Evoluzione delle minacce informatiche nel terzo trimestre del 2012

Jurij Namestnikov

Sommario

• Il trimestre in cifre
• Il quadro della situazione
  • Malware e sistemi operativi mobile
  • Exploit: le vulnerabilità Java utilizzate in più della metà degli attacchi
  • Cyber-spionaggio: Gauss, Madi e gli altri
• Le statistiche
  • Le minacce in Internet
    • Oggetti infetti rilevati in Internet
    • Paesi nelle cui risorse web si celano maggiormente i programmi malware
    • Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet
  • Minacce informatiche locali
    • Oggetti nocivi rilevati nei computer degli utenti
    • Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali
  • Vulnerabilità

Il trimestre in cifre

• Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del terzo trimestre del 2012 le soluzioni anti-malware di Kaspersky Lab hanno rilevato e neutralizzato 1.347.231.728 oggetti nocivi.
• Il 28% dei dispositivi mobile sottoposti ad attacco informatico è risultato essere dotato di sistema operativo Android versione 2.3.6 (rilasciata nel mese di settembre 2011).
• Il 56% degli exploit individuati e respinti durante il trimestre esaminato nel presente report ha sfruttato vulnerabilità insite nella piattaforma Java.
• E' stata rilevata la distribuzione di programmi malware da oltre 91,9 milioni di URL, con un incremento del 3% rispetto all’analogo valore riscontrato nel secondo trimestre del 2012.

Il quadro della situazione

Malware e sistemi operativi mobile

Nel terzo trimestre del 2012, la nostra “collezione” di varianti di software nocivo appositamente sviluppate dai virus writer per attaccare la piattaforma mobile Android si è “arricchita” di oltre novemila nuovi file nocivi provvisti di estensione .dex. Rispetto al trimestre precedente sono stati quindi individuati cinquemila nuovi file nocivi in meno – tra quelli specificamente destinati a colpire il sistema operativo Android. Se andiamo a confrontare i valori rilevati nel terzo trimestre dell’anno con le analoghe cifre riscontrate nei primi tre mesi del 2012 registriamo invece un aumento complessivo di 3.500 unità.

Tale circostanza trova una logica spiegazione nel fatto che, nel secondo trimestre, la nostra raccolta di file nocivi è stata integrata da un consistente numero di file che, sino a quel momento - ciò è avvenuto nell’arco di un determinato periodo di tempo - sono stati rilevati tramite metodi euristici (ricordiamo, nell’occasione, come con un solo ed unico euristico possa essere individuata una notevole varietà di programmi diversi tra loro). Nel terzo trimestre la situazione è poi tornata sui livelli standard; in effetti, il numero di nuovi file inseriti nella nostra collezione nel corso dei tre mesi oggetto del presente report rispecchia la precisa tendenza osservata in materia sin dall’inizio dell’anno in corso.

E’ inoltre di particolare interesse osservare quali versioni del sistema operativo mobile Android siano divenute il bersaglio prediletto - nel corso del terzo trimestre - degli attacchi orditi dai malintenzionati attraverso i più disparati malware mobili.

Al primo posto della speciale graduatoria da noi elaborata troviamo la versione 2.3.6 di Android, denominata «Gingerbread»; la quota riconducibile ai tentativi di installazione di programmi malware (tentativi respinti) su dispositivi mobile provvisti di tale versione del suddetto OS mobile risulta pari al 28%. Si tratta, nella fattispecie, di un sistema operativo ormai non più nuovo, in quanto rilasciato già nel mese di settembre del 2011. Tuttavia, in ragione della marcata segmentazione del mercato dei dispositivi Android, tale versione rimane tuttora una delle più diffuse in assoluto.

Per rispondere all’interessante quesito che riguarda la correlazione esistente tra la diffusione delle varie versioni di Android OS installate al giorno d’oggi sugli apparati mobile degli utenti e la ripartizione delle diverse versioni di tale sistema operativo in base al numero di tentativi di attacco informatico subiti da ognuna di esse, è necessario innanzitutto confrontare i dati da noi raccolti con le cifre ufficiali inerenti alla distribuzione sul mercato delle varie versioni della piattaforma mobile Android, cifre rese di pubblico dominio sulle pagine del sito < developer.android.com>. Riportiamo, qui di seguito, la tabella e il grafico che evidenziano le correlazioni percentuali rilevate nel corso delle ultime due settimane di settembre riguardo al grado di diffusione delle differenti versioni del suddetto sistema operativo.

Fonte: http://developer.android.com/about/dashboards/index.html

Paragoniamo adesso i dati sopra menzionati con i dati statistici da noi raccolti relativamente allo stesso identico periodo di tempo:

Come si può vedere, i grafici sopra riportati presentano significative differenze tra loro: nel 48% dei casi sono risultati essere vittima di tentativi di attacchi cybercriminali gli utenti della versione Gingerbread di Android, attualmente installata sul 55% dei dispositivi mobili. E’ inferiore di solo qualche punto percentuale (43%) la quota ascrivibile ai software nocivi specificamente rivolti agli utenti di Ice Cream Sandwich, l’ultimissima versione dell’OS Android, installata sul 23,7% dei dispositivi.

