Kaspersky Security Bulletin 2014. Statistiche principali dell’anno 2014

Contenuti

Tutti i dati statistici riportati nel presente resoconto sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all’attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un’efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.

I dati statistici contenuti nel presente report si riferiscono al periodo intercorrente tra il mese di novembre 2013 ed il mese di ottobre 2014.

L’anno in cifre

  • Secondo i dati raccolti tramite il Kaspersky Security Network, nel 2014 i prodotti Kaspersky Lab hanno rilevato e neutralizzato 6.167.233.068 attacchi dannosi effettuati nei confronti dei computer e dei dispositivi mobile degli utenti.
  • Sono stati complessivamente bloccati 3.693.936 tentativi di infezione di computer provvisti di sistema operativo Mac OS X.
  • Sono stati individuati e respinti, in totale, 1.363.549 attacchi condotti nei confronti di dispositivi mobile operanti mediante la piattaforma Android.
  • Le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben 1.432.660.467 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi.
  • Per condurre gli attacchi via web i malintenzionati si sono avvalsi di ben 9.766.119 diversi host unici.
  • Il 44% degli attacchi Internet bloccati e neutralizzati grazie all’intervento dei prodotti anti-malware di Kaspersky Lab è stato condotto attraverso siti web nocivi dislocati sul territorio di Stati Uniti e Germania.
  • Nel corso del periodo oggetto del presente report una consistente porzione di utenti della Rete (38,3%), anche per una sola volta, è risultata sottoposta ad attacchi informatici provenienti dal web.
  • Lungo tutto l’arco dell’anno qui analizzato sono stati respinti tentativi di esecuzione di malware bancario sui computer di 1.910.520 utenti.
  • Il nostro Anti-Virus Web ha effettuato il rilevamento di 123.054.503 oggetti nocivi unici (script, exploit, file eseguibili, etc.).
  • Il nostro modulo Anti-Virus File ha rilevato con successo, sui computer degli utenti, 1.849.949 programmi maligni o potenzialmente indesiderabili.

Le minacce IT per dispositivi mobile

Lungo tutto l’arco del periodo oggetto della nostra analisi sono stati individuati:

  • 4.643.582 pacchetti di installazione maligni
  • 295.539 nuove varianti di malware mobile
  • 12.100 Trojan bancari per piattaforme mobile

Complessivamente, nel periodo intercorrente tra l’inizio di novembre 2013 e la fine del mese di ottobre 2014, Kaspersky Lab ha neutralizzato e respinto ben 1.363.549 attacchi unici. Nell’analogo periodo 2012-2013 erano stati respinti, in totale, 335.000 attacchi unici. Ciò significa che, nel breve volgere di un anno, il numero totale delle minacce informatiche espressamente destinate ai dispositivi mobile dotati di sistema operativo Android è aumentato addirittura di 4 volte.

Nel corso dell’anno qui esaminato, di fatto, si è imbattuto in pericolose minacce IT mobile, perlomeno una volta, il 19% degli utenti Android, in pratica uno su cinque.

Nel 53% degli attacchi informatici condotti nei confronti dei dispositivi mobile sono stati dispiegati, da parte dei cybercriminali, i famigerati Trojan mobile, software nocivi appositamente sviluppati dai virus writer per realizzare il furto delle risorse finanziarie degli utenti (si tratta, nella fattispecie, di Trojan-SMS e Trojan bancari).

Geografia delle minacce mobile

Si sono registrati attacchi informatici da parte di programmi malware destinati ai dispositivi mobili in oltre 200 diversi paesi del pianeta.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Percentuali calcolate sul numero complessivo di utenti unici sottoposti ad attacco

TOP-10 relativa ai paesi in cui si è registrato il numero più elevato di utenti sottoposti ad attacco informatico da parte del malware mobile

Paese % di utenti
sottoposti ad attacco
1 Russia 45,7%
2 India 6,8%
3 Kazakhstan 4,1%
4 Germania 4,0%
5 Ukraina 3,0%
6 Vietnam 2,7%
7 Iran 2,3%
8 Gran Bretagna 2,2%
9 Malaysia 1,8%
10 Brasile 1,6%

* Quote percentuali relative al numero di utenti attaccati nel paese da parte di malware mobili, in relazione al numero complessivo di utenti sottoposti ad attacco

Come evidenzia la tabella qui sopra inserita, leader incontrastato del rating, peraltro con un elevato margine percentuale rispetto agli altri paesi presenti in graduatoria, rimane la Federazione Russa, con una quota pari ad oltre il 45% di utenti sottoposti ad attacco da parte di programmi dannosi appositamente sviluppati per colpire i dispositivi mobile.

Il numero degli attacchi informatici rilevati dalle nostre soluzioni di sicurezza IT dipende molto, naturalmente, dal numero complessivo degli utenti mobile presenti in un determinato paese. Come è noto, gli utenti installano, in genere, un cospicuo numero di applicazioni sui propri dispositivi mobile. Al fine di valutare il livello di pericolosità riguardo all’effettivo rischio, per gli utenti, di vedere i propri dispositivi infettati da pericolosi malware, abbiamo osservato, nei vari paesi, la quota percentuale relativa alle applicazioni dannose che gli utenti hanno cercato via via di installare, in relazione al volume totale delle applicazioni per dispositivi mobili di fatto installate, da questi ultimi, lungo tutto l’arco del periodo oggetto del presente report. È di particolare interesse osservare come la quota percentuale relativa alle applicazioni nocive, rispetto al volume totale delle applicazioni installate dagli utenti mobile, presenti significative variazioni da paese a paese. La graduatoria qui sotto riportata risulta sensibilmente diversa rispetto alla TOP-10 relativa ai paesi in cui si è registrato il numero più elevato di utenti complessivamente sottoposti ad attacco da parte di malware mobile.

TOP-10 relativa ai paesi maggiormente sottoposti al rischio di infezioni informatiche generate da applicazioni mobile nocive

Paese* % di applicazioni malevole
1 Vietnam 2,34%
2 Polonia 1,88%
3 Grecia 1,70%
4 Kazakhstan 1,62%
5 Uzbekistan 1,29%
6 Serbia 1,23%
7 Armenia 1,21%
8 Repubblica Ceca 1,02%
9 Marocco 0,97%
10 Malaysia 0,93%

*Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui il numero dei download di applicazioni per dispositivi mobile è risultato inferiore alle 100.000 unità

Come evidenzia la tabella qui sopra inserita, la leadership del rating in questione è andata ad appannaggio del Vietnam: nel popoloso paese del Sud-Est asiatico, le app mobile nocive hanno rappresentato il 2,34% del volume totale delle applicazioni che gli utenti hanno cercato di installare sui propri dispositivi.

Per contro, è piuttosto sorprendente riscontrare come la Russia, collocatasi con ampio margine al primo posto della speciale classifica relativa al numero complessivo di attacchi informatici subiti dagli utenti mobile, non presenti affatto il rischio più elevato, per questi ultimi, di vedere i propri dispositivi infettati da temibili malware; la Federazione Russa è in effetti andata ad occupare “soltanto” il 22° posto del ranking qui esaminato, avendo fatto complessivamente registrare un indice pari allo 0,69% di applicazioni nocive.

Segnaliamo, inoltre, come in Spagna la quota percentuale inerente alle applicazioni mobile nocive sia risultata pari allo 0,54%; tale significativo indice ha presentato un valore ancor più contenuto in altri paesi dell’Europa Occidentale: 0,18% in Germania, 0,16% in Gran Bretagna, 0,09% in Italia. Da parte loro, gli Stati Uniti hanno fatto registrare una quota persino inferiore, pari allo 0,07%. La situazione migliore in assoluto si incontra tuttavia in Giappone; nel Paese del Sol Levante l’indice relativo alle app dannose è risultato decisamente minimo, complessivamente pari allo 0,01% del volume totale di applicazioni mobile oggetto di tentativi di installazione da parte degli utenti.

