Kaspersky Security Bulletin 2013. Statistiche principali dell'anno 2013

*Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente Anti-Virus Web; le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

**Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.

Come si evince dalla tabella qui sopra riportata, al primo posto della speciale classifica dedicata agli oggetti nocivi rilevati in Internet figurano ancora una volta gli URL nocivi (Malicious URL) - ovverosia quei link che conducono a programmi malware di vario tipo - con una quota pari al 93,01% del volume complessivo dei rilevamenti eseguiti dal modulo Anti-Virus Web. Rispetto all'analoga TOP-20 da noi stilata relativamente all'anno 2012, risulta quindi ulteriormente aumentata (+5,65%) la quota ascrivibile ai "verdetti" determinati dal blocco e dalla conseguente neutralizzazione di link nocivi presenti nella blacklist di cui si avvale il componente Anti-Virus Web. Desideriamo evidenziare, nella circostanza, come l’utilizzo delle nuove, sofisticate tecnologie di protezione IT - basate sulle notevoli potenzialità offerte dal Kaspersky Security Network agli utenti di tutto il mondo - le quali prevedono aggiornamenti istantanei attraverso la «nuvola telematica» e l’utilizzo di metodi euristici (senza che risulti necessaria l’esecuzione dei tradizionali aggiornamenti dei database antivirus), abbia permesso, nell’arco di un solo anno, di accrescere di quasi sei punti percentuali - dall' 87% al 93% - la quota relativa alle minacce informatiche rilevate attraverso i suddetti metodi. Una parte significativa dei rilevamenti di malware classificati come “Malicious URL” è riconducibile a siti web contenenti kit di exploit, così come a siti Internet preposti al redirect degli utenti-vittima verso gli exploit stessi. E’ facile quindi comprendere come risulti di fondamentale importanza poter disporre, sul proprio computer, di un’efficace soluzione anti-malware. Oltre a ciò, le infezioni informatiche possono prodursi anche quando gli utenti della Rete cliccano in maniera volontaria su collegamenti ipertestuali potenzialmente pericolosi, ad esempio nel momento in cui essi procedono alla ricerca sul web dei più svariati contenuti pirata.

Ben 7 delle 20 posizioni che compongono la classifica in questione risultano occupate da "verdetti" riconducibili ad oggetti nocivi utilizzati dai cybercriminali per la conduzione di attacchi di tipo drive-by; si tratta, in effetti, del metodo di attacco maggiormente diffuso, presso i malintenzionati, per realizzare - attraverso Internet - la penetrazione di pericolosi software nocivi all'interno dei computer degli utenti della Rete. Tale novero comprende, nella circostanza, sia oggetti nocivi rilevati tramite metodi euristici, quali Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic, sia oggetti infetti neutralizzati dalle nostre soluzioni anti-malware grazie all'impiego di metodi non euristici. Si tratta, quindi, di verdetti attribuibili sia a determinati script nocivi, preposti a reindirizzare gli utenti verso i famigerati kit di exploit, sia agli exploit stessi.

Come evidenzia la TOP-20 qui sopra inserita, il nono posto della speciale graduatoria relativa agli oggetti nocivi più diffusi in Internet è andato ad appannaggio del malware classificato dagli esperti di sicurezza IT come Hoax.SWF.FakeAntivirus.i. Con tale specifica denominazione vengono rilevati certi file nocivi in grado di eseguire un’animazione Flash, attraverso la quale viene simulato il funzionamento di un classico programma antivirus. In base alla "verifica" effettuata dall'antivirus fasullo, guarda a caso, il computer dell'utente risulta sempre "infettato" da un'enorme quantità di temibili software nocivi. Per sbarazzarsi rapidamente degli scomodi "intrusi", secondo quanto affermano i malintenzionati, autori dell'attacco in questione, l'utente potrà avvalersi di una speciale soluzione di "sicurezza" IT, proposta, nella circostanza, attraverso la suddetta animazione Flash. La vittima del raggiro dovrà semplicemente provvedere ad inviare un messaggio SMS verso un numero premium (a pagamento), ricevendo, in cambio, un apposito link attraverso il quale, a detta dei malfattori, potrà essere poi effettuato il download del prezioso ed indispensabile "software antivirus". File Flash del genere possono essere visualizzati all'interno di certi siti web che ospitano banner di network pubblicitari; è ben risaputo come, coloro che partecipano alle reti di banner, non disdegnino affatto, di tanto in tanto, posizionare "in sottofondo" qualche redirect verso contenuti indesiderati.

La diciottesima posizione del rating esaminato nel presente capitolo del report è andata ad appannaggio del malware denominato Hoax.HTML.FraudLoad.i; si tratta, nella fattispecie, di un oggetto nocivo concepito sotto forma di pagina HTML preposta ad imitare la finestrella standard visualizzata dall'utente sul proprio browser nel momento in cui egli si accinge ad eseguire il download di un determinato file:

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo Anti-Virus Web; essi sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).

**Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Desideriamo innanzitutto porre in evidenza come la TOP-20 del 2013 relativa ai paesi i cui utenti sono risultati sottoposti con maggior frequenza agli attacchi via Internet presenti una nuova "leadership" rispetto all'analoga graduatoria del 2012: la classifica qui sopra riportata risulta difatti capeggiata dall'Azerbaijan; nel paese caucasico è rimasto vittima di tentativi di attacchi via web il 56,3% di utenti unici. La Russia, che per due anni consecutivi si era piazzata al primo posto della TOP-20 in questione, nel 2013 si è invece collocata alla quarta piazza della graduatoria, facendo registrare un indice pari al 54,5% (- 4,1% rispetto all’analogo valore riscontrato nell’anno precedente).

Rileviamo, inoltre, come non facciano più parte della composizione della TOP-20 - relativa ai paesi i cui utenti sono risultati sottoposti al maggior numero di attacchi via browser - Stati Uniti, Spagna, Oman, Sudan, Bangladesh, Maldive, Turkmenistan. Per ciò che riguarda, invece, le "new entry", sottolineiamo come abbiano fatto la loro apparizione in classifica Austria, Germania, Grecia, Georgia, Kirghizistan, Vietnam ed Algeria.

Gli Stati Uniti, da parte loro, sono repentinamente scesi dal 19° al 25° posto della graduatoria. Rispetto al 2012, l'indice attribuibile agli USA ha fatto registrare un decremento del 7%, attestandosi in tal modo su un valore medio pari al 38,1%. Ricordiamo, con l'occasione, come soltanto due anni fa gli USA occupassero ancora il terzo gradino del podio nella speciale classifica da noi stilata, riguardante il livello di rischio - in base al numero di utenti unici interessati - prodotto dalle minacce web nei vari paesi del globo. Riteniamo che la brusca diminuzione del rischio di contagio informatico - attraverso il web - dei computer appartenenti agli utenti ubicati entro i confini del territorio statunitense, possa in qualche modo dipendere dal fatto che, attualmente, gli utenti USA navigano sempre più di frequente in Internet utilizzando i dispositivi mobili. La Spagna, che nel 2012 si era collocata in ultima posizione, nella speciale TOP-20 da noi stilata, nel 2013 è scesa al 31° posto della graduatoria, facendo complessivamente segnare un indice pari al 36,7% (- 8% rispetto all'analogo valore riscontrato un anno fa).

L'Austria (+ 8%), da parte sua, si è immediatamente insediata in dodicesima posizione, mentre la Germania (+ 9,3%) si è collocata al 13° posto della classifica. L'indice relativo alla Grecia ha fatto registrare, rispetto al 2012, una diminuzione pari a 1,6 punti percentuali; il paese ellenico è andato in tal modo ad occupare la penultima posizione del rating (19a). Chiude la TOP-20 del 2013 un altro paese dell'Europa Occidentale, l'Italia, il cui indice, rispetto all'anno precedente, ha fatto registrare una diminuzione pari a 6 punti percentuali.

In base al livello di «contaminazione» informatica cui sono stati sottoposti i computer degli utenti durante la quotidiana navigazione in Internet nel corso dell'anno qui preso in esame, risulta possibile suddividere i vari paesi del globo in gruppi distinti.

1. Gruppo ad alto rischio
   Tale gruppo, contraddistinto da quote che vanno dal 41% al 60%, annovera i primi 15 paesi presenti nella TOP-20 del 2013. Esso risulta composto da Federazione Russa, Austria, Germania, dalla maggior parte di quei paesi il cui territorio occupa attualmente lo spazio post-sovietico, nonché da varie nazioni situate sul continente asiatico. Il numero dei paesi che compongono il Gruppo ad alto rischio si è più che dimezzato rispetto allo scorso anno: ricordiamo, a tal proposito, come nel 2012 facessero parte di tale raggruppamento ben 31 nazioni.
2. Gruppo a rischio
   Esso è relativo agli indici percentuali che spaziano nel range 21-40,99%. Complessivamente, sono entrati a far parte di questo secondo gruppo ben 118 paesi, tra cui:
   Australia (38,9%), Stati Uniti (38,1%), Canada (36,5%);
   Italia (39,6%), Francia (38,1%), Spagna (36,7%), Gran Bretagna (36,7%), Paesi Bassi (27,3%), Finlandia (23,6%), Danimarca (21,8%);
   Polonia (37,6%), Romania (33,2%), Bulgaria (24,1%);
   Brasile (34,6%), Messico (29,5%), Argentina (25%);
   Cina (32,3%), Giappone (25,3%).
3. Gruppo dei paesi nei quali la navigazione in Internet risulta più sicura (0-20,99%).
   Per ciò che riguarda l'anno 2013, in tale gruppo figurano 25 paesi. Fanno parte di esso Repubblica Ceca (20,3%), Slovacchia (19,7%), Singapore (18,5%), così come una serie di paesi africani.

E' di particolare interesse rilevare come i paesi africani presenti nel gruppo delle nazioni più sicure a livello di navigazione Internet facciano invece parte, relativamente alle minacce IT locali, dei gruppi ad elevato e medio livello di rischio di infezione informatica (vedi più in basso). Il loro inserimento nel gruppo dei paesi più sicuri a livello di minacce Internet trova una logica spiegazione nella specifica peculiarità che contraddistingue tali paesi riguardo ai meccanismi di diffusione dei file: si tratta, in effetti, di aree geografiche in cui l'utilizzo del World Wide Web non risulta ancora particolarmente sviluppato, per cui le procedure di file sharing tra gli utenti dei sistemi informatici avvengono soprattutto tramite i vari supporti di memoria rimovibili. E' per tali specifici motivi che, nei suddetti paesi, il numero degli utenti unici sottoposti al rischio rappresentato dalle minacce web risulta piuttosto limitato; al tempo stesso, sui computer degli utenti ubicati in numerosi paesi del continente africano, vengono di frequente rilevati quei programmi malware che, di solito, si diffondono attraverso i supporti rimovibili.

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

*Quote percentuali relative agli utenti unici sui computer dei quali l'anti-virus ha rilevato l'oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte dell'anti-virus.

Il primo posto della speciale graduatoria relativa ai malware più diffusi nel corso del 2013 a livello di infezioni informatiche locali è andato ad appannaggio di una serie di programmi nocivi classificati come "DangerousObject.Multi.Generic"; tale denominazione viene utilizzata per identificare i programmi malware individuati e neutralizzati con l'ausilio delle nuove ed avanzate tecnologie «in-the-cloud»; ricordiamo, nella circostanza, che tale categoria di oggetti nocivi occupava la seconda posizione dell'analogo rating relativo al 2012. Le suddette tecnologie entrano specificamente in funzione quando non risultano ancora presenti, all'interno dei database antivirus, né le apposite firme né gli euristici indispensabili per poter rilevare e neutralizzare un determinato software nocivo, ma la società produttrice di soluzioni antivirus dispone già, ad ogni caso, nella «nuvola telematica», di informazioni relative all'oggetto dannoso in questione. Di fatto, vengono in tal modo individuati i programmi malware più recenti. Grazie al sistema di rilevamento istantaneo delle minacce - UDS - implementato nelle infrastrutture del Kaspersky Security Network è stata realizzata la protezione in tempo reale di oltre 11 milioni di computer appartenenti ai nostri utenti.

La seconda posizione della graduatoria da noi elaborata risulta occupata dal malware classificato come Trojan.Win32.Generic, leader dell'analoga classifica relativa all'anno precedente.

Gli oggetti dannosi denominati Exploit.Win32.CVE-2010-2568.gen (5° posto) e Trojan.WinLNK.Runner.ea (20° posto) sono riconducibili a file .lnk nocivi (ricordiamo, nella circostanza, che i file con estensione lnk, denominati “file shortcut”, contengono esclusivamente la locazione di un altro file residente nel computer; ne costituiscono un evidente esempio i collegamenti presenti sul desktop). Attraverso i file .lnk appartenenti alle suddette famiglie di malware viene di solito lanciata l'esecuzione di un ulteriore file nocivo eseguibile. Essi vengono attivamente utilizzati dai worm, nel processo di auto-diffusione condotto da questi ultimi attraverso i dispositivi di memoria USB.

Ben 8 dei 20 programmi presenti nella classifica sopra riportata risultano o provvisti di apposito meccanismo di auto-propagazione oppure vengono utilizzati in qualità di componenti negli schemi preposti alla diffusione dei worm: Virus.Win32.Sality.gen (4° posto della graduatoria), Trojan.Win32.Starter.lgb (7° posto), Virus.Win32.Nimnul.a (8° posto), Worm.Win32.Debris.a (9° posto), Virus.Win32.Generic (10° posto), Net-Worm.Win32.Kido.ih (12° posto), Net-Worm.Win32.Kido.ir (14° posto), Trojan.Win32.Starter.yy (15° posto).

La quota percentuale ascrivibile ai celebri worm denominati Net-Worm.Win32.Kido (12° e 14° posto), software nocivi comparsi sulla torbida scena del malware già nel 2008, diminuisce di anno in anno, man mano che gli utenti provvedono ad aggiornare i propri sistemi informatici.

Desideriamo sottolineare come, nell'anno oggetto del presente report, non siano entrati a far parte della TOP-20 qui analizzata gli oggetti nocivi riconducibili alla famigerata famiglia Virus.Win32.Virut; ad ogni caso, le quote attribuibili ad altri rappresentanti della categoria dei virus — Sality (4° posto) e Nimnul (8° posto) — sono aumentate, rispettivamente, dell' 8,5% e dell' 1,4%.

Osserviamo, inoltre, la presenza di una nuova famiglia all'interno del rating relativo al 2013: si tratta del malware Worm.Win32.Debris.a, posizionatosi al 9° posto della graduatoria. Il worm in questione si diffonde, abitualmente, attraverso i supporti di memoria rimovibili, tramite appositi file .lnk. Il payload nocivo convogliato da tale worm è costituito dal programma malware denominato Andromeda, utilizzato per effettuare il download di ulteriori file dannosi. Si tratta, nella fattispecie, di un software malevolo molto noto sul mercato nero della cybercriminalità, ed in particolar modo negli ambienti degli autori di virus, sin dall'anno 2011. Il nuovo metodo utilizzato per effettuarne l'installazione e realizzarne la diffusione è stato tuttavia individuato dai nostri esperti nel quadro delle specifiche peculiarità che contraddistinguono un'altra famiglia di malware.

Il 18° posto del rating relativo alle minacce informatiche di natura locale è andato ad appannaggio del malware denominato Trojan.Win32.Hosts2.gen, riconducibile a quella particolare categoria di software nocivi che si prefigge di modificare il contenuto dei file , al fine di reindirizzare le query degli utenti verso determinati domini, collocati all'interno di host direttamente controllati dai cybercriminali.

I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo anti-virus; essi sono stati ricevuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.

*Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).

**Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

E' ormai più di un anno che le prime venti posizioni del rating qui sopra riportato risultano quasi interamente occupate da paesi ubicati nel continente africano, in Medio Oriente e nel Sud-Est asiatico. Tuttavia, nel corso di questo ultimo anno, la situazione è complessivamente cambiata in meglio. In effetti, mentre nel 2012 la quota relativa al paese leader della speciale graduatoria (Bangladesh) superava addirittura la soglia del 99%, nel 2013, nell'ambito della TOP-20 qui esaminata, il valore dell'indice più elevato non raggiunge nemmeno il 70%.

In media, per ciò che riguarda il gruppo dei paesi che compongono la TOP-20 del 2013, le nostre soluzioni anti-virus hanno rilevato - almeno una volta - oggetti nocivi nel 60,1% dei computer (a livello di hard disk o supporti rimovibili collegati) appartenenti agli utenti del KSN; tali utenti, come abbiamo già specificato in precedenza, forniscono previamente l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Ricordiamo, a tal proposito, che l'analogo indice relativo all'anno 2012 era risultato pari al 73,8%.

Anche relativamente alle minacce informatiche di natura locale, i vari paesi del globo possono essere suddivisi in specifiche categorie di rischio. Vista la complessiva diminuzione del livello di rischio inerente alle infezioni informatiche di natura locale, collegata, con ogni probabilità, ad un minor uso, da parte degli utenti, delle unità di memoria rimovibili per ciò che riguarda la condivisione e lo scambio di informazioni, abbiamo ritenuto opportuno abbassare, rispetto all'analogo report statistico stilato per il 2012, i valori di soglia relativi agli indici percentuali che definiscono i vari gruppi di rischio.

1. Massimo livello di rischio di infezione informatica (indice superiore al 60%):  tale gruppo comprende i 4 paesi che figurano ai vertici della graduatoria, ovvero Vietnam (68,1%), Bangladesh (64,9%), Nepal (62,4%) e Mongolia (60,2%).
2. Elevato livello di rischio di infezione informatica (41-60%): di questo secondo raggruppamento fanno parte ben 67 paesi, tra cui India (59,2%), Cina (46,7%), Kazakhstan (46%), Azerbaijan (44,1%), Russia (41,5%) e la maggior parte dei paesi africani.
3. Medio livello di rischio di infezione informatica (21-40,99%): 78 paesi, tra cui
   Spagna (36%), Francia (33,9%), Portogallo (33,1%), Italia (32,9%), Germania (30,2%), Stati Uniti (29%), Gran Bretagna (28,5%), Svizzera (24,6%), Svezia (21,4%), Ukraina (37,3%),
   Brasile (40,2%), Argentina (35,2%), Cile (28,9%), Corea del Sud (35,2%), Singapore (22,8%).
4. Minimo livello di rischio di infezione informatica (0-20,99%): rientrano in tale categoria soltanto 9 paesi.