Kaspersky Lab scopre pericolosa vulnerabilità zero-day in Silverlight

Un pericoloso bug in Microsoft Silverlight ha messo potenzialmente a rischio milioni di utenti. Kaspersky Lab ha scoperto una vulnerabilità zero-day all’interno di Silverlight, una tecnologia web utilizzata per visualizzare contenuti multimediali. La vulnerabilità avrebbe consentito ad un criminale informatico di ottenere l’accesso completo ai computer violati ed eseguire un codice nocivo con lo scopo di rubare informazioni segrete e compiere altre azioni illegali. La vulnerabilità CVE-2016-0034 è stata corretta durante l’ultimo Patch Tuesday, aggiornamento rilasciato da Microsoft il 12 gennaio 2016. La scoperta è il risultato di un’indagine cominciata oltre cinque mesi fa e pubblicata in un articolo di Ars Technica.

Kaspersky Lab scopre Duqu 2.0, piattaforma malware più sofisticata

I ricercatori della società di sicurezza Internet russa Kaspersky Lab hanno scoperto un nuovo attacco stato-nazione attribuito ai membri della gang dei famigerati malware Stuxnet e Duqu. Kaspersky Lab ha scoperto Duqu 2.0 - una piattaforma malware altamente sofisticata che sfrutta tre vulnerabilità zero-day. Le infezioni malware sono legate all’evento P5+1 e alle sedi utilizzate per le riunioni di alto livello di leader mondiali. Kaspersky Lab è sicuro che i suoi clienti e partner siano al sicuro e che non ci siano ripercussioni per i prodotti, tecnologie e servizi dell’azienda. Nella primavera 2015 Kaspersky Lab ha rilevato un’intrusione informatica che ha colpito diversi suoi sistemi interni.

Kaspersky: metà istituzioni finanziarie non teme perdite da cybercrime

Secondo un sondaggio condotto da Kaspersky Lab e da B2B International nel corso della prima metà del 2014, il 52% delle società finanziarie rimborsa le perdite subite dai clienti durante una frode online, senza indagare sulle circostanze. Quasi un terzo delle aziende ritiene che i costi sostenuti a causa delle minacce informatiche sono inferiori al costo che comporterebbe dotarsi di una protezione. Considerato l'interesse sempre maggiore dei cybercriminali nei confronti dell'e-payments, questo approccio potrebbe tradursi in notevoli spese per l'azienda.

Kaspersky Lab individua e blocca exploit 0-day in Adobe Flash Player

Il sottosistema di protezione e di rilevazione euristico di Kaspersky Lab ha bloccato gli attacchi mirati ad una vulnerabilità di tipo zero-day nel software di Adobe Flash Player. I ricercatori di Kaspersky Lab hanno scoperto questa falla presa di mira da exploit distribuiti tramite un sito web del governo creato per raccogliere le denunce pubbliche riguardanti le violazioni della legge in Medio Oriente. A metà aprile gli esperti di Kaspersky Lab hanno analizzato i dati provenienti dal http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf e hanno scoperto un exploit mai visto in precedenza. Attraverso un esame più approfondito si è scoperto che l'exploit stava usando una vulnerabilità, anche questa sconosciuta, all’interno del popolare software multimediale Adobe Flash Player. 

La vulnerabilità era presente in Pixel Bender - un vecchio componente progettato per il video e l'elaborazione fotografica. Ulteriori indagini hanno accertato che gli exploit sono stati distribuiti da un sito web creato nel 2011 dal Ministero della Giustizia siriano per consentire alle persone di presentare i reclami inerenti alle violazioni della legge. I ricercatori di Kaspersky Lab credono che l'attacco sia stato progettato per individuare i dissidenti siriani che si lamentavano del governo. Gli esperti di Kaspersky Lab hanno scoperto, in totale, due tipi di exploit con qualche differenza per quanto riguarda lo shellcode.

Lo shellcode è un piccolo pezzo di codice utilizzato come payload quando si sfrutta la vulnerabilità di un software. "Il primo exploit ha mostrato un comportamento piuttosto primitivo di download e esecuzione di payload mentre il secondo ha provato ad interagire con Cisco MeetingPlace Express Add-In, uno speciale plugin di Flash per il co-working che consente una visione congiunta di documenti e immagini sul desktop del PC dell'utente. Questo plugin è del tutto regolare, ma in circostanze particolari come queste potrebbe essere usato come strumento di spionaggio", ha detto Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager di Kaspersky Lab.

"Inoltre abbiamo scoperto che questo 'secondo' exploit funziona solo se sul PC è stata installata una determinata versione di Flash Player e di CMP Add-In. Questo vuol dire che i criminali avevano pensato ad un attacco rivolto ad una lista molto limitata di vittime", ha aggiunto Vyacheslav Zakorzhevsky. Subito dopo aver scoperto il primo exploit, gli specialisti di Kaspersky Lab hanno contattato i rappresentanti di Adobe per informarli della nuova vulnerabilità. Dopo aver esaminato le informazioni fornite da Kaspersky Lab Adobe ha riconosciuto che la vulnerabilità ha uno status zero-day e ha di conseguenza, sviluppato una patch resa disponibile sul sito di Adobe. 

Il numero di questa vulnerabilità è CVE-2014-0515. I browser Chrome e Internet Explorer aggiornano Flash Player automaticamente. "Nonostante siano stati individuati solo un numero limitato di tentativi volti a sfruttare questa vulnerabilità, raccomandiamo vivamente agli utenti di aggiornare la versione del software Adobe Flash Player. E' possibile che una volta che le informazioni su questa vulnerabilità vengano rese note, i criminali possano cercare o di riprodurre questi nuovi exploit o in qualche modo tentare di ottenere le varianti esistenti e utilizzarle in altri attacchi", ha detto Vyacheslav Zakorzhevsky. 

"Anche con una patch disponibile, i criminali informatici si aspettano di trarre profitto da questa vulnerabilità considerato che un aggiornamento a livello mondiale di un software cosi utilizzato come Flash Player richiederà sicuramente un periodo di tempo non breve. Purtroppo questa vulnerabilità sarà pericolosa ancora per un po'", ha concluso Zakorzhevsky. E' possibile trovare ulteriori dettagli su questa vulnerabilità in Adobe Flash qui. E' la seconda volta quest'anno che gli specialisti di Kaspersky Lab scoprono una vulnerabilità di tipo zero-day. Nel mese di febbraio, gli specialisti dell'azienda hanno scoperto CVE-2014-0497 - un'altra vulnerabilità zero-day sempre in Adobe Flash Player, che consentiva ai criminali di infettare il computer della vittima.

Il sottosistema di rilevamento euristico

Il sottosistema di rilevazione euristica è una parte del motore antivirus utilizzato in molteplici prodotti Kaspersky Lab sia per utenti privati che per utenti business, come Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business e altri. Proprio come un antivirus tradizionale, questo sistema utilizza un database di firme per rilevare i software dannosi. Mentre però la tecnologia antivirus di solito richiede una firma per ogni singolo pezzo di malware, non importa quanto strettamente connessi, la rilevazione euristica è in grado di coprire tutto il range di programmi nocivi. 

Per farlo utilizza speciali firme euristiche che rilevano non solo i singoli pezzi di malware ma anche le intere collezioni di programmi dannosi raggruppati in base a un elenco di caratteristiche speciali. La firma euristica che copriva il comportamento del nuovo zero-day exploit in Adobe Flash è stata aggiunta al database di Kaspersky Lab già a gennaio. Inoltre, durante una prova speciale condotta dagli specialisti di Kaspersky Lab si è scoperto che gli exploit che utilizzano CVE-2014-0515 vengono rilevati con precisione per sfruttare la tecnologia Automatic Exploit Prevention di Kaspersky Lab - un altro potente strumento per rilevare tutte quelle minacce non ancora note. 

