Datto, attacchi ransomware: costi in crescita fino al 200% per le PMI

Il ransomware, ovvero un tipo di virus che cripta i dati, sta provocando il caos nelle piccole e medie imprese (PMI) con costi di inattività crescenti. Il costo della sospensione di servizio causato dal ransomware è 23 volte superiore rispetto alla richiesta stessa di riscatto. Non conoscono interruzioni gli attacchi ransomware, che causano invece tempi di fermo e inattività alle PMI, con conseguenti costi e danni in termini di produttività, oltre che di reputazione. È quanto emerge dall'ultimo report globale di Datto, provider di tecnologie per MSP leader nel mercato IT internazionale, che ha annunciato i risultati della sua ricerca annuale Global State of the Channel Ransomware Report.

Carnevale e cybercrime, Kaspersky indaga sul sommerso del Brasile

Il Brasile è famoso per il Carnevale, l'evento più atteso dell'anno. Ma il Paese è noto anche per alcuni degli autori più attivi e creativi del cyber crimine mondiale. Cyber attacchi locali unici e cooperazione a livello internazionale con gruppi criminali dell’Est Europeo, debole sicurezza governativa e legislazione poco chiara, furto di dati personali e denaro, operazioni offensive rivolte a vittime locali e servizi criminal-to-criminal. Per la prima volta Kaspersky Lab sfrutta la propria intelligence per comprendere il lato umano dell’attività criminale informatica. Il primo report sulla Cyber Underground rivela la vita segreta dei criminali informatici in Brasile, uno dei Paesi più pericolosi per i cittadini digitali.

Symantec scopre Regin: sofisticato malware spia in azione dal 2008

Uno strumento di spionaggio avanzato, Regin mostra un grado di competenza tecnica rara ed è stato utilizzato in operazioni di spionaggio contro governi, operatori di infrastrutture, aziende, ricercatori e privati. Lo ha scoperto nei mesi scorsi la società specializzata in sicurezza Symantec. Un pezzo avanzato di malware noto come Regin, è stato utilizzato in campagne sistematiche di spionaggio contro una serie di obiettivi internazionali almeno dal 2008. Una backdoor di tipo Trojan, Regin è un pezzo complesso di malware la cui struttura mostra un grado di competenza tecnica vista raramente.

Italia è seconda in Europa per numero di attacchi malware finanziari

L'Italia è seconda in Europa per numero di attacchi finanziari. Nel 2013 il numero di malware di questo tipo è aumentato del 20,49% rispetto all'anno precedente. Secondo il "Financial cyber threats 2013", uno studio condotto da Kaspersky Lab, i cybercriminali puntano sempre più ad accedere ai conti online degli utenti. L'anno scorso, infatti, il numero di attacchi informatici preposti al furto di dati finanziari è aumentato del 27,6% rispetto al 2012 raggiungendo i 28 milioni di attacchi.

McAfee, cresceranno mobile ransomware e attacchi sociali nel 2014

McAfee, il cui brand sarà sostituito dal nuovo marchio "Intel Security", come annunciato durante il keynote al Consumer Electronics Show 2014 di Las Vegas (ma lo scudetto di colore rosso continuerà a campeggiare sui software per la sicurezza), ha rilasciato il suo annuale Predictions Report 2014. I McAfee Labs hanno analizzato le tendenze 2013 attraverso il loro servizio McAfee Global Threat Intelligence (GTI) che prevede il panorama delle minacce per quest'anno.

Kaspersky Lab, spam a febbraio 2013: gli spammer sono tornati al lavoro

Dopo una pausa di diversi mesi, gli spammer hanno intensificato nuovamente la loro attività nel mese di febbraio. Secondo i dati di Kaspersky Lab, la quantità di spam nel traffico mail è cresciuto di circa 13 punti percentuali, con una media del 71% al mese. Un dato superiore alla media di gennaio e agli ultimi tre mesi del 2012. L’Italia è stato uno dei paesi più colpiti dalle email nocive nel mese di febbraio. Le rilevazioni antivirus nella posta sono cresciute dal 9,4 %, al 14,4%, facendo scendere alla seconda posizione gli Stati Uniti dopo molto tempo. 

Le false notifiche da parte delle diverse organizzazioni finanziarie rimangono uno degli strumenti più diffusi per la distribuzione dei malware tramite mail. Questo metodo è molto popolare in Italia, dove gli spammer il più delle volte utilizzano il Trojan-Banker.HTML.Agent.p, entrato al 2° posto nella Top 10 di febbraio come malware più diffuso. Questo Trojan appare sotto forma di pagina in formato HTML, imitando i form di registrazione delle banche o dei sistemi di pagamento. 

Una delle aziende più colpite dai truffatori è Google. Nel mese di febbraio, questi hanno lanciato un mailing di massa che includeva il nome Google, per informare gli utenti che il loro curriculum era stato preso in considerazione. Per evitare incomprensioni, il destinatario veniva incoraggiato ad aprire il file allegato per verificare che il proprio curriculum fosse corretto. L'attacco consisteva in un malware sotto forma di archivio zip, progettato per rubare le password e altri dati riservati dal computer dell'utente. 

Sorgenti di spam in tutto il mondo per  ciascun paese a febbraio 2013

Nel corso del mese Kaspersky Lab ha assistito ad importanti cambiamenti nella diffusione delle fonti di spam. Nel mese di febbraio, la Corea del Sud è stato il paese che inviato più mail di spam agli utenti europei. Il volume delle email indesiderate prodotto da questo paese è cresciuto di 27,7 punti percentuali, con una media del 50,9%. Il mese scorso il paese primo in classifica era la Cina (3%), che è scesa al 6° posto nel mese di febbraio con un calo di 36,6 punti percentuali.

Questi importanti cambiamenti delle quote di spam prodotte da questi due paesi è la conseguenza del fatto che un gruppo di spammer ha iniziato la distribuzione da una botnet diversa. Nel mese di febbraio, gli Stati Uniti hanno superato il rating delle principali fonti di spam in tutto il mondo. La quantità di spam inviato dalla Cina è diminuito, scendendo al secondo posto. Come è avvenuto nel mese di gennaio, anche a febbraio la Corea del Sud si è posizionata al terzo posto. 

Nel mese di febbraio, il Trojan-Spy.html.Fraud.gen (11%) è rimasto il programma maligno più diffuso  tramite e-mail, nonostante il fatto che la sua quota è diminuita di 2,2 punti percentuali rispetto a gennaio. È stato seguito dal Trojan-Banker.HTML.Agent.p (7,8%). Entrambi i programmi maligni appaiono sotto forma di pagine HTML che imitano le forme di registrazione di note banche o sistemi e-pay che vengono utilizzati dai phisher per rubare le credenziali degli utenti per i sistemi di online banking. È interessante notare che Backdoor.Win32.Androm.phh è arrivato 3°. 

Top 10 dei programmi dannosi che si diffondono via e-mail a febbraio 2013

Questa famiglia di programmi backdoor permette agli utenti malintenzionati di controllare segretamente un computer infetto, ad esempio, per scaricare e lanciare altri file dannosi che poi inviano i vari dati dal computer dell'utente, ecc. Nel mese di febbraio, Kaspersky Lab ha rilevato 85 varianti della Backdoor.Win32.Androm. Nella maggior parte dei casi, la backdoor è stata distribuita in email fasulle inviate presumibilmente per conto di Booking.com, DHL, British Airways, ecc. Inoltre, molti computer infettati da backdoor a far parte di una botnet. Lo stesso metodo è stato utilizzato in passato per distribuire programmi appartenenti alla famiglia ZeuS/Zbot.

"Questo aumento della quantità di spam nel mese di febbraio segna l'inizio di una nuova tendenza. Ciò è stato probabilmente causato da un calo della quota di email spazzatura durante le vacanze di gennaio, quando molti dei computer che costituiscono le botnet utilizzate per distribuire lo spam sono stati disattivati​​. Inoltre, la percentuale di messaggi indesiderati nel mese di febbraio era leggermente più bassa rispetto alla media nel 2012. In ogni caso, non ci aspettiamo ulteriori cambiamenti significativi nel prossimo futuro", ha dichiarato Darya Gudkova, Head of Content Analysis & Research di Kaspersky Lab. 

"Di particolare interesse in questo momento, è il fatto che la maggior parte degli allegati nocivi presenti nelle email di spam sono programmi progettati per rubare le credenziali degli utenti sui sistemi di online banking. Essi appaiono come pagine in formato HTML, che imitano i form di registrazione. Gli utenti devono prestare particolare attenzione a queste e-mail e gli allegati non devono essere aperti". La versione completa dello Spam Report di Febbraio 2013 di Kaspersky Lab è disponibile su www.securelist.com/en/analysis/204792284/Spam_in_February_2013

Informazioni su Kaspersky Lab

Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 15 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it. 

* L’azienda si è posizionata al quarto posto nel Worldwide Endpoint Security Revenue by Vendor, 2011 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, July 2012). Il report ha classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint nel 2011.

Mobile Security: McAfee Consumer Trends, nuove tecniche dei cybercriminali

McAfee ha rilasciato i risultati del report Mobile Security: McAfee Consumer Trends, che documenta la sofisticatezza e complessità delle applicazioni pericolose che incorporano truffe multiformi, oltre alla pericolosità del mercato nero del crimine informatico, alle minacce download drive-by, ovvero malware scaricati inconsapevolmente da siti infetti, e le minacce in grado di sfruttare i sensori NFC (near-field communications). Lo studio individua una nuova ondata di tecniche hacker utilizzate per rubare le identità digitali, commettere frodi finanziarie e invadere la privacy degli utenti su dispositivi mobili.

Phishing su Twitter, Facebook e Linkedin: iscritti nella rete dei cybercriminali

GFI Software ha reso disponibile il VIPRE® Report, la classifica delle 10 principali minacce informatiche rilevate il mese scorso. In gennaio numerosi social network sono stati presi di mira dai criminali informatici, che hanno utilizzato messaggi di phishing rivolti in particolar modo agli utenti di Twitter® e Facebook. Altro spam è stato inviato, sotto forma di invito, agli iscritti di LinkedIn®. 

“I marchi dei più diffusi siti di social networking fanno sempre più parte della nostra cultura e il loro valore per i criminali informatici, che sono sempre alla ricerca di nuovi modi per mascherare i propri attacchi, è quindi destinato ad aumentare” ha dichiarato Christopher Boyd, senior threat researcher di GFI Software. 

“Sempre più giovani che fanno il loro ingresso nel mondo del lavoro considerano il social networking come parte integrante della propria vita quotidiana e i criminali informatici, sfruttando la popolarità di questi siti, riescono ad ingannare sempre più persone, inducendole a scaricare, inconsapevolmente, malware sul loro PC o dispositivo mobile. Le vittime forniscono così informazioni sul loro account che i cybercriminali possono utilizzare per raggiungere altre vittime potenziali”. 

In gennaio numerosi iscritti a Twitter hanno ricevuto messaggi diretti di phising, in cui venivano informati che un utente di Twitter stava diffondendo “blog sgradevoli” su di loro. I link contenuti nei messaggi conducevano ad un sito, che riproduceva fedelmente lo schermo di login di Twitter. Gli iscritti che incautamente inserivano le loro informazioni personali senza prima verificare l’URL di destinazione, venivano inviati ad una pagina di errore 404 e successivamente reindirizzati allo schermo reale di login di Twitter - per far loro credere che si trattasse semplicemente di un problema del sito. 

Gli utenti di Facebook sono stati bersaglio di un messaggio di spam molto simile, che li accusava di violazione delle policy del social network con “molestie o insulti” verso altri iscritti e che richiedeva la conferma delle credenziali dell’account, per evitare la cancellazione dal sito. Gli utenti che cliccavano sul link contenuto nel messaggio venivano condotti ad una pagina “controllo di sicurezza” nel quale dovevano inserire loro informazioni personali e le credenziali di login Facebook, specificando inoltre a quale tipo di servizio webmail fosse collegato il loro account.

Infine, a ciascun utente veniva richiesto di inserire le prime sei cifre della propria carta di credito, sia che avesse o non avesse acquistato in precedenza crediti Facebook; dopo l’inserimento delle prime sei cifre, veniva richiesto di completare il numero di carta di credito, per “verificare” l’account. Infine, lo stesso messaggio di phishing veniva inviato alla lista degli amici. Tramite Linkedin, il noto sito per le relazioni professionali, i membri che si identificavano come “titolari di aziende” hanno invece ricevuto false email con un invito a “connettersi” da parte di loro dipendenti. 

Cliccando su questo link, le vittime venivano indirizzate verso siti contenenti malware, che installavano vulnerabilità prive di patch sui loro PC. Solo gli utenti che non hanno cliccato sul link o che avevano adottato soluzioni di protezione aggiornate non sono stati infettati.

www.gfi.com

Le 10 minacce principali rilevate nel mese di Gennaio
L’elenco delle 10 minacce principali di GFI Software è stato stilato analizzando le segnalazioni provenienti dalle decine di migliaia di utenti di VIPRE antivirus, che fanno parte del sistema di rilevazione automatico delle minacce GFI ThreatNet™. Le statistiche di ThreatNet indicano che Trojans e Adware hanno dominato il mese, con ben sette esemplari su dieci.

Nome / Tipo / Percentuale
1. Trojan.Win32.Generic!BT / Trojan / 24.87

2. Trojan.Win32.Sirefef / Trojan / 3.25
3. GamePlayLabs / Browser Plug-in / 2.72
4. Yontoo (v) / Adware (General) / 2.51
5. BProtector / Misc (General) /  2.48
6. Trojan.Win32.Generic.pak!cobra /  Trojan /  2.47
7. InstallBrain (fs) / Misc (General) / 1.76
8. Wajam / Adware (General) / 1.69
9. Wajam (fs)  / Adware (General) / 1.45
10. Trojan.Win32.Ramnit.c (v) /  Trojan / 1.19

GFI Labs

I GFI Labs sono specializzati nella scoperta e analisi delle vulnerabilità e dei malware pericolosi, che potrebbero essere sfruttati per attacchi via Internet ed e-mail. Il team di ricerca indaga attivamente sui nuovi attacchi malware, creando e testando nuove risorse per i prodotti VIPRE home e business. GFI Software rappresenta la migliore fonte di software per la protezione web e della posta elettronica, archiviazione e fax, networking e software di sicurezza, nonché di soluzioni IT hosted per le piccole e medie aziende, commercializzati attraverso un’estesa comunità di partner. 

I prodotti GFI sono disponibili on-premise, nella ‘nuvola’ o in modalità mista. Grazie alla tecnologia vincitrice di numerosi riconoscimenti, a una politica tariffaria aggressiva e alla particolare attenzione rivolta alle esigenze specifiche delle piccole e medie aziende, GFI Software è in grado di soddisfare le esigenze delle PMI su scala mondiale. Come fornitore di infrastrutture per le PMI, GFI ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, a supporto di centinaia di migliaia di installazioni in tutto il mondo. GFI Software è un’azienda orientata alla collaborazione con il canale e si avvale infatti di migliaia di partner in tutto il mondo. Inoltre è un Microsoft Gold ISV Partner.

Symantec Intelligence Report, sesso domina il traffico mondiale di spam

Nel rapporto Symantec Intelligence Report di dicembre gli esperti di sicurezza hanno dato uno sguardo più da vicino al panorama delle minacce sulla base delle loro statistiche in tutto il mondo. Per il mese di dicembre, gli Stati Uniti ha sostenuto il dubbio onore di essere la principale fonte di spam a 12,7%, attacchi di phishing al 24,2%, e gli allegati dei virus al 40,9% a livello globale. Non è insolito per gli Stati Uniti essere alti in uno o due di queste tre categorie, ma rivendicando la tripla corona di distribuzione di risk-based è un pò meno comune.

Gfi Labs, cybercriminali inviano finte notifiche carta di credito e falsi avvisi

GFI Software ha reso disponibile il VIPRE® Report di Novembre, la classifica delle 10 principali minacce informatiche. Il mese scorso, per dare inizio alla stagione delle feste, sono state rilevate numerose minacce contenute all’interno di messaggi fasulli provenienti da American Express®, DHL® e UPS®, oltre a un’applicazione Twitter® Video su Facebook ed un malware mobile travestito dalla versione più recente del gioco Angry Birds®. 

“La triste realtà della stagione natalizia è che, proprio quando la maggior parte delle persone è in vena di buoni sentimenti, i cybercriminali ricambiano con del malware. Confidando nello stress dei regali dell’ultimo minuto, sperano che gli utenti si distraggano e siano meno attenti alle informazioni personali che utilizzano online”, ha dichiarato Christopher Boyd, senior threat researcher di GFI Software. 

“I cybercriminali hanno un grande bacino di vittime potenziali in questo periodo dell’anno, poiché sempre più persone acquistano i regali natalizi online e decidono di farli consegnare dai loro corrieri preferiti. Gli utenti devono ricordare che, nonostante la frenesia degli acquisti, è sempre necessario conservare le buone abitudini, come ad esempio quella di controllare due volte la fonte dei messaggi email e verificare la destinazione dei link prima di fare clic”.

Una campagna di cybercrime ha inviato false notifiche DHL Express nelle quali si comunicava all’utente che il corriere non era in grado di consegnare la merce e che era necessario rivolgersi all’ufficio DHL della zona, presentando una ricevuta per poter ricevere la consegna. Gli utenti che provavano a stampare questa ricevuta, venivano reindirizzati su un certo numero di siti e condotti verso un finto programma antivirus che infettava il loro computer, bloccando tutte le applicazioni, generando pop-up e inviando alle vittime messaggi, al solo scopo di spaventarli e convincerli ad acquistare un software antivirus fasullo. 

Anche UPS è stata vittima di una campagna di malware simile a questa, che ha utilizzato il suo brand. Email dolose, il cui scopo era quello di infettare i computer degli utenti, sono state inviate ai clienti American Express; in esse si informava che un trasferimento di denaro era stato bloccato. Il messaggio conteneva un gran numero di link per “rivedere lo stato del pagamento” e “stabilire le preferenze di alert”. 

Se un utente cliccava su uno qualsiasi di questi link, veniva reindirizzato verso un finto sito che infettava il PC con il trojan Win32/Cridex, non appena il kit exploit Blackhole in esso contenuto individuava una vulnerabilità. Gli utilizzatori di Twitter sono stati vittime di messaggi diretti che contenevano un link ad una pagina di phishing travestita da applicazione “Twitter Video” su Facebook. 

Gli utenti che cliccavano sul link e fornivano le loro credenziali ai cybercriminali venivano infettati con un Trojan travestito da aggiornamento di Adobe® Flash® Player. Infine, gli utilizzatori di Android™ che hanno provato a utilizzare il nuovo gioco Angry Birds Star Wars® senza visitare il sito ufficiale Google Play™ si sono imbattuti in una versione contraffatta del gioco, che conteneva un trojan Boxer. Una volta installata, l’applicazione prendeva il controllo del telefono dell’utente, inviando un gran numero di SMS, prima di reindirizzarlo al vero download del gioco. 

Le 10 minacce principali rilevate nel mese di Novembre
L’elenco delle 10 minacce principali di GFI Software è stato stilato analizzando le segnalazioni provenienti dalle decine di migliaia di utenti di VIPRE antivirus, che fanno parte del sistema di rilevazione automatico delle minacce GFI ThreatNet™. Le statistiche di ThreatNet indicano che i trojan hanno avuto un ruolo dominante occupando le prime cinque posizioni della classifica di questo mese.

GFI Labs
I GFI Labs sono specializzati nella scoperta e analisi delle vulnerabilità e dei malware pericolosi, che potrebbero essere sfruttati per attacchi via Internet ed e-mail. Il team di ricerca indaga attivamente sui nuovi attacchi malware, creando e testando nuove risorse per i prodotti VIPRE home e business. GFI GFI Software rappresenta la migliore fonte di software per la protezione web e della posta elettronica, archiviazione e fax, networking e software di sicurezza, nonché di soluzioni IT hosted per le piccole e medie aziende, commercializzati attraverso un’estesa comunità di partner.

I prodotti GFI sono disponibili on-premise, nella ‘nuvola’ o in modalità mista. Grazie alla tecnologia vincitrice di numerosi riconoscimenti, a una politica tariffaria aggressiva e alla particolare attenzione rivolta alle esigenze specifiche delle piccole e medie aziende, GFI Software è in grado di soddisfare le esigenze delle PMI su scala mondiale. Come fornitore di infrastrutture per le PMI, GFI ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, a supporto di centinaia di migliaia di installazioni in tutto il mondo. GFI Software è un’azienda orientata alla collaborazione con il canale e si avvale infatti di migliaia di partner in tutto il mondo. Inoltre è un Microsoft Gold ISV Partner.

