze che debbono essere percorse dai dati. In effetti, i dati debbono essere trasmessi da qualsiasi telecamera presente nella rete – attraverso una serie di nodi – ad un determinato hub (se si considera una possibile implementazione nel mondo reale, quest’ultimo potrebbe essere rappresentato da una stazione di polizia). Il traffico segue il percorso che offre minor “resistenza”, dove ogni nodo ha la capacità di comunicare con diversi altri nodi e di selezionare, di conseguenza, il percorso più agevole per raggiungere l’hub di destinazione.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Hioureas e Kinsey hanno realizzato una serie di falsi nodi, per ricreare un’apparente linea diretta di comunicazione verso una stazione di polizia simulata. Essendo a conoscenza di tutti i protocolli utilizzati nell’ambito del sistema qui esaminato, essi sono stati perfettamente in grado di creare un nodo Man-in-the-Middle, che, di fatto, sembrasse poter garantire il percorso di minor resistenza; in tal modo, i nodi reali sarebbero stati in pratica indotti a far transitare attraverso il suddetto nodo “malevolo” il traffico da essi proveniente.

Nella fattispecie, un potenziale utilizzo nocivo dei sistemi CCTV da parte dei cybercriminali potrebbe essere rappresentato dall’effettuare azioni di disturbo o diversive nei confronti del traffico di dati in transito attraverso un determinato nodo della rete, quali, ad esempio, il sostituire i feed reali con video fasulli appositamente confezionati. In un simile scenario, una gang di criminali informatici potrebbe ad esempio indurre il dipartimento di polizia a credere che si stia perpetrando un reato in una certa zona della città, per poi attendere che gli agenti vengano effettivamente inviati dal loro comando proprio in quell’area. Una situazione del genere lascerebbe così aperta l’opportunità di commettere un crimine in un’altra zona della città, dove non vi sono, sul momento, agenti di polizia.

I ricercatori hanno poi provveduto a segnalare l’esistenza di tali problematiche di sicurezza alle autorità cittadine responsabili dei sistemi di sorveglianza oggetto dell’indagine, autorità che sono adesso in procinto di risolvere i seri problemi di sicurezza che si sono manifestati. In generale, si rivela di particolare importanza implementare, nell’ambito di tali reti, la codifica WPA, protetta da una solida password; allo stesso modo, occorre assicurarsi bene che tutte le etichette presenti sull’hardware vengano opportunamente rimosse, allo scopo di scoraggiare i potenziali attacker dal cercare di scoprire il funzionamento delle apparecchiature installate; è infine necessario far sì che i dati video risultino protetti mediante l’utilizzo della crittografia a chiave pubblica, la quale renderà più o meno impossibile poter manipolare tali dati nel momento in cui essi transitano attraverso i vari nodi del network.

La questione fondamentale, senza dubbio, è che un numero sempre maggiore di aspetti e situazioni che accompagnano la nostra vita di tutti i giorni ha a che fare con il mondo digitale: pertanto, se il tema della sicurezza non viene considerato come parte integrante della fase progettuale, i potenziali pericoli esistenti potrebbero rivelarsi di vasta portata e particolare gravità, mentre l’implementazione di sistemi di sicurezza in qualche modo “riadattati” alle esigenze del momento potrebbe divenire quantomai complessa. A tal proposito, è stata varata l’iniziativa globale no-profit denominata Securing Smart Cities, supportata da Kaspersky Lab, con il preciso intento di aiutare i responsabili dello sviluppo delle cosiddette città “intelligenti” a tenere sempre nella dovuta considerazione le delicate tematiche inerenti alla cyber-sicurezza.

Le statistiche del secondo trimestre 2015

Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all’attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un’efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.

Le minacce IT per dispositivi mobili

Una delle principali minacce per piattaforme mobile continua ad essere indubbiamente rappresentata dai Trojan bancari appositamente sviluppati dai virus writer per colpire i dispositivi mobili. Nell’analogo report relativo al primo trimestre del 2015 abbiamo citato il malware denominato Trojan-SMS.AndroidOS.OpFake.cc, il quale, allora, risultava in grado di condurre attacchi nei confronti di almeno 29 applicazioni collegate alla sfera bancaria e finanziaria. L’ultimissima versione di tale Trojan è adesso in grado di attaccare ben 114 diverse applicazioni di natura bancaria e finanziaria. Il suo obiettivo principale è costituito dal compiere il furto di login e password relativi agli account degli utenti. Esso è ugualmente capace di attaccare, per lo stesso identico scopo, alcune delle applicazioni di posta elettronica più diffuse.

Nell’attuale panorama delle minacce mobile occupa sicuramente un posto di rilievo anche il malware denominato Trojan-Spy.AndroidOS.SmsThief.fc. I malintenzionati, in pratica, hanno aggiunto il proprio codice nocivo all’applicazione bancaria originale, peraltro non compromettendo le funzionalità della stessa; è per tale motivo che l’individuazione di tale Trojan si è rivelata particolarmente complessa.

Nel corso del secondo trimestre dell’anno ha fatto la sua comparsa un nuovo temibile Trojan destinato al sistema operativo iOS; si tratta, nella fattispecie, del malware classificato come Trojan.IphoneOS.FakeTimer.a. Esso risulta di particolare interesse, in quanto, allo stesso tempo, esiste una sua versione preposta a colpire l’OS Android, apparsa sulla scena del malware mobile qualche anno fa. FakeTimer.a. è in grado di attaccare persino i dispositivi che non sono stati sottoposti a procedure di jailbreaking. Le funzionalità di cui è provvisto, sono, ad ogni caso, piuttosto “primitive”: si tratta, in sostanza, di una comune applicazione destinata al phishing, creata allo scopo di realizzare il furto del denaro custodito nei conti bancari online degli utenti giapponesi.