A novembre del 2013, la stessa tecnologia ha bloccato con successo gli attacchi individuando una vulnerabilità di tipo zero-day nel software di Microsoft Office. All fine del 2012, in modo proattivo, ha bloccato diversi componenti dannose che - come si è scoperto in seguito - appartenevano a Ottobre Rosso, una campagna di cyber- spionaggio su vasta scala rilevato dai ricercatori di Kaspersky Lab nel mese di gennaio 2013.  Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche "Rocra", con un'unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan. Per ulteriori informazioni: www.kaspersky.com/it Fonte: Immediapress

Kaspersky Internet Security for Android protegge smartphone e tablet

Kaspersky Lab annuncia il lancio di Kaspersky Internet Security for Android, una soluzione di protezione premium per smartphone e tablet Android. Questa soluzione integra tutto ciò che serve agli utenti per proteggere i propri dispositivi mobile e i dati in essi contenuti da furto, smarrimento, virus e minacce via Internet in tempo reale. Che siano impegnati a scaricare app, navigare sul web, compiere attività di banking, shopping, o collegarsi ai social network, gli utenti sono al sicuro da ogni minaccia Internet, potendo sfruttare in tutta tranquillità le massime prestazioni dei loro dispositivi.

Proteggersi da nuovi malware ed exploit con soluzioni di Kaspersky Lab

Kaspersky Lab annuncia il lancio delle nuove versioni delle soluzioni di sicurezza per gli utenti domestici Kaspersky Anti-Virus 2014 e Kaspersky Internet Security 2014, dotate di nuove tecnologie di protezione e una serie di funzionalità che garantiscono la massima protezione per i PC. Secondo Kaspersky Security Network basato su cloud, circa 200.000 nuovi campioni di malware vengono scoperti ogni giorno, rispetto ai 125.000 di un anno fa. 

I criminali informatici guadagnano milioni di dollari utilizzando malware, Trojan e phishing che entrano in possesso di conti online e profili dei social network. La conseguenza della mancanza di protezione contro queste minacce informatiche non causa solo un numero elevato di email di spam o il rallentamento del computer, ma può arrivare a danneggiare economicamente l’utente. 

Secondo i dati raccolti tramite il Kaspersky Security Nertwork, almeno 7,5 milioni di clienti Kaspersky Lab nel mondo sono stati colpiti da attacchi di phishing nel periodo compreso tra aprile 2012 e maggio 2013. Queste truffe, che vengono portate avanti attraverso email progettate per sembrare legittime, sottraggono le credenziali per le operazioni di online banking e altri dati finanziari dell’utente. Dal momento che Kaspersky Security Network analizza solo i clienti di Kaspersky Lab, il numero totale di utenti colpito da attacchi di phishing in tutto mondo è probabilmente pari a centinaia di milioni. 

Secondo un’indagine condotta da B2B International a giugno 2013, il 62% degli utenti Internet ha sperimentato almeno un attacco relativo all’online banking, allo shopping e ai servizi di pagamento durante gli ultimi 12 mesi. Purtroppo, per il 41% delle vittime è stato impossibile recuperare il denaro. Secondo numerose ricerche di settore, queste percentuali si riferiscono a circa 700 milioni di persone in tutto il mondo che utilizzano regolarmente i servizi di online banking. 

Quindi, se ciascuna delle vittime truffate compresa in questo 41% ha perso anche solo una piccola somma di denaro, il totale dei soldi rubati è pari a circa 5-10 miliardi di dollari. Nella battaglia contro il moderno crimine informatico, le soluzioni di sicurezza devono quindi affrontare una sfida ben precisa: prevenire queste ingenti perdite di denaro. Le nuove versioni di Kaspersky Anti-Virus 2014 e Kaspersky Internet Security 2014 sono state sviluppate tenendo in considerazione questi requisiti.

Tecnologie di protezione di alta qualità

Le tecnologie antivirus innovative integrate in Kaspersky Anti-Virus 2014 e Kaspersky Internet Security 2014, migliorano in modo significativo la protezione per l’utente. Entrambi i prodotti includono la tecnologia antivirus ZETA Shield (si pensi ai documenti PDF fogli di calcolo XLS), che esegue una scansione approfondita di file e applicazioni in esecuzione sul computer per identificare i malware che potrebbero nascondersi dentro i singoli componenti di ogni programma.

Kaspersky Lab offre un’ulteriore protezione dalle minacce emergenti grazie alla tecnologia Automatic Exploit Prevention, che analizza i programmi per verificare se si manifestano comportamenti tipici degli exploit. La tecnologia Automatic Exploit Prevention monitora attentamente i programmi che vengono colpiti più di frequente dai criminali informatici, come Java e Adobe Reader; per impedire loro di sfruttare le falle sconosciute presenti nei software legittimi e attivare le difese del computer.

Grazie a questo, la tecnologia Automatic Exploit Prevention individua le più recenti e pericolose minacce, comprese quelle che non sono state mai rilevate dai produttori di antivirus. Non sono solo le minacce nuove o sofisticate a creare dei rischi. Minacce conosciute come i Trojan ransomware possono bloccare l’accesso ai computer e chiedere agli utenti di pagare per poter “sbloccare” la macchina, questo anche quando è presente un antivirus installato nel sistema.

In molti casi, gli utenti ignorano gli avvertimenti di sicurezza dei loro programmi di protezione e installano volontariamente un programma che imita file musicali, documenti e altri programmi legittimi, per realizzare solo successivamente che si tratta di fatto di programmi nocivi.

Oggi, grazie alla nuova tecnologia Anti-Blocker implementata in Kaspersky Anti-Virus 2014 e Kaspersky Internet Security 2014, i ransomware non sono più una minaccia. Se gli utenti Kaspersky Lab si trovano davanti ad una richiesta di pagamento per sbloccare il proprio computer, devono semplicemente premere una combinazione di tasti e Anti-Blocker sarà in grado di individuare e rimuovere il malware.

Protezione totale con Kaspersky Internet Security 2014

I blocker non sono l’unica tecnica utilizzata dai criminali informatici per ottenere profitti illegali dai computer degli utenti. Gli attacchi di phishing e i programmi Trojan sono stati progettati per rubare le credenziali con cui poter accedere ai sistemi di online banking e sono anche gli strumenti nocivi più comuni. La tecnologia Safe Money di Kaspersky Lab, introdotta nella precedente versione di Kaspersky Internet Security, ha già dimostrato di offrire un ulteriore livello di protezione estremamente affidabile per le operazioni finanziarie online.

In Kaspersky Internet Security 2014 la tecnologia è stata migliorata, includendo il supporto per i browser online, facendo aumentare notevolmente il numero di siti affidabili di online banking, servizi di pagamento e negozi online. Un’altra importante innovazione presente in Kaspersky Internet Security 2014 è la modalità Trusted Applications. Questa protegge il computer consentendo di eseguire solo le applicazioni che sono state identificate come sicure.

Grazie al sistema multi-livello che verifica la legittimità dei programmi e ad un sistema intelligente che può adattarsi ad ogni particolare utente, questa modalità è in grado di fornire un elevato livello di sicurezza. La funzionalità Trusted Applications si basa su un costante aggiornamento del database Whitelisting per le applicazioni legittime. Il database contiene oltre 700 milioni di voci univoche, ciascuna con un’accurata descrizione di tutte le applicazioni più popolari comprese nel sistema operativo, nei browser, negli strumenti per la visualizzazione delle immagini, video player e giochi.

Per gli utenti che hanno dei bambini, Kaspersky Internet Security 2014 offre una nuova e più affidabile funzionalità di Parental Control che consente controlli flessibili su tutti i possibili scenari in cui un bambino può utilizzare il computer. Questa modalità comprende un set di profili predefiniti e diversi scenari di utilizzo di un computer, in base alle diverse età, fornendo ai genitori la possibilità di modificare queste impostazioni a loro discrezione.