TOP-20 delle minacce IT destinate alle piattaforme mobile – Situazione relativa al 2014

Denominazione % di attacchi
1 Trojan-SMS.AndroidOS.Stealer.a 18,0%
2 RiskTool.AndroidOS.MimobSMS.a 7,1%
3 DangerousObject.Multi.Generic 6,9%
4 RiskTool.AndroidOS.SMSreg.gc 6,7%
5 Trojan-SMS.AndroidOS.OpFake.bo 6,4%
6 AdWare.AndroidOS.Viser.a 5,9%
7 Trojan-SMS.AndroidOS.FakeInst.a 5,4%
8 Trojan-SMS.AndroidOS.OpFake.a 5,1%
9 Trojan-SMS.AndroidOS.FakeInst.fb 4,6%
10 Trojan-SMS.AndroidOS.Erop.a 4,0%
11 AdWare.AndroidOS.Ganlet.a 3,8%
12 Trojan-SMS.AndroidOS.Agent.u 3,4%
13 Trojan-SMS.AndroidOS.FakeInst.ff 3,0%
14 RiskTool.AndroidOS.Mobogen.a 3,0%
15 RiskTool.AndroidOS.CallPay.a 2,9%
16 Trojan-SMS.AndroidOS.Agent.ao 2,5%
17 Exploit.AndroidOS.Lotoor.be 2,5%
18 Trojan-SMS.AndroidOS.FakeInst.ei 2,4%
19 Backdoor.AndroidOS.Fobus.a 1,9%
20 Trojan-Banker.AndroidOS.Faketoken.a 1,7%

Osserviamo, in primo luogo, come nell’ambito della TOP-20 relativa alle minacce informatiche destinate ai dispositivi mobile, i Trojan-SMS risultino tuttora in maggioranza; in effetti, tale tipologia di software dannoso occupa ben dieci posizioni all’interno del rating qui sopra inserito, suddivise tra varie famiglie di malware mobile: Stealer, OpFake, FakeInst, Agent ed Erop.

Desideriamo sottolineare, a tal proposito, come lungo tutto l’arco dell’anno oggetto del nostro report il programma malware classificato dagli esperti di sicurezza IT con la denominazione di Trojan-SMS.AndroidOS.Stealer.a abbia sempre occupato le posizioni di vertice delle varie graduatorie stilate dagli esperti di Kaspersky Lab riguardo ai malware mobile maggiormente diffusi. Come evidenzia il rating qui sopra riportato, il Trojan-SMS in questione capeggia ugualmente, peraltro con un ampio margine percentuale, la TOP-20 che riassume i rilevamenti eseguiti dalle nostre soluzioni di sicurezza IT nel corso del periodo qui analizzato.

Trojan-SMS.AndroidOS.Stealer.a viene tuttora distribuito in maniera particolarmente attiva da parte dei cybercriminali specializzati nel diffondere minacce IT rivolte ai dispositivi mobile degli utenti. Il grafico presentato qui di seguito mette bene in evidenza come, a partire dal mese di maggio 2014, il numero degli attacchi informatici eseguiti mediante l’utilizzo del malware denominato Stealer sia del tutto comparabile, per entità, al numero complessivo di attacchi realizzati attraverso il dispiegamento degli altri Trojan-SMS maggiormente diffusi nel già vasto panorama del malware appositamente sviluppato per colpire le piattaforme mobile.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Numero di utenti mobile sottoposti ad attacco informatico da parte del malware denominato Trojan-SMS.AndroidOS.Stealer.a e dei rimanenti Trojan-SMS (Periodo: novembre 2013 – ottobre 2014).

Diminuzione del volume complessivo degli attacchi effettuati attraverso i Trojan-SMS

Così come in precedenza, risulta dominante, all’interno dei flussi globali di malware mobile, la presenza dei famigerati Trojan-SMS; la quota percentuale ad essi ascrivibile, nell’ambito della nostra “collezione”, si è attestata su un valore pari al 23,9%.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Ripartizione dei malware mobile in base alle diverse funzionalità nocive da essi possedute
(file presenti nella raccolta di Kaspersky Lab)

Tuttavia, come illustra in dettaglio il precedente diagramma relativo alle dinamiche degli attacchi informatici imputabili alle suddette minacce IT, riservate ai dispositivi mobili, nel secondo semestre del 2014 il numero totale degli attacchi condotti mediante l’utilizzo dei Trojan-SMS è risultato considerevolmente diminuito. Nel corso dell’anno qui preso in esame, in effetti, la quota percentuale ad essi ascrivibile ha manifestato una sensibile flessione, quantificabile in 12,3% punti percentuali.

Ma andiamo ad esaminare più in dettaglio le dinamiche relative alla diffusione, sulla complessa e opaca scena del malware mobile, dei Trojan-SMS (ad eccezione di Stealer.a) che sembrano attualmente godere di maggior popolarità presso le già folte schiere dei cybercriminali specializzati nella distribuzione di minacce IT mobile.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Numero di utenti mobile sottoposti ad attacco da parte dei Trojan-SMS più diffusi (ad eccezione di Stealer.a) – Periodo: novembre 2013 – ottobre 2014

La repentina diminuzione del numero dei rilevamenti eseguiti nello scorso mese di maggio riguardo ai Trojan-SMS è indubbiamente da collegare ai significativi cambiamenti intervenuti, in Russia, nel campo dei messaggi telefonici a pagamento. Ricordiamo a tal proposito come, tradizionalmente, entro i confini della Federazione Russa gli attacchi informatici eseguiti attraverso il dispiegamento dei famigerati Trojan-SMS risultino particolarmente diffusi. Il fatto è che, a partire dal mese di maggio 2014, gli operatori di telefonia mobile russi sono stati obbligati ad introdurre, nel quadro dei servizi da essi erogati, uno specifico meccanismo di Advise of Charge (AoC): adesso, quindi, nel momento in cui da un dispositivo mobile viene inviato un messaggio verso un numero a pagamento, l’operatore è obbligato a notificare al proprietario di tale dispositivo il costo del servizio reso; l’utente, a sua volta, dovrà poi provvedere a confermare l’effettuazione del relativo pagamento.

La naturale conseguenza di tutto ciò è che l’ingente business legato all’utilizzo dei Trojan-SMS da parte dei malintenzionati è divenuto di sicuro meno redditizio per questi ultimi, nonché meno attuabile, dal punto di vista tecnico, per le folte schiere dei cybercriminali mobile. Adesso, in sostanza, per cercare di ottenere dei profitti illeciti mediante l’utilizzo dei Trojan-SMS, i criminali devono necessariamente avvalersi di programmi Trojan sì in grado di inviare messaggi SMS verso costosi numeri a pagamento, ma ugualmente in grado di intercettare la richiesta di conferma proveniente dall’operatore di telefonia mobile. Per completare il quadro, poi, gli attuali Trojan-SMS devono per forza essere in grado di trasmettere al suddetto operatore una falsa notifica di conferma, a nome (apparentemente) dell’utente raggirato.

Tali specifiche circostanze hanno determinato il fatto che alcuni programmi di partenariato (o programmi di affiliazione che dir si voglia), operanti sul labile confine che può talvolta distinguere certe pratiche illegali da certe operazioni che rientrano nell’ambito del legittimo, si siano in sostanza rifiutati di continuare a condurre il business in questione. Si è trattato, in tal caso, di alcuni programmi di partnership che, in precedenza, erano risultati preposti alla distribuzione di applicazioni dannose provviste delle classiche funzionalità nocive che contraddistinguono i Trojan-SMS. All’interno di tali applicazioni, di fatto, non venivano adeguatamente e chiaramente precisate le condizioni previste per la fornitura del servizio a pagamento, oppure non venivano semplicemente indicate le tariffe stabilite – all’insaputa dell’utente – per la relativa sottoscrizione del servizio in forma di abbonamento.

È lecito presupporre, a questo punto, che i creatori e gli sviluppatori di Trojan-SMS situati entro i confini della Federazione Russa siano in qualche modo costretti a trovare nuovi metodi e fonti di guadagno. Una parte di essi potrebbe quindi passare alla conduzione di attacchi nei confronti di utenti mobile ubicati in altri paesi; altri ancora potrebbero invece dedicarsi, nell’immediato futuro, alla scrittura di programmi malware più avanzati e complessi rispetto ai Trojan-SMS, quali i famigerati Trojan-Banker. Ci auguriamo tuttavia che vi sia ugualmente un significativo numero di autori di malware che non intenda più attraversare il rischioso confine dell’illegalità e si impegni, invece, nella conduzione di attività del tutto legittime.

I profondi cambiamenti che, soprattutto in quest’ultimo semestre, hanno contrassegnato le dinamiche di diffusione dei Trojan-SMS più frequentemente distribuiti dai malintenzionati specializzati nel colpire i dispositivi mobile, appaiono in tutta evidenza esaminando più da vicino i casi relativi, ad esempio, ai malware denominati OpFake.bo, FakeInst.a e OpFake.a. Gli indici ad essi attribuibili sono in effetti diminuiti in maniera drastica, passando dalla consistente cifra di 10.000 – 20.000 utenti mobile da essi sottoposti mensilmente ad attacco, ad una quantità di vittime di sicuro meno preoccupante, pari a 1.000 – 2.000 unità.