Lungo tutto l’arco del trimestre qui analizzato si sono inoltre manifestati, in particolar modo, i Trojan in grado di utilizzare i diritti di root per mostrare fastidiose réclame agli utenti mobile, oppure per generare l’installazione di ulteriori applicazioni pubblicitarie. Prova ne è il fatto che la TOP-20 del malware mobile relativa al secondo trimestre 2015 annovera ben sei software nocivi riconducibili a tale specifica tipologia.

Numero di nuove minacce mobile

Nel secondo trimestre del 2015 i prodotti Kaspersky Lab adibiti alla protezione IT dei dispositivi mobili hanno rilevato 291.887 nuove varianti di malware mobile, ovvero un numero di minacce superiore di ben 2,8 volte rispetto all’analogo valore riscontrato nel primo trimestre del 2015.

Nel corso del periodo oggetto della nostra analisi sono stati complessivamente individuati 1.048.129 pacchetti di installazione nocivi, in sostanza un numero di pacchetti dannosi superiore di 7 volte rispetto all’analoga quantità rilevata nel trimestre precedente.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Numero complessivo di pacchetti di installazione maligni e di nuove minacce mobile
individuati nel periodo 4° trimestre 2014 – 2° trimestre 2015

Ripartizione per tipologie del malware mobile individuato

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Suddivisione delle nuove varianti di malware mobile in base ai loro specifici
comportamenti dannosi – Situazione relativa al secondo trimestre del 2015

La speciale graduatoria del secondo trimestre del 2015 riservata alla ripartizione degli oggetti maligni per dispositivi mobili in base agli specifici comportamenti nocivi da essi evidenziati, risulta capeggiata dai RiskTool (44,6%). Si tratta, di fatto, di applicazioni legittime, le quali, tuttavia, possono rivelarsi potenzialmente pericolose per gli utenti; il loro utilizzo da parte di malintenzionati, oppure un uso inappropriato delle stesse da parte del proprietario dello smartphone, può in effetti generare perdite di natura finanziaria.

Il secondo gradino del “podio” virtuale risulta occupato dagli AdWare, ovvero le fastidiose applicazioni pubblicitarie potenzialmente indesiderate (19%).

I Trojan-SMS, che hanno a lungo detenuto la leadership nell’ambito del rating qui sopra riportato, nel secondo trimestre dell’anno si sono collocati alla quarta piazza della graduatoria, avendo fatto registrare un indice pari all’ 8,1%. Desideriamo sottolineare, nella circostanza, come la quota relativa ai Trojan-SMS sia diminuita sensibilmente (- 12,9%) rispetto all’analogo valore per essa riscontrato nel trimestre precedente. Il forte decremento dell’indice percentuale ascrivibile a tali software nocivi trova, almeno in parte, una logica spiegazione nel seguente elemento: coloro che in precedenza si dedicavano attivamente alla diffusione dei Trojan-SMS hanno iniziato ad avvalersi sempre di più di schemi di “monetizzazione” in qualche modo più “puliti” (come testimonia l’aumento, nel rating qui analizzato, della quota relativa ai RiskTool), oppure hanno semplicemente preferito ricorrere all’utilizzo di programmi malware di altro tipo. In tal modo, la quota percentuale riconducibile ai Trojan è passata dal 9,8% fatto segnare nel primo trimestre del 2015 al 12,4% registrato nel periodo oggetto del presente report.

TOP-20 relativa ai programmi malware destinati alle piattaforme mobile

A partire da questo trimestre, il rating in questione viene esclusivamente riservato ai programmi maligni; esso non include più, in effetti, i programmi potenzialmente pericolosi o indesiderati, quali, appunto, i RiskTool ed i software pubblicitari (AdWare).

  Denominazione Percentuale di attacchi*
1 DangerousObject.Multi.Generic 17,5%
2 Trojan-SMS.AndroidOS.Podec.a 9,7%
3 Trojan-SMS.AndroidOS.Opfake.a 8,0%
4 Backdoor.AndroidOS.Obad.f 7,3%
5 Trojan-Downloader.AndroidOS.Leech.a 7,2%
6 Exploit.AndroidOS.Lotoor.be 5,7%
7 Trojan-Spy.AndroidOS.Agent.el 5,5%
8 Trojan.AndroidOS.Ztorg.a 3,1%
9 Trojan.AndroidOS.Rootnik.a 3,0%
10 Trojan-Dropper.AndroidOS.Gorpo.a 2,9%
11 Trojan.AndroidOS.Fadeb.a 2,7%
12 Trojan-SMS.AndroidOS.Gudex.e 2,5%
13 Trojan-SMS.AndroidOS.Stealer.a 2,5%
14 Exploit.AndroidOS.Lotoor.a 2,1%
15 Trojan-SMS.AndroidOS.Opfake.bo 1,6%
16 Trojan.AndroidOS.Ztorg.b 1,6%
17 Trojan.AndroidOS.Mobtes.b 1,6%
18 Trojan-SMS.AndroidOS.FakeInst.fz 1,6%
19 Trojan.AndroidOS.Ztorg.pac 1,5%
20 Trojan-SMS.AndroidOS.FakeInst.hb 1,4%

* Quote percentuali relative al numero di utenti attaccati da tale malware mobile, sul numero complessivo di utenti unici sottoposti ad attacco

Il primo posto della speciale graduatoria è andato nuovamente ad appannaggio del malware classificato come DangerousObject.Multi.Generic (17,5%). L’individuazione delle nuove applicazioni dannose avviene grazie alle sofisticate tecnologie implementate attraverso la rete globale di sicurezza Kaspersky Security Network (KSN), le quali permettono ai nostri prodotti anti-malware di poter reagire in ogni frangente, con la massima rapidità, nei confronti di minacce IT nuove o sconosciute.