Via: Prima Pagina
Foto credit: GFI Blog

Numeri del 2012: Kaspersky Lab rileva 200.000 programmi nocivi al giorno

Kaspersky Lab ha pubblicato il suo report annuale Kaspersky Security Bulletin, che fornisce una visione generale del panorama malware e delle statistiche per il 2012 che riguardano le minacce informatiche. I dati analizzati nel rapporto sono stati raccolti utilizzando Kaspersky Security Network (KSN), la soluzione basata su cloud utilizzata dai prodotti Kaspersky Lab per garantire una protezione in tempo reale contro le nuove minacce. 

Il report 2012 ha rivelato una crescita significativa di malware specifici per Mac e una forte crescita del numero di minacce destinate alla piattaforma Android. Nel complesso, i prodotti Kaspersky Lab hanno rilevato e bloccato più di 1,5 miliardi di attacchi attraverso il web nel 2012 e più di 3 miliardi di file infetti. Kaspersky Lab rileva e blocca ogni giorno più di 200.000 nuovi programmi nocivi, un aumento significativo rispetto al primo semestre del 2012, quando i programmi nocivi individuati e bloccati in media ogni giorno erano 125.000. 

In breve

• Nel 2012 i prodotti Kaspersky Lab hanno bloccato oltre 1,5 miliardi di attacchi attraverso il Web durante tutto l'anno, un dato di 1,7 volte superiore rispetto alla quantità totale di attacchi bloccati nel 2011.  

• Kaspersky Lab ha bloccato con successo più di 3 miliardi di infezioni locali sui computer degli utenti nel 2012. In totale, sono stati rilevati 2,7 milioni di varianti di malware e programmi nocivi. 

• Nel 2012, il 99% di tutto il malware mobile rilevato da Kaspersky Lab era destinato alla piattaforma Android. Kaspersky Lab ha identificato più di 35.000 programmi nocivi per Android durante l'anno, circa sei volte in più rispetto al 2011. 

• I malware per Mac OS X continuano ad aumentare e secondo gli esperti di Kaspersky Lab quest'anno è stato creato il 30% in più di Trojan per Mac rispetto al 2011. 

• Oracle Java è stato il software più colpito dai criminali informatici nel 2012. Il 50% di tutti i rilevamenti sfruttavano attacchi che avevano come obiettivo le sue vulnerabilità. Adobe Reader si trova in seconda posizione con un numero di rilevamenti pari al 28%. 

• Top 5 dei paesi da cui vengono diffusi i malware: Stati Uniti, Russia, Olanda, Germania e Regno Unito 

• Top 5 dei paesi con il dato più alto di attacchi via web: Russia, Tajikistan, Azerbaijan, Armenia, Kazakhstan 

• Top 5 dei paesi in cui i file infetti vengono rilevati più frequentemente: Bangladesh, Sudan, Malawi, Tanzania, Rwanda 

• Top 5 dei paesi con il più basso tasso di infezione: Danimarca, Giappone, Finlandia, Svezia, Repubblica Ceca 

Minacce del 2012 

Una delle novità più importanti avvenuta all'inizio del 2012 è stata la scoperta di Flashback, una botnet composta da 700.000 computer Apple infetti basati su Mac OS X. La diffusione dell’infezione, è stata causata da una nuova variante del malware Flashfake e questo incidente di sicurezza ha messo in discussione la percezione della piattaforma Mac OS X come invulnerabile agli attacchi. Oltre ai malware di massa, i dispositivi con Mac OS X sono diventati anche l’obiettivo di frequenti attacchi mirati. 

Il principale motivo è che i prodotti Apple sono utilizzati dalla maggior parte di esponenti politici e uomini d'affari, le informazioni memorizzate sono quindi di grande interesse per una determinata categoria di criminali informatici. I malware per Mac OS X continuano ad aumentare, secondo gli esperti di antivirus di Kaspersky Lab , e quest'anno è stato creato il 30% in più di Trojan per Mac, rispetto al 2011. 

Un'altra tendenza del 2012 è la rapida crescita dei malware Android. La piattaforma Android si è affermata come il principale obiettivo dei criminali informatici. I programmi nocivi che colpiscono le altre piattaforme mobile, come Symbian, Blackberry o J2ME, sono ancora in fase di sviluppo e il 99% dei nuovi programmi nocivi scoperti colpiscono soprattutto la piattaforma Android. Nonostante i tentativi da parte di Google di introdurre la propria tecnologia anti-malware, le applicazioni nocive continuano ad apparire sul negozio ufficiale di Google Play. 

Nel 2012 è avvenuto il primo incidente con un’app che raccoglieva i dati della rubrica e inviava spam a tutti i contatti; questo si è verificato anche sull’Apple Store. Proprio come i PC tradizionali, i dispositivi mobile sono oggi bersaglio dei criminali informatici. Nel 2012 i prodotti Kaspersky Lab hanno bloccato una media di oltre 4 milioni di attacchi ogni giorno attraverso i browser, per un totale di attacchi web che supera l’1,5 miliardi all'anno. 

Applicazioni contenenti vulnerabilità destinatari di exploit web nel 2012

La tecnica utilizzata più di frequente per compiere attacchi contro gli utenti è sfruttare le vulnerabilità dei programmi o delle applicazioni. Durante l'anno gli esperti di Kaspersky Lab hanno registrato entrambi gli attacchi su larga scala, che utilizzavano software vulnerabili ad esempio Oracle Java (50% degli attacchi). Adobe Reader occupa il secondo posto (28%) e Adobe Flash Player occupa il quarto posto con solo il 2%, grazie all’efficiente sistema di aggiornamento automatico che blocca le falle presenti nella sicurezza. 

Inoltre, alcuni di questi programmi sfruttano vecchie vulnerabilità, ancora presenti in diversi sistemi operativi Windows. Una spiegazione può essere che le versioni precedenti di Windows sono ancora ampiamente utilizzate. Ad esempio, la quota dei computer con sistema operativo Windows XP nel 2012 è stata del 44%, rispetto al 63% del 2011; non è un calo significativo dato che Windows 7 è disponibile da tre anni e quest’anno è stato lanciato sul mercato anche il nuovo Windows 8. 

Più di 3 miliardi di malware sono stati individuati e bloccati dai software di Kaspersky Lab sui dischi rigidi locali e di archiviazione esterna degli utenti. Per un totale di 2,7 milioni di diverse versioni di malware e programmi indesiderati che vengono lanciati sui PC degli utenti. La maggior parte delle infezioni locali sono state bloccate da Kaspersky Lab grazie alla tecnologia euristica. È da notare che diverse versioni vecchie di Kido (Conficker) e Sality sono ancora presenti nella lista dei malware bloccati più di frequente. 

Nel complesso, il numero di nuove applicazioni nocive è aumentato rapidamente: nel primo semestre del 2012 Kaspersky Lab ha registrato una media di 125.000 nuovi malware ogni giorno. Verso la fine dell'anno, questa cifra è cresciuta fino a 200.000. I server presenti negli Stati Uniti sono stati impiegati più frequentemente per ospitare e distribuire oggetti dannosi (25,5% di tutti gli incidenti). La Russia occupa il secondo posto con il 19,6%, seguita da Paesi Bassi, Germania e Regno Unito. 

Questo è un cambiamento significativo rispetto agli anni passati: nel 2010 la maggior parte dei malware veniva diffuso dalla Cina. I cambiamenti nelle politiche di registrazione dei domini e di altre norme adottate dalle autorità cinesi, ha contribuito al rapido declino degli oggetti dannosi provenienti da questo paese. Al contrario, gli Stati Uniti, la Russia e gli altri paesi europei hanno visto un notevole aumento del numero di siti di hosting nocivi utilizzati dai criminali informatici, che hanno compromesso le fonti legittime online oltre a registrare molti siti Internet del tutto nocivi. 

In base al numero di attacchi web locali bloccati e dei file nocivi, gli esperti di Kaspersky Lab hanno calcolato il "livello di rischio" per ogni paese. La Russia e le ex repubbliche sovietiche occupano i primi posti, ma 31 paesi (tra cui Regno Unito, Australia e Canada) rientrano nel gruppo "ad alto rischio". In questi paesi, almeno il 41% degli utenti sono stati attaccati online nel 2012. Bangladesh, Sudan, Malavi, Tanzania e Ruanda costituiscono i primi cinque paesi, in cui gli utenti vengono presi di mira attraverso le infezioni malware locali. 

7 paesi in totale sono stati classificati come "rischio massimo", dove il 75% degli utenti sono stati attaccati almeno una volta con un file dannoso. Un altro 41% dei paesi rientra nel gruppo ad "alto rischio" (56-75% degli utenti attaccati), tra cui Indonesia, Etiopia e Kenya. Al contrario, la Danimarca è stata considerata come il paese più sicuro, in quanto il paese aveva il più basso tasso di computer infetti (15%). Giappone, Finlandia, Svezia e Repubblica Ceca sono stati gli altri paesi citati per i più bassi tassi di infezione. 

Quote 

Costin Raiu, Director of Global Research & Analysis Team Kaspersky Lab "Quello che è emerso nel 2012, è la forte inclinazione dei criminali informatici a rubare dati da tutti i dispositivi utilizzati dagli utenti e dalle aziende, siano essi PC, Mac, smartphone o tablet. Questa è una delle tendenze più importanti di quest’anno. Stiamo osservando anche un forte aumento del numero complessivo di minacce che colpiscono tutti gli ambienti software più diffusi." Il report completo è disponibile a questo link: http://bit.ly/RWdvjn

Kaspersky report Q3 2012, Microsoft è fuori da top 10 prodotti vulnerabili

Nel report del terzo trimestre del 2012, gli esperti di Kaspersky Lab hanno esaminato i cambiamenti nel panorama delle minacce IT. Particolare rilievo hanno assunto le indagini sullo spionaggio informatico, i cambiamenti nella geografia delle minacce e la top 10 delle vulnerabilità. Su ogni computer sono state rilevate una media di otto vulnerabilità e le due più frequenti sono state individuate nei prodotti Oracle Java, rilevate sul 35% e 21,7% dei computer infetti, rispettivamente. 

La top 10 include anche cinque prodotti Adobe, due prodotti Apple, QuickTime player e iTunes oltre al popolare Nullsoft Winamp media player. Grazie al sistema di aggiornamento automatico, introdotto nella recente versione del sistema operativo Windows, Microsoft non rientra più nella top 10 delle vulnerabilità. I casi più significativi del trimestre sono stati i malware Madi, Gauss e Flame. 

La campagna Madi è andata avanti per circa un anno e aveva come obiettivo le infrastrutture delle società ingegneristiche, delle organizzazioni governative, delle banche e delle università situate in Medio Oriente. I componenti nocivi sono stati distribuiti attraverso attacchi basati su tecnologie semplici e conosciute ma, nonostante ciò, i criminali informatici sono stati comunque in grado di spiare le proprie vittime per molto tempo. Le applicazioni e i siti che sono stati spiati comprendono gli account di Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ e Facebook. 

Gli attacchi portati nel corso della campagna Madi hanno prodotto l’installazione di programmi Backdoor, scritti in linguaggio Delphi, all’interno dei sistemi informatici presi di mira. I malware in questione potrebbero essere stati creati sia da un programmatore dilettante che da uno sviluppatore professionista con pochissimo tempo a disposizione. Il sofisticato attack-toolkit denominato Gauss è stato recentemente scoperto nel quadro delle febbrili attività intraprese dall'InITU a seguito dell'individuazione del malware Flame.

Il malware più sofisticato, Gauss, è stato classificato dagli esperti come “arma informatica” ed è stato scoperto durante un’indagine condotta dall’International Telecommunication Union (ITU) dopo la scoperta del malware Flame. Gauss è un Trojan “banking” sponsorizzato dagli stati-nazioni dotato di spyware, quindi in grado di sottrarre informazioni dai sistemi di online banking sui computer infetti in Medio Oriente. 

Gauss inoltra segretamente ad un server le password inserite o salvate sul browser, file cookie e dettagli di configurazione del sistema infetto. Il malware si basa sulla piattaforma di Flame con cui condivide alcune caratteristiche, come la procedura di infezione dei computer tramite il drive USB. Gli esperti di Kaspersky Lab hanno inoltre fatto nuove scoperte relative ai server di comando e controllo (C&C) di Flame. 

Il codice C&C supporta tre protocolli di comunicazione e gestisce le richieste provenienti da quattro programmi nocivi codificati dagli sviluppatori come SP, SPE, FL e IP. Di questi quattro programmi nocivi, attualmente solo due sono conosciuti: Flame e SPE (miniFlame). Anche la geografia delle minacce mostra importanti cambiamenti. La Russia si è posizionata in cima alla classifica con una percentuale del 23,2%, superando gli Stati Uniti che arrivano al 20,3%.

Nel secondo trimestre, la top 20 dei paesi comprendeva esclusivamente paesi dell’ex Unione Sovietica, Africa e Sud-Est Asiatico. Nel terzo trimestre invece questa classifica ha incluso anche alcuni paesi del sud Europa quali Italia (36,5%) e Spagna (37,4%). La Russia è stata sostituita dal Tajikistan, con il 61,1%. Sottolineiamo, in primo luogo, come in oltre il 50% degli attacchi informatici siano state utilizzate le falle di sicurezza - o per meglio dire le vulnerabilità - individuate all’interno di Java.