Il Parental Control consente ai genitori di determinare quando e per quanto tempo i bambini possono utilizzare il computer, quali applicazioni possono essere o non essere avviate e quali informazioni, come ad esempio il numero delle carte di credito e l’indirizzo di casa, devono essere bloccate per impedire che vengano condivise sui social network. Kaspersky Anti-Virus 2014 e Kaspersky Internet Security 2014 sono stati ottimizzati per garantire il minimo consumo di risorse del PC.

Allo stesso tempo, grazie ai miglioramenti dell’interfaccia, le soluzioni di protezione Kaspersky Lab sono diventate semplici da usare. Per la prima volta, i prodotti Kaspersky Lab hanno una funzione integrata per i social network, che consente agli utenti di rendere più sicuro il proprio computer quando utilizzano i social network. Nikolay Grebennikov, Chief Technology Officer di Kaspersky Lab, ha dichiarato:

“Le tecnologie presenti in Kaspersky Anti-Virus 2014 e Kaspersky Internet Security 2014 sono gli strumenti di protezione più avanzati al momento disponibili e sono progettati per proteggere i dati finanziari e le informazioni personali dei nostri clienti. Gli esperti di Kaspersky Lab hanno lavorato assiduamente allo sviluppo delle tecnologie come ZETA Shield e Automatic Exploit Prevention che aiutano a prevenire le più sofisticate minacce informatiche”.

Kaspersky Anti-Virus 2014 e Kaspersky Internet Security 2014 sono disponibili per l'acquisto sul negozio online di Kaspersky Lab. I clienti attuali potranno aggiornare gratuitamente da versioni precedenti ai nuovi prodotti per il restante periodo di licenza esistente. Per ulteriori informazioni in merito alle nuove soluzioni Kaspersky Internet Security 2014 e Kaspersky Anti-Virus 2014, visitare il sito: http://www.kaspersky.com/it.

Oltre 37 milioni di utenti hanno subito in ultimo anno attacchi di phishing

Secondo i risultati della ricerca “L’evoluzione degli attacchi di phishing 2011-2013” di Kaspersky Lab, il numero degli utenti Internet colpiti da attacchi di phishing nell’ultimo anno è cresciuto da 19,9 milioni a 37,7 milioni, con un aumento dell’87%. Facebook, Yahoo!, Google e Amazon sono i principali obiettivi dei criminali informatici. L’indagine, realizzata nel giugno 2013 sulla base dei dati forniti dal servizio cloud di Kaspersky Security Network dimostra che quello che una volta era un sottoinsieme dello spam, si è evoluto in un minaccia informatica in rapida crescita.

Minacce IT, l'evoluzione nel Q1 2013: nuovi incidenti e vecchi sospetti

Nell’ultimo report, gli esperti di Kaspersky Lab hanno analizzato lo sviluppo delle minacce IT nel primo trimestre del 2013. I primi tre mesi dell'anno sono stati caratterizzati da vari incidenti, legati principalmente a spionaggio e armi informatiche. All'inizio dell'anno Kaspersky Lab ha pubblicato un report che analizzava una serie di operazioni globali di spionaggio informatico, Ottobre Rosso. Questi attacchi mirati colpivano agenzie governative, organizzazioni diplomatiche e aziende in tutto il mondo. 

Oltre a colpire le workstation, Ottobre Rosso era anche in grado di sottrarre dati dai dispositivi mobile, dalle apparecchiature di rete, dai file archiviati nei drive USB, dagli archivi di posta da Outlook e dai server remoti POP/IMAP ed estrarre i file dal server locale FTP in Internet. A febbraio venne individuato un nuovo programma nocivo, nominato MiniDuke, che è riuscito a penetrare nei sistemi grazie alla vulnerabilità 0-day presente in Adobe Reader (CVE-2013-0640). 

Kaspersky Lab, insieme alla società ungherese CrySys Lab, ha condotto un’indagine sulla tipologia di incidenti che coinvolgevano questo malware. Le vittime colpite da MiniDuke erano agenzie governative presenti in Ucraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda, un’organizzazione di ricerca e un istituto di ricerca in Ungheria, due centri di ricerca scientifica e una struttura medica negli Stati Uniti. In totale, ha rilevato 59 vittime in 23 paesi. A febbraio è stato anche pubblicato da Mediant un report su una serie di attacchi lanciati da un gruppo di hacker cinesi denominati APT1. 

Mediant ha dichiarato che l’autore con ogni probabilità era una divisione dell’esercito cinese. Questa non è la prima volta che Pechino viene accusata di complicità in attacchi informatici contro agenzie governative e organizzazioni di altri paesi. Alla fine di febbraio, Symantec ha pubblicato uno studio su una “vecchia” versione di Stuxnet identificata recentemente, Stuxnet 0.5, che si è rivelata essere la più antica versione del worm che fu attivo tra il 2007 e il 2009. Gli esperti hanno dichiarato che sono ancora in circolazione le versioni precedenti del worm, ma che questa rappresenta la prima prova concreta.  

“Nel primo trimestre del 2013 si sono verificati un gran numero di incidenti legati allo spionaggio informatico e alle armi informatiche. Gli incidenti che richiedono mesi di indagini sono rari nel settore antivirus. Ancora più rari sono gli eventi che mantengono una certa gravità anche tre anni dopo essersi manifestati, come ad esempio Stuxnet”, ha dichiarato Dennis Maslennikov, Senior Malware Analyst di Kaspersky Lab.

“Anche se questo worm è stato studiato da numerosi produttori di antivirus, sono ancora presenti numerosi moduli che non sono stati studiati nel dettaglio. Lo studio relativo alla versione 0.5 di Stuxnet ha fornito molte informazioni sui programmi nocivi in generale. In futuro, è probabile che verranno raccolte ancora più informazioni. Lo stesso vale per le armi informatiche individuate dopo Stuxnet, così come il malware impiegato per lo spionaggio informatico”.

Nel primo trimestre del 2013  si sono verificati anche attacchi mirati contro tibetani e attivisti uiguri. Gli aggressori hanno utilizzato ogni strumento a loro disposizione per raggiungere i propri obiettivi, tra cui anche gli utenti Mac OS X, Windows e Android. Dal 2011 abbiamo assistito ad attacchi hacking di massa contro le aziende e alcune importanti perdite di dati per gli utenti. Per i criminali informatici le grandi aziende sono sempre un obiettivo di grande interesse, perché hanno a disposizione una grande quantità di dati riservati, comprese le informazioni degli utenti.

Nel primo trimestre del 2013 le vittime più colpite sono stati gli utenti di Apple, Facebook, Twitter, Evernote. Il primo trimestre del 2013 è stato anche caratterizzato da numerose minacce mobile. Gennaio è stato un mese abbastanza tranquillo per gli autori di virus mobile, ma nei mesi successivi Kaspersky Lab ha rilevato più di 20.000 nuove versioni di malware mobile, il che equivale a circa la metà di tutti i campioni di malware rilevati durante il 2012. Ci sono stati anche dei cambiamenti nella geografia delle minacce.

Questa volta, la Russia (19%, con -6 punti percentuali) e gli Stati Uniti (25%, con +3 punti percentuali) ancora una volta si sono posizionati ai nei primi posti in termini di servizi di hosting nocivi. Gli Stati Uniti si sono aggiudicati la prima posizione, mentre le percentuali degli altri paesi sono rimaste più o meno invariate rispetto al quarto trimestre del 2012. La valutazione delle vulnerabilità più diffuse non ha subito grandi variazioni.

Le vulnerabilità di Java sono ancora le più diffuse, rilevate sul 45,26% di tutti i computer. In media, gli esperti di Kaspersky hanno contato otto diverse violazioni su ogni macchina vulnerabile. E' stata determinata da Kaspersky Lab la ripartizione per singoli paesi delle quote percentuali di utenti del Kaspersky Security Network sui computer dei quali, nel corso del primo trimestre del 2013, sono stati bloccati tentativi di infezione informatica di natura «locale».

Le cifre ricavate dalle elaborazioni statistiche eseguite dagli esperti di Kaspersky Lab riflettono pertanto i valori medi relativi al rischio di contaminazione «locale» esistente sui computer degli utenti nei vari paesi del globo. La graduatoria stilata si riferisce esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni anti-virus di Kaspersky Lab.

In media, nel 31,4% del totale complessivo dei computer facenti parte del Kaspersky Security Network (KSN) - in pratica in un computer su tre - è stato individuato perlomeno una volta un file dannoso, residente nel disco rigido o in supporti rimovibili collegati al computer; tale valore ha fatto registrare una diminuzione dello 0,8% rispetto all’analogo indice riscontrato nel trimestre precedente. Per leggere il report completo sull’evoluzione delle minacce nel primo trimestre 2013 visitare il sito securelist.com

Kaspersky Lab protegge le macchine virtuali con nuovi sistemi di difesa

Kaspersky Lab ha presentato Kaspersky Security for Virtualization 2.0, l’ultima versione della soluzione di sicurezza per le macchine virtuali che utilizzano la piattaforma VMware. Grazie all’integrazione con le nuove funzioni in VMware vCloud Networking and Security, la nuova soluzione consente di offrire ulteriori funzionalità per rilevare e proteggere la rete dalle intrusioni. La protezione anti-malware del prodotto è stata significativamente migliorata grazie alle informazioni sulle minacce, fornite in tempo reale dal Kaspersky Security Network. L'architettura, look and feel e funzionalità tipiche di Kaspersky, e la suite di prodotti si comportano esattamente come ci si aspetterebbe.

Kaspersky Lab individua Red October, campagna di spionaggio informatico

Kaspersky Lab ha pubblicato un nuovo rapporto di ricerca che ha individuato un inafferrabile campagna di cyber-spionaggio che ha come targeting diplomazia, organizzazioni di ricerca governative e scientifiche in diversi paesi per almeno cinque anni. L'obiettivo principale di questa campagna è rivolta a paesi dell'Europa dell'Est, ex Repubbliche URSS, e paesi in Asia centrale, anche se le vittime possono essere trovate in tutto il mondo, tra cui l'Europa occidentale e il Nord America. 

L'obiettivo principale degli aggressori era quello di raccogliere documenti sensibili da parte delle organizzazioni compromesse, tra cui l'intelligenza geopolitica, le credenziali per accedere ai sistemi informatici classificati, e i dati personali da dispositivi mobili e apparecchiature di rete. 

 A ottobre 2012 il team di esperti di Kaspersky Lab di esperti ha avviato un'inchiesta a seguito di una serie di attacchi contro reti informatiche destinate ad agenzie internazionali di servizio diplomatico.  Una attività in larga scala di cyber-spionaggio di rete è stato rivelato e analizzato nel corso dell'inchiesta. Secondo il rapporto di analisi di Kaspersky Lab, l'Operazione Red October (Ottobre Rosso), chiamata "Rocra" in breve, è ancora attiva a gennaio 2013, ed è una campagna che risale fino al 2007. 

Principali Research Findings

Ottobre Rosso, cyber-spionaggio di rete avanzato: gli aggressori sono attivi almeno dal 2007 e si sono concentrati sulle agenzie diplomatiche e governative di diversi paesi in tutto il mondo, oltre a istituti di ricerca, gruppi di energia e nucleare, obietivi commerciali e aerospaziali. Gli stessi aggressori di Ottobre Rosso hanno progettato il loro malware, identificato come "Rocra", che ha la sua singolare architettura modulare composta di codice dannoso, moduli info-stealing e Trojan backdoor. 

Gli aggressori utilizzano informazioni di frequente exfiltrate dalle reti infette come un modo per entrare nei sistemi aggiuntivi. Ad esempio, le credenziali rubate sono state riportate in un elenco e utilizzato quando gli attaccanti dovevano indovinare le password o frasi di accedere ai sistemi aggiuntivi. Per controllare la rete di computer infetti, gli attaccanti hanno creato più di 60 nomi a dominio e posizionato vari server di hosting in diversi paesi, la maggior parte in Germania e in Russia. 

Le analisi di Kaspersky Lab delle infrastrutture di Command & Control di Rocra (C2) dimostrano che la catena di server ha lavorato in realtà come proxy per nascondere la posizione del server di controllo della "mothership". Le informazioni rubate da sistemi infetti includono i documenti con le estensioni: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, chiave, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. In particolare, l'esetnsione "acid" sembra riferirsi al software classificato "Acid Cryptofiler", che viene utilizzato da diversi enti, dall'Unione Europea alla NATO. 

Vittime dell'infezione

Per infettare i sistemi gli attaccanti hanno inviato una e-mail di spear-phishing mirata a una vittima che ha incluso un Trojan dropper personalizzato. Per installare il malware e infettare il sistema, il messaggio di posta elettronica dannoso include exploit che sono stati costruiti per colpire vulnerabilità di sicurezza all'interno di Microsoft Office e Microsoft Excel [CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) e CVE-2012-0158 (MS Word)].

Gli exploit dei documenti utilizzati nelle e-mail di spear-phishing sono stati creati da altri attaccanti e impiegati durante attacchi informatici diversi, che includono attivisti tibetani e obiettivi militari e del settore energetico in Asia. L'unica cosa che è stata modificata nel documento utilizzato dal Rocra era l'eseguibile incorporato, che gli attaccanti lo hanno sostituito con il proprio codice. In particolare, uno dei comandi del Trojan dropper ha cambiato la tabella codici di sistema predefinita della sessione di prompt dei comandi a 1251, che è necessario per il rendering dei caratteri cirillici. 

Le vittime e le organizzazioni colpite 

Gli esperti di Kaspersky Lab hanno utilizzato due metodi per analizzare le vittime colpite. In primo luogo, hanno usato le statistiche di rilevamento da Kaspersky Security Network (KSN), il servizio di sicurezza basato su cloud utilizzato dai prodotti Kaspersky Lab per segnalare la telemetria e offrire una protezione avanzata delle minacce sotto forma di blacklist e le regole euristiche. 

KSN aveva rilevato il codice dell'exploit utilizzato dal malware già nel 2011, che ha consentito agli esperti di Kaspersky Lab di svolgere analoghe rilevazioni inerenti a Rocra. Il secondo metodo utilizzato dal team di ricerca di Kaspersky Lab è stata la creazione di un server sinkhole in modo da poter monitorare i computer infetti che si connettono a server C2 di Rocra. I dati ricevuti durante l'analisi di entrambi i metodi ha fornito due modi indipendenti correlati e confermano le loro scoperte. 

• Statistiche KSN: diverse centinaia di sistemi unici infetti sono stati rilevati dai dati di KSN, con gli obiettivi  che erano per lo più ambasciate, reti governative e organizzazioni, istituti di ricerca scientifica e consolati. Secondo i dati KSN, la maggior parte delle infezioni che sono state identificate erano situate essenzialmente in Europa orientale, ma altre infezioni sono state rilevate anche in Nord America e nei paesi dell'Europa occidentale, come la Svizzera e il Lussemburgo.
• Statistiche Sinkhole: L'analisi sinkhole di Kaspersky Lab ha avuto luogo dal 2 novembre 2012 al 10 gennaio 2013. Durante questo periodo più di 55.000 connessioni da 250 indirizzi IP infetti sono stati registrati in 39 paesi. La maggior parte delle connessioni IP infette provenivano dalla Svizzera, seguita da Kazakistan e Grecia.