Entra a far parte – per il terzo trimestre consecutivo – della TOP-3 relativa alle minacce mobile maggiormente attive, il temibile malware denominato Trojan-SMS.AndroidOS.Podec.a (9,7%); tale circostanza dipende essenzialmente dalla notevole diffusione di cui esso è oggetto.

Da parte sua, il software nocivo classificato come Trojan-SMS.AndroidOS.Opfake.a (8,0%) sta velocemente “guadagnando” posizioni nell’ambito della classifica qui esaminata, ed ha già raggiunto, in pratica, i vertici della stessa. Ricordiamo, a tal proposito, che nel terzo trimestre del 2014 esso si trovava ancora all’ 11° posto della graduatoria; attualmente, esso è invece entrato a far parte della TOP-3 inerente al malware responsabile del maggior numero di attacchi condotti nei confronti degli utenti dei dispositivi mobili. Al 15° posto del rating troviamo poi un ulteriore rappresentante della famiglia di malware mobile in questione, ovvero Opfake.bo.

Rileviamo inoltre, all’interno della TOP-20, la comparsa di Backdoor.AndroidOS.Obad; tale software malevolo è andato immediatamente a collocarsi alla quarta piazza della graduatoria da noi stilata. Si tratta di un Trojan multifunzionale, adibito allo svolgimento di varie attività nocive: invio di messaggi SMS verso costosi numeri premium; download e installazione, sul dispositivo infetto, di ulteriori programmi maligni e/o invio degli stessi via Bluetooth; esecuzione di comandi remoti nella console. Avevamo riferito in merito alle caratteristiche peculiari di tale malware già due anni fa: da allora, le funzionalità di cui quest’ultimo è provvisto sono rimaste sostanzialmente invariate.

Segnaliamo, infine, un ulteriore elemento di particolare interesse: sebbene il rating qui esaminato non includa i cosiddetti AdWare, ben 6 dei 20 programmi che fanno parte della speciale graduatoria ricorrono all’utilizzo della pubblicità come principale strumento di “monetizzazione”. Trojan.AndroidOS.Rootnik.a, i tre programmi della famiglia Trojan.AndroidOS.Ztorg, Trojan-Downloader.AndroidOS.Leech.a e Trojan.AndroidOS.Fadeb.a, a differenza degli abituali moduli pubblicitari, non recano alcun payload. Il loro scopo è esclusivamente quello di recapitare all’utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l’installazione di nuovi software pubblicitari. I Trojan sopra citati possono inoltre utilizzare i diritti di root per nascondersi all’interno della cartella di sistema; la rimozione degli stessi si rivela essere, quindi, un’operazione particolarmente complessa.

I Trojan bancari per piattaforme mobile

Nel periodo oggetto della nostra consueta analisi trimestrale relativa all’evoluzione del malware mobile, sono stati da noi individuati 630 Trojan-Banker destinati ai dispositivi mobili. Appare quindi evidente come, nel corso del 2° trimestre del 2015, la progressiva crescita del numero di nuovi programmi nocivi riconducibili a tale specifica categoria sia considerevolmente rallentata.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Numero di sample di Trojan bancari per piattaforme mobile presenti nella “collezione” di Kaspersky Lab (Situazione relativa al periodo 3° trimestre 2014 – 2° trimestre 2015)

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre 2015, dai Trojan bancari destinati ai dispositivi mobili (numero di utenti sottoposti ad attacco)

Il numero complessivo degli utenti sottoposti ad attacco dipende, ovviamente, dal numero totale di utenti mobile presenti in un determinato paese. Per valutare e comparare il livello di rischio esistente, nei vari paesi, riguardo alle infezioni informatiche generate dai Trojan bancari per dispositivi mobili, abbiamo provveduto ad allestire un apposito rating relativo ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte dei suddetti Trojan-Banker.

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobili:

  Paese* % di utenti attaccati da Trojan bancari**
1 Repubblica di Corea 2,37%
2 Russia 0,87%
3 Uzbekistan 0,36%
4 Bielorussia 0,30%
5 Ukraina 0,29%
6 Cina 0,25%
7 Kazakhstan 0,17%
8 Australia 0,14%
9 Svezia 0,13%
10 Austria 0,12%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

Come evidenzia la tabella qui sopra inserita, i banker mobile, attualmente, trovano particolare diffusione in Corea. Tradizionalmente, i malintenzionati intenti a distribuire tale genere di malware mobile, si dimostrano molto attivi anche in Russia, così come in altri paesi il cui territorio occupa, ai giorni nostri, lo spazio post-sovietico. Sono proprio queste nazioni ad aver occupato quattro delle prime cinque posizioni della graduatoria da noi messa a punto relativamente al secondo trimestre dell’anno.

Un significativo indice del livello di popolarità ormai raggiunto – nei vari paesi – dai Trojan bancari per piattaforme mobile presso gli ambienti cybercriminali, è di sicuro rappresentato dal rapporto effettivamente esistente tra il numero di utenti sottoposti ad attacco da parte degli stessi banker mobile – almeno una volta nel corso del trimestre preso in esame – ed il numero complessivo di utenti, in ogni singolo paese, che, nel corso del 2° trimestre del 2015, hanno visto entrare in azione, perlomeno una volta, il nostro modulo antivirus dedicato ai dispositivi mobili. Tale rating si distingue, quindi, dal precedente, riportato qui sopra:

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti attaccati da parte di Trojan-Banker per piattaforme mobile, rispetto al numero complessivo di utenti unici sottoposti ad attacco

  Paese* % di utenti attaccati dai Trojan-Banker, sul numero totale di utenti sottoposti ad attacco**
1 Repubblica di Corea 31,72%
2 Russia 10,35%
3 Australia 6,62%
4 Austria 6,03%
5 Giappone 4,73%
6 Uzbekistan 4,17%
7 Bielorussia 3,72%
8 Ecuador 3,50%
9 Ukraina 3,46%
10 Svizzera 3,09%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali, registrate nei vari paesi, relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti unici – in ogni singolo paese – sottoposti ad attacco da parte di malware mobile.