I Trojan bancari mobile

Nel periodo oggetto della nostra consueta analisi annuale relativa all’evoluzione del malware, sono stati da noi individuati ben 12.100 Trojan bancari mobile, ovvero un numero 9 volte superiore rispetto all’anno precedente.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Numero di sample di Trojan bancari mobile presenti nella raccolta di Kaspersky Lab
(Situazione relativa al periodo novembre 2013 – ottobre 2014)

Nel mondo, lungo tutto l’arco dell’anno oggetto del presente report, sono stati complessivamente attaccati – perlomeno una volta – da parte dei Trojan banker appositamente sviluppati per colpire le piattaforme mobile, ben 45.032 utenti.

Sta crescendo, nel frattempo, il numero dei paesi in cui si registrano attacchi informatici a danno degli utenti mobile mediante l’utilizzo di questi temibilissimi programmi malware: i famigerati Trojan bancari specificamente creati dai virus writer per attaccare i dispositivi mobili hanno difatti cercato di colpire potenziali utenti-vittima ubicati in 90 diversi paesi del globo.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti dai Trojan bancari destinati ai dispositivi mobili (numero di utenti sottoposti ad attacco nel periodo novembre 2013 – ottobre 2014)

TOP-10 relativa ai paesi maggiormente sottoposti ad attacchi da parte di Trojan-Banker:

Paese Numero di utenti sottoposti ad attacco % sul numero complessivo di attacchi*
1 Russia 39.561 87,85%
2 Kazakhstan 1.195 2,65%
3 Ukraina 902 2,00%
4 USA 831 1,85%
5 Bielorussia 567 1,26%
6 Germania 203 0,45%
7 Lituania 201 0,45%
8 Azerbaijan 194 0,43%
9 Bulgaria 178 0,40%
10 Uzbekistan 125 0,28%

* Quote percentuali relative al numero di utenti attaccati nel paese, in relazione al numero complessivo di utenti sottoposti ad attacco

Come da tradizione ormai ampiamente consolidata, la leadership del ranking in questione continua ad essere detenuta dalla Federazione Russa.

Le minacce IT destinate alla piattaforma Mac OS X

Nel 2014 i prodotti Kaspersky Lab appositamente sviluppati per la protezione dei computer provvisti di sistema operativo Mac OS X hanno bloccato 3.693.936 tentativi di infezione informatica.

Gli esperti di Kaspersky Lab hanno complessivamente individuato 1.499 nuovi programmi malware “dedicati” alla piattaforma Mac OS X, ovverosia 200 software nocivi in meno rispetto all’anno precedente.

In pratica, è risultato sottoposto ad attacco informatico un utente Apple su due.

Nell’arco dell’anno esaminato nel presente report, ogni utente Mac si è imbattuto, in media, 9 volte in minacce IT destinate al sistema operativo Mac OS X.

TOP-20 delle minacce IT rivolte al sistema operativo Mac OS X

Denominazione % di attacchi*
AdWare.OSX.Geonei.b 9,04%
Trojan.Script.Generic 5,85%
Trojan.OSX.Vsrch.a 4,42%
Trojan.Script.Iframer 3,77%
AdWare.OSX.Geonei.d 3,43%
DangerousObject.Multi.Generic 2,40%
AdWare.OSX.Vsrch.a 2,18%
Trojan.Win32.Generic 2,09%
AdWare.OSX.FkCodec.b 1,35%
Trojan.OSX.Yontoo.i 1,29%
Trojan-PSW.Win32.LdPinch.ex 0,84%
AdWare.Win32.Yotoon.heur 0,82%
Trojan.OSX.Yontoo.j 0,80%
Exploit.Script.Generic 0,76%
AdWare.OSX.Bnodlero.a 0,58%
AdWare.JS.Agent.an 0,57%
Trojan.OSX.Yontoo.h 0,52%
Exploit.PDF.Generic 0,51%
AdWare.Win32.MegaSearch.am 0,5%
Trojan.Win32.AutoRun.gen 0,43%

* Quote percentuali relative al numero di utenti attaccati da tali malware, sul numero complessivo di utenti unici sottoposti ad attacco

Desideriamo innanzitutto sottolineare come, all’interno della graduatoria da noi stilata, ben otto posizioni su venti – incluso il primo posto del rating – risultino occupate da AdWare, i fastidiosi programmi “pubblicitari”. Abitualmente, tale genere di software giunge sui computer degli utenti assieme a programmi del tutto legittimi, scaricati, tuttavia, non attraverso il sito ufficiale del produttore, bensì tramite un generico storage. Così, oltre al programma desiderato, sul computer dell’ignaro utente viene ugualmente installato un insidioso modulo AdWare, il quale può provvedere all’aggiunta di determinati link pubblicitari tra i segnalibri del browser web, oppure sostituire il motore di ricerca installato per impostazione predefinita, oppure, ancora, far comparire fastidiose pubblicità contestuali, e via dicendo.

È piuttosto curioso osservare come all’ottavo posto della TOP-20 qui sopra inserita sia andato a collocarsi il malware classificato dagli esperti di sicurezza informatica con la denominazione di Trojan.Win32.Generic, un software nocivo appositamente creato per compiere attività dannose nell’ambito degli OS della famiglia Windows. Ciò è dovuto, con ogni probabilità, alla possibile penetrazione di tale programma Trojan all’interno delle virtual machine, ambienti virtuali nei quali, verosimilmente, risultava installato il sistema operativo Windows.

Nel corso dell’anno 2014, gli esperti di sicurezza IT hanno inoltre individuato alcuni interessanti e singolari programmi malware rivolti alla piattaforma Mac OS X; tali software nocivi, dotati di specifiche peculiarità, “meritano” una rassegna a parte.

Backdoor.OSX.Callme – Tale programma backdoor è in grado di fornire, al malintenzionato di turno, l’accesso remoto al sistema informatico preso di mira e realizza, al tempo stesso, il furto dell’elenco dei contatti, al fine di ricercare, con ogni probabilità, nuovi utenti-vittima. Il malware in causa viene distribuito direttamente nel corpo di un documento MS Word appositamente allestito, il quale, una volta lanciato, provvede ad installare all’interno del sistema il suddetto programma backdoor, mediante lo sfruttamento di una determinata vulnerabilità.

Backdoor.OSX.Laoshu – Si tratta di un software dannoso che, ogni minuto, effettua uno screenshot dello schermo. Tale backdoor si è rivelato essere firmato dal proprio sviluppatore mediante apposito certificato digitale attendibile; è pertanto del tutto lecito presupporre che il creatore (o i creatori) del software in questione si siano “debitamente” preparati ad inserire il suddetto malware all’interno dell’App Store, il noto negozio di applicazioni gestito dalla casa di Cupertino.

Backdoor.OSX.Ventir – È, in sostanza, un Trojan-Spy multi-modulare, la cui principale funzione è rappresentata dall’opportunità, per il cybercriminale, di poter controllare e gestire da remoto il computer sottoposto ad attacco, a totale insaputa dell’utente-vittima. Esso contiene, al suo interno, un driver logkext appositamente creato per intercettare le sequenze dei tasti premuti dall’utente; il codice sorgente di tale driver è open source e risulta, quindi, pubblicamente accessibile.

Trojan.OSX.IOSinfector – Si tratta di un installer per la versione mobile Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis).

Trojan-Ransom.OSX.FileCoder – Il primo codificatore di file in grado di operare sulla piattaforma OS X. Si tratta, verosimilmente, di un prototipo provvisto di funzionalità operative; il relativo autore, per ragioni a noi sconosciute, ha deciso di abbandonare lo sviluppo di tale programma malware.

Trojan-Spy.OSX.CoinStealer – Si tratta del primo software nocivo, destinato al sistema operativo Mac OS X, appositamente progettato per compiere il furto dei Bitcoin, la nota criptovaluta. Il temibile malware in questione si presenta, all’utente-vittima, camuffato sotto forma di varie utility open source per Bitcoin. In realtà, Trojan-Spy.OSX.CoinStealer provvede ad installare un’estensione dannosa per il browser e/o una versione “patchata” di bitcoin-qt (un’utility open source impiegata per realizzare il mining dei Bitcoin).

Trojan-Downloader.OSX.WireLurker – È un programma malware alquanto insolito, preposto al furto dei dati appartenenti alla potenziale vittima. Esso non attacca soltanto i computer Mac, ma anche i dispositivi provvisti di sistema operativo iOS a questi ultimi collegati; segnaliamo, nella circostanza, l’esistenza di una variante Windows del malware in causa. WireLurker è risultato essere distribuito attraverso un noto negozio cinese di applicazioni per OS X e iOS.

Geografia delle minacce IT destinate alla piattaforma Mac OS X

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Quadro mondiale relativo alla ripartizione geografica degli attacchi informatici condotti, nel corso dell’anno 2014, nei confronti degli utenti del sistema operativo Mac OS X (sulla base del numero di utenti sottoposti ad attacco)

TOP-10 relativa ai paesi maggiormente sottoposti ad attacchi da parte di malware per Mac

Paese Numero di utenti sottoposti ad attacco % di attacchi*
1 USA 98077 39,14%
2 Germania 31466 12,56%
3 Giappone 13808 5,51%
4 Gran Bretagna 13763 5,49%
5 Federazione Russa 12207 4,87%
6 Francia 9239 3,69%
7 Svizzera 6548 2,61%
8 Canada 5841 2,33%
9 Brasile 5558 2,22%
10 Italia 5334 2,13%

* Quote percentuali relative al numero di utenti complessivamente attaccati nel paese, in relazione al numero complessivo di utenti unici sottoposti ad attacco da parte di programmi malware per OS X

La prima posizione della classifica elaborata dagli esperti di Kaspersky Lab è andata ad appannaggio degli Stati Uniti, che hanno fatto registrare un indice pari a 39,14 punti percentuali. L’elevato numero di attacchi portati nei confronti degli abitanti del paese nordamericano trova una logica spiegazione nella larga diffusione, all’interno del territorio statunitense, dei computer targati Apple. Il secondo gradino del podio virtuale vede la presenza della Germania (12,56%), mentre il Giappone (5,51%) si è situato in terza posizione.

Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati

La graduatoria delle applicazioni vulnerabili, qui di seguito riportata, è stata elaborata sulla base dei dati statistici da noi raccolti in merito alle operazioni di rilevamento e neutralizzazione degli exploit da parte dei prodotti Kaspersky Lab; il grafico tiene in debita considerazione sia gli exploit utilizzati dai malintenzionati per la conduzione degli attacchi informatici via Web, sia gli exploit impiegati dai malfattori per compromettere le applicazioni custodite localmente sui computer o sui dispositivi mobile degli utenti.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Ripartizione degli exploit – utilizzati dai cybercriminali per la conduzione di attacchi informatici – in base alle varie tipologie di applicazioni sottoposte ad attacco – Situazione relativa all’anno 2014

È stato in primo luogo osservato come, nel periodo oggetto del presente report statistico, la maggior parte dei tentativi di sfruttamento di vulnerabilità da noi rilevati sia stata di fatto indirizzata a vulnerabilità, o falle di sicurezza che dir si voglia, individuate all’interno di Oracle Java. Rispetto all’analoga graduatoria dello scorso anno, tuttavia, la quota relativa alla suddetta piattaforma è risultata in pratica dimezzata, visto che, in soli dodici mesi, tale significativo indice è sceso dal 90,5% al 45%, come evidenzia il grafico qui sopra inserito. Il sensibile calo del livello di popolarità e diffusione, nell’ambito delle pratiche cybercriminali, delle vulnerabilità rilevate in seno alla piattaforma Java, si è manifestato in maniera progressiva lungo tutto l’arco del 2014; con ogni probabilità, tale specifica circostanza è da collegare all’avvenuta “chiusura” delle vulnerabilità Java più datate, così come all’assenza di notizie in merito all’individuazione di nuove falle di sicurezza all’interno di Oracle Java.

La seconda posizione del rating esaminato nel presente capitolo del nostro consueto report annuale dedicato alle statistiche del malware, è andata ad appannaggio della categoria “browser” (42%), ovvero dei programmi comunemente utilizzati per la navigazione in Internet; tale categoria comprende gli exploit appositamente creati dai virus writer per attaccare i browser più diffusi presso il pubblico della Rete, quali Internet Explorer, Google Chrome, Mozilla Firefox ed altri ancora. Desideriamo a tal proposito porre in evidenza come, per tutto il 2014, il gruppo di applicazioni in questione abbia detenuto la posizione di leadership assoluta nell’ambito degli analoghi rating da noi stilati con cadenza trimestrale, come peraltro testimoniano gli elevati indici percentuali rilevati per la categoria browser nel corso di questi ultimi tre trimestri. L’alto numero di exploit volti a sfruttare le vulnerabilità Java, rilevato nel periodo a cavallo tra la fine del 2013 e l’inizio del 2014, ha tuttavia fatto sì che i browser non siano andati ad occupare la prima posizione della graduatoria annuale relativa alle applicazioni vulnerabili maggiormente sfruttate dai malintenzionati.

Come evidenzia il grafico qui sopra riportato, il terzo posto del rating in questione risulta occupato dagli exploit specificamente elaborati dagli autori di malware per colpire le vulnerabilità individuate nell’applicazione Adobe Reader (5%). Tali vulnerabilità vengono utilizzate dai cybercriminali per la conduzione degli attacchi via Internet di tipo drive-by; gli exploit PDF, al pari di quelli destinati alla piattaforma Java e ai programmi di navigazione, fanno anch’essi parte della composizione di una moltitudine di kit di exploit.

E’ di particolare importanza sottolineare come, nel corso dell’anno oggetto della nostra analisi, sia stata osservata, da parte degli esperti di Kaspersky Lab, una significativa diminuzione del numero degli attacchi informatici condotti dai malfattori della Rete mediante l’utilizzo degli exploit pack. Ciò può essere dovuto a diversi fattori, ed in particolar modo agli arresti, eseguiti da parte delle forze dell’ordine, di alcuni degli sviluppatori di tali pericolosi oggetti nocivi. Inoltre, numerosi exploit pack hanno di fatto cessato di attaccare i computer protetti dai prodotti Kaspersky Lab. In sostanza, i kit di exploit eseguono uno specifico controllo sulla macchina sottoposta ad attacco; qualora, all’interno del potenziale computer-vittima, risulti installata una delle soluzioni di sicurezza IT sviluppate da Kaspersky Lab, gli exploit pack interrompono immediatamente il tentativo di assalto informatico. Nonostante quanto sopra descritto, ad ogni caso, lo sfruttamento delle vulnerabilità rilevate nelle applicazioni continua a rimanere uno dei principali metodi di cui al giorno d’oggi si avvalgono i cybercriminali per cercare di recapitare pericolosi software nocivi sui computer degli utenti.

Programmi malware in Internet (attacchi via Web)

I dati statistici esaminati in questo capitolo del nostro consueto report annuale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall’Anti-Virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti Windows nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web nocive/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

Nel 2014 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente neutralizzato e respinto ben 1.432.660.467 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi del globo. Ciò significa che – durante la quotidiana navigazione in Rete degli utenti del Kaspersky Security Network – i nostri prodotti per la sicurezza IT hanno esercitato un’efficace azione protettiva, in media, 3.925.097 volte al giorno.

I kit di exploit hanno ancora una volta rappresentato l’arma principale utilizzata dai cybercriminali per condurre gli attacchi informatici via browser. L’impiego degli exploit garantisce difatti ai malintenzionati ottime opportunità di poter infettare i computer degli utenti – a totale insaputa di questi ultimi – qualora nelle macchine sottoposte a contagio informatico non risulti installata un’adeguata protezione anti-malware, oppure sia presente anche una sola applicazione vulnerabile (tra quelle che godono di maggior popolarità presso il pubblico degli utenti), per la quale non siano stati ancora effettuati gli indispensabili aggiornamenti di sicurezza.

Le minacce online rivolte al settore bancario

Complessivamente, nel periodo oggetto del nostro report, le soluzioni di sicurezza di Kaspersky Lab hanno neutralizzato e respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria – e carpire quindi le risorse finanziarie degli utenti-vittima mediante l’accesso non autorizzato agli account bancari posseduti da questi ultimi – sui computer di ben 1.910.520 utenti della rete globale di sicurezza Kaspersky Security Network.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Numero di computer sottoposti ad attacco da parte di programmi malware destinati a colpire la sfera bancaria degli utenti – Situazione relativa al periodo novembre 2013 – ottobre 2014

Riteniamo di particolare interesse evidenziare come il numero degli attacchi informatici effettuati dai malware bancari sia aumentato in maniera considerevole proprio nei mesi di maggio e giugno 2014. Tale particolare circostanza è da ricondurre sia all’inizio della stagione delle ferie e delle vacanze estive, periodo dell’anno in cui tradizionalmente si assiste ad una sensibile crescita del volume delle attività finanziarie condotte dagli utenti dei sistemi di banking online – sia allo svolgimento del principale evento sportivo dell’anno, ovvero il Campionato del Mondo di calcio Brasile 2014, nel corso del quale i cybercriminali hanno dispiegato pericolosi malware finanziari, preposti al furto dei dati sensibili utilizzati dagli innumerevoli turisti per l’effettuazione dei pagamenti online.

Complessivamente, nel corso del periodo annuale qui preso in esame, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab ed implementate nei computer degli utenti iscritti al programma di protezione globale KSN, hanno fatto registrare 16.552.498 notifiche relative a tentativi di infezione condotti da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l’accesso online (illecito!) ai relativi conti bancari presi di mira.

Geografia degli attacchi

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Quadro mondiale relativo agli attacchi informatici condotti dai cybercriminali – durante l’anno 2014 – mediante l’utilizzo di malware bancario (in base al numero di utenti attaccati nei vari paesi del pianeta)

TOP-10 relativa ai paesi in cui si è registrato il numero più elevato di utenti sottoposti ad attacco informatico da parte di malware bancari

Paesi Numero di utenti
sottoposti ad attacco
1 Brasile 299.830
2 Federazione Russa 251.917
3 Germania 155.773
4 India 98.344
5 USA 92.224
6 Italia 88.756
7 Gran Bretagna 54.618
8 Vietnam 50.040
9 Austria 44.445
10 Algeria 33.640

TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse

La TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del 2014, nell’ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking – redatta sulla base del numero totale di utenti sottoposti ad attacco – si presenta nella maniera seguente:

Denominazione Numero di utenti
sottoposti ad attacco
1 Trojan-Spy.Win32.Zbot 742.794
2 Trojan-Banker.Win32.ChePro 192.229
3 Trojan-Banker.Win32.Lohmys 121.439
4 Trojan-Banker.Win32.Shiotob 95.236
5 Trojan-Banker.Win32.Agent 83.243
6 Trojan-Banker.AndroidOS.Faketoken 50.334
7 Trojan-Banker.Win32.Banker 41.665
8 Trojan-Banker.Win32.Banbra 40.836
9 Trojan-Spy.Win32.SpyEyes 36.065
10 Trojan-Banker.HTML.Agent 19.770

Così come in precedenza, il Trojan bancario maggiormente diffuso sulla scena del malware globale risulta essere il famigerato software maligno denominato ZeuS (Trojan-Spy.Win32.Zbot). Lungo tutto l’arco dell’anno oggetto del presente report, tale programma nocivo è risultato costantemente al primo posto delle classifiche da noi presentate nell’ambito dei consueti resoconti trimestrali sull’evoluzione delle minacce informatiche; non costituisce pertanto motivo di particolare sorpresa il fatto che, su base annuale, il suddetto malware occupi ugualmente il gradino più alto della TOP-10. La seconda posizione della graduatoria da noi stilata è andata ad appannaggio del software dannoso classificato dagli esperti di sicurezza IT con la denominazione di Trojan-Banker.Win32.ChePro, mentre la terza posizione risulta occupata dall’oggetto dannoso rilevato dalle nostre soluzioni anti-malware come Trojan-Banker.Win32.Lohmys. Le due famiglie in questione risultano provviste di identiche funzionalità nocive e, tra l’altro, sono solite diffondersi, entrambe, tramite appositi messaggi e-mail di spam maligno, il cui oggetto si “ispira”, abitualmente, a temi ed argomentazioni inerenti al banking online (ad esempio “Account di Internet banking”). Le suddette e-mail dannose recano, al loro interno, un documento Word contenente una determinata illustrazione; cliccando su quest’ultima, l’ignaro destinatario del messaggio provoca, inconsapevolmente, l’esecuzione del pericoloso codice nocivo scritto “consegnato” dai cybercriminali.

Continuando la nostra breve analisi riassuntiva, rileviamo come la quarta posizione del rating sia andata ad appannaggio del software nocivo classificato come Trojan-Banker.Win32.Shiotob. Si tratta, più precisamente, di un Trojan bancario in grado di monitorare il traffico, con il preciso scopo di intercettare i dati sensibili utilizzati per effettuare le operazioni di pagamento online; così come molti altri programmi dannosi, anche tale malware viene principalmente distribuito dai malintenzionati attraverso messaggi e-mail di spam maligno.

È di particolare rilevanza sottolineare come la stragrande maggioranza delle famiglie di malware presenti nella composizione della TOP-10 da noi elaborata, riportata nella tabella qui sopra inserita, si avvalga di apposite tecniche di “web injection”, utilizzate per iniettare codice HTML arbitrario all’interno della pagina web visualizzata dall’utente tramite il proprio browser; al tempo stesso, i suddetti malware fanno largo uso di sofisticati processi di intercettazione dei dati sensibili relativi alle transazioni finanziarie eseguite in Rete dagli utenti, dati inseriti da questi ultimi nei form appositamente contraffatti, i quali vanno poi a rimpiazzare i moduli originali.

Sebbene nel corso del 2014 quasi tre quarti degli attacchi informatici – sferrati dai cybercriminali con il preciso intento di impadronirsi delle risorse finanziarie degli utenti – siano stati condotti mediante il dispiegamento di appositi malware bancari, occorre rimarcare come le minacce informatiche legate alla sfera finanziaria degli utenti non si limitino al solo malware bancario, specificamente creato e sviluppato dai virus writer per attaccare i clienti dei sistemi di banking online.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Ripartizione degli attacchi informatici volti a carpire illecitamente il denaro degli utenti – Suddivisione realizzata sulla base delle varie tipologie di malware utilizzate dai cybercriminali (situazione relativa all’anno 2014)

La seconda tipologia di minaccia IT per grado di popolarità e diffusione – tra i vari metodi alternativi praticati dai malfattori per realizzare il furto del denaro elettronico – è rappresentata dagli stealer adibiti al furto dei portafogli virtuali Bitcoin, gli ambiti wallet digitali contenenti criptovaluta; nel 2014, la quota ascrivibile a tale metodo illecito di ricavare profitti in Rete si è attestata su un valore pari al 14%. Come evidenzia il grafico qui sopra riportato, al terzo posto della graduatoria troviamo poi un’ulteriore minaccia IT strettamente legata alla celebre criptomoneta; il preciso scopo di tale tipologia di malware consiste nell’infettare il potenziale computer-vittima, per generare illecitamente, in seguito, gli ambiti Bitcoin. I malintenzionati, quindi, non disdegnano persino di utilizzare le risorse e la potenza di calcolo di cui è provvisto il computer della vittima designata; nella fattispecie, l’utilizzo dei Bitcoin miner nocivi (le famigerate applicazioni adibite al mining dei Bitcoin a totale insaputa dell’utente sottoposto ad attacco) ha rappresentato il 10% del volume complessivo degli attacchi di natura finanziaria condotti dai criminali informatici nel 2014.

Le minacce IT in Internet: TOP-20

Come abbiamo visto nella sezione introduttiva del presente report, nel corso del periodo annuale qui esaminato il nostro Anti-Virus Web ha complessivamente effettuato il rilevamento di ben 123.054.503 oggetti nocivi unici (script, exploit, file eseguibili, etc.).

Abbiamo provveduto ad identificare le 20 minacce IT che, durante l’anno 2014, sono state più frequentemente incontrate dagli utenti durante la navigazione in Internet. Gli oggetti dannosi che compaiono nella TOP-20 qui sotto riportata hanno da soli generato il 95,8% del volume complessivo di attacchi informatici condotti dai cybercriminali attraverso i browser web.

Denominazione* % sul totale complessivo degli attacchi**
1 Malicious URL 73,70%
2 Trojan.Script.Generic 9,10%
3 AdWare.Script.Generic 4,75%
4 Trojan.Script.Iframer 2,12%
5 Trojan-Downloader.Script.Generic 2,10%
6 AdWare.Win32.BetterSurf.b 0,60%
7 AdWare.Win32.Agent.fflm 0,41%
8 AdWare.Win32.Agent.aiyc 0,38%
9 AdWare.Win32.Agent.allm 0,34%
10 Adware.Win32.Amonetize.heur 0,32%
11 Trojan.Win32.Generic 0,27%
12 AdWare.Win32.MegaSearch.am 0,26%
13 Trojan.Win32.AntiFW.b 0,24%
14 AdWare.JS.Agent.an 0,23%
15 AdWare.Win32.Agent.ahbx 0,19%
16 AdWare.Win32.Yotoon.heur 0,19%
17 AdWare.JS.Agent.ao 0,18%
18 Trojan-Downloader.Win32.Generic 0,16%
19 Trojan-Clicker.JS.Agent.im 0,14%
20 AdWare.Win32.OutBrowse.g 0,11%

* Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente Anti-Virus Web. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.

Così come in precedenza, la TOP-20 esaminata nel presente capitolo del report annovera la presenza di oggetti dannosi utilizzati dai cybercriminali per la conduzione di attacchi di tipo drive-by e, al tempo stesso, la presenza di un elevato numero di programmi AdWare, nonché di insidiosi link nocivi inseriti nell’apposita blacklist di Kaspersky Lab. Gli URL maligni occupano, tra l’altro, per l’ennesima volta, la prima posizione della graduatoria, con una quota pari al 73,7% del volume complessivo dei rilevamenti effettuati dal modulo Anti-Virus Web. Nel recente passato, tali oggetti nocivi venivano da noi identificati con la denominazione generica “Blocked”. Si tratta, in sostanza, di indirizzi Internet facenti parte della nostra blacklist, relativi ad un consistente numero di siti dannosi verso i quali vengono reindirizzati gli ignari utenti-vittima; in genere, tali pagine web contengono kit di exploit, bot, trojan estorsori, etc.

Nella maggior parte dei casi, gli utenti giungono sui siti web dannosi dopo aver visitato con il proprio browser risorse Internet del tutto legittime – ma violate dai cybercriminali – all’interno delle quali i malintenzionati hanno provveduto ad iniettare pericolosi codici maligni, spesso sotto forma di script nocivi (tale tipologia di attacco informatico viene definita dagli esperti di sicurezza IT con l’appellativo di “drive-by download”). Al tempo stesso, esiste in Rete un ragguardevole numero di siti web dannosi creati espressamente dai criminali per lanciare pericolosi attacchi nei confronti dei computer-vittima. E’ facile quindi comprendere come risulti di fondamentale importanza poter disporre, sul proprio computer, di un’efficace soluzione anti-malware. Oltre a ciò, le infezioni informatiche possono prodursi anche quando gli utenti cliccano in maniera volontaria su collegamenti ipertestuali potenzialmente pericolosi, ad esempio nel momento in cui essi procedono alla ricerca sul web dei più svariati contenuti pirata. Continuando ad analizzare il ranking in questione, rileviamo come sia sensibilmente aumentato, rispetto allo scorso anno, il numero dei cosiddetti software “pubblicitari”; i programmi AdWare occupano, difatti, ben 12 posizioni all’interno della TOP-20 da noi stilata, mentre nell’analoga graduatoria relativa all’anno precedente si incontavano “soltanto” 5 software riconducibili a tale specifica tipologia. Complessivamente, la quota ascrivibile all’insieme dei programmi pubblicitari facenti parte della TOP-20 qui esaminata è risultata pari all’ 8,2%, ovvero ben 7,01 punti percentuali in più rispetto all’anno 2013. Il consistente aumento del numero degli AdWare attualmente in circolazione, i metodi alquanto aggressivi utilizzati per la loro diffusione, così come la particolare capacità, da parte dei software pubblicitari, di contrastare in maniera piuttosto efficace il rilevamento da parte delle soluzioni antivirus, costituiscono indubbiamente la tendenza di maggior rilievo osservata, nel corso del 2014, nell’ambito degli oggetti dannosi rilevati sul World Wide Web.

Il programma nocivo rilevato dalle soluzioni di sicurezza IT di Kaspersky Lab come Trojan-Clicker.JS.Agent.im presenta anch’esso evidenti legami con le specifiche attività di natura “pubblicitaria” e, in genere, con le attività – di ogni sorta – di natura “potenzialmente indesiderata”. Sono stati quindi individuati particolari script redirect, subdolamente collocati all’interno di Amazon CloudFront, il noto servizio web specializzato in “content delivery”; tali script, di fatto, sono risultati in grado di reindirizzare gli utenti verso pagine web appositamente allestite, contenenti pubblicità di vario genere. I link preposti a condurre gli utenti verso gli script in questione vengono posizionati ad hoc sia dagli stessi programmi pubblicitari, sia da varie estensioni per il browser, in particolar modo sulle pagine adibite all’immissione delle query di ricerca da parte degli utenti. Gli script sopra menzionati, talvolta, possono ugualmente redirigere gli utenti verso pagine web pericolose in cui si raccomanda di procedere all’aggiornamento di Adobe Flash o di Java; si tratta, nella specifica circostanza, di un metodo particolarmente diffuso e popolare presso gli ambienti cybercriminali, attraverso il quale i malintenzionati cercano di distribuire temibili programmi malware.

Geografia delle fonti degli attacchi web: TOP-10

Tali dati statistici si riferiscono alla ripartizione per paesi delle fonti degli attacchi web portati nei confronti dei computer degli utenti della Rete, attacchi bloccati e neutralizzati con successo dal modulo Anti-Virus Web (si tratta, più precisamente, di pagine web preposte al redirect degli utenti verso famigerati exploit, di siti Internet imbottiti di exploit ed ulteriori programmi malware, di centri di comando e controllo di estese botnet, etc.). Sottolineiamo come ogni host unico preso in considerazione sia stato, di fatto, fonte di uno o più attacchi condotti attraverso Internet.

Per determinare l’origine geografica degli attacchi informatici effettuati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all’accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Per condurre 1.432.660.467 attacchi via Web – da noi registrati nel corso del periodo oggetto del presente report – i malintenzionati si sono avvalsi di ben 9.766.119 diversi host unici, ovvero 838.154 domini nocivi in meno (- 8%) rispetto al 2013.

L’ 87% del numero complessivo di notifiche ricevute riguardo agli attacchi web bloccati e neutralizzati dall’antivirus è risultato attribuibile ad attacchi provenienti da siti web localizzati in una ristretta cerchia di dieci paesi; tale significativo indice ha fatto registrare un incremento di 5 punti percentuali rispetto all’analoga quota rilevata riguardo all’anno precedente.

Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Ripartizione per paesi delle fonti degli attacchi web

La composizione della TOP-10 da noi elaborata, riguardante i paesi che attualmente detengono le posizioni di leadership nell’ambito dell’apposita graduatoria relativa alle principali fonti geografiche degli attacchi informatici condotti via Internet, non presenta variazioni rispetto all’analogo rating del 2013; sono mutate, ad ogni caso, le posizioni occupate dai vari paesi all’interno di tale importante classifica. La Russia, ad esempio, nel volgere di un anno è scesa dal secondo al quarto posto del ranking; la Germania, da parte sua, ha invece compiuto il cammino inverso, salendo dal quarto al secondo posto della graduatoria qui analizzata. L’Ucraina, poi, è passata dal sesto al quinto posto del rating, scalzando da tale posizione la Gran Bretagna, scesa, a sua volta, al sesto posto della TOP-10.

Il 44% degli attacchi web bloccati e neutralizzati grazie all’intervento dei prodotti anti-malware di Kaspersky Lab è stato condotto attraverso siti web dannosi dislocati sul territorio di Stati Uniti e Germania.

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web – rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del pianeta – abbiamo stimato la frequenza con la quale, nel corso dell’anno qui analizzato, gli utenti dei prodotti Kaspersky Lab, in tutto il mondo, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Evidenziamo come l’indice in questione non dipenda, ad ogni caso, dal numero di utenti del Kaspersky Security Network presenti in un determinato paese. Si tratta, in altre parole, di un indice decisamente attendibile riguardo al livello di “aggressività” degli ambienti geografici in cui si trovano ad operare i computer degli utenti.

I 20 paesi nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti tramite Internet:

Paese* % di utenti unici**
1 Russia 53,81%
2 Kazakhstan 53,04%
3 Azerbaijan 49,64%
4 Vietnam 49,13%
5 Armenia 48,66%
6 Ukraina 46,70%
7 Mongolia 45,18%
8 Bielorussia 43,81%
9 Moldavia 42,41%
10 Kirghizistan 40,06%
11 Germania 39,56%
12 Algeria 39,05%
13 Qatar 38,77%
14 Tagikistan 38,49%
15 Georgia 37,67%
16 Arabia Saudita 36,01%
17 Austria 35,58%
18 Lituania 35,44%
19 Sri Lanka 35,42%
20 Turchia 35,40%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
*Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
**Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Desideriamo innanzitutto porre in evidenza come la TOP-20 del 2014 relativa ai paesi i cui utenti sono risultati sottoposti con maggior frequenza agli attacchi via Internet presenti una nuova “leadership” rispetto all’analoga graduatoria del 2013: il rischio maggiore di contrarre infezioni informatiche attraverso Internet si è in effetti manifestato in Russia, paese in cui è risultato sottoposto ad attacchi web il 53,81% degli utenti.

L’Azerbaijan, leader della graduatoria relativa all’anno precedente, è sceso invece al terzo posto del rating (49,64%).

Rileviamo, inoltre, come non facciano più parte della composizione della speciale TOP-20 – riguardante i paesi i cui utenti, nel corso del 2014, hanno subito il maggior numero di attacchi via browser – India, Uzbekistan, Malaysia, Grecia e Italia. Segnaliamo infine, tra le “new entry”, Mongolia, Qatar, Arabia Saudita, Lituania e Turchia.

In base al livello di “contaminazione” informatica cui sono stati sottoposti i computer degli utenti durante la quotidiana navigazione in Internet nel corso dell’anno qui preso in esame, risulta possibile suddividere i vari paesi del globo in tre gruppi distinti.

  1. Gruppo ad alto rischio
    Tale gruppo, contraddistinto da quote che vanno oltre il 41%, annovera i primi 9 paesi presenti nella TOP-20 del 2014. È di particolare interesse rilevare come il numero dei paesi che compongono il gruppo ad alto rischio risulti sensibilmente diminuito rispetto allo scorso anno: ricordiamo, a tal proposito, come nel 2013 facessero parte di tale raggruppamento ben 15 nazioni.
  2. Gruppo a rischio
    Esso è relativo agli indici percentuali che spaziano nel range 21-40,9%. Complessivamente, sono entrati a far parte di questo secondo gruppo ben 111 paesi, tra cui: Kirghizistan (40,1%), Germania (39,6%), Qatar (38,8%), Tagikistan (38,5%), Georgia (37,7), Arabia Saudita (36%), Turchia (35,4%), Francia (34,9%), India (34,8%), Spagna (34,4%), Stati Uniti (33,8%), Canada (33,4%), Australia (32,5%), Brasile (32,1%), Polonia (31,7%), Italia (31,5%), Israele (30,2%), Cina (30,1%), Gran Bretagna (30%), Egitto (27,8%), Messico (27,5%), Filippine (27,2%), Croazia (26,2%), Pakistan (26,1%), Romania (25,7%), Giappone (21,2%), Argentina (21,1%).
  3. Gruppo dei paesi nei quali la navigazione in Internet risulta più sicura (0-20,9%). Per ciò che riguarda l’anno 2014, in tale gruppo figurano 39 paesi. Fanno parte di esso Svezia (19,5%), Danimarca (19,2%), Uruguay (19,5%), così come una serie di paesi africani.
  4. Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

Nel corso dell’anno 2014, durante la quotidiana navigazione in Rete, è risultato sottoposto agli attacchi web, perlomeno una volta, il 38,3% dei computer appartenenti agli utenti Internet.

In media, nell’arco di questi ultimi dodici mesi, il livello di pericolosità relativo alla navigazione in Internet è diminuito di 3,3 punti percentuali. Tale specifica circostanza può essere dovuta ad alcuni fattori:

  • in primo luogo, hanno iniziato ad apportare un efficace contributo all’impervia lotta condotta nei confronti dei siti web dannosi sia i browser che i motori di ricerca. In effetti, nel corso del periodo qui preso in esame, gli sviluppatori di tali risorse software si sono adeguatamente preoccupati dei problemi relativi alla sicurezza IT degli utenti.
  • In secondo luogo, numerosi kit di exploit hanno iniziato a verificare se il nostro prodotto risulta installato o meno sul computer dell’utente. Se il prodotto Kaspersky Lab è effettivamente presente, allora gli exploit non compiono il tentativo di attaccare il potenziale computer-vittima.
  • In terzo luogo, sempre più di frequente gli utenti accordano la loro preferenza alla navigazione in Internet mediante l’utilizzo di tablet e dispositivi mobile.

Risulta inoltre diminuito, anche se in maniera non troppo marcata, il numero complessivo degli attacchi web condotti attraverso il dispiegamento dei famigerati exploit pack; evidentemente, gli arresti, da parte delle forze dell’ordine, degli sviluppatori di tali temibili oggetti maligni producono i loro effetti. Non ci dobbiamo ad ogni caso attendere, per il momento, un cambiamento radicale della situazione relativa all’utilizzo degli exploit da parte dei malintenzionati della Rete; di fatto, così come in precedenza, tali insidiosi codici maligni continuano a rappresentare, tuttora, il metodo principale di cui si avvalgono i cybercriminali di ogni latitudine per recapitare pericolosi software nocivi sui computer degli utenti-vittima, anche nello specifico caso relativo alla conduzione di attacchi informatici di natura mirata. A livello di sicurezza IT, il rischio di contaminazione informatica attraverso Internet continua indubbiamente a rappresentare uno dei temi che riscuotono le maggiori attenzioni sia da parte degli esperti che degli utenti della Rete. Di fatto, nella stragrande maggioranza dei paesi del pianeta, Internet costituisce, al giorno d’oggi, la principale fonte di infezioni informatiche, generate da una miriade di oggetti nocivi dislocati subdolamente nel web dai malintenzionati.

Minacce informatiche locali

Si rivelano ugualmente di estrema importanza le statistiche relative alle infezioni locali che si sono manifestate sui computer degli utenti Windows nel corso del periodo annuale oggetto della nostra analisi. Tali dati riguardano quindi proprio quelle infezioni che non sono penetrate nei computer attraverso il Web, la posta elettronica o le porte di rete.

Il presente capitolo del nostro consueto report annuale dedicato al quadro statistico complessivo delle minacce informatiche, analizza i dati ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Oggetti maligni rilevati nei computer degli utenti: TOP-20

Nel corso del 2014, il nostro modulo Anti-Virus File ha rilevato con successo 1.849.949 oggetti maligni unici, o potenzialmente indesiderabili.

Denominazione % di utenti unici sottoposti ad attacco*
1 DangerousObject.Multi.Generic 26,04%
2 Trojan.Win32.Generic 25,32%
3 AdWare.Win32.Agent.ahbx 12,78%
4 Trojan.Win32.AutoRun.gen 8,24%
5 Adware.Win32.Amonetize.heur 7,25%
6 Virus.Win32.Sality.gen 6,69%
7 Worm.VBS.Dinihou.r 5,77%
8 AdWare.MSIL.Kranet.heur 5,46%
9 AdWare.Win32.Yotoon.heur 4,67%
10 Worm.Win32.Debris.a 4,05%
11 AdWare.Win32.BetterSurf.b 3,97%
12 Trojan.Win32.Starter.lgb 3,69%
13 Exploit.Java.Generic 3,66%
14 Trojan.Script.Generic 3,52%
15 Virus.Win32.Nimnul.a 2,80%
16 Trojan-Dropper.Win32.Agent.jkcd 2,78%
17 Worm.Script.Generic 2,61%
18 AdWare.Win32.Agent.aljt 2,53%
19 AdWare.Win32.Kranet.heur 2,52%
20 Trojan.WinLNK.Runner.ea 2,49%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
*Quote percentuali relative agli utenti unici sui computer dei quali l’anti-virus ha rilevato l’oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte del nostro modulo Anti-Virus File.

Il primo posto della graduatoria relativa ai malware più diffusi nel corso del 2014 a livello di infezioni informatiche locali è andato ad appannaggio di una serie di programmi dannosi classificati come “DangerousObject.Multi.Generic”; tale denominazione viene utilizzata per identificare i programmi malware individuati e neutralizzati con l’ausilio delle nuove ed avanzate tecnologie “in-the-cloud”; ricordiamo che tale categoria di oggetti maligni occupava la prima posizione anche nell’analogo rating relativo al 2013. Le suddette tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all’interno dei database antivirus, né le apposite firme né gli euristici indispensabili per poter rilevare e neutralizzare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella “nuvola telematica”, di informazioni relative all’oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti.

Desideriamo sottolineare come non faccia più parte della TOP-20 qui sopra riportata il noto worm classificato dagli esperti di sicurezza IT con la denominazione di Net-Worm.Win32.Kido. Osserviamo, allo stesso modo, come continui a diminuire sensibilmente la quota percentuale complessivamente attribuibile ai virus presenti in graduatoria: lo scorso anno, ad esempio, il malware denominato Virus.Win32.Sality.gen era stato individuato sui computer del 13,4% degli utenti unici dei prodotti Kaspersky Lab, mentre nel 2014 l’analogo indice relativo al virus in questione si è attestato su un valore pari al 6,69%.

È inoltre di particolare interesse rilevare come gli AdWare, i programmi pubblicitari, risultino sempre più diffusi anche a livello di minacce informatiche locali, e quindi non solo per ciò che riguarda le minacce IT provenienti dal web; peraltro, i due rating relativi agli oggetti dannosi individuati con maggior frequenza, nel corso del 2014, sia localmente che in Internet, riflettono ampiamente tale specifica tendenza. Rispetto allo scorso anno, di fatto, risulta quasi raddoppiato il numero degli utenti del Kaspersky Security Network – l’estesa rete globale di sicurezza IT da noi implementata attraverso specifiche infrastrutture “in-the-cloud” – che si sono imbattuti in fastidiosi programmi AdWare; nel 2014, tale significativo indice è così risultato pari a 25.406.107 utenti unici. Occorre peraltro porre in evidenza come i cosiddetti software pubblicitari stiano divenendo non soltanto sempre più invadenti ed insistenti, ma anche sempre più pericolosi. Alcuni di essi, poi, valicano ormai in maniera netta l’incerto confine che delimita la categoria degli oggetti potenzialmente indesiderati, guadagnandosi, di fatto, una classificazione ben più severa. Un chiaro esempio di tale genere di programma è rappresentato dal malware denominato Trojan-Dropper.Win32.Agent.jkcd, collocatosi al 16° posto della graduatoria da noi stilata: tale oggetto nocivo, difatti, non solo tormenta l’utente-vittima obbligando quest’ultimo a visualizzare in maniera forzata determinati contenuti pubblicitari, non solo provvede a modificare subdolamente i risultati restituiti dai motori di ricerca, ma, al tempo stesso, è in grado di generare il download di un temibile programma dannoso sul computer preso di mira.

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

Al fine di delineare il panorama mondiale delle minacce informatiche locali a seconda del grado di presenza del malware nei vari paesi del pianeta, abbiamo considerato, per ognuna delle nazioni presenti in graduatoria, la frequenza con la quale il nostro modulo Anti-Virus File, nel corso del 2014, ha rilevato dei malware nei dispositivi degli utenti. I dati statistici da noi raccolti ed elaborati, riguardo al rilevamento di tali minacce IT, si riferiscono ai programmi malware individuati dalle nostre soluzioni anti-virus direttamente sui computer degli utenti, oppure sulle unità rimovibili ad essi collegate (flash drive USB, schede di memoria di telefoni o apparecchi fotografici digitali, hard disk esterni). Tali cifre costituiscono, in pratica, il riflesso del grado medio di infezione dei personal computer nei vari paesi del mondo.

TOP-20 relativa ai paesi in cui sono state rilevate le quote percentuali più elevate in termini di rischio di contagio da infezioni informatiche locali

Paese* %**
1 Vietnam 69,58%
2 Mongolia 64,24%
3 Nepal 61,03%
4 Bangladesh 60,54%
5 Yemen 59,51%
6 Algeria 58,84%
7 Iraq 57,62%
8 Repubblica Popolare Democratica del Laos 56,32%
9 India 56,05%
10 Cambogia 55,98%
11 Afghanistan 55,69%
12 Egitto 54,54%
13 Arabia Saudita 54,37%
14 Kazakhstan 54,27%
15 Pakistan 54,00%
16 Siria 53,91%
17 Sudan 53,88%
18 Sri Lanka 53,77%
19 Birmania 53,34%
20 Turchia 52,94%

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus File; essi sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
*Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
**Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Osserviamo, innanzitutto, come rispetto all’analoga graduatoria stilata dagli esperti di Kaspersky Lab relativamente all’anno precedente, non siano intervenute variazioni riguardo alla composizione del novero dei paesi presenti nelle prime quattro posizioni della classifica: come evidenzia la tabella qui sopra riportata, la leadership del rating risulta nuovamente detenuta dal Vietnam; Mongolia e Bangladesh, da parte loro, si sono scambiati le rispettive posizioni occupate all’interno della graduatoria; la Mongolia è in tal modo salita dal quarto al secondo posto del ranking in questione, mentre il Bangladesh ha compiuto l’esatto cammino inverso, scendendo dalla seconda alla quarta posizione della classifica qui esaminata.

Rileviamo, inoltre, come non facciano più parte della composizione della TOP-20 i seguenti paesi: Djibouti, Maldive, Mauritania, Indonesia, Ruanda e Angola. Per ciò che riguarda, invece, le “new entry”, sottolineiamo come abbiano fatto la loro apparizione in classifica Yemen, Arabia Saudita, Kazakhstan, Siria, Birmania e Turchia.

In media, per ciò che riguarda il gruppo dei paesi che compongono la TOP-20 del 2014, le nostre soluzioni anti-virus hanno rilevato – almeno una volta – oggetti dannosi nel 58,7% dei computer (a livello di hard disk o supporti rimovibili collegati) appartenenti agli utenti del KSN; tali utenti, come abbiamo già specificato in precedenza, forniscono previamente l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Ricordiamo, a tal proposito, come l’analogo indice relativo all’anno 2013 fosse risultato pari al 60,1%.

Anche relativamente alle minacce informatiche di natura locale, i vari paesi del globo possono essere suddivisi in specifiche categorie di rischio.

  1. Massimo livello di rischio di infezione informatica (indice superiore al 60%): tale gruppo comprende i 4 paesi che figurano ai vertici della graduatoria, ovvero Vietnam (69,6%), Mongolia (64,2%), Nepal (61,0%) e Bangladesh
    (60,5%).
  2. Elevato livello di rischio di infezione informatica (41-60%): di questo secondo raggruppamento, la cui forbice percentuale spazia dal 41 al 60%, fanno parte ben 83 paesi, tra cui India (56,0%), Kazakhstan (54,3%), Turchia (52,9%), Russia (52,0%), Cina (49,7%), Brasile (46,5%), Bielorussia (45,3%), Messico (41,6%), Filippine (48,4%).
  3. Medio livello di rischio di infezione informatica (21-40,9%): il terzo gruppo annovera invece 70 nazioni, tra cui Spagna (40,9%), Francia (40,3%), Polonia (39,5%), Lituania (39,1%), Grecia (37,8%), Portogallo (37,7%), Corea (37,4%), Argentina (37,2%), Italia (36,6%), Austria (36,5%), Australia (35,3%), Canada (34,8%), Romania (34,5%), Stati Uniti (34,4%), Gran Bretagna (33,8%), Svizzera (30,8%), Hong Kong (30,4%), Irlanda (29,7%), Uruguay (27,8%), Paesi Bassi (26,4%), Norvegia (25,1%), Singapore (23,5%), Giappone (22,9%), Svezia (23%), Danimarca (21,3%).
  4. Minimo livello di rischio di infezione informatica (0-20,9%): rientrano in tale categoria soltanto 3 paesi, ovvero Finlandia (20%), Cuba (19,1%) e Isole Seychelles (19%).
  5. Kaspersky Security Bulletin 2014. Statistiche principali dell'anno 2014

La TOP-10 qui sotto inserita si riferisce a quei paesi che vantano in assoluto le quote percentuali più basse in termini di rischio di contagio dei computer degli utenti da parte di infezioni informatiche locali:

Paese %*
1 Isole Seychelles 19,03%
2 Cuba 19,08%
3 Finlandia 20,03%
4 Danimarca 21,34%
5 Giappone 22,89%
6 Svezia 22,98%
7 Repubblica Ceca 23,13%
8 Singapore 23,54%
9 Martinica 25,04%
10 Norvegia 25,13%

*Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

La TOP-10 qui sopra riportata presenta vari cambiamenti rispetto all’analoga graduatoria dell’anno precedente. Ci riferiamo, nella fattispecie, all’ingresso in classifica di Martinica, Singapore e Svezia, mentre non fanno più parte del rating relativo alle nazioni più sicure in termini di infezioni informatiche locali i seguenti paesi: Slovacchia. Slovenia e Malta.

In media, nel gruppo relativo ai dieci paesi caratterizzati dal minor livello di rischio di infezioni IT di origine locale, è stato attaccato – perlomeno una volta nel corso dell’anno – il 23% dei computer degli utenti. Rispetto allo scorso anno, tale indice presenta un significativo incremento, pari a 4,2 punti percentuali.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *