Malware tradizionale, mobile, botnet, spam. I volti del crimine digitale sono molteplici, e tornano nei report degli operatori di sicurezza con una certa coerenza: i dati appena pubblicati da Fortinet (FortiGuard Threat Landscape, gennaio-dicembre 2013) concordano quasi perfettamente con quelli di F-Secure. Entrambi i vendor indicano, per il 2013, una percentuale di mobile malware basato su Android pari al 97% circa (97% per F-Secure, 96,5% per Fortinet) delle minacce rivolte a smartphone e tablet complessivamente rilevate. Ed entrambi relegano la somma dei tentativi di attacco rivolti alle piattaforme iOS, Windows Phone e BlackBerry sotto l’1%, mentre la restante fetta del fenomeno, intorno al 3%, è riservata a Symbian.
La distribuzione del mobile malware nel 2013 secondo i FortiGuard Labs
“La rapida crescita del malware rivolto ad Android continua a costituire una preoccupazione per gli amministratori di sistema che hanno implementato una strategia per dispositivi mobili sulle loro reti”, ha dichiarato
Axelle Apvrille, senior mobile antivirus researcher dei FortiGuard Labs di Fortinet.
“Nell’anno trascorso, i FortiGuard Labs hanno rilevato oltre 1.800 nuove famiglie distinte di virus, la maggior parte delle quali rivolta alla piattaforma Android di Google”.
Il ricercatore ha sottolineato, poi, come anche nel 2014 esistano motivi di preoccupazione per i possessori di terminali androidi di fronte al fenomeno del mobile malware:
“Il tasso di crescita non mostra segnali d’arresto e, al contrario, sembra in aumento. All’aumentare del numero di dispositivi Android acquistati e collegati online, crescono anche le opportunità di infezione per gli autori degli attacchi”.
Sulla base degli incidenti segnalati, la Top 10 delle famiglie di mobile malware del 2013 risulta la seguente:
1. Android/NewyearL.B
2. Android/DrdLight.D
3. Android/DrdDream
4. Famiglia Android/SMSSend
5. Famiglia Android/OpFake
6. Android/Basebridge.A
7. Famiglia Android/Agent
8. Android/AndCom.A
9. Famiglia Android/Lotoor
10. Android/Qdplugin.A
Un trojan da 20 milioni di attacchiFuori dal mondo mobile, anche il più tradizionale computing da Pc non ha avuto vita facile lo scorso anno. La minaccia più diffusa si è confermata
ZeuS, trojan che è stato rilevato in oltre 20 milioni di tentativi di infettare le reti protette da FortiGate. Ed è preoccupante notare come, dalla sua comparsa nel 2007 a oggi, il trojan abbia continuato la sua esistenza mutando e generando innumerevoli imitazioni.
“Un interessante e nefasto sviluppo alla fine del 2013 ha visto l’utilizzo delle infezioni di ZeuS in un nuovo modo”, ha spiegato
Richard Henderson, security strategist dei FortiGuard Labs.
“Mentre ZeuS è stato spesso utilizzato come trojan finanziario, un numero significativo di infezioni ZeuS è stato impiegato per distribuire il ransomware Cryptolocker. Cryptolocker ha dato una nuova svolta al ransomware nel senso di utilizzare coppie di chiavi crittografiche generate univocamente per crittografare completamente i contenuti del computer di una vittima e qualsiasi unità mappata sulla quale la vittima ha l’abilità di scrivere”.
“Cryptolocker”, ha proseguito il security strategist,
“informa quindi la vittima che ha un breve periodo di tempo per pagare un consistente riscatto, talvolta fino ad alcune centinaia di dollari, e solitamente pagabile solo utilizzando la moneta elettronica Bitcoin, prima che la chiave utilizzata per crittografare il computer della vittima venga eliminata, rendendo completamente irrecuperabili tutti i file”. Le vittime spaziano da utenti domestici che hanno perso migliaia di file personali, ad aziende di tutte le dimensioni ed enti pubblici. Cryptolocker ha infettato utenti anche tramite altri metodi, incluse unità flash infette, spesso in combinazione con falsi strumenti di attivazione programmi solitamente diffusi tramite siti di condivisione file e allegati email infetti.
L'andamento degli indicidenti creati da malware nel 2013 (in milioni)
Botnet, un business non improvvisato
Altro fenomeno di rilievo dell’anno trascorso è stato
ZeroAccess, identificato da Fortinet come la
botnet più prolifica dell’anno: dall’inizio del 2013 in poi sono state rilevate ogni settimana circa 100mila nuove infezioni da parte dei suoi controller. L’ipotesi formulata dai ricercatori dei FortiGuard Labs è che i creatori di ZeroAccess abbiano costruito insieme all’infezione anche un “modello di business” molto profittevole.
“Come altri cyber criminali”, ha commentato Henderson,
“i proprietari di ZeroAccess hanno preso spunto dal mondo del business legittimo per tentare di diversificare la generazione dei propri profitti. Abbiamo visto l’utilizzo di versioni a 32 e 64-bit di ZeroAccess per commettere ‘click fraud’, ‘search engine poisoning’ e per minare Bitcoin. Con l’incredibile aumento del valore di Bitcoin nel 2013, è probabile che i proprietari di ZeroAccess abbiamo tratto un notevole profitto a scapito delle loro vittime”.
Sulla base degli incidenti segnalati, la clasifica delle prime dieci botnet (con percentuale di dominanza complessiva) è la seguente:
1. ZeroAccess (88,65%)
2. Andromeda (3,76%)
3. Jeefo (3,58%)
4. Smoke (2,03%)
5. Morto (0,91%)
6. Mariposa (0,43%)
7. Waledac (0,18%)
8. IMDDOS (0,18%)
9. Mazben (0,15%)
10. Torpig (0,10%)
I primi dieci Paesi produttori di spam nel 2013
Spam in salsa indianaIl fenomeno del bombardamento di email spazzatura è ancora forte, nonostante il crescente peso di forme di criminalità più evolute, come le botnet e il mobile malware. Lo scorso anno le appliance Fortinet hanno bloccato
miliardi di email di spam in tutto il mondo, rilevando una molteplicità di metodi di raggiro: dai falsi messaggi fax agli annunci di prodotti farmaceutici, dagli allegati ai link dannosi concepiti per distribuire malware.
“Ciò che probabilmente è più interessante notare”, ha commentato Henderson,
“è quanto siano diversificati a livello mondiale gli spammer nell’inviare i loro messaggi: le nostre statistiche mostrano che nonostante la metà dei messaggi totali osservati nel 2013 provenga dall’Europa dell’Est e dalla Russia, i paesi rimanenti nella nostra top 10 sono distribuiti in tutto il mondo”.
Nella classifica dei primi dieci “esportatori” di spam, l’
India è al primo posto con il 22,66% dei messaggi prodotti, e seguono Cina (18,39%), Belarus (12,40%), Russia (10,27%), Stati Uniti (10,06%), Kazakhstan (6,14%), Spagna (5,37%), Argentina (5,00%), Ucraina (4,93%) e Taiwan (4,78%).