TOP-20 relativa agli oggetti infetti rilevati in Internet

Posizione Denominazione %sul totale complessivo degli attacchi 

1 Malicious URL 90,70% 

2 Trojan.Script.Generic 2,30% 

3 Trojan.Script.Iframer 1,60% 

4 Trojan-Downloader.SWF.Voleydaytor.h 0,40% 

5 Trojan.Win32.Generic 0,40% 

6 Exploit.Script.Blocker 0,30% 

7 AdWare.Win32.IBryte.x 0,20% 

8 Trojan-Downloader.JS.Iframe.cyq 0,20% 

9 Exploit.Script.Generic 0,20% 

10 Trojan-Downloader.JS.Agent.gsv 0,20% 

11 Trojan-Downloader.JS.JScript.bp 0,20% 

12 Hoax.HTML.FraudLoad.i 0,20% 

13 Trojan-Downloader.Script.Generic 0,10% 

14 Trojan.HTML.Redirector.am 0,10% 

15 Trojan-Downloader.Win32.Generic 0,10% 

16 Trojan-Downloader.JS.Iframe.czo 0,10% 

17 AdWare.Win32.ScreenSaver.e 0,10% 

18 Backdoor.MSIL.Agent.gtx 0,10% 

19 Trojan.JS.Popupper.aw 0,10% 

20 Exploit.Java.CVE-2012-4681.gen 0,10%

Secondo i dati resi noti da Oracle, risulta che le varie versioni esistenti della celeberrima virtual machine siano attualmente installate in più di 1,1 miliardi di computer, ubicati in ogni angolo del globo. E’ importante considerare che gli aggiornamenti per la suddetta piattaforma vengono eseguiti solo su espressa richiesta dell’utente, quindi non in modalità automatica; ciò comporta, di riflesso, una maggior durata del ciclo di vita delle vulnerabilità. La versione completa del report “IT Threat Evolution: Q3 2012” è disponibile su securelist.com.

Report McAfee 1° trimestre 2012, crescita malware su tutte le piattaforme

McAfee ha rilasciato il Report McAfee sulle minacce: primo trimestre 2012, che rivela una crescita del malware relativamente a tutte le piattaforme. Il report indica inoltre che nel primo trimestre, le minacce malware indirizzate ai PC hanno raggiunto i massimi livelli degli ultimi quattro anni, e che sono cresciute anche quelle rivolte alla piattaforma Android. Anche li malware verso i Mac è aumentato, lasciando presupporre che il malware totale potrebbe raggiungere i 100 milioni entro l'anno.

"Nel primo trimestre del 2012, abbiamo già individuato 8 milioni di nuovi campioni unici di malware, che dimostra come gli autori di malware stiano continuando incessantemente a sviluppare nuove minacce," ha dichiarato Vincent Weafer, senior vice president di McAfee Labs. "Le competenze e le tecniche che sono state perfezionate sui PC vengono ora estese ad altre piattaforme, come quelle mobile e Mac, e via via che queste piattaforme si diffonderanno negli ambienti domestici ed aziendali, cresceranno di pari passo gli attacchi, motivo per cui tutti gli utenti, a prescindere dalle piattaforme utilizzate, dovrebbero prendere precauzioni per la sicurezza dei dispositivi e la navigazione sicura".

Impennata del malware mobile

Il malware diretto ai dispositivi mobili ha visto una significativa crescita durante il primo trimestre di quest’anno, con un numero cumulativo di esemplari di malware mobile raccolti pari a 8.000. Questo significativo aumento si deve in parte anche ai progressi nella rilevazione e catalogazione dei campioni di malware mobile da parte di McAfee Labs.

Una delle principali motivazioni che sta alla base della diffusione di malware sulla piattaforma Android si conferma l’intento di ottenere dei guadagni, come ha recentemente dichiarato Carlos Castillo, ricercatore McAfee Labs, in un post pubblicato sul blog McAfee. A fine trimestre sono stati raccolte e identificate fino a quasi 7000 minacce indirizzate verso Android, pari a un aumento di oltre il 1200% rispetto ai 600 campioni raccolti al termine del quarto trimestre 2011. La maggior parte di queste minacce provengono da app store di terze parti, e tipicamente non si trovano nello store ufficiale di Android.

Crescita delle minacce dirette a PC e Mac

Alla fine del 2011, McAfee Labs aveva raccolto più di 75 milioni di campioni di malware. Il primo trimestre 2012 ha registrato il maggior numero di malware indirizzati ai PC rilevati trimestralmente negli ultimi quattro anni. Questo aumento ha portato il totale a 83 milioni di esemplari unici di malware entro la fine del primo trimestre, rispetto ai 75 milioni di campioni registrati alla fine del 2011. Tale crescita è stata guidata da significativi aumenti di rootkit, una forma di malware nascosto, tra cui i password stealers, che hanno raggiunto circa 1 milione di nuovi esemplari registrati nel primo trimestre. In Q1, l’e-mail ha continuato ad essere uno strumento privilegiato per diffondere attacchi altamente mirati, e quasi tutti gli attacchi mirati di phishing sono iniziati con uno spear phishing contenuto in un messaggio di posta elettronica.

Mentre il Trojan Flashback ha iniziato a mietere danni tra gli utenti Apple Mac nel mese di marzo, il malware diretto alla piattaforma Mac stava già crescendo a ritmo costante. Nonostante l’aumento, il malware per Mac è ancora molto meno diffuso di quanto non lo sia il malware per PC, con circa 250 nuovi esemplari di malware per Mac, e circa 150 nuovi falsi anti-virus per Mac, nel primo trimestre.

Cala lo spam, crescono le botnet

I livelli di spam globale sono scesi a poco più di 1.000 miliardi di messaggi di spam al mese registrati entro la fine di marzo. Le diminuzioni sono state più significative in Brasile, Indonesia e Russia, mentre degli aumenti di spam sono stati segnalati in Cina, Germania, Polonia, Spagna e Regno Unito.

La crescita delle botnet nel primo trimestre è aumentata, raggiungendo un picco di quasi 5 milioni di infezioni. Colombia, Giappone, Polonia, Spagna e Stati Uniti sono state le aree con l'aumento più evidente di botnet, mentre Indonesia, Portogallo e Corea del Sud sono le regioni in cui è proseguita la tendenza al calo precedentemente registrata. La botnet più diffusa nel primo trimestre è stata Cutwail, con più di 2 milioni di nuove infezioni.

All’interno del report, McAfee inserisce un prospetto dei prezzi di una botnet venduta sul mercato nero. Citadel, una variante della botnet Zeus, con specializzazione in furto dei dati finanziari, ha un costo di 2.399 dollari più 125 dollari per l’"affitto" di un pannello di amministrazione e gestione della botnet, oltre a un extra di 395 dollari per gli aggiornamenti automatici per raggirare gli antivirus. Per Darkness, by SVAS/Noncenz, una botnet con specializzazione in attacchi Distributed Denial of Service, le opzioni vanno da 450 dollari per il pacchetto base a circa 1.000 dollari per le offerte più avanzate.

La principale fonte degli attacchi sono gli Stati Uniti

Una macchina compromessa viene spesso utilizzata come proxy per spam, botnet, denial of service, o attività dannose di altro tipo. Queste macchine possono essere situate in qualsiasi parte del mondo, ma nel primo trimestre di quest’anno, la maggior parte si è rivelata essere collocata negli Stati Uniti. Sulla base dei dati raccolti dalla Global Threat Intelligence di McAfee™, la maggior parte degli attacchi SQL-injection e XSS (cross-site scripting, attacchi indirizzati alle vulnerabilità dei siti web dinamici), sono partiti prevalentemente dagli Stati Uniti, dove è stato registrato anche il maggior numero di vittime di entrambi gli attacchi. Gli Stati Uniti attualmente ospitano la maggior parte dei server di controllo delle botnet, e la stragrande maggioranza dei nuovi siti web malevoli, con una media di 9.000 nuovi siti pericolosi registrati al giorno.

A proposito di McAfee

McAfee, società interamente controllata da Intel Corporation (NASDAQ:INTC), è la principale azienda focalizzata sulle tecnologie di sicurezza. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi e reti in tutto il mondo, consentendo agli utenti di collegarsi a Internet, navigare ed effettuare acquisti sul web in modo sicuro. Supportata dal suo ineguagliato servizio di Global Threat intelligence, McAfee crea prodotti innovativi destinati a utenti consumer, aziende, pubblica amministrazione e service provider che necessitano di conformarsi alle normative, proteggere i dati, prevenire le interruzioni dell'attività, individuare le vulnerabilità e monitorare e migliorare costantemente la propria sicurezza. McAfee è impegnata senza sosta a ricercare nuovi modi per mantenere protetti i propri clienti. http://www.mcafee.com

GFI Vipre report Aprile: social network ancora nel mirino dei cybercriminali

GFI Software ha reso disponibile il VIPRE® Report, la classifica delle prime 10 minacce informatiche rilevate nel mese di Aprile 2012. Il mese scorso i cybercriminali hanno colpito i principali social network, inclusi Facebook® , Twitter®, Tumblr® e Pinterest, diffondendo malware e sondaggi spam.

GFI Labs report: cybercriminali sfruttano grandi marche e social network

GFI Software ha rilasciato il suo VIPRE® report di marzo 2012, una raccolta dei 10 rilevamenti delle minacce più diffuse incontrate il mese scorso. GFI Labs ha anche documentato vari attacchi di spam e campagne email cariche di malware, che si sono infiltrati nei sistemi degli utenti con la scusa di comunicazioni da parte di rinomate aziende e promozioni per prodotti popolari e servizi. Google TM, LinkedIn®, Skype TM e il videogioco di Mass Effect TM 3 sono stati tra i marchi sfruttati dai cybercriminali.

McAfee: truffe San Valentino in aumento, attenzione ai Love exploit

McAfee mette in guardia i consumatori dai cosiddetti Love exploit che stanno per rovinare la festa di San Valentino. Già nel mese di novembre, McAfee ha avvertito i consumatori riguardo le 12 truffe di Natale - tattiche che i criminali informatici utilizzano per usufruire del nostro animo vacanziero e buono spirito per rubare le nostre informazioni finanziarie o dati riservati. Dall'inviare messaggi di posta elettronica malware e la creazione di false promozioni Facebook promozioni e concorsi per lo svolgimento di truffe online coupon, non c'è fine alla quantità di creatività investita in questi trucchi vacanza, e San Valentino non è diverso.

Kaspersky Lab presenta la situazione malware al mese novembre 2011

Kasperky Lab ha pubblicato il rapporto mensile dei malware in circolazione e attacchi in rete a novembre 2011. Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:

• sono stati respinti 204.595.286 attacchi della rete;
• sono stati bloccati 89.001.505 tentativi di infezione via Internet;
• sono stati individuati e neutralizzati 238.045.358 programmi malware (tentativi di infezione locale);
• sono state registrate 98.047.245 attivazioni di analisi euristiche.

Per quanto riguarda le minacce più classiche, novembre si è rivelato un mese relativamente tranquillo. Gli autori di programmi dannosi hanno continuato a sviluppare le tecnologie esistenti, mentre i programmatori di virus non hanno fatto registrare invenzioni di rilievo.

TOP 10 dei malware in Internet

L'argomento del mese: DUQU, indagini in corso

A novembre il trojan Duqu, individuato in settembre e reso noto al pubblico in ottobre, è restato saldamente al centro dell'attenzione degli esperti e dei mass media. La principale ragione di tanto interesse è stata l'individuazione del metodo di intrusione di questo programma dannoso nei sistemi attaccati. L'attacco veniva condotto attraverso la posta elettronica per mezzo di un documento MS Word contenente l'exploit per una vulnerabilità in precedenza sconosciuta del sistema operativo Windows. L'errore nel componente di sistema win32k.sys consentiva di eseguire il codice dannoso dal file con i privilegi di amministratore.

Questa scoperta costituisce l'ennesimo parallelo tra Duqu e Stuxnet poiché anche quest’ultimo sfruttava vulnerabilità sino ad allora sconosciute. Già in ottobre abbiamo ipotizzato che l'individuazione del dropper Duqu potesse costituire la chiave principale per svelare il mistero dell'origine del trojan e che il dropper potesse contenere exploit per vulnerabilità simili. Gli esperti di Kaspersky Lab sono riusciti a individuare l'e-mail originaria con il dropper e l'exploit, inviata ad una vittima in Sudan. L'analisi dettagliata è stata pubblicata nel blogpost. Kaspersky Lab ha aggiunto tempestivamente ai suoi prodotti l'aggiornamento per individuare l'exploit.

È da notare che all'inizio di dicembre la Microsoft non aveva ancora rilasciato la patch per chiudere la vulnerabilità in questione e che quindi il rischio di subire attacchi che la sfruttassero è stato piuttosto elevato. Oltre alle indagini sulla vulnerabilità Kasperky Lab ha condotto alcune operazioni legate alla captazione di una serie di server di controllo di Duqu, situati in diversi Paesi del mondo. Purtroppo gli autori di Duqu hanno reagito tempestivamente alla notizia della scoperta della loro attività e il 20 ottobre hanno condotto un'azione globale di "cancellazione delle tracce" su tutti i server. Kasperky Lab tuttavia sono riusciti a ottenere dei dati e quindi le loro indagini proseguono nella direzione intrapresa.

Nuovi programmi e tecnologie dei cybercriminali

Negli ultimi tempi nei programmi dannosi va aumentando il numero di casi di utilizzo di metodi di steganografia. In settembre era stato individuato l'utilizzo di file grafici contenenti dei comandi nascosti per controllare la botnet SST. Ricordiamo che il bot SST è una variante del noto e diffuso bot TDSS/TDL. In novembre Kaspersky ha riscontrato una tecnica analoga nella famiglia dei programmi trojan che minacciano gli utenti delle banche brasiliane. Si tratta del primo caso di utilizzo della steganografia nelle immagini dei trojan latino-americani. I file, contenenti codici dannosi criptati e delle informazioni aggiuntive, presentavano l'estensione .jpeg, ma per la loro struttura erano in realtà dei file bmp.

Per crearli i cybercriminali hanno utilizzato il metodo della cifratura a blocchi. Utilizzando questa tecnica, i programmatori di virus ottengono in un solo colpo molteplici effetti. In primo luogo, essa consente di compromettere il corretto funzionamento dei sistemi automatici di analisi dell'antivirus: è possibile così che il file venga scaricato, controllato con i programmi antivirus e identificato come "pulito" e con l'andar del tempo il rinvio viene completamente escluso dal controllo. In secondo luogo, gli amministratori dei siti che ospitano questi file dannosi criptati non riescono a riconoscerli come dannosi e, di conseguenza, non intraprendono alcuna contromisura. In terzo e ultimo luogo, alcuni esperti antivirus non hanno il tempo o l'esperienza necessaria per trattare questi file, il tutto a vantaggio ovviamente del cybercriminale.

Minacce per i dispositivi mobili: i trojan SMS si diffondono in tutto il mondo

A metà luglio Kasperky si era dedicato all'argomento dei "mittenti di SMS pornografici" che sfruttavano costosi messaggi SMS per abbonare gli utenti ai più svariati servizi. Queste applicazioni erano rivolte agli utenti di USA, Malesia, Paesi Bassi, Gran Bretagna, Kenia e Sudafrica. In novembre Kaspersky ha individuato dei trojan SMS che prendevano di mira gli utenti di alcuni Paesi europei e del Canada. I programmi dannosi inviano dal dispositivo infettato quattro SMS a un numero breve a pagamento. Questa famiglia di trojan viene individuata da Kaspersky come Trojan-SMS.AndroidOS.Foncy.

Finestra principale di app hot

Secondo i messaggi che Kaspersky ha reperito nei forum, i primi casi di infezione si sono verificati all'inizio di settembre. Pare che qualcuno abbia scaricato un'applicazione per monitorare i propri messaggi SMS/MMS, le telefonate e il traffico delle chiamate. Dopo averlo lanciato, il programma visualizzava sullo schermo del dispositivo un messaggio che informava dell'incompatibilità con la versione del sistema operativo Android utilizzato dall'utente. Dopodiché il credito dell'utente veniva depauperato. Ricordiamo che prima che apparissero i malware della famiglia Trojan-SMS.AndroidOS.Foncy, i trojan SMS avevano attaccato principalmente gli utenti russi e cinesi. Oggi i trojan SMS rappresentano una delle fonti di guadagno più facili per i cybercriminali.

Minacce MacOS

Al giorno d'oggi è difficile sorprendere gli utenti di Windows mettendo trojan e worm nei siti che diffondono versioni pirata di popolari programmi, mentre al contrario per gli utenti di MacOS un attacco del genere è ancora una novità. Così alla fine di ottobre sui torrent tracker che diffondono versioni pirata di programmi per il Мас, è stato individuato un nuovo programma, battezzato Backdoor.OSX.Miner, che possiede contemporaneamente diverse funzioni dannose:

1. apertura di un accesso remoto al computer infetto;
2. raccolta di informazioni sulla cronologia dei siti visitati utilizzando il browser Safari;
3. creazione di screenshot delle schermate;
4. sottrazione del file wallet.dat dai clienti BitCoin;
5. lancio non autorizzato del miner BitCoin.

Questo malware si sta diffondendo in parallelo mediante diversi torrent tracker, quali publicbt.com, openbittorrent.com e thepiratebay.org. Secondo le stime di Kaspersky alla fine di novembre il malware Backdoor.OSX.Miner ha infettato decine di sistemi Mac.

Esempio di torrent tracker che diffonde il Backdoor.OSX.Miner

Manomissione della banca dati Steam

La storia degli attacchi e delle violazioni dei servizi di Sony Playstation Network all'inizio dell'anno è tornata a fare notizia dopo che in novembre è stato individuato un caso simile con un'altra azienda produttrice di videogiochi: il servizio Steam della Valve. Agendo nell'anonimato, gli hacker sono riusciti a crackare il forum del servizio e a inviare una gran quantità di messaggi contenenti link di collegamento a filmati che illustravano come crackare i videogiochi. La Valve ha disattivato il server per risolvere il problema e nel corso delle indagini è stata appurata la manomissione del database Steam. La direzione di Valve si è raccomandata di controllare le transazioni effettuate con le carte di credito e di leggere con attenzione gli estratti conti delle carte.

La banca dati compromessa conteneva informazioni quali i nomi degli utenti, le password hashed e salted, i dati relativi all'acquisto di giochi, gli indirizzi di posta elettronica degli utenti, gli indirizzi di fatturazione e i dati crittati delle carte di credito. L'incidente ha costretto la direzione di Valve a rivolgersi con una lettera a tutti gli utenti del servizio, informandoli del problema individuato. Nella lettera è stato comunicato che l'azienda non ha scoperto prove che dimostrino che gli hacker siano riusciti a mettere le mani su numeri criptati delle carte di credito e dati personali degli utenti, ma "le indagini proseguono". Fino ad ora non ci sono state comunicazioni relative all'utilizzo da parte dei cybercriminali delle carte di credito degli utenti del servizio Steam.

TOP 10 degli hosting dannosi

Ancora problemi con i certificati

Questo è stato un anno ricco di incidenti per i centri di certificazione, a cominciare da quello accaduto alla Comodo per proseguire poi con quanto è successo di recente alla olandese DigiNotar. Certificati trafugati sono stati inoltre individuati in programmi dannosi, tra cui anche il trojan Duqu. Il problema della perdita di credibilità dei certificati digitali in circolazione è attualmente un problema gravissimo per il quale non sono ancora stati trovate soluzioni. In novembre è stata la volta di un altro centro di certificazione olandese, la KPN, che, dopo aver comunicato di esser rimasta vittima di un attacco da parte degli hacker, ha interrotto l'emissione di certificati. La violazione è imputabile a una breccia individuata nel server web della KPN, che serve l'infrastruttura a chiave pubblica (PKI). L'attacco è stato condotto non meno di 4 anni fa.

Un incidente ancora più grave ha interessato il centro malese di certificazione Digicert (CA Digicert Malaysia). Il centro è stato infatti cancellato da tutti i produttori di browser e dalla Microsoft dall'elenco dei centri convenzionati. Questa misura, che colpisce per la sua severità, si è resa necessaria dopo la scoperta dell'emissione da parte della Digicert di 22 certificati con chiavi deboli a 512 bit e di certificati privi delle necessarie estensioni che definiscono le restrizioni per l'utilizzo dei certificati e delle informazioni sulla scadenza della validità. Jerry Bryant, rappresentante della Microsoft, ha fatto sapere che sebbene non si abbiano indizi che confermino che i cybercriminali siano riusciti a rubare anche solo uno di questi certificati, le chiavi deboli hanno permesso di crackarne alcuni. Rapporto completo di Kaspersky: http://newsroom.kaspersky.eu/fileadmin/user_upload/en/Downloads/PDFs/Kaspersky_Lab_press_release_Malware_November.pdf Fonte: Kaspersky Lab Via: Securlist

Symantec Intelligence Report ottobre 2011: spam da Url accorciate

Symantec Corp. ha annunciato i risultati del Symantec Intelligence Report di ottobre 2011. L'analisi di questo mese rivela che per la prima volta, gli spammer hanno creato un vero e proprio servizio di abbreviazione URL che è pubblicamente disponibile e genera reali link accorciati. Questi finora hanno solo stati trovati nelle e-mail spam. Nel corso del 2010, il 92% dei messaggi di spam contenevano URL e l'utilizzo dei link accorciati rendeva più difficile per i tradizionali anti-spam l'adozione di contromisure per bloccare i messaggi in base alle impronte digitali URL.