Rocra malware: architettura funzionalità uniche
Gli attaccanti hanno creato una piattaforma di attacco multifunzionale che include diverse estensioni e file maligni progettati per adattarsi rapidamente alle configurazioni di diversi sistemi e dei gruppi di intelligence delle macchine infette. La piattaforma è unica per Rocra e non è stato identificata da Kaspersky Lab in precedenti campagne di cyber-spionaggio. Le notevoli caratteristiche includono:

• Modulo "Resurrezione": un modulo unico che consente ai malintenzionati di "resuscitare" le macchine infette. Il modulo è incorporato come plug-in all'interno di Adobe Reader e le installazioni di Microsoft Office e fornisce agli attaccanti un modo infallibile per riottenere l'accesso a un sistema di destinazione se il corpo del malware principale viene scoperto e rimosso, o se il sistema è patchato. Una volta che i sever C2S sono nuovamente operativi gli attaccanti inviano via e-mail un file specifico (PDF o un documento Office) alle macchine delle vittime, che attiverà il malware nuovamente.

• Moduli-spia crittografati avanzati: lo scopo principale dei moduli di spionaggio è quello di rubare informazioni. Ciò include i file da sistemi crittografici differenti, come Acid Cryptofiler , che è noto per essere utilizzato in organizzazioni come la NATO, l'Unione europea, il Parlamento europeo e la Commissione europea a partire dall'estate del 2011 per proteggere le informazioni sensibili.

• Dispositivi mobile: oltre a colpire postazioni di lavoro tradizionali, il malware è in grado di rubare dati da dispositivi mobile, come smartphone (iPhone, Nokia e Windows Mobile). Il malware è anche in grado di rubare le informazioni di configurazione di dispositivi di rete aziendale, quali router e switch, così come i file cancellati da unità disco rimovibili.

•  Identificazione Attaccante: sulla base dei dati di registrazione dei server C2 e le tracce lasciate in numerosi eseguibili del malware, vi è una forte evidenza tecnica che indica l'origine degli attaccanti di lingua russa. Inoltre, i file eseguibili utilizzati dagli aggressori erano sconosciuti fino a poco tempo, e non sono stati identificati dagli esperti di Kaspersky Lab durante l'analisi dei precedenti attacchi di cyber-spionaggio.

Kaspersky Lab, in collaborazione con le organizzazioni internazionali, le forze dell'ordine e Computer Emergency Response Team (CERT) continua la sua indagine Rocra offrendo consulenza tecnica e le risorse per le procedure di bonifica e di mitigazione. Kaspersky Lab desidera esprimere il suo ringraziamento a: US-CERT, il  CERT rumeno e il CERT bielorusso per la loro assistenza durante l'inchiesta. Il malware Rocra viene rilevato con successo, bloccato e bonificato dai prodotti Kaspersky Lab, classificato come Backdoor.Win32.Sputnik. Leggete il rapporto completo di ricerca di Rocra dagli esperti di Kaspersky Lab all'indirizzo http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies

Numeri del 2012: Kaspersky Lab rileva 200.000 programmi nocivi al giorno

Kaspersky Lab ha pubblicato il suo report annuale Kaspersky Security Bulletin, che fornisce una visione generale del panorama malware e delle statistiche per il 2012 che riguardano le minacce informatiche. I dati analizzati nel rapporto sono stati raccolti utilizzando Kaspersky Security Network (KSN), la soluzione basata su cloud utilizzata dai prodotti Kaspersky Lab per garantire una protezione in tempo reale contro le nuove minacce. 

Il report 2012 ha rivelato una crescita significativa di malware specifici per Mac e una forte crescita del numero di minacce destinate alla piattaforma Android. Nel complesso, i prodotti Kaspersky Lab hanno rilevato e bloccato più di 1,5 miliardi di attacchi attraverso il web nel 2012 e più di 3 miliardi di file infetti. Kaspersky Lab rileva e blocca ogni giorno più di 200.000 nuovi programmi nocivi, un aumento significativo rispetto al primo semestre del 2012, quando i programmi nocivi individuati e bloccati in media ogni giorno erano 125.000. 

In breve

• Nel 2012 i prodotti Kaspersky Lab hanno bloccato oltre 1,5 miliardi di attacchi attraverso il Web durante tutto l'anno, un dato di 1,7 volte superiore rispetto alla quantità totale di attacchi bloccati nel 2011.  

• Kaspersky Lab ha bloccato con successo più di 3 miliardi di infezioni locali sui computer degli utenti nel 2012. In totale, sono stati rilevati 2,7 milioni di varianti di malware e programmi nocivi. 

• Nel 2012, il 99% di tutto il malware mobile rilevato da Kaspersky Lab era destinato alla piattaforma Android. Kaspersky Lab ha identificato più di 35.000 programmi nocivi per Android durante l'anno, circa sei volte in più rispetto al 2011. 

• I malware per Mac OS X continuano ad aumentare e secondo gli esperti di Kaspersky Lab quest'anno è stato creato il 30% in più di Trojan per Mac rispetto al 2011. 

• Oracle Java è stato il software più colpito dai criminali informatici nel 2012. Il 50% di tutti i rilevamenti sfruttavano attacchi che avevano come obiettivo le sue vulnerabilità. Adobe Reader si trova in seconda posizione con un numero di rilevamenti pari al 28%. 

• Top 5 dei paesi da cui vengono diffusi i malware: Stati Uniti, Russia, Olanda, Germania e Regno Unito 

• Top 5 dei paesi con il dato più alto di attacchi via web: Russia, Tajikistan, Azerbaijan, Armenia, Kazakhstan 

• Top 5 dei paesi in cui i file infetti vengono rilevati più frequentemente: Bangladesh, Sudan, Malawi, Tanzania, Rwanda 

• Top 5 dei paesi con il più basso tasso di infezione: Danimarca, Giappone, Finlandia, Svezia, Repubblica Ceca 

Minacce del 2012 

Una delle novità più importanti avvenuta all'inizio del 2012 è stata la scoperta di Flashback, una botnet composta da 700.000 computer Apple infetti basati su Mac OS X. La diffusione dell’infezione, è stata causata da una nuova variante del malware Flashfake e questo incidente di sicurezza ha messo in discussione la percezione della piattaforma Mac OS X come invulnerabile agli attacchi. Oltre ai malware di massa, i dispositivi con Mac OS X sono diventati anche l’obiettivo di frequenti attacchi mirati. 

Il principale motivo è che i prodotti Apple sono utilizzati dalla maggior parte di esponenti politici e uomini d'affari, le informazioni memorizzate sono quindi di grande interesse per una determinata categoria di criminali informatici. I malware per Mac OS X continuano ad aumentare, secondo gli esperti di antivirus di Kaspersky Lab , e quest'anno è stato creato il 30% in più di Trojan per Mac, rispetto al 2011. 

Un'altra tendenza del 2012 è la rapida crescita dei malware Android. La piattaforma Android si è affermata come il principale obiettivo dei criminali informatici. I programmi nocivi che colpiscono le altre piattaforme mobile, come Symbian, Blackberry o J2ME, sono ancora in fase di sviluppo e il 99% dei nuovi programmi nocivi scoperti colpiscono soprattutto la piattaforma Android. Nonostante i tentativi da parte di Google di introdurre la propria tecnologia anti-malware, le applicazioni nocive continuano ad apparire sul negozio ufficiale di Google Play. 

Nel 2012 è avvenuto il primo incidente con un’app che raccoglieva i dati della rubrica e inviava spam a tutti i contatti; questo si è verificato anche sull’Apple Store. Proprio come i PC tradizionali, i dispositivi mobile sono oggi bersaglio dei criminali informatici. Nel 2012 i prodotti Kaspersky Lab hanno bloccato una media di oltre 4 milioni di attacchi ogni giorno attraverso i browser, per un totale di attacchi web che supera l’1,5 miliardi all'anno. 

Applicazioni contenenti vulnerabilità destinatari di exploit web nel 2012

La tecnica utilizzata più di frequente per compiere attacchi contro gli utenti è sfruttare le vulnerabilità dei programmi o delle applicazioni. Durante l'anno gli esperti di Kaspersky Lab hanno registrato entrambi gli attacchi su larga scala, che utilizzavano software vulnerabili ad esempio Oracle Java (50% degli attacchi). Adobe Reader occupa il secondo posto (28%) e Adobe Flash Player occupa il quarto posto con solo il 2%, grazie all’efficiente sistema di aggiornamento automatico che blocca le falle presenti nella sicurezza. 

Inoltre, alcuni di questi programmi sfruttano vecchie vulnerabilità, ancora presenti in diversi sistemi operativi Windows. Una spiegazione può essere che le versioni precedenti di Windows sono ancora ampiamente utilizzate. Ad esempio, la quota dei computer con sistema operativo Windows XP nel 2012 è stata del 44%, rispetto al 63% del 2011; non è un calo significativo dato che Windows 7 è disponibile da tre anni e quest’anno è stato lanciato sul mercato anche il nuovo Windows 8. 

Più di 3 miliardi di malware sono stati individuati e bloccati dai software di Kaspersky Lab sui dischi rigidi locali e di archiviazione esterna degli utenti. Per un totale di 2,7 milioni di diverse versioni di malware e programmi indesiderati che vengono lanciati sui PC degli utenti. La maggior parte delle infezioni locali sono state bloccate da Kaspersky Lab grazie alla tecnologia euristica. È da notare che diverse versioni vecchie di Kido (Conficker) e Sality sono ancora presenti nella lista dei malware bloccati più di frequente. 

Nel complesso, il numero di nuove applicazioni nocive è aumentato rapidamente: nel primo semestre del 2012 Kaspersky Lab ha registrato una media di 125.000 nuovi malware ogni giorno. Verso la fine dell'anno, questa cifra è cresciuta fino a 200.000. I server presenti negli Stati Uniti sono stati impiegati più frequentemente per ospitare e distribuire oggetti dannosi (25,5% di tutti gli incidenti). La Russia occupa il secondo posto con il 19,6%, seguita da Paesi Bassi, Germania e Regno Unito. 

Questo è un cambiamento significativo rispetto agli anni passati: nel 2010 la maggior parte dei malware veniva diffuso dalla Cina. I cambiamenti nelle politiche di registrazione dei domini e di altre norme adottate dalle autorità cinesi, ha contribuito al rapido declino degli oggetti dannosi provenienti da questo paese. Al contrario, gli Stati Uniti, la Russia e gli altri paesi europei hanno visto un notevole aumento del numero di siti di hosting nocivi utilizzati dai criminali informatici, che hanno compromesso le fonti legittime online oltre a registrare molti siti Internet del tutto nocivi. 

In base al numero di attacchi web locali bloccati e dei file nocivi, gli esperti di Kaspersky Lab hanno calcolato il "livello di rischio" per ogni paese. La Russia e le ex repubbliche sovietiche occupano i primi posti, ma 31 paesi (tra cui Regno Unito, Australia e Canada) rientrano nel gruppo "ad alto rischio". In questi paesi, almeno il 41% degli utenti sono stati attaccati online nel 2012. Bangladesh, Sudan, Malavi, Tanzania e Ruanda costituiscono i primi cinque paesi, in cui gli utenti vengono presi di mira attraverso le infezioni malware locali. 

7 paesi in totale sono stati classificati come "rischio massimo", dove il 75% degli utenti sono stati attaccati almeno una volta con un file dannoso. Un altro 41% dei paesi rientra nel gruppo ad "alto rischio" (56-75% degli utenti attaccati), tra cui Indonesia, Etiopia e Kenya. Al contrario, la Danimarca è stata considerata come il paese più sicuro, in quanto il paese aveva il più basso tasso di computer infetti (15%). Giappone, Finlandia, Svezia e Repubblica Ceca sono stati gli altri paesi citati per i più bassi tassi di infezione. 

Quote 

Costin Raiu, Director of Global Research & Analysis Team Kaspersky Lab "Quello che è emerso nel 2012, è la forte inclinazione dei criminali informatici a rubare dati da tutti i dispositivi utilizzati dagli utenti e dalle aziende, siano essi PC, Mac, smartphone o tablet. Questa è una delle tendenze più importanti di quest’anno. Stiamo osservando anche un forte aumento del numero complessivo di minacce che colpiscono tutti gli ambienti software più diffusi." Il report completo è disponibile a questo link: http://bit.ly/RWdvjn

Kaspersky Lab: 23% degli utenti utilizzano browser vecchi o non aggiornati

La ricerca rivela che quando una nuova versione di un browser viene rilasciata, ci vuole più di un mese per la maggior parte degli utenti per effettuare l'aggiornamento. I browser Web sono i pezzi di software più utilizzati, installati su quasi tutti i computer. La maggior parte degli attacchi informatici attuali provengono dal web, utilizzando le vulnerabilità degli stessi browser web, o plug-in non aggiornati all'interno del browser. 

Pertanto, è estremamente importante per i consumatori scegliere di mantenere i lro browser web aggionati, con le ultime correzioni di sicurezza e nuove funzionalità di protezione. Utilizzando i dati anonimi raccolti dal cloud-based Kaspersky Security Network, Kaspersky Lab ha analizzato i modelli di browser web utilizzati dei suoi milioni di clienti in tutto il mondo, e ha fatto alcune scoperte allarmanti. 

Risultati principali:

• 23% degli utenti utilizzano browser vecchi o non aggiornati, creando enormi lacune nella sicurezza online: il 14,5% ha la versione precedente, ma 8,5% ancora utilizzare versioni obsolete. 

• 77% dei clienti di Kaspersky Lab utilizzano l'ultima versione disponibile del browser (l'ultima versione stabile o beta).

• Quando una nuova versione di un browser viene rilasciata, ci vuole più di un mese per la maggior parte degli utenti per effettuare l'aggiornamento. I cybercriminali possono muoversi in poche ore per sfruttare le vulnerabilità conosciute dei browser. 

Ulteriori risultati:

• Internet Explorer è il browser più popolare (37,8% degli utenti), seguito da vicino da Google Chrome (36,5%). Firefox è al terzo posto con il 19,5%. 

• La percentuale di utenti con la versione più recente installata (agosto 2012): Internet Explorer 80,2%; Chrome 79,2%; Opera 78,1%; Firefox 66,1%. 

• Periodi di transizione (tempo necessario per la maggior parte degli utenti per passare alla versione più recente): Chrome 32 giorni; Opera 30 giorni, Firefox 27 giorni. 

www.kaspersky.com

Un'altra importante scoperta del sondaggio è che una particolare versione di browser sono più frequentemente utilizzati da clienti di Kaspersky Lab. Come specificato nelle principali conclusioni degli esperti di cui sopra, le statistiche di Kaspersky lab dimostrano che il 23% degli utenti non hanno installato l'ultima versione del loro browser preferito. 

Di questi 23%, quasi due terzi (14,5%) hanno la versione precedente di un browser, e per il restante 8,5% utilizzano versioni obsolete. Ciò significa che quasi 1 su ogni 10 utenti di Internet utilizza trimestralmente un browser web obsoleto per controllare i conti bancari e altre informazioni personali. Gli esempi più noti di browser obsoleti sono Internet Explorer 6 e 7, con una quota del 3,9%, che rappresenta centinaia di migliaia di utenti in tutto il mondo. 

I tre i browser (Opera, Chrome e Firefox) sono stati aggiornati poco prima di agosto 2012 ed è stata calcolata la velocità di aggiornamento, definita come il numero di giorni necessari per avere la nuova versione del browser, in modo da raggiungere la quota di mercato della versione precedente. Ci vogliono 5-9 giorni perchè una nuova versione superi la quota di mercato del suo predecessore, e circa un mese per la maggior parte degli utenti per effettuare il passaggio. 

www.kaspersky.com

Che cosa significa?

L'indagine dell'attività dei consumatori mostra chiaramente che mentre la maggior parte degli utenti di Internet sono diligenti ed aggiornano il proprio browser web in modo tempestivo, ci sono ancora decine di milioni di utenti che si espongono, non aggiornando queste applicazioni cruciali. Anche se questo rapporto è principalmente composto dai dati utente dei consumatori, le imprese devono prestare particolare attenzione ai risultati di questa ricerca, dal momento che i consumatori hanno di solito una maggiore libertà per l'aggiornamento del software installato come browser. 

Dal momento che la capacità dei lavoratori di installare gli aggiornamenti sono limitati, utilizzare il software obsoleto è una pratica comune, e potenzialmente pericoloso, in ambienti aziendali. Kaspersky Lab offre una soluzione efficiente che permette di scoprire e consentire gli aggiornamenti del software obsoleto o vulnerabile, nel pieno rispetto delle politiche di sicurezza. Andrey Efremov, Director of Whitelisting and Cloud Infrastructure Research di Kaspersky Lab, ha dichiarato: 

"La nostra nuova ricerca dipinge un quadro allarmante. Mentre la maggior parte degli utenti passano al browser più recente entro un mese dall'aggiornamento, ci sarà ancora circa un quarto degli utenti che non hanno effettuato la transizione. Questo significa che milioni di macchine sono potenzialmente vulnerabili, costantemente attaccati con nuove e ben note minacce Web. Questa è una forte evidenza dell'urgente necessità di software di sicurezza adeguato che è in grado di reagire alle nuove minacce in pochi minuti, non giorni o addirittura settimane".

Sulla ricerca:

Kaspersky Security Network viene utilizzato per lo scambio di dati tra i clienti di Kaspersky Lab e gli esperti della società in tempo reale. Aiuta a rilevare rapidamente e bloccare le minacce nuove e sconosciute, ma è anche usato per aggiornare il database Whitelisting di Kaspersky Lab, che contiene informazioni su prodotti legittimi. Il database è utilizzato per accelerare il processo di scansione del sistema e per fornire informazioni per le tecnologie - Safe Money e Automatic Exploit Prevention - che esplicitamente proteggono il software legittimo e spesso attaccato.

I dati raccolti sono completamente anonimi e rappresentano il reale utilizzo di software legittimo dai clienti di Kaspersky Lab. A causa delle politiche sulla privacy rigorose imposti dalla maggior parte delle aziende, i dati dagli endpoint aziendali con le soluzioni di sicurezza di Kaspersky Lab installate non vengono raccolti. Il report completo "Global Web Browser Usage and Security Trends", che include suggerimenti per la navigazione Web sicura  e consigli sia per i consumatori che per le imprese, è disponibile qui: http://www.kaspersky.com/images/Kaspersky_Report_Browser_Usage_ENG_Final.pdf

Fonte: Kaspersky Lab

Wiper, virus dal comportamento distruttivo analizzato da Kaspersky Lab

Durante lo scorso aprile 2012, sono stati registrati una serie di incidenti riconducibili ad un programma malware, nome in codice Wiper, che attaccava i computer situati in alcuni stabilimenti petroliferi dell’Asia occidentale. Nel maggio 2012, i ricercatori di Kaspersky Lab hanno condotto una ricerca in collaborazione con International Telecommunication Union, per effettuare ulteriori indagini sugli incidenti e stabilire il potenziale di pericolosità del nuovo malware.

Oggi gli esperti di Kaspersky Lab hanno pubblicato una ricerca realizzata sulla base dell’analisi digitale delle immagini degli hard disk estratte dai computer attaccati da Wiper. Questa ricerca fornisce un’analisi dell’efficace metodo distruttivo di Wiper, compreso il singolare modello di cancellazione dei dati e il comportamento distruttivo.

Nonostante con la ricerca di Wiper sia stato involontariamente scoperto Flame, Wiper in sé non è mai stato scoperto durante le ricerche e rimane non identificato. Nel frattempo, il comportamento distruttivo di Wiper può avere incoraggiato gli altri a creare altri malware altamente nocivi quali Shamoon, rilevato nel corso del mese di agosto 2012.

Informazioni file Wiper (Virus Total)

SHA256: 4f02a9fcd2deb3936ede8ff009bd08662bdb1f365c0f4a78b3757a98c2f40400

SHA1: 7c0dc6a8f4d2d762a07a523f19b7acd2258f7ecc

MD5: b14299fd4d1cbfb4cc7486d978398214

File size: 966.0 KB (989184 bytes)

File name: file

File type: Win32 EXE

Tags: peexe

Detection ratio: 38 / 42

Analysis date: 2012-08-28 10:55:08 UTC (1 settimana, 2 giorni fa)

Risultati della ricerca:

• Kaspersky Lab conferma che Wiper è stato responsabile degli attacchi lanciati contro computer situati nell’Asia occidentale tra il 21 e il 30 aprile 2012.
• L’analisi delle immagini degli hard disk dei computer che sono stati distrutti da Wiper hanno rivelato una speciale modalità di cancellazione dei dati associata ad una determinata denominazione della componenete malware, che iniziava con ~D. Questi risultati ricordano Duqu e Stuxnet, che utilizzavano appunto nomi di file che iniziavano con ~D e che erano entrambi stati costruiti sulla stessa piattaforma di attacco, conosciuta con il nome di Tilded.
• Kaspersky Lab ha iniziato la ricerca di altri file che iniziavano con ~D attraverso Kaspersky Security Network (KSN), per cercare di individuare altri file Wiper sfruttando la connessione con la piattaforma Tilded.
• Durante questo processo, Kaspersky Lab ha identificato un numero considerevole di file nell’Asia occidentale denominati ~DEB93D.tmp. Una ulteriore analisi ha mostrato che questi file erano parte di una diversa tipologia di malware: Flame. Questa è la modalità con cui Kaspersky Lab ha scoperto Flame.
• Nonostante Flame sia stato scoperto durante la ricerca di Wiper, i ricercatori di Kaspersky Lab sono convinti che Wiper e Flame siano due programmi malware distinti e separati.
• Nonostante Kaspersky Lab abbia analizzato le tracce dell’infezione Wiper, il malware è ancora sconosciuto perchè non ci sono stati ulteriori incidenti che hanno seguito lo stesso modello e quindi non c’è stata nessuna individuazione del malware da parte della protezione proattiva di Kaspersky Lab.
• Wiper è stato molto efficace e può avere portato alla creazione di “nuove varianti” come Shamoon.

Analisi dei computer attaccati da Wiper

L’analisi di Kaspersky Lab delle immagini degli hard disk prese dalle macchine distrutte da Wiper ha dimostrato che il programma nocivo cancellava gli hard disk dei computer e distruggeva tutti i dati che potevano essere utilizzati per identificare il malware. Il file system danneggiato da Wiper impediva il rebooting del computer e causava problemi di funzionamento.

Quindi, in ogni singola macchina analizzata, non rimaneva nulla dopo l’attivazione di Wiper e non era quindi possibile ripristinare il sistema o recuperare i dati. I ricercatori di Kaspersky Lab hanno comunque ottenuto alcuni dati interessanti, come la metodologia di cancellazione utilizzata dal malware, la nomenclatura e, in alcuni casi, le chiavi di registro che rivelavano i precedenti nomi dei file che erano stati cancellati dall’hard disk. Queste chiavi di registro mostravano tutte un nome del file che iniziava con ~D.

Metodologia di cancellazione unica

L’analisi della metodologia di cancellazione svelava un metodo utilizzato su ogni computer infettato da Wiper. L’algoritmo di Wiper è stato realizzato per distruggere velocemente quanti più file possibile, fino a molti gigabytes contemporaneamente. Circa tre delle quattro macchine hanno avuto i dati completamente cancellati.

Nel corso dell’operazione veniva cancellata la prima metà dell’hard disk e poi sistematicamente venivano cancellati i rimanenti dati che consentivano all’hard disk di funzionare correttamente, quindi il sistema andava in crash. Inoltre, siamo a conoscenza di attacchi Wiper che avevano come obiettivo file PNF e questo non avrebbe senso se non fosse direttamente correlato con la rimozione di ulteriori componenti malware. Questo è stato un risultato molto interessante, dal momento che Duqu e Stuxnet hanno mantenuto il proprio codice principale criptato nei file PNF.

Come la ricerca di Wiper ha portato alla scoperta di Flame

I file temporanei (TMP) che iniziavano con ~D, erano utilizzati anche da Duqu che era stato costruito sulla stessa piattaforma di attacco di Stuxnet, Tilded. Sulla base di questo indizio, il team di ricercatori ha iniziato a cercare altri potenziali file name sconosciuti collegati a Wiper e basati sulla piattaforma Tilded attraverso KSN, l’infrastruttura cloud utilizzata dai prodotti Kaspersky Lab per riportare dati di telemetria e garantire protezione immediata sotto forma di black list e regole euristiche che intercettano ogni nuova minaccia.

Durante questo procedimento, i ricercatori di Kaspersky Lab hanno individuato molti computer nell’Asia occidentale che contenevano il file name “~DEB93D.tmp”. Questa è la modalità con cui Kaspersky Lab ha scoperto Flame; nonostante ciò, Wiper non è stato individuato utilizzando questa metodologia e rimane tuttora non identificato.

Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha dichiarato: “Sulla base delle nostre analisi sui modelli di Wiper rimasti sulle immagini degli hard disk esaminati, non c’è alcun dubbio che il malware è esistito e che sia stato utilizzato per attaccare i computer nell’Asia occidentale nell’aprile del 2012 e forse anche prima, nel dicembre 2011. Nonostante Flame sia stato scoperto durante la ricerca di Wiper, siamo convinti che Wiper sia un malware diverso da Flame”.

“Il comportamento distruttivo di Wiper combinato con i file name che sono stati lasciati sui sistemi attaccati da Wiper ricordano molto il programma utilizzato dalla piattaforma Tilded. L’architettura modulare di Flame era completamente differente ed è stata realizzata per eseguire una campagna di cyber spionaggio. Non abbiamo inoltre identificato nessun comportamento distruttivo durante l’analisi di Flame”. Per ulteriori informazioni consultare Securelist.com.

Kaspersky Lab, pericoli Internet per i bambini: pornografia e social network

Dal momento che Internet gioca un ruolo sempre più importante nella vita dei bambini, i genitori sono sempre più preoccupati per la facilità con cui è possibile accedere a contenuti indesiderati online. Questo è confermato dal numero crescente di persone che attivano il componente Filtro Genitori nei prodotti Kaspersky Lab. Alla vigilia del nuovo anno scolastico in molti paesi, Kaspersky Lab ha analizzato le statistiche generate dal suo componente Parental Control in tutto il mondo per gli ultimi sei mesi.

Il compito principale del componente Parental Control è quello di aiutare i genitori a proteggere i propri figli dai pericoli nascosti da utilizzo incontrollato di computer e di Internet. Per impostazione predefinita, il componente non è abilitato - che deve essere attivato dagli stessi genitori. I genitori possono scegliere quale delle 14 categorie di siti web che vogliono rendere disponibile per i propri figli.

I dati ricevuti da Kaspersky Security Network (KSN) mostrano che gli avvisi del componente Parental Control sono attivati ​​più di frequente da "pornografia, materiale erotico", "reti sociali" e le categorie di "software illegale". Globalmente, questi tre conducono sulle altre categorie con un ampio margine. Ci sono 60 milioni di tentativi di accesso a siti con contenuto pornografico ogni mese, che è quasi quattro volte maggiore rispetto al secondo posto della categoria. Gli avvisi generati dal componente Parental Control di Kaspersky Lab dimostrano che i bambini deliberatamente o involontariamente visitano siti con contenuti indesiderati.

Le statistiche degli avvisi genitori dei componenti di controllo non sono gli stessi per tutti i paesi. La categoria dei "server proxy anonimi" si è classificata terza sia negli Stati Uniti e nel Regno Unito, che rappresentano circa il 9% di tutti gli avvisi di questi paesi, la media mondiale per questa categoria è solo 2,43%. Anche nel Regno Unito, il quarto posto è stato occupato da "software illegale" (6,3%). Ovviamente, i bambini e gli adolescenti britannici hanno manifestato un vivo interesse nel software e hanno familiarità con i metodi per aggirare i filtri web e l'uso di anonymizer.

Un'altra caratteristica distintiva degli Stati Uniti e nel Regno Unito è stata la percentuale relativamente alta di avvisi attivati ​​dalla categoria "Gioco d'azzardo" - 5,77% e 5,68% rispettivamente. La percentuale della categoria "violenza" è stata anche elevato negli Stati Uniti - che occupa il quarto posto nel rating del paese con il 7,32% delle segnalazioni. Questo è più che in altri paesi analizzati.

Anche se la categoria "Pornografia, materiale erotico" è stata la leader in fuga negli Stati Uniti e nel Regno Unito, gli avvisi di Parental Control per le altre categorie sono stati più uniformemente distribuite rispetto agli altri paesi analizzati. Ciò indica che, in media, i genitori negli Stati Uniti e nel Regno Unito attivare più categorie del componente Parental Control dai genitori in altri paesi.

La Germania era il leader assoluto nella categoria "pornografia, materiale erotico": l'80% di tutti gli avvisi del paese sono stati innescati da questa categoria, che hanno notevolmente superato la media mondiale del 53,6%. Che in numeri assoluti, si traduce a 5,3 milioni di avvisi al mese.

Questo potrebbe essere dovuto al fatto che molti genitori in Germania attivano questa categoria nel componente Parental Control, lasciando libero accesso ai loro figli a siti web in tutte le altre categorie. In Brasile, la leader assoluta è stata la categoria "Social network" con il 57,84% - il doppio rispetto alla categoria "Pornografia, materiale erotico". Questa quota di segnalazioni di Parental Control differiva significativamente da quella della media mondiale.

"Anche se a molti bambini si insegnano gli aspetti della sicurezza in Internet a scuola, l'industria IT, inoltre, può fare la sua parte e contribuire a salvaguardare la linea giovani, aumentando la consapevolezza dei pericoli on-line sia tra i bambini e i loro genitori. Questo può aiutare i genitori a prendere un atteggiamento più proattivo nel mantenere i loro figli online. La consulenza, chiara, evidente e accessibile contenuta nei servizi del settore IT - in particolare al punto di fornitura - può contribuire a garantire che i bambini e i giovani possano tranquillamente ottenere il massimo da tali servizi. Ed è importante avere un approccio coordinato in tutto il settore per assicurare che le informazioni ai genitori vengano distribuito in modo efficace", ha dichiarato Peter Davies, direttore esecutivo del Child Exploitation e Online Protection (CEOP) Centro che opera in tutto il Regno Unito.

"I pericoli di Internet stanno aumentando di giorno in giorno, anche se questo non ha impedito ai bambini di diventare ancora più attivi sui social network nell'ultimo anno. I social network sono un ambiente estremamente pericolosi per i bambini. Essi sono il terreno di caccia privilegiato di criminali informatici che li usano per diffondere link pericolosi e collegamenti a pagine web fraudolente. Sono anche un luogo in cui il bambino può entrare in contatto con persone sgradevoli o addirittura pericolose. Al tempo stesso, non si devono dimenticare i pericoli più tradizionali on-line, come ad esempio la visualizzazione di contenuti che non sono destinati a bambini e truffe di phishing e vari altri tipi di frode", ha detto Konstantin Ignatev, responsabile del Web Content analist di Kaspersky Lab.