Naturalmente, gli apparecchi mobili sui quali risultano presenti le ultime versioni del sistema operativo mobile in questione, si dimostrano nettamente più adeguati per utilizzare attivamente la Rete. Il fatto è che navigare in Internet per un maggior numero di ore, spesso conduce inevitabilmente gli utenti verso siti che hanno contenuti nocivi.

Per poter comprendere al meglio quali siano i programmi malware che attaccano più di frequente i dispositivi Android di proprietà degli utenti, andremo ad esaminare, qui di seguito, i dati statistici ottenuti grazie al Kaspersky Security Network, inerenti alle attività del malware nella sfera dei dispositivi mobili.

Oltre la metà dei software nocivi rilevati negli smartphone degli utenti della piattaforma Android è rappresentata dai cosiddetti Trojan-SMS. Si tratta di programmi nocivi appositamente elaborati dai virus writer per sottrarre illecitamente cospicue somme di denaro dagli account telefonici degli utenti-vittima, tramite l’invio di SMS verso costosi numeri a pagamento, a totale insaputa dei proprietari dei dispositivi mobili.

* Si tratta, più specificamente, dei programmi malware rilevati grazie al sofisticato modulo di controllo dei file implementato in Kaspersky Mobile Security. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

Nel corso del trimestre oggetto del presente report, la famiglia di malware mobili più diffusa in assoluto - tra tutti i programmi nocivi “dedicati” al sistema operativo Android - è risultata essere OpFake, con una quota pari al 38,3%. In genere, i software nocivi riconducibili a tale famiglia (si tratta di malware polimorfici) si nascondono all’interno del web browser Opera Mini (ovviamente in una versione compromessa del noto programma di navigazione per telefoni cellulari). La terza posizione della speciale graduatoria da noi elaborata risulta occupata dalla famiglia denominata FakeInst (17%); i malware mobili che appartengono ad essa sono soliti mascherarsi sotto forma di installer di applicazioni particolarmente popolari presso il pubblico degli utenti. La principale fonte di diffusione dei software nocivi - per smartphone, tablet ed altri apparecchi mobili - riconducibili alle due suddette tipologie è rappresentata dai cosiddetti app store alternativi, creati dagli stessi cybercriminali.

Il 20% - ovvero la quinta parte dei programmi nocivi rilevati - è costituito da Trojan multifunzionali di vario tipo, la maggior parte dei quali è direttamente riconducibile alla famiglia di malware denominata Plangton. Una volta installati, i suddetti Trojan provvedono a carpire tutta una serie di informazioni relative allo smartphone-vittima; i dati sottratti vengono così inviati verso appositi server di controllo predisposti dai malintenzionati. I malware in questione rimangono poi in attesa dei nuovi comandi che saranno impartiti dai malfattori. In particolare, i software nocivi che fanno parte della suddetta famiglia sono in grado di modificare furtivamente le impostazioni e la pagina iniziale del browser.

5% dei programmi dannosi rivolti al sistema operativo Android, individuati e neutralizzati nel corso del terzo trimestre del 2012, è risultato appartenere alla famiglia curiosamente denominata <not-a-virus:RiskTool.AndroidOS.SMSreg>; si tratta di insidiosi malware che provvedono ad inviare un certo numero di costosi messaggi SMS, richiesti per effettuare la sottoscrizione di servizi di vario genere da parte dell’utente-vittima. I programmi nocivi riconducibili alla suddetta famiglia sono destinati in particolar modo agli utenti di dispositivi Android ubicati in determinati paesi, quali Stati Uniti, Olanda, Gran Bretagna e Malaysia. Maggiori informazioni su tali software nocivi sono disponibili all’interno del nostro blog.

Una quota pari al 4% è invece attribuibile alla famiglia <Exploit.AndroidOS.Lotoor>. Nella circostanza, per poter assumere il controllo del telefono-vittima i malintenzionati debbono prima necessariamente eseguire l’operazione di jailbreak (elusione dei meccanismi di protezione implementati nel dispositivo mobile, allo scopo di ottenere il pieno accesso al file system). I programmi malware facenti parte della suddetta famiglia vengono utilizzati dai cybercriminali al fine di conseguire i privilegi di root, i quali, in pratica, consentono possibilità pressoché illimitate per ciò che riguarda la manipolazione del sistema.

Un’identica quota (4%) è infine andata ad appannaggio di vari programmi AdWare; la famiglia di programmi “pubblicitari” che ha ottenuto i maggiori livelli di diffusione sugli apparati mobili degli utenti Android è risultata essere Hamob. I software riconducibili a tale famiglia prevedono la tradizionale apparizione di messaggi pubblicitari sullo schermo del dispositivo mobile; le réclame in questione sono in sostanza “incorporate” all’interno dell’applicazione.

Riassumendo - per ciò che riguarda il sistema operativo Android - ribadiamo come, nel corso del terzo trimestre del 2012, gli attacchi informatici portati dal malware mobile dispiegato dai malintenzionati abbiano prevalentemente interessato le versioni 2.3.6 (Gingerbread) e 4.0.4 (Ice Cream Sandwich) del suddetto OS. Servendosi in primo luogo di collaudati metodi di ingegneria sociale, i cybercriminali riescono spesso ad eludere le limitazioni previste al fine di evitare l’installazione nel dispositivo mobile di software provenienti da fonti non attendibili. Attualmente, i software nocivi più diffusi «in-the-wild» sono programmi Trojan di vario tipo, appositamente elaborati dai virus writer per sottrarre illecitamente - in un modo o nell’altro - cospicue somme di denaro dagli account telefonici degli utenti-vittima. E’ importante rimarcare, tuttavia, come i Trojan sopra menzionati vengano gradualmente rimpiazzati, sulla scena del malware mobile, da più sofisticati e complessi Trojan multifunzionali.

Exploit: le vulnerabilità Java utilizzate in più della metà degli attacchi

Il serio problema degli attacchi informatici portati attraverso Internet è innanzitutto legato all’esistenza, nel torbido panorama del malware, di una vasta gamma di exploit, i famigerati codici nocivi che consentono ai malintenzionati di poter agevolmente caricare i più disparati programmi maligni sui computer-vittima nel corso di attacchi di tipo “drive-by”, senza dover necessariamente ricorrere all’utilizzo di macchinosi metodi di ingegneria sociale. La chiave del successo, nell’utilizzo degli exploit, è ovviamente rappresentata dalla presenza di bug o vulnerabilità nel codice di applicazioni particolarmente note e diffuse, installate nei computer degli utenti.

Il grafico qui sotto riportato evidenzia verso quali applicazioni vulnerabili, nel corso del terzo trimestre del 2012, siano stati principalmente indirizzati gli attacchi informatici condotti attraverso gli exploit. Sottolineiamo come, nel trimestre oggetto del presente report, siano state modificate le metodiche di rilevamento del malware da noi applicate; ciò ha consentito di poter includere nei nostri dati statistici anche gli exploit identificati tramite vari metodi euristici.

Sottolineiamo, in primo luogo, come in oltre il 50% degli attacchi informatici siano state utilizzate le falle di sicurezza - o per meglio dire le vulnerabilità - individuate all’interno di Java. Secondo i dati resi noti da Oracle, risulta che le varie versioni esistenti della celeberrima virtual machine siano attualmente installate in più di 1,1 miliardi di computer, ubicati in ogni angolo del globo. E’ importante considerare che gli aggiornamenti per la suddetta piattaforma vengono eseguiti solo su espressa richiesta dell’utente, quindi non in modalità automatica; ciò comporta, di riflesso, una maggior durata del ciclo di vita delle vulnerabilità. Inoltre, gli exploit appositamente sviluppati per colpire il pacchetto Java possono essere facilmente impiegati con qualunque versione di Windows; alcune sofisticate elaborazioni realizzate dagli autori di malware - come si è verificato di recente nel caso di Flashfake - consentono addirittura agli exploit di assumere spiccate caratteristiche di cross-platforming. Tali considerazioni ci permettono di comprendere meglio i motivi dell’elevato interesse dei cybercriminali nei confronti delle vulnerabilità Java. Naturalmente, la maggior parte dei rilevamenti eseguiti riguarda i kit di exploit nel loro complesso.

Nel terzo trimestre dell’anno in corso sono state individuate alcune nuove vulnerabilità Java, che i malintenzionati della Rete hanno rapidamente iniziato a sfruttare per i loro loschi fini. La vulnerabilità CVE-2012-1723, scoperta nel mese di luglio, è di per se stessa rappresentata da un errore nel componente HotSpot; utilizzandola, i cybercriminali possono eseguire la propria classe, allo scopo di eludere la sandbox della Virtual Machine di Java. Una seconda falla, classificata come CVE-2012-4681, è stata poi rilevata alla fine del mese di agosto. Gli exploit appositamente sviluppati dai virus writer per sfruttare tale vulnerabilità sono stati inizialmente utilizzati nel corso di attacchi informatici mirati, per poi essere inseriti, piuttosto rapidamente, nella composizione di alcuni kit di exploit ampiamente diffusi. Le soluzioni anti-malware di Kaspersky Lab hanno rilevato e neutralizzato tali insidiosi exploit con l’ausilio dell’avanzata tecnologia denominata “Advanced Exploit Protection”. Maggiori informazioni riguardo all’argomento in questione sono disponibili all’interno del nostro blog.

La seconda posizione della speciale graduatoria da noi elaborata risulta occupata dagli attacchi condotti attraverso Adobe Reader, i quali, nel trimestre qui esaminato, hanno da soli rappresentato un quarto del volume complessivo degli assalti informatici respinti. Occorre ad ogni caso sottolineare come il livello di diffusione degli exploit esplicitamente rivolti ad Adobe Reader stia progressivamente regredendo; ciò è dovuto sia alla semplicità dei meccanismi utilizzati per effettuarne il rilevamento, sia all’implementazione della modalità di aggiornamento automatico, introdotta nelle ultime versioni della suddetta applicazione.

Il 3% degli attacchi individuati e neutralizzati ha infine riguardato una serie di exploit “dedicati” allo sfruttamento di specifiche vulnerabilità evidenziate all’interno di Windows Help and Support Center, così come all’utilizzo di altre falle rilevate nel browser Internet Explorer. In particolare, nel terzo trimestre del 2012, nel popolare programma di navigazione sopra menzionato, è stata identificata la vulnerabilità CVE-2012-1876, la quale è andata ad interessare le versioni 6-9 del noto browser. E’ emerso, nella circostanza, come tali versioni di IE non riuscissero a gestire correttamente gli oggetti presenti in memoria; ciò forniva ai malintenzionati l’opportunità di potersi rivolgere ad un oggetto inesistente, generando in tal modo un “heap-overflow”. E’ singolare osservare come si sia fatto uso della suddetta vulnerabilità in occasione della nota competizione tra hacker denominata “Pwn2Own”, svoltasi nel quadro di CanSecWest 2012, la conferenza mondiale sulla sicurezza informatica che ha avuto luogo a Vancouver, in Canada, nello scorso mese di marzo.

Cogliamo l’occasione per raccomandare una volta di più, a tutti gli utenti, di effettuare costantemente gli aggiornamenti dei programmi installati sul proprio computer e, al tempo stesso, di avvalersi dei più avanzati strumenti di protezione nei confronti dei pericolosi exploit, attualmente in circolazione, mentre ad aziende, enti ed organizzazioni consigliamo l’utilizzo delle tecnologie Patch Management.

Cyber-spionaggio: Gauss, Madi e gli altri

Il terzo trimestre dell’anno corrente si è mostrato davvero ricco di episodi legati alle attività di spionaggio informatico. Gli incidenti virali più eclatanti sono stati generati dai programmi malware denominati Madi, Gauss e Flame; secondo i dati statistici da noi raccolti, la principale regione geografica oggetto di tali campagne di cyber-spionaggio è risultata essere il Medio Oriente.

Una di tali campagne di infiltrazione all’interno dei sistemi informatici di organizzazioni aventi sede in paesi medio-orientali si è protratta per quasi un anno; essa è stata organizzata per colpire in particolar modo obiettivi selezionati ubicati in Iran, Israele e Afghanistan. Nella circostanza, è stata da noi condotta - in collaborazione con Seculert, società israeliana specializzata nel rilevamento delle minacce IT - un’approfondita indagine su tale vasta operazione di spionaggio informatico, classificata con la denominazione «Madi» sulla base di certe stringhe e determinati identificatori utilizzati dai cybercriminali per sviluppare il malware impiegato nell’occasione. Nel corso dell’operazione è stato dispiegato un insieme di tecnologie di attacco - tra l’altro ben note e non particolarmente complesse - atte alla conduzione di assalti informatici il cui scopo era rappresentato dal convogliare vari componenti nocivi verso i computer infettati. Quanto sopra affermato costituisce un’ulteriore testimonianza del fatto che, spesso, le “vittime” dei cyber-attacchi hanno uno scarso livello di conoscenza e consapevolezza in merito alle tematiche della sicurezza in Internet.

Gli attacchi portati nel corso della campagna Madi hanno prodotto l’installazione di programmi Backdoor, scritti in linguaggio Delphi, all’interno dei sistemi informatici presi di mira. I malware in questione potrebbero essere stati creati sia da un programmatore dilettante che da uno sviluppatore professionista con pochissimo tempo a disposizione. La campagna di cyber-spionaggio in questione è stata condotta nei confronti delle infrastrutture informatiche di importanza critica riconducibili a società di engineering, organizzazioni governative, istituti bancari e università di paesi medio-orientali. Vittime predilette degli attacchi orditi sono risultati essere numerosi utenti coinvolti in progetti legati alle attività delle suddette organizzazioni, tra l’altro sottoposti per lunghi periodi a strette osservazioni delle attività di comunicazione e corrispondenza da essi intrattenute.

Il sofisticato attack-toolkit denominato Gauss è stato recentemente scoperto nel quadro delle febbrili attività intraprese dall'International Telecommunication Union (ITU) a seguito dell'individuazione del malware Flame. Di fatto, Gauss è una nuova temibile cyber-minaccia sponsorizzata a livello di stati nazionali, specificamente rivolta agli utenti della Rete ubicati nell'area medio-orientale. Dotato di specifiche funzionalità Trojan, Gauss prende in particolar modo di mira gli utenti del banking online; esso è stato progettato e sviluppato per realizzare il furto di dati sensibili, con una particolare predilezione per le password dei browser, le credenziali relative agli account di banking online, i cookies e le configurazioni dei computer Windows da esso infettati. Oltre a ciò, il malware in questione è provvisto di ulteriori funzionalità nocive, il cui codice risulta ancora criptato; per il momento, quindi, resta ancora sconosciuta la “destinazione” di tali funzionalità nascoste. Gauss si attiva esclusivamente all’interno di sistemi informatici dotati di una specifica configurazione; sostanzialmente, esso è basato sulla piattaforma di Flame e, non a caso, possiede alcuni elementi in comune con quest’ultimo, quali, ad esempio, i sottoprogrammi utilizzati per infettare i supporti di memoria USB. Inoltre Gauss presenta, rispetto a Flame, analoghe strutture dei moduli e delle basi dei codici, così come modalità di comunicazione similari con i server di comando e controllo (C&C).