In Corea, quasi un terzo del numero di utenti complessivamente attaccati da programmi malware destinati ai dispositivi mobili, ha subito assalti proprio da parte di Trojan bancari appositamente sviluppati per colpire le piattaforme mobile. In Russia, è risultato sottoposto agli attacchi provenienti dai banker mobile all’incirca un utente su dieci, sul numero totale di utenti attaccati da minacce di tipo mobile. Gli indici percentuali relativi ai rimanenti paesi entrati a far parte della speciale TOP-10 presentano valori inferiori. È infine di particolare interesse rilevare la presenza, all’interno di tale graduatoria, di ben 4 dei 5 paesi che compongono la TOP-5 delle nazioni in assoluto più sicure dal punto di vista dell’eventualità che si manifestino, entro i loro confini, rischi di infezione da parte di software dannosi destinati ai sistemi operativi mobile (vedi sotto). Si tratta, più precisamente, di Australia, Austria, Giappone e Svizzera.

Geografia delle minacce mobile

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre del 2015, dai programmi malware specificamente sviluppati per colpire i dispositivi mobili (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese)

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobili:

  Country* % of users attacked**
1 Cina 16,34%
2 Malaysia 12,65%
3 Nigeria 11,48%
4 Bangladesh 10,89%
5 Tanzania 9,66%
6 Algeria 9,33%
7 Uzbekistan 8,56%
8 Russia 8,51%
9 Ukraina 8,39%
10 Bielorussia 8,05%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

Leader di tale importante classifica è divenuta la Cina, paese in cui, nel corso del trimestre qui preso in esame, è risultato sottoposto ad attacco – almeno una volta – il 16,34% del numero complessivo di utenti delle nostre soluzioni di sicurezza per dispositivi mobili. Al secondo posto della graduatoria si è collocata la Malaysia, con un indice pari al 12,65%. Chiudono la TOP-10 da noi stilata Russia (8,51%), Ukraina (8,39%) e Bielorussia (8,05%), sopravanzate in classifica da vari paesi asiatici e africani.

La Corea, da parte sua, è andata ad occupare l’ 11° posto del rating, con una quota del 7,46%. Ricordiamo, a tal proposito, che presso i malintenzionati che operano sul territorio coreano, risultano particolarmente “popolari” i Trojan bancari per piattaforme mobile; da tale genere di malware è stato in effetti attaccato il 31,72% del numero complessivo di utenti presi di mira da programmi malware volti a colpire i dispositivi mobili.

I paesi più sicuri in relazione a tale importante indice:

  Country % of users attacked
1 Giappone 1,06%
2 Canada 1,82%
3 Austria 1,96%
4 Australia 2,16%
5 Svizzera 2,19%

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

La speciale graduatoria delle applicazioni vulnerabili, qui di seguito riportata, è stata elaborata sulla base dei dati statistici da noi raccolti in merito alle operazioni di rilevamento e neutralizzazione degli exploit da parte dei prodotti Kaspersky Lab; il grafico tiene in debita considerazione sia gli exploit utilizzati dai malintenzionati per la conduzione degli attacchi informatici via Web, sia gli exploit impiegati dai malfattori per compromettere le applicazioni custodite “localmente” sui computer o sui dispositivi mobili degli utenti.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco –
Situazione relativa al secondo trimestre del 2015

La suddivisione percentuale degli exploit dispiegati dai malfattori è rimasta sostanzialmente invariata rispetto al primo trimestre dell’anno in corso. Così come in precedenza, la leadership del rating da noi stilato è andata ad appannaggio degli exploit preposti a sfruttare le vulnerabilità individuate nei browser (60%). Attualmente, la maggior parte dei kit di exploit contiene un pacchetto di exploit destinati a colpire Adobe Flash Player e Internet Explorer. Osserviamo, inoltre, un significativo aumento del numero degli exploit appositamente confezionati per attaccare Adobe Reader (+ 6 punti percentuali). Ciò è dovuto essenzialmente alla grande quantità di campagne di spam volte a recapitare nelle e-mail box degli utenti documenti PDF malevoli.

Come da tradizione ormai consolidata, anche nel trimestre qui esaminato, è risultata in ulteriore diminuzione la quota attribuibile agli exploit destinati alla piattaforma Java (- 4%). Nel corso del secondo trimestre del 2015, in pratica, non sono stati da noi rilevati nuovi exploit Java.

Nel periodo analizzato nel presente report i cybercriminali hanno sfruttato nuove vulnerabilità individuate in Adobe Flash Player:

  • CVE-2015-3113
  • CVE-2015-3104
  • CVE-2015-3105
  • CVE-2015-3090

Sebbene all’interno della nostra speciale graduatoria la quota ascrivibile agli exploit appositamente creati dai virus writer per colpire l’applicazione Adobe Flash Player si attesti su un valore non superiore al 3%, la presenza “in-the-wild” di tale genere di exploit risulta, in proporzione, decisamente maggiore. Nell’esaminare tali dati statistici occorre ad ogni caso tenere in debita considerazione il fatto che le tecnologie sviluppate da Kaspersky Lab rilevano gli exploit in varie fasi. Sono riconducibili alla categoria “browser” anche i rilevamenti che riguardano le landing pages adibite alla distribuzione degli exploit. Secondo le osservazioni da noi effettuate si tratta, nella maggior parte dei casi, di exploit destinati ad Adobe Flash Player.

Programmi malware in Internet (attacchi via Web)

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall’Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web malevole/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

Le minacce online rivolte al settore bancario

Complessivamente, nel secondo trimestre del 2015, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di ben 755.642 utenti della rete globale di sicurezza Kaspersky Security Network. Desideriamo sottolineare come, rispetto all’analogo valore rilevato nel trimestre precedente (929.082), tale indice abbia fatto registrare un decremento pari al 18,7%. Ricordiamo, a tal proposito, che nel secondo trimestre del 2014 erano stati registrati tentativi di attacco tramite malware bancario su 735.428 computer degli utenti.

In totale, nel corso del trimestre qui preso in esame, le soluzioni di sicurezza IT elaborate da Kaspersky Lab ed implementate nei computer degli utenti iscritti al programma di protezione globale KSN, hanno fatto registrare 5.903.377 notifiche relative a tentativi di infezione condotti da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l’accesso online (illecito!) ai relativi conti bancari presi di mira.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Numero di attacchi condotti mensilmente nei confronti degli utenti mediante l’utilizzo di malware finanziari – Situazione relativa al secondo trimestre del 2015

Geografia degli attacchi

Per ciò che riguarda il secondo trimestre del 2015 – nello stilare il rating relativo ai paesi in cui si riscontra il livello più elevato di attività malevola da parte dei Trojan bancari – è stata da noi applicata una nuova metodologia. Nei precedenti resoconti trimestrali, in effetti, la graduatoria in questione veniva ricavata sulla base del numero di utenti sottoposti ad attacco. Si tratta indubbiamente di un indice di primaria importanza, tuttavia esso dipende dal numero complessivo degli utenti dei prodotti Kaspersky Lab presenti nei vari paesi.

Al fine di valutare e comparare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato, per ogni paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel paese.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del secondo trimestre del 2015 mediante l’utilizzo di malware bancario (percentuale di utenti sottoposti ad attacco)

TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari

  Paese* % di utenti sottoposti ad attacco**
1 Singapore 5,28%
2 Svizzera 4,16%
3 Brasile 4,07%
4 Australia 3,95%
5 Hong Kong 3,66%
6 Turchia 3,64%
7 Nuova Zelanda 3,28%
8 Sudafrica 3,13%
9 Libano 3,10%
10 Emirati Arabi Uniti 3,04%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di Trojan bancari rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Come evidenzia la tabella qui sopra riportata, nel secondo trimestre del 2015 la leadership della speciale TOP-10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte di Trojan bancari, nei vari paesi, è andata ad appannaggio di Singapore. Osserviamo, a tal proposito, come la maggioranza dei paesi presenti in graduatoria si caratterizzi per l’alto livello di sviluppo tecnologico raggiunto e/o per la presenza, al proprio interno, di un sistema bancario notevolmente sviluppato; questo, ovviamente, attira in particolar modo le losche attenzioni dei cybercriminali.

In Russia, nel corso del trimestre qui analizzato, si è imbattuto in qualche temibile Trojan-Banker, perlomeno una volta, lo 0,75% degli utenti; tale percentuale sale allo 0,89% per gli Stati Uniti, mentre altri paesi occidentali presentano indici ancor più marcati: Spagna – 2,02%, Gran Bretagna – 1,58%, Italia – 1,57%, Germania – 1,16%.

TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del secondo trimestre del 2015, nell’ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking – redatta sulla base del numero totale di utenti sottoposti ad attacco – si presenta nella maniera seguente:

  Denominazione Numero di notifiche Numero di utenti sottoposti ad attacco
1 Trojan-Downloader.Win32.Upatre 3888061 419940
2 Trojan-Spy.Win32.Zbot 889737 177665
3 Trojan-Banker.Win32.ChePro 264534 68467
4 Backdoor.Win32.Caphaw 72128 25923
5 Trojan-Banker.Win32.Banbra 56755 24964
6 Trojan.Win32.Tinba 175729 22942
7 Trojan-Banker.AndroidOS.Marcher 60819 19782
8 Trojan-Banker.AndroidOS.Faketoken 43848 13446
9 Trojan-Banker.Win32.Banker 23225 9209
10 Trojan-Banker.Win32.Agent 28658 8713

È di particolare rilevanza sottolineare come la stragrande maggioranza delle famiglie di malware presenti nella composizione della speciale TOP-10 da noi elaborata, riportata nella tabella qui sopra inserita, si avvalga di apposite tecniche di “web injection”, utilizzate per iniettare codice HTML arbitrario all’interno della pagina web visualizzata dall’utente tramite il proprio browser; al tempo stesso, i suddetti malware fanno largo uso di sofisticati processi di intercettazione dei dati sensibili relativi alle transazioni finanziarie eseguite in Rete dagli utenti, dati inseriti da questi ultimi nei form appositamente contraffatti, i quali vanno poi a rimpiazzare i moduli originali.

La composizione della “trojka” che capeggia la speciale graduatoria è rimasta invariata rispetto all’analoga classifica da noi stilata riguardo al trimestre precedente. La leadership del rating, così come in precedenza, è detenuta dal malware denominato Trojan-Downloader.Win32.Upatre. I software dannosi riconducibili a tale specifica famiglia di programmi nocivi risultano essere tutt’altro che complessi e presentano, per di più, dimensioni decisamente esigue (non oltre i 3,5 Kb); di solito, i programmi Trojan sopra citati vengono adibiti al download di insidiosi Trojan bancari appartenenti alla famiglia di malware attualmente nota con tre diversi appellativi – Dyre/Dyzap/Dyreza. L’elenco degli istituti finanziari sottoposti ad attacco da parte di tale banker dipende, naturalmente, dal relativo file di configurazione, trasmesso di volta in volta dal centro di comando e controllo predisposto dai cybercriminali.

Nel secondo trimestre del 2015 sono entrati a far parte del rating qui sopra riportato nuovi Trojan bancari: Backdoor.Win32.Caphaw, Trojan-Banker.AndroidOS.Marcher e Trojan-Banker.AndroidOS.Faketoken

Il malware classificato come Backdoor.Win32.Caphaw è stato rilevato, per la prima volta, nel 2011; esso si avvale della tecnica “Man-in-the-Browser”, allo scopo di realizzare il furto dei dati sensibili utilizzati dai clienti dei sistemi di banking online durante le operazioni di pagamento.

Trojan-Banker.AndroidOS.Faketoken e Trojan-Banker.AndroidOS.Marcher attaccano i dispositivi mobili basati sul sistema operativo Android. Faketoken, da parte sua, “opera” in abbinamento con i Trojan bancari preposti a colpire i computer desktop. Per realizzare la diffusione di tale programma malware, i criminali informatici ricorrono all’utilizzo di tecniche di ingegneria sociale. Quando il cliente-vittima visita la pagina web di banking online, il Trojan provvede a modificare tale pagina, proponendo il download di un’applicazione Android che, in apparenza, dovrebbe proteggere la transazione in corso. In realtà, il link presente nella suddetta pagina web altro non fa se non condurre l’ignaro utente verso l’applicazione malevola Faketoken. Una volta che Faketoken si è introdotto all’interno dello smartphone preso di mira, i cybercriminali, attraverso il computer-vittima infettato dal Trojan bancario, riescono ad ottenere l’accesso al conto bancario online, mentre il dispositivo mobile infetto, a sua volta, consente ai malintenzionati di intercettare la password one-time relativa al sistema di autenticazione a doppio fattore (mTAN – mobile Transaction Authentication Number). Il secondo temibile Trojan bancario per piattaforma mobile – presente nella TOP 10 qui esaminata – è Trojan-Banker.AndroidOS.Marcher. Dopo aver infettato il dispositivo mobile, esso provvede a monitorare l’esecuzione di due sole applicazioni: Il client di mobile banking di una banca europea e Google Play. Nel caso in cui l’utente cerchi di accedere all’app store Google Play, Marcher fa in modo che l’utente visualizzi una finestra fasulla di Google Play, preposta all’inserimento dei dati confidenziali relativi alla carta di credito; questi ultimi, ovviamente, qualora introdotti, andranno a finire nelle mani dei malintenzionati. Il suddetto Trojan agisce in maniera analoga anche quando l’utente provvede ad aprire l’applicazione bancaria.

Le minacce “finanziarie”

Le minacce informatiche legate alla sfera finanziaria degli utenti non si limitano al solo malware bancario, appositamente creato e sviluppato dai virus writer per attaccare i clienti dei sistemi di banking online.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Ripartizione percentuale degli attacchi condotti mediante l’utilizzo di malware finanziario

Rispetto al trimestre precedente, ad ogni caso, la quota relativa al malware bancario risulta aumentata in maniera significativa; l’indice percentuale ad essa attribuibile è in effetti passato dal 71% all’ 83%. La seconda tipologia di minaccia IT per grado di popolarità e diffusione – tra i vari metodi alternativi praticati dai cybercriminali per realizzare il furto del denaro elettronico – è rappresentata dai Bitcoin miner malevoli, famigerate applicazioni adibite al mining dei Bitcoin a totale insaputa dell’utente sottoposto ad attacco; per generare la nota criptovaluta, esse utilizzano, di fatto, le risorse e la potenza di calcolo di cui è provvisto il computer della vittima designata. Nel trimestre precedente, tale insidiosa categoria di malware finanziario occupava la terza posizione della speciale graduatoria da noi elaborata. Segnaliamo, a tal proposito, come alcuni sviluppatori di software legittimo provvedano ad installare di nascosto i Bitcoin miner all’interno delle applicazioni create.

TOP-20 relativa agli oggetti rilevati in Internet

Nel corso del secondo trimestre del 2015 il nostro Anti-Virus Web ha effettuato il rilevamento di ben 26.084.253 oggetti unici (script, exploit, file eseguibili, etc.).

Tra tutti gli oggetti nocivi o potenzialmente indesiderati abbiamo selezionato i 20 che si sono dimostrati maggiormente attivi; ad essi è attribuibile il 96,5% del volume complessivo degli attacchi condotti attraverso Internet.

TOP-20 relativa agli oggetti rilevati in Internet

  Denominazione* % sul totale complessivo degli attacchi**
1 AdWare.JS.Agent.bg 47,66%
2 Malicious URL 32,11%
3 Trojan.Script.Generic 4,34%
4 AdWare.Script.Generic 4,12%
5 Trojan.Script.Iframer 3,99%
6 AdWare.JS.Agent.bt 0,74%
7 Exploit.Script.Blocker 0,56%
8 Trojan.Win32.Generic 0,49%
9 AdWare.AndroidOS.Xynyin.a 0,49%
10 Trojan-Downloader.Win32.Generic 0,37%
11 Trojan-Ransom.JS.Blocker.a 0,34%
12 Trojan-Clicker.JS.Agent.pq 0,23%
13 AdWare.JS.Agent.an 0,20%
14 AdWare.JS.Agent.by 0,19%
15 Trojan.Win32.Invader 0,12%
16 Trojan-Downloader.Win32.Genome.qhcr 0,11%
17 AdWare.Win32.Amonetize.ague 0,11%
18 AdWare.Win32.MultiPlug.nnnn 0,10%
19 AdWare.NSIS.Agent.cv 0,09%
20 Trojan-Downloader.Script.Generic 0,09%

* Oggetti infetti o potenzialmente indesiderati neutralizzati sulla base dei rilevamenti effettuati dal componente Anti-Virus Web. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.

La TOP-20 analizzata nel presente capitolo del report annovera, per la maggior parte, la presenza di “verdetti” riconducibili ad oggetti maligni utilizzati dai cybercriminali per la conduzione di attacchi di tipo drive-by e, al tempo stesso, la presenza di un elevato numero di programmi AdWare.

L’aggressiva distribuzione in Rete di considerevoli quantità di AdWare si riflette ancora una volta sulla composizione di questo significativo rating: come evidenzia la tabella qui sopra inserita, ben dieci della venti posizioni della TOP-20 risultano occupate da oggetti riconducibili ai cosiddetti “programmi pubblicitari”; notiamo, poi, come alla prima piazza della graduatoria si sia insediato lo script denominato AdWare.JS.Agent.bg, il quale viene abitualmente iniettato dagli AdWare all’interno di pagine web di natura illegittima. Quest’ultimo ha addirittura sopravanzato in classifica persino i Malicious URL, tradizionali leader del rating; il “verdetto” assegnato ai link presenti in blacklist si è in effetti collocato sul secondo gradino del “podio” virtuale relativo al 2° trimestre dell’anno.

È ugualmente di particolare interesse rilevare la comparsa, all’interno della TOP-20, del verdetto AdWare.AndroidOS.Xynyin.a, oggetto destinato ad una piattaforma davvero inconsueta nell’ambito del rating in questione. Il programma corrispondente a tale verdetto è costituito da un modulo pubblicitario per Android, incorporato all’interno di varie applicazioni (ad esempio in certi programmi che promettono di incrementare la velocità di funzionamento del telefono). Una di tali applicazioni è risultata particolarmente popolare, presso gli utenti mobile, nei mesi di marzo-aprile dell’anno in corso, periodo in cui l’app in questione è stata oggetto di un elevato numero di download. Visto che la piattaforma Google Play non ospita, al proprio interno, simili applicazioni, gli utenti desiderosi di installare tali app sul proprio smartphone hanno reperito le stesse in Internet, scaricandole, per lo più, attraverso i propri computer.

Il verdetto Trojan-Ransom.JS.Blocker.a è, in sostanza, uno script che, mediante l’aggiornamento ciclico della pagina web, cerca di bloccare il browser dell’utente-vittima; nel frattempo, sullo schermo del computer appare un messaggio in cui si comunica che occorre pagare una sorta di “multa”, su un determinato portafoglio elettronico, a causa della presunta visualizzazione, da parte dell’utente, di materiale di natura inappropriata. Tale script si incontra principalmente sui siti pornografici.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dal modulo Anti-Virus Web (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli assalti informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel secondo trimestre del 2015 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 379.972.834 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi. L’ 89% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati dall’antivirus è risultato attribuibile ad attacchi provenienti da siti web ubicati in una ristretta cerchia di dieci paesi.

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Ripartizione per paesi delle fonti degli attacchi web –
Situazione relativa al secondo trimestre del 2015

Rileviamo, innanzitutto, come la leadership della speciale classifica da noi stilata sia rimasta identica a quella osservata nel trimestre precedente; in effetti, la prima posizione del rating risulta di nuovo occupata dalla Russia (51%), la cui quota ha peraltro fatto registrare un sensibile incremento (+ 11,27%). Notiamo, poi, come la Svizzera non faccia più parte della relativa TOP-10, mentre all’ottavo posto della graduatoria, con un indice pari all’ 1,56%, si è invece insediata la città-stato di Singapore.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

  Paese* % di utenti unici**
1 Russia 38,98%
2 Kazakhstan 37,70%
3 Ukraina 35,75%
4 Siria 34,36%
5 Bielorussia 33,02%
6 Azerbaijan 32,16%
7 Thailandia 31,56%
8 Georgia 31,44%
9 Moldavia 31,09%
10 Vietnam 30,83%
11 Armenia 30,19%
12 Kirghizistan 29,32%
13 Croazia 29,16%
14 Algeria 28,85%
15 Qatar 28,47%
16 Cina 27,70%
17 Mongolia 27,27%
18 Macedonia 26,67%
19 Bosnia ed Erzegovina 25,86%
20 Grecia 25,78%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Nel secondo trimestre del 2015, è tornata ad occupare la prima posizione del rating la Russia, che, nel trimestre precedente, si era invece collocata al secondo posto della graduatoria. Rileviamo inoltre come, rispetto al primo trimestre dell’anno in corso, non facciano più parte della TOP-20 gli Emirati Arabi Uniti, la Lettonia, il Tagikistan, la Tunisia e la Bulgaria. Le “new entry” sono invece rappresentate dalla Siria, posizionatasi subito alla quarta piazza del rating (34,36%), dalla Thailandia (al 7° posto, con una quota pari al 31,56%), dal Vietnam (10° posto; 30,83%), dalla Cina (27,70%) e dalla Macedonia (26,67%); queste ultime due nazioni sono andate ad occupare, rispettivamente, il 16° e il 18° posto della graduatoria.

Tra i paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo l’Argentina (13,2%), i Paesi Bassi (12,5%), la Corea (12,4%), la Svezia (11,8%), il Paraguay (10,2%) e la Danimarca (10,1%).

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

Complessivamente, a livello mondiale, nel corso del trimestre qui analizzato, una consistente porzione degli utenti della Rete (23,9%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web.

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del secondo trimestre del 2015. Tali dati riguardano sia gli oggetti nocivi penetrati nel computer dell’utente mediante l’infezione di file o di supporti rimovibili, sia gli oggetti malevoli insediatisi inizialmente all’interno del computer-vittima non in forma manifesta (ad esempio certi programmi che accompagnano installer particolarmente complessi, file codificati, etc.).

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Lungo tutto l’arco del secondo trimestre dell’anno in corso, il nostro modulo Anti-Virus File ha rilevato con successo 110.731.713 oggetti maligni unici, o potenzialmente indesiderati.

Oggetti maligni rilevati nei computer degli utenti: TOP-20

  Denominazione* % di utenti unici sottoposti ad attacco**
1 DangerousObject.Multi.Generic 22,64%
2 Trojan.Win32.Generic 15,05%
3 Trojan.WinLNK.StartPage.gena 8,28%
4 AdWare.Script.Generic 7,41%
5 Adware.NSIS.ConvertAd.heur 5,57%
6 WebToolbar.Win32.Agent.azm 4,48%
7 WebToolbar.JS.Condonit.a 4,42%
8 Trojan-Downloader.Win32.Generic 3,65%
9 Downloader.Win32.MediaGet.elo 3,39%
10 Trojan.Win32.AutoRun.gen 3,29%
11 Downloader.Win32.Agent.bxib 3,26%
12 WebToolbar.JS.CroRi.b 3,09%
13 RiskTool.Win32.BackupMyPC.a 3,07%
14 Virus.Win32.Sality.gen 2,86%
15 Worm.VBS.Dinihou.r 2,84%
16 WebToolbar.Win32.MyWebSearch.si 2,83%
17 DangerousPattern.Multi.Generic 2,75%
18 AdWare.NSIS.Zaitu.heur 2,70%
19 AdWare.BAT.Clicker.af 2,67%
20 AdWare.Win32.MultiPlug.heur 2,54%

* I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative agli utenti unici sui computer dei quali l’anti-virus ha rilevato l’oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte del nostro modulo Anti-Virus File.

Tradizionalmente, il rating qui sopra riportato è relativo ai “verdetti” riconducibili ai programmi AdWare ed ai loro componenti (come, ad esempio, AdWare.BAT.Clicker.af), così come ai worm che si diffondono attraverso i supporti di memoria rimovibili.

Il malware classificato dagli esperti di sicurezza IT con la denominazione di Virus.Win32.Sality.gen rimane, di fatto, l’unico rappresentante della categoria dei virus nell’ambito della graduatoria in questione; così come in precedenza, tuttavia, esso continua a perdere posizioni all’interno del rating. In effetti, ormai da tempo, la quota percentuale inerente ai computer infettati da tale virus continua progressivamente a diminuire. Come evidenzia la tabella qui sopra riportata, nel trimestre oggetto del presente report Sality è andato ad occupare il 14° posto del rating, con un indice pari al 2,86%, ovvero lo 0,32% in meno rispetto all’analogo valore riscontrato nel trimestre precedente.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

È stata calcolata, per ogni paese, la percentuale di utenti dei prodotti Kaspersky Lab che, nel corso del periodo preso in esame nel presente report, ha visto entrare in azione il modulo Anti-Virus File, specificamente dedicato al rilevamento delle minacce IT locali. Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari paesi del mondo.

TOP-20 relativa ai paesi in cui sono state rilevate le quote percentuali più elevate in termini di rischio di contagio da infezioni informatiche locali

  Paese* % di utenti unici**
1 Bangladesh 60,53%
2 Vietnam 59,77%
3 Pakistan 58,79%
4 Mongolia 58,59%
5 Georgia 57,86%
6 Somalia 57,22%
7 Nepal 55,90%
8 Afghanistan 55,62%
9 Algeria 55,44%
10 Armenia 55,39%
11 Russia 54,94%
12 Laos 54,77%
13 Iraq 54,64%
14 Kazakhstan 54,23%
15 Siria 53,00%
16 Tunisia 53,75%
17 Etiopia 53,44%
18 Ruanda 53,17%
19 Ukraina 53,01%
20 Cambogia 52,88%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di telefoni o apparecchi fotografici digitali, hard disk esterni).

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Nel trimestre qui esaminato, la prima posizione del rating è andata ad appannaggio del Bangladesh; il paese asiatico ha fatto complessivamente registrare un indice pari al 60,53%, scalzando in tal modo dal primo posto della graduatoria il Vietnam, leader incontrastato di tale classifica nel corso di questi ultimi due anni. Assume inoltre particolare rilievo il fatto che il Pakistan (58,79%) sia giunto ad occupare il terzo posto del rating; ricordiamo a tal proposito che, nel trimestre precedente, tale paese occupava la tredicesima piazza della speciale graduatoria.

Le “new entry” del secondo trimestre del 2015 sono rappresentate da Georgia (subito collocatasi al quinto posto, con una quota del 57,8%), Russia (che troviamo in undicesima posizione, con un indice percentuale pari al 55%), Tunisia (al sedicesimo posto, con il 53,7%) ed Ukraina (al diciannovesimo posto, con il 53%).

Paesi con il più basso livello di contaminazione informatica a carattere “locale”:

Svezia (19,7%), Danimarca (18,4%) e Giappone (15,5%).

Evoluzione delle minacce informatiche nel secondo trimestre del 2015

In media, nel mondo, durante il secondo trimestre del 2015, sono state rilevate minacce IT di origine locale – perlomeno una volta – sul 40% dei computer degli utenti; tale indice ha fatto pertanto registrare, rispetto al primo trimestre dell’anno in corso, un aumento pari allo 0,2%.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *