Evoluzione delle minacce informatiche nel secondo trimestre del 2017. Le statistiche

Contenuti

Il trimestre in cifre

Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) – l’estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – lungo tutto l’arco del secondo trimestre del 2017 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 342.566.061 attacchi condotti attraverso siti Internet compromessi, dislocati in 191 paesi diversi.

In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 33.006.783 URL unici.

Sono stati respinti tentativi di esecuzione di programmi malware preposti al furto delle risorse finanziarie attraverso l’accesso online ai conti bancari, sui computer di 224.675 utenti.

Gli attacchi condotti mediante l’utilizzo di malware crittografici sono stati respinti sui computer di 246.675 utenti unici.

Il nostro modulo Anti-Virus File ha rilevato con successo 185.801.835 oggetti maligni unici, o potenzialmente indesiderabili.

Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobile hanno effettuato il rilevamento di:

  • 1.319.148 pacchetti di installazione maligni;
  • 28.976 pacchetti di installazione relativi a Trojan bancari per piattaforme mobile;
  • 200.054 pacchetti di installazione relativi a Trojan “estorsori” per dispositivi mobile.

Le minacce IT per dispositivi mobile

Caratteristiche peculiari del trimestre preso in esame

Lo spam via SMS

Nell’analogo report relativo al trimestre precedente abbiamo riferito riguardo all’intensificazione dell’attività del Trojan bancario per piattaforme mobile denominato Trojan-Banker.AndroidOS.Asacub; avevamo sottolineato, nella circostanza, come i malintenzionati effettuassero la distribuzione dello stesso — in maniera particolarmente intensa — attraverso appositi messaggi SMS di spam. In seguito, verso la fine del secondo trimestre dell’anno in corso, è stata da noi individuata una campagna malware di dimensioni ben più imponenti, ugualmente preposta a diffondere il Trojan Asacub: nel mese di giugno abbiamo rilevato, in effetti, un numero di utenti sottoposti ad attacco addirittura superiore di tre volte rispetto all’analoga quantità riscontrata nel mese di aprile; inoltre, a giudicare dai dati raccolti durante la prima settimana di luglio, pare proprio che la repentina crescita in atto si stia mantenendo tale.

Numero di utenti unici attaccati da Trojan-Banker.AndroidOS.Asacub nel secondo trimestre del 2017

Ulteriori “aggiornamenti” per ZTorg

Un tema di particolare interesse, del quale abbiamo parlato nel report sull’evoluzione delle minacce IT relativo al primo trimestre del 2017, è rimasto pienamente attuale anche nel secondo trimestre, il periodo qui esaminato: i malintenzionati, in effetti, hanno continuato a collocare su Google Play nuove app contenenti il modulo dannoso di Ztorg. Un altro interessante elemento è poi rappresentato dal fatto che, nel corso del secondo trimestre del 2017, abbiamo rilevato vari casi relativi alla pubblicazione di moduli Ztrog aggiuntivi; i cybercriminali, quindi, non si sono limitati soltanto a caricare sul noto app store i moduli nocivi principali del malware mobile in questione. È stato da noi individuato, ad esempio, un Trojan in grado di collocare app su Google Play, e di realizzare persino l’acquisto di applicazioni all’interno di tale negozio online. Inoltre, abbiamo scoperto l’esistenza di Trojan-SMS.AndroidOS.Ztorg.a, malware in grado di  inviare messaggi SMS verso costosi numeri a pagamento.

Occorre sottolineare come entrambi i malware mobile sopra citati non cercavano tuttavia di sfruttare eventuali vulnerabilità presenti nel sistema allo scopo di ottenere i diritti di superutente, a differenza di quanto avviene, invece, con il modulo principale di Ztrog. Ricordiamo, a tal proposito, che Trojan.AndroidOS.Ztorg cerca di ottenere i diritti di root per mostrare messaggi pubblicitari all’utente, ed installare nuove applicazioni in maniera furtiva; fanno parte di tali app, tra l’altro, anche i moduli aggiuntivi sopra descritti.

Dvmap, un nuovo programma Trojan

In aprile è stato da noi individuato un ulteriore malware capace di acquisire i privilegi di root sul dispositivo mobile infetto, un software nocivo che si diffondeva, anch’esso, attraverso l’app store Google Play: stiamo parlando, più precisamente, di Trojan.AndroidOS.Dvmap.a. Si tratta di un Trojan piuttosto insolito, la cui caratteristica principale è rappresentata dal fatto che esso provvede a modificare le librerie di sistema. Il malware sfrutta le vulnerabilità rilevate nel sistema preso di mira, con il preciso intento di ottenere i diritti di superutente; Dvmap inietta poi il proprio codice malevolo nella libreria di sistema.

Il WAP billing malevolo

Nel secondo trimestre del 2017 abbiamo rilevato un significativo aumento del livello di attività dei Trojan capaci di sottrarre illecitamente cospicue somme di denaro dagli account telefonici degli utenti-vittima tramite sottoscrizioni o acquisti a pagamento (di tipo WAP billing) indesiderati; simili attacchi sono stati da noi descritti per la prima volta già due anni fa. Ricordiamo che i servizi web in cui si ricorre al metodo del WAP billing sono, di fatto, appositi siti Internet che consentono di pagare i servizi offerti con somme ricavate dal credito di cui dispone l’utente sul proprio account telefonico mobile. Nella circostanza, prima di ottenere il servizio desiderato, il cliente viene rediretto verso il sito web dell’operatore di telefonia mobile, dove verrà richiesto di procedere alla conferma dell’azione che l’utente intende effettuare. Il pagamento può essere poi confermato, dall’operatore, anche tramite SMS. I Trojan, da parte loro, hanno “imparato” ad eludere tali procedure, messe in atto per cercare di esercitare un efficace controllo sulle operazioni di pagamento eseguite. Questi malware mobile possono, all’insaputa dell’utente, “cliccare” sui moduli di conferma previsti, utilizzando appositi file JS. I Trojan in causa, inoltre, sono in grado di nascondere all’utente i messaggi provenienti dall’operatore di telefonia mobile.

Abbiamo tra l’altro rilevato come, in alcuni casi, una volta realizzata l’infezione, il Trojan Ztorg possa di fatto installare moduli aggiuntivi dotati di tale funzionalità nociva. Da parte sua, la famiglia di malware mobile denominata Trojan-Clicker.AndroidOS.Xafekopy è in grado di attaccare questo genere di servizi sia in India che in Russia, utilizzando file JS simili a quelli di cui si avvale Ztrog.

Il WAP billing viene inoltre preso di mira anche da due programmi malware presenti nella TOP 20 da noi stilata riguardo ai Trojan che, nel corso del trimestre oggetto del presente report, hanno goduto di maggiore “popolarità” presso le folte schiere dei malintenzionati specializzati nell’attaccare smartphone e tablet. Si tratta, più precisamente, di Trojan-Clicker.AndroidOS.Autosus.a e di Trojan-Dropper.AndroidOS.Agent.hb. Sottolineiamo, infine, come fra i Trojan più diffusi del trimestre, tra quelli rilevati grazie al nostro speciale sistema basato sul machine learning, vi siano ugualmente programmi malware che utilizzano in maniera illecita sottoscrizioni e pagamenti realizzati  tramite dispositivo mobile.

Statistiche relative alle minacce mobile

Nel secondo trimestre del 2017, Kaspersky Lab ha rilevato 1.319.148 pacchetti di installazione nocivi. Tale indice è rimasto in pratica invariato rispetto agli analoghi valori riscontrati in relazione ai due trimestri precedenti.

Numero complessivo di pacchetti di installazione maligni individuati nel periodo 3° trimestre 2016 — 2° trimestre 2017

Ripartizione per tipologie dei programmi mobile individuati

Suddivisione per tipologie dei nuovi programmi mobile individuati – 1° e 2° trimestre del 2017 a confronto

Osserviamo, in primo luogo, come fra tutti i programmi destinati ai dispositivi mobile, rilevati nel corso del secondo trimestre dell’anno, la crescita percentuale maggiore (+ 5,99%) sia stata fatta registrare dagli AdWare (13,31%). La maggior parte dei pacchetti di installazione individuati viene attualmente rilevata come AdWare.AndroidOS.Ewind.iz e AdWare.AndroidOS.Agent.n.

Al secondo posto, per quel che riguarda il tasso di crescita mostrato, troviamo poi i programmi Trojan-SMS (6,83%), la cui quota è aumentata di 2,15 punti percentuali rispetto al trimestre precedente. In questo caso, la maggior parte dei pacchetti di installazione nocivi individuati riguarda i malware mobile denominati Trojan-SMS.AndroidOS.Opfake.bo e Trojan-SMS.AndroidOS.FakeInst.a, i cui indici sono cresciuti oltre tre volte rispetto ai valori per essi riscontrati nel primo trimestre del 2017.

La flessione percentuale più pronunciata ha riguardato i programmi Trojan-Spy, la cui quota, nell’arco di tre mesi, ha fatto registrare una forte diminuzione, attestandosi su un valore pari al 3,88%. Ricordiamo, a questo proposito, che tale tipologia di programma malware aveva invece evidenziato, nel trimestre precedente, uno dei tassi di crescita percentuale più elevati, grazie al considerevole aumento del numero dei software dannosi riconducibili alle famiglie Trojan-Spy.AndroidOS.SmForw e Trojan-Spy.AndroidOS.SmsThief.

La quota attribuibile ai Trojan-Ransom, i famigerati Trojan “estorsori”, che nel primo trimestre del 2017 aveva fatto registrare l’incremento in assoluto più consistente riguardo al numero di pacchetti di installazione rilevati, nel trimestre qui preso in esame ha invece mostrato una lieve flessione, quantificabile in 1,33 punti percentuali, e si è in tal modo attestata al 15,09%.

TOP 20 relativa ai programmi malware destinati alle piattaforme mobile

Il rating riservato ai programmi maligni, qui sotto inserito, non include i programmi potenzialmente pericolosi o indesiderati, quali i RiskTool e gli Adware.

1 DangerousObject.Multi.Generic 62,27%
2 Trojan.AndroidOS.Boogr.gsh 15,46%
3 Trojan.AndroidOS.Hiddad.an 4,20%
4 Trojan-Dropper.AndroidOS.Hqwar.i 3,59%
5 Backdoor.AndroidOS.Ztorg.c 3,41%
6 Trojan-Dropper.AndroidOS.Agent.hb 3,16%
7 Backdoor.AndroidOS.Ztorg.a 3,09%
8 Trojan.AndroidOS.Sivu.c 2,78%
9 Trojan-Dropper.AndroidOS.Lezok.b 2,30%
10 Trojan.AndroidOS.Ztorg.ag 2,09%
11 Trojan-Clicker.AndroidOS.Autosus.a 2,08%
12 Trojan.AndroidOS.Hiddad.pac 2,08%
13 Trojan.AndroidOS.Ztorg.aa 1,74%
14 Trojan.AndroidOS.Agent.bw 1,67%
15 Trojan.AndroidOS.Agent.gp 1,54%
16 Trojan.AndroidOS.Hiddad.ao 1,51%
17 Trojan-Banker.AndroidOS.Svpeng.q 1,49%
18 Trojan.AndroidOS.Agent.ou 1,39%
19 Trojan.AndroidOS.Loki.d 1,38%
20 Trojan.AndroidOS.Agent.eb 1,32%

* Quote percentuali relative al numero di utenti unici attaccati da tali malware mobile, sul numero complessivo di utenti dell’antivirus mobile di Kaspersky Lab sottoposti ad attacco

Come da tradizione ormai consolidata, anche nel secondo trimestre dell’anno in corso il primo posto della speciale TOP 20 relativa ai malware mobile più diffusi, è andato nuovamente ad appannaggio di una serie di programmi malevoli classificati come DangerousObject.Multi.Generic (62,27%); questo verdetto viene da noi utilizzato per identificare i software dannosi individuati e neutralizzati con l’ausilio delle tecnologie “in-the-cloud”. Tali tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database delle firme antivirus, i dati indispensabili per poter rilevare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella propria “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

Al secondo posto della graduatoria da noi stilata spicca poi la presenza del malware denominato Trojan.AndroidOS.Boogr.gsh (15,46%). Questo specifico verdetto viene assegnato ai file riconosciuti come dannosi dal nostro sistema basato sul machine learning, ovvero sull’apprendimento automatico. La quota percentuale ascrivibile a tale verdetto è più che triplicata rispetto al trimestre precedente; ciò ha determinato l’ascesa dello stesso dal terzo al secondo posto del rating. Nel secondo trimestre del 2017, il sistema in questione ha rilevato sempre più di frequente sia programmi Trojan “specializzati” nel generare la sottoscrizione forzata dell’utente a servizi a pagamento di vario genere, sia Trojan pubblicitari in grado di avvalersi dei diritti di superutente.

La terza piazza della TOP 20 risulta occupata dal Trojan mobile denominato Trojan.AndroidOS.Hiddad.an (4,20%). Questo insidioso malware si spaccia, di solito, per software e giochi che godono di particolare popolarità. Un elemento di notevole interesse è di sicuro rappresentato dal fatto che, una volta lanciato sul dispositivo-vittima, il Trojan Hiddad scarica l’app utilizzata per camuffarsi; al momento dell’installazione, poi, esso richiede i diritti di amministratore del dispositivo, con il preciso scopo di contrastare la propria eventuale rimozione. Il principale obiettivo che si prefigge Trojan.AndroidOS.Hiddad.an è costituito dal mostrare messaggi pubblicitari proposti in maniera particolarmente aggressiva; la maggior parte del suo “pubblico” si concentra in Russia. Ricordiamo che, nel trimestre precedente, questo insidioso Trojan era andato a collocarsi al secondo posto della graduatoria da noi elaborata.

Il malware mobile classificato come Trojan-Dropper.AndroidOS.Hqwar.i (3,59%) ha scalato, da parte sua, ben quattro posizioni in classifica, portandosi dall’ottavo al quarto posto della speciale TOP 20 relativa al secondo trimestre del 2017. Tale particolare denominazione viene assegnata ai Trojan protetti da una determinata utility di compressione o da uno specifico offuscatore. Nella maggior parte dei casi, sotto tale nome si nascondono i temibili rappresentanti delle famiglie di Trojan bancari per dispositivi mobile conosciute come FakeToken e Svpeng.

Al quinto posto del ranking troviamo poi il programma Trojan denominato Backdoor.AndroidOS.Ztorg.c. Si tratta, nella fattispecie, di uno dei Trojan pubblicitari in assoluto più attivi; anch’esso si caratterizza per il fatto di sfruttare i diritti di superutente, furtivamente acquisiti. All’interno della TOP 20 da noi stilata, inerente al secondo trimestre dell’anno in corso, spicca la presenza di un cospicuo numero di programmi Trojan – ben undici, evidenziati in blu nella tabella qui sopra riportata – che cercano di ottenere od utilizzare i diritti di root; tali software nocivi ricorrono all’impiego della pubblicità come principale strumento di “monetizzazione”. Il loro scopo è esclusivamente quello di recapitare all’utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l’installazione furtiva di nuovi software pubblicitari. Utilizzando i diritti di superutente, poi, questi Trojan possono agevolmente nascondersi all’interno della cartella di sistema; la loro rimozione, pertanto, si presenta come un’operazione particolarmente complessa. Occorre ad ogni caso sottolineare il fatto che, in questi ultimi tempi, stiamo osservando una progressiva diminuzione, all’interno della nostra TOP 20, del numero dei malware mobile riconducibili a tale specifica tipologia; se effettuiamo un confronto con l’analogo rating relativo al trimestre precedente vediamo, in effetti, come il numero dei Trojan di tal genere risultasse, allora, nettamente superiore (ve ne erano ben quattordici).

Il sesto posto del ranking è andato ad appannaggio di Trojan-Dropper.AndroidOS.Agent.hb (3,16%); si tratta di un complesso Trojan modulare, la cui componente nociva principale deve essere di fatto scaricata dal server allestito dai malintenzionati. È del tutto lecito presupporre che questo Trojan si prefigga di compiere il furto di denaro attraverso sottoscrizioni a pagamento realizzate in maniera subdola.

All’undicesima piazza della TOP 20 del secondo trimestre 2017 è andato poi a collocarsi il malware classificato come Trojan-Clicker.AndroidOS.Autosus.a (2,08%), il cui compito principale consiste nell’attivare sottoscrizioni a pagamento. Per far questo, esso “clicca”, in pratica, sui pulsanti presenti nelle web directory inerenti ad operazioni di sottoscrizione; al tempo stesso, questo Trojan provvede a nascondere i messaggi SMS in entrata, contenenti le relative informazioni.

La quattordicesima posizione del rating da noi stilato risulta occupata da Trojan.AndroidOS.Agent.bw, con una quota pari all’1,67%. Al pari di Trojan.AndroidOS.Hiddad.an, anche questo programma Trojan, destinato a colpire principalmente coloro che abitano in India, cerca di spacciarsi per software e giochi del tutto legittimi. In realtà, una volta eseguito sul dispositivo-vittima, esso scarica ed installa su quest’ultimo varie app, provenienti dal server predisposto dai malfattori.

Al quindicesimo posto troviamo poi il malware classificato come Trojan.AndroidOS.Agent.gp (1,54%), specializzato nel rubare il denaro degli utenti tramite apposite chiamate telefoniche verso numeri a pagamento. Servendosi dei diritti di amministratore, esso contrasta gli eventuali tentativi di rimozione dal dispositivo infetto.

Al diciassettesimo posto della speciale classifica relativa ai malware mobile più diffusi nel 2° trimestre del 2017, troviamo, infine, il già ben noto Trojan bancario denominato Trojan-Banker.AndroidOS.Svpeng.q (1,49%). I malware appartenenti a questa famiglia si sono dimostrati particolarmente attivi, nel corso di quest’ultimo anno; il software nocivo qui sopra menzionato, da parte sua, è risultato essere il Trojan bancario mobile maggiormente utilizzato dai cybercriminali nel periodo oggetto del presente report.

Geografia delle minacce mobile

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre del 2017, dai programmi malware specificamente sviluppati per colpire i dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese)

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre del 2017, dai programmi malware specificamente sviluppati per colpire i dispositivi mobile (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese)[/caption]

TOP 10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobile:

Paese* % di utenti sottoposti ad attacco**
1 Iran 44,78%
2 Cina 31,49%
3 Bangladesh 27,10%
4 Indonesia 26,12%
5 Algeria 25,22%
6 Nigeria 24,81%
7 India 24,53%
8 Costa d’Avorio 24,31%
9 Ghana 23,20%
10 Kenya 22,85%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

Anche nel periodo oggetto del presente report, così come era avvenuto nel primo trimestre del 2017, leader della speciale TOP 10 basata sulle quote percentuali più elevate di utenti mobile sottoposti ad attacco, si è rivelato essere l’Iran (44,78%). Al secondo posto della graduatoria è salita la Cina (31,49%), seguita, in classifica, dal Bangladesh (27,10 %).

La Russia (12,10%), stavolta, è andata ad occupare il 26° posto del rating complessivo; ricordiamo che, nel trimestre precedente, la Federazione Russa si era situata in quarantesima posizione. Forniamo, qui di seguito, ulteriori indicazioni riguardo alle posizioni in cui si sono collocati vari altri paesi nell’ambito del ranking qui analizzato: la Francia (6,04%), ad esempio, si è inserita al 58° posto dello stesso; gli Stati Uniti (4,5%) al 71°; l’Italia (5,7%) al 62°; la Germania (4,8%), da parte sua, è andata ad occupare la 67a posizione; la Gran Bretagna (4,3%), infine, compare al 73° posto della speciale graduatoria geografica del malware mobile.

I paesi più sicuri, in termini di quota percentuale di utenti sottoposti ad attacco, sono risultati essere i seguenti: Danimarca (2,7%), Finlandia (2,6%) e Giappone (1,3%).

I Trojan bancari per piattaforme mobile

Nel periodo oggetto della nostra consueta analisi trimestrale dedicata all’evoluzione del malware, sono stati da noi individuati 28.976 pacchetti di installazione relativi a Trojan-Banker destinati ai dispositivi mobile, ovvero un numero di pacchetti inferiore di 1,1 volte rispetto all’analoga quantità rilevata per gli stessi nel primo trimestre del 2017.

Numero di pacchetti di installazione, relativi a Trojan bancari per dispositivi mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 3° trimestre 2016 — 2° trimestre 2017)

Lungo tutto l’arco di questo ultimo anno, il Trojan bancario mobile maggiormente utilizzato dai cybercriminali si è rivelato essere Trojan-Banker.AndroidOS.Svpeng.q. Lo scopo principale di tale programma malware – destinato, in primo luogo, agli utenti di lingua russa – è rappresentato dal furto di denaro. Per ottenere le informazioni sensibili relative alle carte di credito, e carpire i dati necessari per eseguire le procedure di autenticazione nell’ambito dei sistemi di banking online, il Trojan in questione ricorre all’utilizzo di apposite finestre di phishing. Esso, inoltre, sottrae agli utenti significative somme di denaro tramite determinati servizi SMS, tra cui quelli relativi al mobile banking.

Seguono il famigerato Trojan Svpeng, all’interno della speciale graduatoria riservata ai Trojan bancari mobile in assoluto più “popolari”, i malware denominati Trojan-Banker.AndroidOS.Hqwar.jck e Trojan-Banker.AndroidOS.Asacub.af. Occorre sottolineare come la maggior parte degli utenti presi di mira dagli attacchi lanciati da questa temibile “trojka” di software maligni, si trovi sul territorio della Federazione Russa.

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre 2017, dai Trojan bancari destinati ai dispositivi mobile (quota percentuale di utenti sottoposti ad attacco)

TOP 10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobile:

Paese* % di utenti sottoposti ad attacco**
1 Russia 1,63%
2 Australia 0,81%
3 Turchia 0,81%
4 Tagikistan 0,44%
5 Uzbekistan 0,44%
6 Ucraina 0,41%
7 Lettonia 0,38%
8 Kirghizistan 0,34%
9 Moldavia 0,34%
10 Kazakhstan 0,32%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

La speciale TOP 10 geografica relativa ai Trojan-Banker preposti a colpire i dispositivi mobile è rimasta sostanzialmente invariata rispetto all’analoga graduatoria da noi stilata riguardo al trimestre precedente. L’indesiderata leadership della graduatoria continua ad essere detenuta dalla Federazione Russa, con una quota pari all’1,63%. Il secondo gradino del “podio” virtuale del secondo trimestre dell’anno risulta poi nuovamente occupato dall’Australia (0,81%); la maggior parte degli attacchi informatici di tal genere, registrati sul territorio di questo paese, si è rivelata riconducibile a software malevoli facenti parte delle famiglie Trojan-Banker.AndroidOS.Acecard e Trojan-Banker.AndroidOS.Marcher. Infine, così come nel trimestre precedente, chiude la composizione della TOP 3 la Turchia, il cui indice si è ugualmente attestato su un valore pari allo 0,81%.

I Trojan ransomware per dispositivi mobile

Nel secondo trimestre del 2017 sono stati da noi individuati, in totale, 200.054 pacchetti di installazione inerenti a Trojan “estorsori” (Trojan-Ransom) destinati ai sistemi operativi mobile; si tratta di un numero di pacchetti nocivi leggermente inferiore all’analoga quantità rilevata nel trimestre precedente, ma notevolmente superiore alla cifra riscontrata, per gli stessi, nel quarto trimestre del 2016.

Numero di pacchetti di installazione, relativi a programmi ransomware mobile,
individuati da Kaspersky Lab (Situazione inerente al periodo 3° trimestre 2016 – 2° trimestre 2017)

Complessivamente, nella prima metà del 2017, è stato da noi rilevato un numero di nuovi pacchetti di installazione, relativi a Trojan ransomware mobile, sensibilmente superiore rispetto a quanto riscontrato, in maniera analoga, in qualsiasi altro periodo precedente. Il motivo di tale repentino aumento è da imputare, principalmente, all’elevato grado di diffusione della famiglia di Trojan estorsori per dispositivi mobile denominata Trojan-Ransom.AndroidOS.Congur. Di solito, i “rappresentanti” della famiglia Congur sono dotati di funzionalità tutt’altro che sofisticate, per non dire alquanto semplici: essi modificano il codice PIN del dispositivo (oppure impostano il proprio, se tale codice risulta assente); in seguito, i ransomware in questione richiedono all’utente-vittima di mettersi in contatto direttamente con i malintenzionati, attraverso il messenger QQ, per poter ottenere le istruzioni necessarie per lo sblocco dello smartphone o del tablet compromesso. È opportuno a tal proposito segnalare il fatto che esistono alcune varianti del suddetto Trojan in grado di utilizzare i diritti di superutente già esistenti, allo scopo di installare il proprio modulo all’interno della cartella di sistema.

Il Trojan ransomware mobile in assoluto più diffuso è di nuovo risultato essere Trojan-Ransom.AndroidOS.Fusob.h. Si è imbattuto in questo temibile malware oltre il 20% degli utenti sottoposti ad attacco da parte di programmi ransomware appositamente sviluppati per attaccare i dispositivi mobile; la quota percentuale per esso rilevata risulta tuttavia di due volte inferiore rispetto all’analogo valore registrato nel trimestre precedente. Una volta avviato, il Trojan in questione richiede i diritti di amministratore, raccoglie informazioni sul dispositivo preso di mira, tra cui le coordinate GPS e la cronologia delle chiamate, e provvede poi ad effettuare l’upload dei dati carpiti sul server allestito dai malintenzionati. In seguito esso può ricevere, da parte dei cybercriminali, lo specifico comando attraverso il quale il dispositivo viene bloccato.

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del secondo trimestre 2017, dai Trojan estorsori destinati ai dispositivi mobile (quota percentuale di utenti sottoposti ad attacco)

TOP 10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan estorsori per piattaforme mobile:

Paese* % di utenti sottoposti ad attacco**
1 USA 1,24%
2 Cina 0,88%
3 Italia 0,57%
4 Belgio 0,54%
5 Canada 0,41%
6 Kazakhstan 0,41%
7 Irlanda 0,37%
8 Germania 0,34%
9 Norvegia 0,31%
10 Svezia 0,29%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobile risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali registrate nei vari paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan-Ransom per piattaforme mobile, rispetto al numero complessivo di utenti – in ogni singolo paese – dell’antivirus mobile di Kaspersky Lab.

Il primo posto della speciale TOP 10 geografica dedicata al ransomware mobile è nuovamente andato ad appannaggio degli Stati Uniti (1,24%); nel paese nordamericano la famiglia di Trojan estorsori maggiormente attiva si è rivelata essere Trojan-Ransom.AndroidOS.Svpeng. Questi ransomware per dispositivi mobile hanno fatto la loro comparsa sulla scena del malware nell’anno 2014, in qualità di variante della temibile famiglia di banker mobile classificata come Trojan-Banker.AndroidOS.Svpeng. Per procedere all’operazione di sblocco del dispositivo infetto, tali software maligni richiedono, in genere, il pagamento di una cifra che ammonta, all’incirca, a 500 dollari $.

La seconda posizione della graduatoria qui sopra inserita risulta occupata dalla Cina (0,88%); la maggior parte degli attacchi condotti attraverso i ransomware mobile nei confronti degli utenti situati nel paese dell’Estremo Oriente è riconducibile alla famiglia Trojan-Ransom.AndroidOS.Congur.

Al terzo posto del rating da noi stilato troviamo poi l’Italia, dove il Trojan che ha fatto registrare il livello di attività più elevato è risultato essere Trojan-Ransom.AndroidOS.Egat.d. Si tratta di un programma Trojan diffuso principalmente in Europa, il quale richiede all’utente-vittima, per lo sblocco del dispositivo infetto, il pagamento di un riscatto che può variare dai 100 ai 200 dollari $.

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

Il secondo trimestre del 2017 si è rivelato essere particolarmente “caldo”, per quel che riguarda le vulnerabilità in-the-wild. La rapida comparsa di alcune vulnerabilità 0-day riguardanti Microsoft Office ha in effetti prodotto significativi cambiamenti in relazione al quadro degli exploit utilizzati.

All’inizio di aprile, ad esempio, è stata individuata la vulnerabilità logica CVE-2017-0199, riguardante l’elaborazione degli oggetti in formato HTA: essa può consentire al malintenzionato di turno, mediante l’utilizzo di un file appositamente “confezionato”, di eseguire codice arbitrario su una macchina remota. E nonostante l’update in grado di risolvere tale vulnerabilità sia stato già pubblicato lo scorso 11 aprile, il numero dei clienti della suite Office di Microsoft sottoposti ad attacco è in pratica quasi triplicato, raggiungendo così la considerevole cifra di 1,5 milioni di utenti. Proprio con l’utilizzo di questa vulnerabilità è stato realizzato il 71% del volume complessivo degli attacchi diretti agli utenti di Microsoft Office; nell’ambito di determinate campagne di spam, difatti, sono stati attivamente utilizzati documenti malevoli contenenti exploit destinati alla vulnerabilità CVE-2017-0199.

 Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco — Situazione relativa al secondo trimestre del 2017

Le ragioni di tutto ciò sono molteplici: semplicità ed “affidabilità” di utilizzo su tutte le versioni di MS Office e Windows, e la rapida comparsa di strumenti – pubblicamente accessibili – generatori di documenti contenenti l’exploit CVE-2017-0199, hanno significativamente abbassato la soglia da varcare per ottenere lo sfruttamento della vulnerabilità in questione. Per fare un debito confronto, ad altre due vulnerabilità zero-day individuate in MS Office, relative alla corruzione della memoria (memory corruption vulnerability) a causa della non corretta elaborazione dei file in formato EPS — CVE-2017-0261 e CVE-2017-0262 – è risultato imputabile, complessivamente, solo il 5% degli attacchi compiuti.

L’evento principale del secondo trimestre dell’anno in corso si è ad ogni caso rivelato essere la release, da parte del gruppo hacker denominato ShadowBrokers, di un archivio contenente utility ed exploit sviluppati, presumibilmente, dai servizi di intelligence statunitensi. L’archivio “Lost In Translation” conteneva un elevato numero di exploit di rete per varie versioni di Windows. E nonostante la maggior parte delle vulnerabilità in causa non fosse costituita da vulnerabilità di tipo zero-day, e fosse stata opportunamente chiusa tramite l’update MS17-010 un mese prima del “leak” messo in atto dagli hacker di ShadowBrokers, la pubblicazione del suddetto archivio ha ugualmente generato conseguenze disastrose. Non si contano più, ormai, i danni provocati dai worm, dai Trojan e dai malware crittografici diffusi in Rete attraverso EternalBlue ed EternalRomance; il numero degli utenti-vittima si è rivelato essere davvero molto elevato. Kaspersky Lab, soltanto nel secondo trimestre del 2017, ha bloccato oltre cinque milioni di tentativi di attacco effettuati attraverso l’utilizzo degli exploit di rete provenienti dall’archivio sopra menzionato. Inoltre, la quantità media degli attacchi realizzati ogni giorno dai malintenzionati, è costantemente cresciuta: basti pensare, a tale riguardo, che l’82% del volume complessivo degli attacchi condotti è stato rilevato nel corso degli ultimi 30 giorni.

Statistiche ottenute attraverso il componente IDS (Intrusion Detection System), relative all’utilizzo degli exploit ShadowBrokers nel corso dell’ultimo mese del secondo trimestre.

Il repentino picco che si è registrato verso la fine del mese è dovuto alla comparsa, sulla scena, del malware crittografico ExPetr, il quale ha utilizzato, per uno dei propri metodi di diffusione, gli exploit EternalBlue ed EternalRomance, in versione modificata:

Programmi malware in Internet (attacchi tramite siti web)

Le minacce online rivolte al settore finanziario

I dati statistici qui sotto indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ottenuti tramite gli utenti che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A partire dal primo trimestre 2017, le statistiche in questione includono i programmi malware destinati agli apparecchi bancomat (ATM) e ai terminali POS, mentre non comprendono le minacce IT per dispositivi mobile.

Complessivamente, nel secondo trimestre del 2017, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di uno o più programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di 224.000 utenti della rete globale di sicurezza Kaspersky Security Network.

Numero di utenti sottoposti ad attacco da parte di malware bancari –
Situazione relativa al periodo aprile-giugno 2017

Geografia degli attacchi

Al fine di valutare e comparare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari e dai programmi malware appositamente sviluppati per colpire i bancomat e i terminali POS – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato, per ogni paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel paese.

Geografia degli attacchi informatici condotti dai cybercriminali nel corso del secondo trimestre del 2017 mediante l’utilizzo di malware bancario (quota percentuale di utenti sottoposti ad attacco)

TOP 10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari

 

Paese* % di utenti sottoposti ad attacco**
Germania 2,61
Togo 2,14
Libia 1,77
Palestina 1,53
Libano 1,44
Venezuela 1,39
Tunisia 1,35
Serbia 1,28
Bahrain 1,26
Taiwan 1,23

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dall’anti-virus; essi sono stati da noi ottenuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di Trojan bancari e programmi malware destinati agli apparecchi bancomat (ATM) e ai terminali POS, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Come evidenzia la tabella qui sopra inserita, nel secondo trimestre del 2017 la leadership della speciale TOP 10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte di Trojan bancari e programmi malware ATM/POS, nei vari paesi del mondo, è andata nuovamente ad appannaggio della Germania (2,61%). Alla seconda piazza della graduatoria è andata poi a collocarsi, con un gap percentuale piuttosto pronunciato, la Repubblica del Togo (2,14%); chiude infine la composizione della TOP 3 la Libia, con una quota pari all’1,77%.

TOP 10 inerente alle famiglie di malware bancario maggiormente diffuse

La speciale TOP 10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del secondo trimestre del 2017, nell’ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking – redatta sulla base della quota percentuale di utenti sottoposti ad attacco – si presenta nella maniera seguente:

Denominazione* % di utenti sottoposti ad attacco**
Trojan-Spy.Win32.Zbot 32,58
Trojan.Win32.Nymaim 26,02
Trojan-Banker.Win32.Emotet 7,05
Trojan.Win32.Neurevt 6,08
Trojan-Spy.Win32.SpyEyes 6,01
Worm.Win32.Cridex 4,09
Trojan-Banker.Win32.Gozi 2,66
Backdoor.Win32.Shiz 2,19
Trojan.Multi.Capper 1,9
Trojan.Win32.Tinba 1,9

* Rilevamenti eseguiti dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito il proprio assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici attaccati da tali malware, sul numero complessivo di utenti sottoposti ad attacco da parte di malware finanziari.

La leadership della speciale classifica qui sopra riportata continua ad essere detenuta dal malware denominato Trojan-Spy.Win32.Zbot (32,58%). I codici sorgente di questo temibile Trojan, dopo essere stati resi pubblicamente disponibili a seguito di un’eclatante fuga di dati, risultano in pratica accessibili a tutti i malintenzionati che intendono farne uso. I malfattori, quindi, arricchiscono di continuo tale famiglia con l’introduzione di nuovi sample, compilati sulla base del codice sorgente, e contenenti differenze minimali rispetto all’originale.

Il secondo gradino del “podio” virtuale del secondo trimestre risulta poi occupato dal programma Trojan classificato come Trojan.Win32.Nymaim (26.02%). Le prime versioni dei software nocivi riconducibili a tale famiglia risultavano essere, in pratica, dei “semplici” Trojan downloader, preposti a caricare, sul computer-vittima, programmi specifici, a seconda del paese preso di mira, dei malware “unici” in grado di bloccare il funzionamento del computer. Successivamente, sono state individuate nuove versioni dei programmi Trojan appartenenti alla famiglia Trojan.Win32.Nymaim, le quali includevano un particolare componente di Gozi, un ulteriore Trojan utilizzato dai cybercriminali per realizzare il furto delle informazioni sensibili relative ai sistemi di banking online di cui si avvalgono gli utenti. Lo stesso Trojan Gozi, da parte sua, con una quota pari al 2,66%, è andato ad occupare la settima posizione del rating da noi stilato.

I malware crittografici

Nel mese di maggio del 2017 ha avuto inizio un’epidemia informatica senza precedenti, ovvero quella generata dal famigerato malware crittografico WannaCry 2.0, il quale si è diffuso per mezzo di un worm in grado di sfruttare una vulnerabilità individuata in alcune versioni dell’OS Windows.

Non ha nemmeno avuto il tempo di placarsi, tale epidemia, che si è subito verificato, nel mese di giugno 2017, un massiccio attacco da parte di un ulteriore Trojan — ExPetr. Mentre WannaCry 2.0 non mirava ad un target geografico ben definito, ed ha quindi attaccato tutti i paesi indistintamente, ExPetr ha invece scelto come suo obiettivo principale l’Ucraina. Gli esperti di Kaspersky Lab hanno scoperto che ExPetr codifica l’MFT (Master File Table) nelle partizioni NTFS, in maniera irreversibile; questo non consente di poter ripristinare completamente il funzionamento dei computer compromessi, anche nel caso in cui la vittima abbia provveduto ad effettuare il pagamento del riscatto richiesto dai cybercriminali.

Oltre alle epidemie informatiche di vaste proporzioni, che hanno letteralmente scosso il mondo intero, si è manifestata, nel secondo trimestre dell’anno, una tendenza alquanto insolita e “curiosa”: alcuni gruppi cybercriminali, che tenevano le fila di vari Trojan crittografici, hanno improvvisamente posto fine alla propria attività, ed hanno reso di pubblico dominio le proprie chiavi segrete, indispensabili per effettuare la decodifica dei file appartenenti agli utenti-vittima. Forniamo, qui di seguito, l’elenco delle famiglie di ransomware le cui chiavi, nel periodo qui esaminato, sono state rese pubblicamente disponibili:

  • Crysis (Trojan-Ransom.Win32.Crusis);
  • AES-NI (Trojan-Ransom.Win32.AecHu);
  • xdata (Trojan-Ransom.Win32.AecHu);
  • Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr).

Numero di nuove varianti di malware crittografico

Nel secondo trimestre del 2017 abbiamo individuato, complessivamente, 15 nuove famiglie di Trojan crittografici. Il numero di nuove varianti di tale tipologia di programma maligno è risultato pari a 15.663, una quantità notevolmente inferiore al numero di varianti di malware crittografico comparse sulla scena nel primo trimestre dell’anno in corso. Inoltre, mentre nel primo trimestre la maggior parte delle nuove varianti era risultata riconducibile al malware Cerber, nel periodo qui preso in esame tale verdetto è decisamente passato in secondo piano, visto che esso ha ceduto il campo ad un nuovo temibile malware crittografico — WannaCry. La vasta epidemia informatica generata dal nuovo ransomware ha interessato e preoccupato, come abbiamo visto, il mondo intero.

Numero di nuove varianti di malware crittografico — Situazione relativa al periodo Q2 2016 – Q2 2017

Stiamo osservando, attualmente, una brusca diminuzione del numero di nuovi sample del Trojan Cerber. Ciò sembrerebbe indicare un’imminente conclusione del ciclo di sviluppo e diffusione di questa temibile famiglia di malware. Sarà comunque il tempo a dirci se tale supposizione si trasformerà o no in realtà. Così come è avvenuto con Cerber, nel secondo trimestre del 2017 è considerevolmente diminuito anche il numero complessivo delle nuove varianti di malware crittografico.

Numero di utenti sottoposti ad attacco da parte di Trojan crittografici

Nel secondo trimestre del 2017, sono stati complessivamente registrati tentativi di infezione, da parte di malware crittografici, sui computer di 246.675 utenti unici della rete globale di sicurezza KSN (Kaspersky Security Network); tale cifra risulta abbastanza prossima all’analogo valore rilevato riguardo al trimestre precedente. Nonostante la sensibile diminuzione della quantità totale di nuove varianti in circolazione, nel corso del periodo trimestrale qui analizzato il numero degli utenti protetti è progressivamente aumentato.

Numero di utenti unici attaccati da Trojan crittografici – Situazione relativa al 2° trimestre del 2017

Geografia degli attacchi

TOP 10 relativa ai paesi in cui si è registrata la quota più elevata di utenti sottoposti ad attacco informatico da parte di Trojan crittografici

Paese* % di utenti sottoposti ad attacco**
1 Brasile 1,07%
2 Italia 1,06%
3 Giappone 0,96%
4 Vietnam 0,92%
5 Corea del Sud 0,78%
6 Cina 0,75%
7 Cambogia 0,75%
8 Taiwan 0,73%
9 Hong Kong 0,66%
10 Russia 0,65%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 50.000 utenti).
** Quote percentuali relative al numero di utenti unici i cui computer sono stati attaccati da Trojan crittografici, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

TOP 10 inerente alle famiglie di Trojan crittografici maggiormente diffuse

Denominazione Verdetti* % di utenti sottoposti ad attacco**
1 WannaCry Trojan-Ransom.Win32.Wanna 16,90%
2 Locky Trojan-Ransom.Win32.Locky 14,91%
3 Cerber Trojan-Ransom.Win32.Zerber 13,54%
4 Jaff Trojan-Ransom.Win32.Jaff 11,00%
5 Cryrar/ ACCDFISA Trojan-Ransom.Win32.Cryrar 3,54%
6 Spora Trojan-Ransom.Win32.Spora 3,08%
7 ExPetr Trojan-Ransom.Win32.ExPetr 2,90%
8 Shade Trojan-Ransom.Win32.Shade 2,44%
9 Purgen/GlobeImposter Trojan-Ransom.Win32.Purgen 1,85%
10 (verdetto generico) Trojan-Ransom.Win32.CryFile 1,67%

* I dati statistici qui sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito il proprio assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacco da parte di una specifica famiglia di Trojan-Ransom, sul numero complessivo di utenti attaccati da tale genere di malware estorsore.

Oltre ai già citati WannaCry ed ExPetr, sono entrate a far parte della TOP 10 relativa ai malware crittografici più diffusi due ulteriori “new entry”: Jaff e Purgen. Il Trojan-Ransom denominato Jaff è andato direttamente ad occupare la quarta posizione della graduatoria, con un notevole margine percentuale nei confronti del malware Cryrar, che lo segue in classifica. A seguito di una dettagliata analisi condotta sul Trojan, gli esperti di Kaspersky Lab sono riusciti ad individuare una falla nell’implementazione, da parte del ransomware Jaff, degli algoritmi crittografici; questo ha consentito di creare un’utility per la decodifica dei file criptati.

Le rimanenti posizioni del rating risultano occupate dai già ben noti Cerber, Locky, Spora e Shade.

Geografia delle fonti degli attacchi web: TOP 10

Tali dati statistici si riferiscono alla ripartizione per paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dai prodotti Kaspersky Lab (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo, nella circostanza, come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli assalti informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Nel secondo trimestre del 2017 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 342.566.061 attacchi condotti attraverso siti Internet compromessi dislocati in 191 diversi paesi. In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, 33.006.783 URL unici.

Ripartizione per paesi delle fonti degli attacchi web – Situazione relativa al secondo trimestre del 2017

Nel corso del trimestre qui analizzato, il maggior numero di rilevamenti eseguiti dall’Anti-Virus Web ha riguardato siti Internet ubicati negli Stati Uniti; le risorse web malevole situate in territorio francese sono poi risultate più “popolari”, presso i malintenzionati, rispetto a quelle dislocate in Russia e in Germania.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai programmi malware, e distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo – abbiamo stimato il numero di utenti unici dei prodotti Kaspersky Lab che, in ogni paese, nel trimestre qui analizzato, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

Desideriamo sottolineare il fatto che tale rating prende in considerazione unicamente gli attacchi informatici portati attraverso oggetti maligni riconducibili alla classe dei Malware; nell’effettuare i calcoli statistici non abbiamo quindi tenuto conto dei rilevamenti eseguiti dal nostro modulo Anti-Virus Web relativamente ai programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

Paese* % di utenti sottoposti ad attacco**
1 Algeria 29,15
2 Albania 26,57
3 Bielorussia 25,62
4 Qatar 24,54
5 Ucraina 24,28
6 India 23,71
7 Romania 22,86
8 Azerbaijan 22,81
9 Tunisia 22,75
10 Grecia 22,38
11 Brasile 22,05
12 Moldavia 21,90
13 Russia 21,86
14 Vietnam 21,67
15 Armenia 21,58
16 Taiwan 20,67
17 Marocco 20,34
18 Kazakhstan 20,33
19 Kirghizistan 19,99
20 Georgia 19,92

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati da noi ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web da parte di oggetti maligni riconducibili alla classe dei Malware, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Complessivamente, a livello mondiale, nel corso del trimestre qui preso in esame, una consistente porzione degli utenti della Rete (17,26%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web, in cui è stato fatto uso di oggetti nocivi appartenenti alla classe dei Malware.

Geografia degli attacchi web condotti dai cybercriminali nel corso del secondo trimestre del 2017 mediante l’utilizzo di programmi malware (quota percentuale di utenti sottoposti ad attacco)

Tra i paesi nei quali la navigazione in Internet risulta in assoluto più sicura troviamo Cuba (5%), Finlandia (11,32%), Singapore (11,49%), Israele (13,81%), Giappone (7,56%).

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti nel corso del secondo trimestre del 2017. Tali dati riguardano sia gli oggetti nocivi penetrati nel computer dell’utente mediante l’infezione di file o di supporti rimovibili, sia gli oggetti malevoli insediatisi inizialmente all’interno del computer-vittima non in forma manifesta (ad esempio certi programmi che accompagnano installer particolarmente complessi, file codificati, etc.).

Il presente capitolo del nostro consueto report trimestrale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Lungo tutto l’arco del secondo trimestre del 2017, il nostro modulo Anti-Virus File ha rilevato con successo 185.801.835 oggetti maligni unici, o potenzialmente indesiderabili.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

È stata calcolata, per ogni paese, la percentuale di utenti dei prodotti Kaspersky Lab che, nel corso del periodo esaminato nel presente report, ha visto entrare in azione il modulo Anti-Virus File, specificamente dedicato al rilevamento delle minacce IT locali. Tali dati statistici costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari paesi del mondo.

Sottolineiamo il fatto che, a partire dal trimestre qui analizzato, tale rating prenderà in considerazione unicamente gli attacchi informatici portati attraverso oggetti maligni riconducibili alla classe dei Malware; nell’effettuare i calcoli statistici non abbiamo quindi tenuto conto dei rilevamenti eseguiti dal nostro modulo Anti-Virus File relativamente ai programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare).

La speciale TOP 20 geografica relativa alla diffusione delle minacce informatiche di natura locale è rimasta pressoché invariata rispetto al trimestre precedente; segnaliamo, tuttavia, il fatto che Kazakhstan e Bielorussia sono stati rimpiazzati, all’interno della graduatoria, nelle stesse identiche posizioni (la 18a e la 20a), da Mozambico e Mauritania:

Paese* % di utenti sottoposti ad attacco**
1 Afghanistan 52,08
2 Uzbekistan 51,15
3 Yemen 50,86
4 Tagikistan 50,66
5 Algeria 47,19
6 Etiopia 47,12
7 Laos 46,39
8 Vietnam 45,98
9 Turkmenistan 45,23
10 Mongolia 44,88
11 Siria 44,69
12 Djibouti 44,26
13 Iraq 43,83
14 Ruanda 43,59
15 Sudan 43,44
16 Nepal 43,39
17 Somalia 42,90
18 Mozambico 42,88
19 Bangladesh 42,38
20 Mauritania 42,05

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ottenute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Nella circostanza, sono stati presi in considerazione i programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di apparecchi fotografici digitali, telefoni, hard disk esterni).
* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali appartenenti alla classe dei Malware, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

In media, nel mondo, durante il secondo trimestre del 2017, sono state rilevate – perlomeno una volta – minacce IT locali ascrivibili alla classe dei Malware sul 20,97% dei computer degli utenti. L’indice relativo alla Russia, nell’ambito di tale rating, è risultato pari al 25,82%.

Paesi con il più basso livello di contaminazione informatica a carattere “locale”: Cile (15,06%), Lettonia (14,03%), Portogallo (12,27%), Australia (9,46%), Gran Bretagna (8,59%), Irlanda (6,30%), Porto Rico (6,15%).

Post correlati

Leave a Reply

Your email address will not be published. Required fields are marked *