I nostri esperti sono ugualmente riusciti a raccogliere nuove informazioni riguardo ai server di comando del malware Flame. L’indagine da noi condotta in collaborazione con vari partner - Symantec, ITU-IMPACT e CERT-Bund/BSI - ci ha consentito di trarre una serie di importanti conclusioni. E’ stato in primo luogo appurato che l’elaborazione del codice inerente ai server di comando e controllo operanti nel quadro di tale piattaforma ha avuto già inizio nel mese di dicembre del 2006; sulla base dei commenti inseriti nel codice sorgente, poi, è stato possibile dedurre che abbiano lavorato a tale progetto perlomeno quattro diversi programmatori. Il codice riguardante i server C&C supporta fino a tre protocolli di trasmissione dei dati. La cosa più interessante, tuttavia, è che esso è in grado di elaborare le richieste di quattro diversi programmi malware, indicati dagli autori con le sigle SP, SPE, FL e IP.

Al momento attuale, ci risultano noti solo due dei quattro software nocivi sopra menzionati, ovvero Flame e SPE (miniFlame).

Sulla base dei dati da noi raccolti ed elaborati, possiamo a ragion veduta affermare che, nell’imminente futuro si registreranno, inevitabilmente, nuovi episodi di spionaggio informatico. L’obiettivo che si prefiggono gli esperti di Kaspersky Lab in relazione a tale specifica problematica di sicurezza IT consiste nell’ottenere la riduzione dei rischi collegati alla recente comparsa di temibili cyber-armi, particolarmente complesse e sofisticate.

Le statistiche

Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.

Le minacce in Internet

I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sono stati ottenuti sulla base delle attività svolte dall'anti-virus web, preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di codice nocivo da una pagina web infetta. Possono risultare infetti sia i siti Internet appositamente allestiti da cybercriminali, sia i siti legittimi violati, quali le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum).

Oggetti infetti rilevati in Internet

Nel terzo trimestre del 2012 sono stati respinti ben 511.269.302 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi. Complessivamente, nel corso di tali incidenti virali sono state identificate 165.732 varianti uniche di software nocivi o potenzialmente indesiderati.

TOP-20 relativa agli oggetti infetti rilevati in Internet

Al settimo posto della speciale graduatoria da noi stilata si è insediato il programma AdWare classificato come AdWare.Win32.IBryte.x, il quale viene diffuso come downloader di software gratuiti particolarmente popolari presso il pubblico della Rete. Una volta avviato, il suddetto AdWare provvede ad effettuare il download del software richiesto dall’utente e, al tempo stesso, installa il modulo pubblicitario previsto. Naturalmente, il programma desiderato può essere ugualmente scaricato dal sito ufficiale; si evita, in tal modo, l’installazione indesiderata del modulo di advertising. Una breve indagine sda noi condotta ha evidenziato come siano principalmente gli utenti di Internet Explorer ad imbattersi nel programma sopra menzionato durante la quotidiana navigazione in Rete.

Di particolare interesse è inoltre il malware denominato Hoax.HTML.FraudLoad.i, collocatosi al 12° posto del rating qui sopra riportato. Si tratta di un’insidiosa minaccia informatica con la quale si trovano ad avere a che fare soprattutto coloro che si dilettano a scaricare gratuitamente da Internet ogni genere di film e software. Il suddetto programma nocivo si presenta sotto forma di allettanti pagine web che “promettono” agli utenti di poter agevolmente realizzare il download di numerosi contenuti; per raggiungere lo scopo, tuttavia, è prima richiesto l’invio di un messaggio SMS a pagamento. Una volta inviato tale messaggio, anziché ottenere l’agognato file, l’utente riceverà sul proprio computer un file txt contenente istruzioni generiche per l’utilizzo dei motori di ricerca, oppure un vero e proprio programma nocivo.

L’ultima posizione della TOP 20 relativa al terzo trimestre del 2012 è occupata dal malware classificato come Exploit.Java.CVE-2012-4681.gen; si tratta di un exploit rilevato alla fine dello scorso mese di agosto, appositamente elaborato dai virus writer per sfruttare due vulnerabilità individuate in Java. Ricordiamo, con l’occasione, come gli exploit rivolti alla piattaforma Java godano attualmente di notevole popolarità presso le folte schiere dei malintenzionati; non a caso, esistono al mondo più di tre miliardi di dispositivi su cui risulta installata la Virtual Machine in questione. L’exploit sopra menzionato riveste particolare interesse per il fatto che esso è stato utilizzato sia per condurre attacchi informatici di natura mirata (APT - Advanced Persistent Threat), sia per la composizione di kit di exploit volti a realizzare infezioni di massa.

Ben 12 posizioni della classifica qui analizzata risultano occupate da programmi malware - e loro componenti - la cui funzionalità principale è quella di convogliare pericolosi programmi Trojan verso i computer-vittima degli ignari utenti della Rete, servendosi, nella circostanza, del “prezioso” e decisivo “contributo” nocivo fornito dagli exploit.

Paesi nelle cui risorse web si celano maggiormente i programmi malware

dati statistici qui di seguito riportati evidenziano in quali paesi risultano “fisicamente” collocati i siti web dai quali vengono scaricati i software nocivi che infestano la Rete. Per determinare l'origine geografica degli attacchi informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP).

Rileviamo in primo luogo come, relativamente al terzo trimestre del 2012, l' 86% delle risorse web utilizzate per la distribuzione di programmi nocivi da parte dei malintenzionati della Rete risulti concentrato in una ristretta cerchia di dieci paesi, evidenziati nel grafico qui sotto rappresentato. L'indice sopra menzionato ha fatto pertanto registrare, per il secondo trimestre consecutivo, un incremento dell’ 1% rispetto all'analogo valore complessivamente riscontrato nei tre mesi precedenti.

Distribuzione geografica delle risorse web contenenti programmi nocivi (ripartizione per paesi) - Situazione relativa al terzo trimestre del 2012

Ci pare innanzitutto doveroso sottolineare come la Top 10 analizzata in questo capitolo del report trimestrale dedicato all’evoluzione del malware presenti una nuova leadership: sul gradino più alto del “podio” virtuale - precedentemente occupato dagli USA - si è in effetti insediata la Russia. Nel terzo trimestre dell’anno in corso la quota riconducibile alla Federazione Russa ha fatto registrare un valore pari al 23,2%, mentre l’indice relativo agli Stati Uniti non è andato oltre il 20,3%, diminuendo in maniera considerevole - quasi dieci punti percentuali (- 9,7%, per l’esattezza) - rispetto all’analogo valore riscontrato nel secondo trimestre dell’anno. Al contrario, nel corso degli ultimi tre mesi è cresciuta sensibilmente la quota ascrivibile agli hosting nocivi ubicati sul territorio della Federazione Russa (+ 8,6%). L’inatteso avvicendamento che ha avuto luogo nelle posizioni di vertice della classifica in questione si spiega quindi con le notevoli variazioni intervenute a livello di quote rispettivamente attribuibili a Stati Uniti e Russia. Nel periodo oggetto del presente report si è inoltre registrato un significativo aumento dell’indice relativo al numero di hosting nocivi rilevati sul territorio dei Paesi Bassi (+ 5,8%); l’Olanda è andata in tal modo a collocarsi al terzo posto del rating da noi elaborato, così come era avvenuto nel precedente trimestre. Complessivamente, quindi, alle risorse web dannose fisicamente collocate entro i confini dei primi tre paesi presenti in graduatoria – Federazione Russa, Stati Uniti e Paesi Bassi – è riconducibile il 60% dei contenuti nocivi presenti nelle risorse della Rete. In mancanza di specifiche azioni ed iniziative attivamente intraprese dagli organi competenti in materia, dalle forze di cyber-polizia e dagli hoster, la situazione sopra descritta potrebbe mantenersi tale ancora per vari mesi.

Le quote percentuali relative agli altri paesi presenti nella graduatoria inerente alla distribuzione geografica delle risorse web contenenti programmi nocivi sono rimaste sostanzialmente invariate, ad eccezione dell’indice relativo alla Gran Bretagna (- 2,6%).

Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet

Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web - rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo - abbiamo stimato la frequenza con la quale, nel corso del trimestre qui analizzato, gli utenti della Rete ubicati nelle varie regioni geografiche mondiali hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Evidenziamo come l’indice in questione non dipenda, ad ogni caso, dal numero di utenti del Kaspersky Security Network presenti in un determinato paese.

I 20 paesi* nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti tramite Internet**. Situazione relativa al terzo trimestre del 2012

*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
**Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Nel precedente trimestre, la Top-20 qui sopra inserita risultava interamente composta da paesi ubicati nello spazio geografico post-sovietico, da nazioni africane e da paesi situati nel Sud-Est asiatico. Sottolineiamo come nel trimestre analizzato nel presente report abbiano fatto il loro ingresso in classifica due paesi situati nella parte meridionale del continente europeo, ovvero l’Italia (36,5%) e la Spagna (37,4%).

In base al livello di «contaminazione» informatica cui sono stati sottoposti i computer degli utenti nel trimestre preso in esame, risulta possibile suddividere i vari paesi del globo in gruppi distinti.

1. Gruppo a massimo rischio. Esso comprende quei paesi in cui oltre il 60% degli utenti della Rete - almeno una volta - si è imbattuto negli insidiosi malware circolanti in Internet. Rileviamo come nel terzo trimestre del 2012 sia tuttavia entrato a far parte di questa “nuova” ed ancor più critica categoria (ancora non presente nell’analoga graduatoria relativa al secondo trimestre dell’anno) un solo paese, il Tajikistan (61,1%), il quale ha scalzato la Russia (58%) dalla posizione di leader del rating in questione.
2. Gruppo ad alto rischio. Sono entrati a far parte di tale gruppo - contraddistinto da quote che vanno dal 41% al 60% - esattamente 10 dei 20 paesi che compongono la Top-20, ovvero 8 paesi in meno rispetto al trimestre precedente. Evidenziamo come, oltre alla Russia (58%), si trovino nel gruppo “ad alto rischio” Kazakhstan (54,9%), Bielorussia (49,6%) e Ukraina (46,1%)
3. Gruppo a rischio. Esso è relativo agli indici percentuali che spaziano nel range 21% - 40%. Complessivamente, sono entrati a far parte di questo secondo gruppo ben 99 paesi, tra cui India (38,4%), Spagna (37,4%), Italia (36,5%), Lituania (33,5%), Cina (33,4%), Turchia (33,3%), USA (32,4%), Brasile (32,9%), Gran Bretagna (30,2%), Belgio (28,3%) e Francia (28,2%).
4. Gruppo dei paesi nei quali la navigazione in Internet risulta più sicura. Per ciò che riguarda il terzo trimestre del 2012 figurano in tale gruppo 27 paesi, i quali presentano quote percentuali comprese nella forchetta 10,6-21%).

Le percentuali più basse riguardo al numero di utenti sottoposti ad attacchi informatici durante l'esplorazione del World Wide Web si sono avute in Giappone (13,6%), Danimarca (17,7%), a Taiwan (15,4%), Hong Kong (19,3%), in Lussemburgo (19,7%), Slovacchia (20,7%) e Singapore (20,9%).

Da notare come facciano parte del gruppo relativo ai paesi nei quali il surfing in Internet risulta più sicuro anche varie nazioni situate nel continente africano. Riteniamo che le basse percentuali che caratterizzano il numero di utenti della Rete sottoposti nei suddetti paesi ad attacchi informatici attraverso il web, siano in sostanza esclusivamente dovute al debole sviluppo attualmente raggiunto in tali paesi dalle infrastrutture Internet. Le nostre supposizioni vengono ulteriormente rafforzate dal fatto che, nella maggior parte dei paesi africani, la speculare situazione relativa alle infezioni informatiche di natura “locale” risulta tutt’altro che positiva (vedi sotto).

In media, nel corso del trimestre qui preso in esame, il 36,7% del numero complessivo di computer facenti parte del Kaspersky Security Network ha subito almeno un attacco informatico durante la quotidiana navigazione in Internet da parte degli utenti della Rete. Sottolineiamo in ogni caso come, rispetto al trimestre precedente, la quota percentuale media di computer sottoposti ad attacchi durante l'esplorazione del web - e, di conseguenza, esposti al rischio di pericolose infezioni informatiche - abbia fatto registrare un decremento pari al 3%.

Minacce informatiche locali

Il presente capitolo del nostro consueto report trimestrale dedicato all'evoluzione delle minacce informatiche analizza i dati statistici ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.

Oggetti nocivi rilevati nei computer degli utenti

Nell'arco del terzo trimestre del 2012 le nostre soluzioni antivirus hanno bloccato 882.545.490 tentativi di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky Security Network.

AGrazie all’azione svolta dal modulo “on-access scanner” sono state complessivamente identificate ben 328.804 varianti uniche di software nocivi o potenzialmente indesiderati; tali oggetti nocivi sono stati rilevati e neutralizzati nel momento in cui essi hanno effettuato i loro tentativi di avviarsi sui computer degli utenti del KSN.

Oggetti nocivi rilevati nei computer degli utenti: TOP-20

Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali

E' stata da noi determinata la ripartizione per singoli paesi delle quote percentuali di utenti del Kaspersky Security Network sui computer dei quali, nel corso del terzo trimestre del 2012, sono stati bloccati tentativi di infezione informatica di natura «locale». Le cifre ricavate dalle elaborazioni statistiche da noi eseguite riflettono pertanto i valori medi relativi al rischio di contaminazione «locale» esistente sui computer degli utenti nei vari paesi del globo. La graduatoria da noi stilata si riferisce esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni anti-virus di Kaspersky Lab. In media, nel 32,5% del totale complessivo dei computer facenti parte del Kaspersky Security Network (KSN) - in pratica in un computer su tre - è stato individuato perlomeno una volta un file nocivo, residente nel disco rigido o in supporti rimovibili collegati al computer; tale valore ha fatto registrare una diminuzione del 3,9% rispetto all’analogo indice riscontrato nel trimestre precedente.

Livello di «contaminazione» informatica rilevato nei computer degli utenti KSN** - TOP-20 dei paesi sottoposti al rischio più elevato di infezioni informatiche locali* Dati relativi al terzo trimestre del 2012

*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
**Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Al pari del trimestre precedente, la Top-20 sopra riportata risulta composta quasi integralmente da paesi ubicati nel continente africano, in Medio Oriente e nel Sud-Est asiatico. La quota relativa al Bangladesh, leader della speciale classifica da noi stilata – basata sul numero di computer nei quali i nostri prodotti anti-malware hanno individuato e bloccato pericolosi programmi malware – è diminuita del 7,3%, attestandosi in tal modo su un valore pari al 90,9%.

Così come per le infezioni informatiche che si diffondono attraverso il World Wide Web, anche relativamente alle minacce IT che si manifestano localmente sui computer degli utenti, risulta possibile stilare una sorta di graduatoria «geografica», suddividendo i vari paesi del globo in categorie ben distinte, a seconda del livello di «contaminazione» informatica che ha contraddistinto questi ultimi nel corso del terzo trimestre dell'anno.

1. Massimo livello di rischio di infezione informatica. Tale gruppo, che si contraddistingue per un indice di rischio di «contaminazione» informatica superiore al 60% di utenti unici, è diminuito di ben 9 unità. In esso figurano 11 paesi, ubicati nella macro-regione asiatica (India, Vietnam, Nepal ed altri paesi), in Medio Oriente (Afghanistan) e nel continente africano (Sudan, Mali, Tanzania ed altri).
2. High level of local infection (41-60%): 39 countries, including Indonesia (53.5%), Egypt (46%), Thailand (42.3%), China (41.4%) and the Philippines (44.3%).
3. Elevato livello di rischio di infezione informatica. Di questo secondo raggruppamento, la cui forbice percentuale spazia dal 41 al 60%, fanno parte ben 39 paesi, tra cui Indonesia (53,5%), Egitto (46%), Thailandia (42,3%), Cina (41,4%) e Filippine (44,3%).
4. 3. Medio livello di rischio di infezione informatica. Il terzo gruppo (21 - 40%) annovera invece 56 nazioni, tra cui Turchia, Messico, Israele, Portogallo, Italia, Russia, Spagna.

    

Quadro mondiale relativo al rischio del prodursi di infezioni informatiche “locali” sui computer degli utenti ubicati nei vari paesi. Situazione relativa al terzo trimestre del 2012

Vulnerabilità

Nel terzo trimestre del 2012 sono state individuate nei computer degli utenti di KSN ben 30.749.066 vulnerabilità (tra applicazioni e file vulnerabili). In media, su ogni computer che ha evidenziato falle di sicurezza sono state rilevate 8 diverse vulnerabilità.

La TOP-10 relativa alle vulnerabilità più diffuse viene presentata nella dettagliata tabella qui sotto riportata.

*Nello stilare la Top-10 sono stati presi in considerazione tutti gli utenti nei computer dei quali sia stata rilevata perlomeno una vulnerabilità

Le prime due posizioni della graduatoria che riassume il quadro delle vulnerabilità maggiormente diffuse e sfruttate dai malintenzionati nel periodo analizzato nel presente report, sono andate ad appannaggio di specifiche vulnerabilità individuate in Java, la nota piattaforma di Oracle. Tali falle di sicurezza sono state rilevate rispettivamente nel 35% e nel 21,7% dei computer rivelatisi vulnerabili.

Così come in precedenza, cinque posizioni della Top-10 da noi elaborata risultano occupate da prodotti sviluppati da Adobe: si tratta di Flash Reader e Shockwave, al pari della diffusissima applicazione utilizzata per la lettura dei documenti in formato .pdf, ovverosia Acrobat Reader. Rileviamo come nel corso di questi ultimi anni siano state create decine di exploit specificamente dedicati a tali popolari programmi; la maggior parte di essi, tra l'altro, risulta di pubblico accesso. Viste le circostanze, riteniamo sia quantomai doveroso, per gli utenti, procedere al tempestivo aggiornamento dei suddetti prodotti software sui propri computer.

Sono ugualmente entrati a far parte del rating analizzato nel presente capitolo del nostro consueto report trimestrale dedicato all’evoluzione del malware, due programmi sviluppati da Apple - il player QuickTime ed iTunes - e Winamp, il noto player multimediale realizzato da Nullsoft.

Ripartizione delle vulnerabilità presenti nella TOP-10 secondo i vari produttori di software. Terzo trimestre del 2012

Tutte le vulnerabilità presenti nella TOP 10 in questione possono avere effetti nefasti sulla sicurezza del computer, in quanto esse consentono al malintenzionato - tramite l'utilizzo da parte di quest'ultimo di appositi exploit - di ottenere il pieno controllo sul sistema informatico sottoposto a contagio. Così come nel precedente trimestre, delle dieci vulnerabilità elencate nel rating riportato nella parte iniziale del capitolo, ben tre offrono ai cybercriminali l'opportunità di accedere ai dati confidenziali custoditi nel sistema. Entrambe le vulnerabilità individuate in Flash Player consentono poi di eludere i meccanismi di protezione implementati in tale applicazione. Oltre a ciò, sono entrate a far parte della TOP 10 inserita nel presente capitolo del report trimestrale alcune vulnerabilità che permettono ai malfattori di poter effettuare la manipolazione dei dati e condurre attacchi di tipo DDoS (Distributed Denial of Service) e XSS (Cross-site scripting).

Ripartizione delle vulnerabilità presenti nella TOP-10 secondo l'impatto prodotto sul sistema - Terzo trimestre del 2012

E’ di particolare interesse rilevare come, nel terzo trimestre dell’anno in corso, dalla TOP-10 relativa alle vulnerabilità più diffuse nei computer degli utenti, siano scomparsi i prodotti sviluppati da Microsoft. Ciò è indiscutibilmente dovuto al fatto che il meccanismo degli Aggiornamenti Automatici implementato nelle ultime versioni del sistema operativo Windows, si è rivelato particolarmente solido ed efficace a livello di sicurezza IT.