Informazioni su Symantec Symantec è un leader globale nelle
Transcript
Informazioni su Symantec Symantec è un leader globale nelle
Informazioni su Symantec Symantec è un leader globale nelle soluzioni per la sicurezza, storage e gestione dei sistemi con l'obiettivo di aiutare privati e organizzazioni a proteggere e gestire le proprie informazioni. La nostra offerta di software e servizi consente la protezione da più rischi in più punti, con maggiore completezza ed efficienza, garantendo la sicurezza delle informazioni ovunque vengano utilizzate o archiviate. Con sede principale a Mountain View, California, Symantec svolge attività in 40 paesi. Maggiori informazioni sono disponibili su www.symantec.com. Per informazioni sui contatti in Symantec Corporation ogni specifico paese, visitate Sede principale il nostro sito Web. Per 20330 Stevens Creek Blvd. informazioni sui prodotti Cuperrtino, CA 95014 Stati negli Stati Uniti, telefonare Uniti al numero verde +1 (408) 517 8000 1 (800) 745 6054. www.symantec.com Copyright © 2011 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec e il logo Checkmark sono marchi o marchi registrati di Symantec Corporation o delle sue consociate negli Stati Uniti e in altri paesi. Altri nomi possono essere marchi dei rispettivi proprietari. 05/11 XXXXXXXX I n t e r n e t S e cu r it y T h r e at R e p o r t Internet Security Threat Report Volume 16 Report personalizzato Aprile 2011 Aprile 2011 Internet Security Threat Report Volume 16, Report personalizzato Indice generale EMEA - Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 EMEA - Tendenze delle attività delle minacce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 EMEA - Origine degli attacchi per paese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 EMEA - Attività degli attacchi dal Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 EMEA - Attività degli attacchi dal Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 EMEA - Tendenze delle attività del codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 EMEA - Prevalenza di caratteristiche di codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 EMEA - Tendenze delle attività del codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 EMEA - Principali nuove famiglie di codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 EMEA - Principali nuove famiglie di codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 EMEA - Meccanismi di propagazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 EMEA - Meccanismi di propagazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 EMEA - URL di phishing per paese e principali settori interessati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 EMEA - Paesi di origine dello spam delle botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Internet Security Threat Report Volume 16, Report personalizzato EMEA - Introduzione Attraverso la Symantec™ Global Intelligence Network, Symantec ha realizzato alcune delle fonti più complete e specializzate di dati sulle minacce in Internet al mondo. Questa rete acquisisce dati di intelligence sulla sicurezza a livello mondiale che costituiscono per gli analisti Symantec una fonte di dati senza eguali da identificare e analizzare per offrire protezione e fornire considerazioni informate sulle linee di tendenza relative ad attacchi, attività del codice nocivo, phishing e spam. Oltre 240.000 sensori in più di 200 paesi e territori monitorano le attività degli attacchi, tramite una combinazione di prodotti e servizi Symantec quali Symantec DeepSight™ Threat Management System, Symantec™ Managed Security Services e i prodotti consumer Norton™, oltre a fonti di dati di terze parti. Symantec raccoglie informazioni sul codice nocivo da oltre 133 milioni di sistemi client, server e gateway che utilizzano i suoi prodotti antivirus. La rete distribuita di sistemi di richiamo di Symantec, inoltre, raccoglie dati da tutto il mondo, rilevando minacce e attacchi sconosciuti e assicurando una preziosa visibilità sui metodi degli aggressori. Symantec gestisce anche uno dei database di vulnerabilità più completi al mondo, che attualmente contiene oltre 40.000 vulnerabilità registrate (in un periodo di oltre vent'anni) che interessano più di 105.000 tecnologie sviluppate da oltre 14.000 fornitori. Symantec gestisce anche la mailing list di BugTraq™, uno dei forum più utilizzati per la discussione delle vulnerabilità informatiche in Internet, che vanta circa 24.000 abbonati che ogni giorno si scambiano informazioni e discutono gli aspetti della ricerca sulle vulnerabilità. I dati di spam e phishing vengono acquisiti attraverso diverse fonti, fra cui la Symantec Probe Network, un sistema di oltre 5 milioni di account fittizi, MessageLabs Intelligence, un'affidabile fonte di dati e analisi su problematiche, tendenze e statistiche sulla sicurezza della messaggistica e altre tecnologie Symantec. I dati vengono raccolti in oltre 86 paesi in tutto il mondo. Oltre 8 miliardi di messaggi e-mail e oltre 1 miliardo di richieste Web vengono elaborati ogni giorno da 16 data center. Symantec raccoglie informazioni sul phishing anche tramite una nutrita comunità antifrode costituita da società, fornitori di sicurezza e oltre 50 milioni di utenti finali. Queste risorse offrono agli analisti Symantec fonti di informazioni senza precedenti, che rendono possibile identificare, analizzare e presentare una panoramica completa sulle tendenze emergenti di attacchi, attività del codice nocivo, phishing e spam. Il risultato è l'Internet Security Threat Report di Symantec, che fornisce ad aziende e privati le informazioni essenziali per proteggere in modo efficace i loro sistemi, oggi e in futuro. Oltre alla raccolta di dati globali sugli attacchi in Internet, Symantec analizza anche i dati sugli attacchi che vengono rilevati dai sensori dispiegati in regioni specifiche. In questo report vengono esaminati gli aspetti significativi delle attività nocive che Symantec ha osservato in Europa, Medio Oriente e Africa (EMEA) nel 2010. 4 Internet Security Threat Report Volume 16, Report personalizzato EMEA - Tendenze delle attività delle minacce La sezione seguente dell'Internet Security Threat Report di Symantec per Europa, Medio Oriente e Africa (EMEA) fornisce un'analisi delle attività delle minacce, delle attività nocive e delle violazioni di dati che Symantec ha osservato in EMEA nel 2010. Le attività nocive trattate in questa sezione non includono solo le attività delle minacce, ma comprendono anche phishing, codice nocivo, zombi spam, computer infettati da bot e origini degli attacchi alle reti. Gli attacchi vengono definiti come qualsiasi attività nociva intrapresa su una rete e individuata da un sistema di rilevazione delle intrusioni (IDS) o da un firewall. Le definizioni degli altri tipi di attività nocive sono disponibili nelle relative sezioni di questo report. In questa sezione vengono trattate le metriche seguenti e vengono fornite analisi e informazioni sulle tendenze delineate dai dati. • Attività nocive per paese •Origine degli attacchi per paese • Attività degli attacchi dal Web • Computer infettati da bot per paese EMEA - Attività nocive per paese Premessa Questa metrica esamina i paesi della regione EMEA (Europa, Medio Oriente e Africa) in cui ha origine o si verifica la maggior parte delle attività nocive. Le attività nocive di solito hanno effetto sui computer connessi a Internet a banda larga ad alta velocità poiché queste connessioni sono obiettivi interessanti per gli aggressori. Le connessioni a banda larga forniscono maggiori capacità rispetto ad altri tipi di connessioni: maggiore velocità, potenzialità di sistemi connessi costantemente e, normalmente, una connessione più stabile. Symantec classifica le attività nocive nel modo seguente: Codice nocivo: comprende virus, worm e Trojan Horse inseriti in modo invisibile nei programmi. Lo scopo del codice nocivo include la distruzione dei dati, l'esecuzione di programmi distruttivi e intrusivi, il furto di informazioni riservate o l'attacco alla sicurezza o all'integrità dei dati del computer della vittima. Zombi spam: sistemi compromessi che vengono controllati in modalità remota e utilizzati per inviare grandi quantità di e-mail indesiderate o non richieste. Queste e-mail possono essere utilizzate per veicolare codice nocivo e tentativi di phishing. Host di phishing: un host di phishing è un computer che fornisce servizi di siti Web allo scopo di tentare di raccogliere in modo illegale informazioni riservate, personali e finanziarie, fingendo che la richiesta provenga da un'organizzazione nota e attendibile. Questi siti Web sono progettati in modo da imitare i siti di società legittime. Computer infettati da bot: si tratta di computer compromessi controllati dagli aggressori in modalità remota. Solitamente l'aggressore remoto controlla un ampio numero di computer compromessi su un singolo canale affidabile in una botnet (o rete di bot), che viene quindi utilizzata per sferrare attacchi coordinati. Origini degli attacchi di rete: sono le origini degli attacchi da Internet. Ad esempio, gli attacchi possono avere come obiettivo le vulnerabilità dei protocolli SQL o dell'overflow del buffer. Origini degli attacchi di rete: sono le origini degli attacchi da Internet. Ad esempio, gli attacchi possono avere come obiettivo le vulnerabilità dei protocolli SQL o dell'overflow del buffer. 5 Internet Security Threat Report Volume 16, Report personalizzato Metodologia Per determinare le attività nocive per paese, Symantec ha compilato dati geografici su numerose attività nocive, inclusi segnalazioni di codice nocivo, zombi spam, host di phishing, computer infettati da bot e origini degli attacchi di rete. Viene quindi determinata nell'ambito della regione la proporzione di ogni attività che ha origine in ogni paese. Viene calcolata la media delle percentuali di ogni attività nociva che ha origine in ogni paese. Questa media determina la proporzione dell'attività nociva complessiva che ha origine dal paese in questione. Le classifiche vengono poi determinate calcolando la media aritmetica della proporzione di queste attività nocive che hanno origine in ogni paese. Posizione complessiva Origine Percentuale complessiva 2010 Posizione attività 2010 2009 Codice nocivo Zombie spam Host di phishing Bot Origine attacchi di rete 2010 2009 1 1 Regno Unito 18% 16% 1 4 2 3 2 2 2 Germania 14% 12% 5 1 1 1 1 3 6 Italia 8% 6% 7 5 7 2 4 4 3 Russia 7% 7% 4 3 5 11 5 5 7 Francia 6% 5% 9 9 4 7 3 6 4 Spagna 5% 7% 6 6 8 5 6 7 10 Paesi Bassi 5% 2% 14 2 3 12 10 8 5 Polonia 4% 6% 10 8 6 4 8 9 8 Turchia 3% 5% 2 21 10 9 7 10 12 Arabia Saudita 2% 2% 3 12 46 37 18 Attività nocive per paese, EMEA Fonte: Symantec Corporation Considerazioni Il Regno Unito e la Germania continuano ad avere le percentuali più alte di attività nocive nella regione EMEA: nel 2010, il Regno Unito e la Germania sono state ancora una volta le origini principali delle attività nocive complessive nell'ambito EMEA. Globalmente il Regno Unito si è classificato al quinto posto e la Germania al terzo per le attività nocive complessive. Questo significa che gli aggressori negli Stati Uniti si sono concentrati principalmente sulla regione, mentre è probabile che gli aggressori in Germania si siano rivolti principalmente ai sistemi globali. • La presenza continuativa del Regno Unito al vertice della classifica in questa metrica è dovuta all'alto volume di attività del codice nocivo in questo paese. • La posizione della Germania al secondo posto è dovuta alla sua prima posizione negli zombi spam, host di phishing, bot e nell'origine degli attacchi di rete. La Germania ha un'infrastruttura a banda larga decisamente consolidata che conta la maggior parte degli utenti nella regione EMEA. Con quasi 27 milioni di utenti di banda larga, anche se una piccola parte di questi sistemi non sono protetti, questi computer rappresentano comunque un elevato numero di obiettivi interessanti per gli aggressori e quindi conducono a un'alta percentuale di attività nocive nel paese. Più della meta degli zombi spam del mondo sono stati localizzati nella regione EMEA: EMEA continua a essere la regione con la più alta percentuale di zombi spam, che costituiscono il 54% del totale globale nel 2010. Germania, Paesi Bassi e Russia hanno avuto la più alta percentuale di zombi spam nell'ambito della regione EMEA, raggiungendo insieme circa un terzo del totale della regione. Una ragione per questa alta percentuale è che i computer della regione EMEA sono le fonti principali di infezione per le principali botnet di spam quali Ozdok (Mega-D), Cimbot, Bobax e Xarvester. • Informazioni sulle origini di infezione per gli spambot. 6 Turchia e Arabia Saudita continuano a registrare alti livelli di codice nocivo per il 2010: sebbene occupino rispettivamente il nono e il decimo posto per le attività nocive complessive in EMEA nel 2010, la Turchia e l'Arabia Saudita occupano la seconda e la terza posizione nella categoria di codice nocivo nella regione. Questa situazione è verosimilmente dovuta ai grandi volumi di potenziali infezioni da virus e worm nei due paesi per il 2010. Nel 2010 la Turchia era al primo posto per le potenziali infezioni da virus, principalmente a causa del virus Almanahe.B, che in questo paese è stato rilevante. Contemporaneamente i worm Sality.AE e Mabezat.B hanno avuto la maggior parte delle segnalazioni di infezioni potenziali da worm in Arabia Saudita nel 2010. Internet Security Threat Report Volume 16, Report personalizzato EMEA - Origine degli attacchi per paese Premessa Questa metrica valuta i principali paesi da cui hanno avuto origine gli attacchi che nel 2010 hanno avuto come obiettivo la regione EMEA. Notare che, poiché i computer da cui hanno origine gli attacchi possono essere controllati in modalità remota, gli aggressori possono trovarsi in località diverse rispetto al computer utilizzato per sferrare l'attacco. Ad esempio, un aggressore che si trova fisicamente negli Stati Uniti potrebbe sferrare un attacco da un sistema compromesso in Germania a una rete nel Regno Unito. Metodologia In questa sezione vengono valutati i principali paesi da cui hanno avuto origine gli attacchi che nel 2010 hanno avuto come obiettivo la regione EMEA. Un attacco alla rete viene generalmente considerato un'attività nociva intrapresa su una rete e individuata tramite un sistema di rilevazione delle intrusioni (IDS), un sistema di prevenzione delle intrusioni (IPS) o un firewall. Dati Posizione Origine 2010 EMEA 2009 EMEA 2010 Globale 1 2 3 4 5 6 7 8 9 10 1 2 4 26 13 7 8 10 3 6 1 4 2 16 20 3 8 2 5 21 Stati Uniti Regno Unito Cina Turchia Svezia Germania Russia Canada Francia Paesi Bassi Percentuale 2010 EMEA 2009 EMEA 2010 Globale 36% 11% 9% 6% 5% 3% 3% 2% 2% 2% 36% 14% 5% <1% 1% 3% 2% 2% 6% 3% 22% 6% 13% 2% 1% 6% 3% 2% 3% 1% Principali attacchi per paese in EMEA, 2009-2010 Fonte: Symantec Considerazioni Gli Stati Uniti continuano a dominare la classifica degli attacchi verso EMEA: nel 2010 gli Stati Uniti sono stati il primo paese da cui hanno avuto origine gli attacchi con obiettivi in EMEA e hanno rappresentato il 36% degli attacchi rilevati dai sensori di Symantec nella regione. Si tratta della stessa percentuale rilevata nel 2009, altro anno in cui gli Stati Uniti erano classificati al primo posto. Questo risultato è probabilmente dovuto all'alto livello delle attività di attacco che hanno generalmente origine negli Stati Uniti, poiché essi sono stati anche il primo paese in assoluto da cui hanno avuto origine gli attacchi, concorrendo con il 22% del totale. Si sono inoltre classificati al primo posto per le attività complessivamente nocive, con il 19% del totale. Gli Stati Uniti si sono classificati al primo posto anche per il numero di computer infettati da bot e codice nocivo e gran parte delle attività di attacco con obiettivo i paesi EMEA sembra essere stata realizzata attraverso queste reti di bot nocivi. Aumento degli attacchi dalla Turchia: la Turchia è salita significativamente nella classifica dei paesi da cui hanno avuto origine gli attacchi alla regione EMEA nel 2010. A questa scalata nelle posizioni hanno probabilmente contribuito l'alta classifica della Turchia per attività di codice nocivo nella regione EMEA e la posizione ai vertici nelle potenziali infezioni da virus. Ad esempio, il virus Almanahe.B, che si propaga sulle reti, ha avuto una presenza notevole in Turchia nel 2010. 7 Internet Security Threat Report Volume 16, Report personalizzato EMEA - Attività degli attacchi dal Web Premessa La crescente diffusione delle applicazioni Web unita alle vulnerabilità della sicurezza, sempre più comuni e facilmente sfruttabili che caratterizzano queste applicazioni basate su browser Web, ha determinato una crescita estesa delle minacce dal Web. Gli aggressori che vogliono trarre vantaggio delle vulnerabilità sul lato client non hanno più bisogno di compromettere reti specifiche per accedere ai relativi computer. Symantec analizza le attività di attacco per determinare quali tipi di attacco e toolkit di attacco vengono utilizzati dagli aggressori. Questa analisi fornisce una visione approfondita delle tendenze emergenti degli attacchi dal Web e può evidenziare i tipi di attacchi con i quali gli aggressori ottengono i migliori risultati. Metodologia Questa metrica valuta le principali attività di attacco dal Web che hanno avuto origine da siti legittimi compromessi e siti intenzionalmente configurati in modo nocivo che hanno avuto come obiettivo gli utenti del Web in Europa, Medio Oriente e Africa (EMEA) nel 2010. Per determinare questi dati, Symantec classifica le attività di attacco in base al volume delle relative segnalazioni osservate nel periodo in esame. Per questa metrica vengono analizzate le prime 10 attività di attacco dal Web. Dati Posizione 1 2 3 4 5 6 7 8 9 10 Attività di attacco Attività del toolkit Phoenix Attività del toolkit Nukesploit P4ck Attività del toolkit NeoSploit Attività di attacco a Adobe Reader Attività del toolkit Sun Java Attività del toolkit Eleonore Attività del toolkit Fragus Attività del toolkit Unique Pack Attività delle varianti di toolkit nocivi Attacco di overflow del buffer JavaScript Percentuale dei primi 10 49% 26% 7% 7% 4% 4% 3% <1% <1% <1% EMEA - Attività degli attacchi dal Web, 2010 Fonte: Symantec Considerazioni Il crimine informatico è globale: la classifica delle prime 10 attività di attacco dal Web in EMEA nel 2010 differisce solo minimamente dalla classifica globale per lo stesso anno. Le attività principali sono le stesse e si registrano solo leggere variazioni nelle posizioni e nelle percentuali. Questo indica la natura globale del crimine informatico e mostra che, poiché queste attività provengono dal Web, non esistono evidenti limitazioni geografiche. Questo fattore può essere significativo nell'aumento degli attacchi dal Web negli ultimi anni, in particolar modo se si considerano gli aspetti di guadagno finanziario, in quanto un sito Web nocivo può raggiungere un gruppo ampiamente distribuito di vittime potenziali senza essere limitato a un paese o a una regione specifica. Phoenix è in aumento: il volume più rilevante di attività degli attacchi dal Web osservato nel 2010, sia in EMEA che a livello globale, è stato relativo al toolkit Phoenix. Questo kit è stato osservato per la prima volta dai ricercatori nel 2009, sebbene si dicesse che fosse stato rilasciato già nel 2007. Questa attività si riferisce a tentativi di scaricare ed eseguire sul client Web della vittima codice di exploit specifico del toolkit Phoenix. È nota una versione di Phoenix che sfrutta 16 vulnerabilità colpendo più tecnologie. È possibile che gli attacchi che giungono a buon fine installino un'applicazione di software di sicurezza ingannevole chiamata PC Defender Antivirus sui computer compromessi. Alcune delle vulnerabilità sfruttate da Phoenix colpiscono un certo numero di tecnologie ampiamente utilizzate, fra cui Sun Java, Microsoft Windows Media Player, Microsoft Internet Explorer e Adobe Flash Player e Reader. • • • • • • 8 Informazioni sul software di sicurezza ingannevole PC Defender Antivirus Sun Java Runtime Environment and Java Development Kit Multiple Security Vulnerabilities Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability Microsoft Active Template Library Header Data Remote Code Execution Vulnerability Adobe Flash Player Multimedia File Remote Buffer Overflow Vulnerability Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities Internet Security Threat Report Volume 16, Report personalizzato L'obiettivo è Java: • Java presenta un interessante punto di attacco per gli aggressori: come dimostra l'attività relativa al kit di attacco di Phoenix, così come di numerosi altri kit che utilizzano gli exploit di Java, Java costituisce un interessante punto di attacco per gli aggressori. Inoltre l'attività di attacco Sun Java, che si colloca al sesto posto nella classifica, fa riferimento ad attacchi Java che non sono direttamente riferibili a un toolkit di attacco specifico. In alcuni casi, il codice di exploit utilizzato in questi attacchi potrebbe essere lo stesso utilizzato da altri kit se gli autori hanno reperito il codice dalla stessa fonte. • È possibile che gli aggressori inizino a prediligere gli exploit di Java: rilevare gli attacchi Java può essere complesso poiché la tecnologia si basa su un ambiente runtime che inserisce ulteriori livelli di elaborazione che è necessario analizzare. Gli attacchi Java che si sono verificati nel 2010 hanno ricevuto una notevole attenzione, ma non sono stati utilizzati con la stessa frequenza con cui sono stati utilizzati attacchi che sfruttavano altre tecnologie. Una ragione può essere che i toolkit di attacco spesso lanciano attacchi in sequenza, utilizzando un exploit dopo l'altro fino a quando uno di questi riesce nell'intento, le opzioni si sono esaurite o l'origine dell'attacco viene bloccata dalla vittima. Questo può portare ad attacchi bloccati o completati che si verificano prima che vengano lanciati gli exploit di Java. Nel corso del tempo, gli aggressori valutano la sequenza di tentativi di attacco a favore di quelli che sfruttano le vulnerabilità di Java per aumentare la probabilità di riuscita degli attacchi. • Symantec prevede che il volume di attacchi basati su Java aumenterà: gli autori di kit rilasciati recentemente quali Dragon Pack e Bleeding Life stanno pubblicizzando il successo degli exploit di Java inclusi nei kit. Di conseguenza Symantec prevede che il volume di attacchi basati su Java aumenterà. • Microsoft: ‘Unprecedented Wave of Java Exploitation’ • Exploit Packs Run on Java Juice EMEA - Attività degli attacchi dal Web Premessa Questa metrica valuta i paesi di origine dei computer infettati da bot in Europa, Medio Oriente e Africa (EMEA) nel 2010. I bot sono programmi installati in modo invisibile sul computer di un utente per consentire il controllo in modalità remota del sistema da parte di un aggressore tramite un canale di comunicazione, ad esempio IRC (Internet Relay Chat), P2P o HTTP. Questi canali consentono all'aggressore di controllare un gran numero di computer compromessi su un singolo canale affidabile in una botnet, che può essere utilizzata per sferrare attacchi coordinati. I bot consentono un'ampia gamma di funzionalità e la maggior parte di essi può essere aggiornata per fornire nuove funzionalità scaricando nuovo codice e caratteristiche. Gli aggressori possono utilizzare i bot per eseguire numerose attività che possono causare gravi conseguenze finanziarie e legali, ad esempio sferrare attacchi di tipo denial-of-service (DoS) contro i siti Web di organizzazioni, distribuire spam e attacchi di phishing, distribuire spyware e adware, propagare codici nocivi e raccogliere informazioni personali che possono essere utilizzate per il furto di identità da computer compromessi. Gli aggressori preferiscono i computer infettati da bot con un modello di comando e controllo (C&C) decentralizzato perché sono difficili da disabilitare e consentono loro di nascondersi in piena vista fra rilevanti quantità di traffico non correlato sugli stessi canali di comunicazione. Aspetto ancora più importante, le operazioni delle botnet possono essere remunerative per chi le controlla poiché i bot sono economici e relativamente facili da propagare. Ad esempio, nel 2010 Symantec ha notato in un forum underground una pubblicità che promuoveva una botnet di 10.000 bot a 15 USD. (Nella pubblicità non si specificava se il costo si riferiva all'acquisto o all'affitto). Metodologia Un computer infettato da bot è considerato attivo in un determinato giorno se in quel giorno esegue almeno un attacco. Non è necessario che l'attacco sia continuo; anzi, un computer singolo di questo tipo può essere attivo in diversi giorni. Un computer distinto infettato da bot è un computer che è stato attivo almeno una volta nel periodo. Delle attività dei computer infettati da bot che Symantec registra, possono essere classificati come bot di attacco effettivo i bot che inviano spam (ovvero gli zombi spam) o i bot utilizzati per le campagne DoS. 9 Internet Security Threat Report Volume 16, Report personalizzato Posizione Origine 2010 EMEA 2009 EMEA 2010 Globale 1 2 3 4 5 6 7 8 9 10 1 2 8 4 3 9 6 7 5 10 2 4 7 8 10 11 12 14 15 17 Percentuale 2010 EMEA 2009 EMEA 2010 Globale 20% 15% 11% 8% 7% 6% 6% 3% 3% 3% 14% 12% 5% 12% 12% 4% 7% 5% 7% 3% 12% 9% 7% 5% 4% 4% 4% 2% 2% 2% Germania Italia Regno Unito Polonia Spagna Ungheria Francia Portogallo Turchia Israele Computer infettati da bot per paese in EMEA, 2009-2010 Fonte: Symantec Considerazioni La regione EMEA domina per i computer infettati da bot: nel 2010, la regione EMEA costituiva il 59% dei computer infettati da bot rilevati globalmente, più di qualsiasi altra regione. Dei primi 10 paesi per computer infettati da bot nella regione EMEA, sette erano anche fra i primi 10 paesi per attività complessivamente nocive a livello globale. Questo dato può indicare che il numero di computer infettati da bot in questi paesi può essere un riflesso delle attività complessivamente nocive che si verificano nei paesi stessi. I primi 10 paesi per computer infettati da bot nella regione EMEA rimangono invariati rispetto al 2009: la distribuzione dei computer infettati da bot nella regione appare relativamente stabile e i paesi presenti ai primi 10 posti nel 2009 rimangono nei primi 10 posti anche nel 2010. Di fatto, ad eccezione dell'Ungheria, gli altri paesi presenti in questa classifica nel 2010 si sono classificati tra i primi 10 per questa categoria sin dal 2007. EMEA - Tendenze delle attività del codice nocivo Symantec raccoglie informazioni sul codice nocivo dalla propria ampia base di clienti tramite una serie di programmi di telemetria che mantengono l'anonimato dei clienti che accettano di aderire, quali Norton Community Watch e le tecnologie Symantec Digital Immune System e Scansione e Invio. A questi programmi contribuiscono oltre 100 milioni di sistemi client, server e gateway. I nuovi campioni di codice nocivo e le rilevazioni degli incidenti causati da tipi di codice nocivo noti, vengono segnalati a Symantec. Gli incidenti segnalati sono considerati infezioni potenziali se un'infezione si sarebbe potuta verificare in assenza di software per la sicurezza in grado di rilevare ed eliminare la minaccia. Le minacce da codice nocivo vengono classificate in base a quattro tipi principali: backdoor, virus, worm e Trojan Horse. Le backdoor consentono a un aggressore di accedere ai computer compromessi in modalità remota. I Trojan Horse sono codice nocivo che gli utenti installano inconsapevolmente sul proprio computer quando aprono un allegato e-mail o durante un download da Internet. I Trojan Horse vengono anche scaricati e installati da altro codice nocivo. I programmi Trojan Horse sono diversi da worm e virus in quanto non si propagano. I virus si propagano infettando con codice nocivo i file presenti sui computer colpiti I worm sono minacce di codice nocivo che possono riprodursi sui computer infettati ed essere facilmente copiati su altri computer (ad esempio tramite i dispositivi di archiviazione USB). Molte minacce di codice nocivo presentano più caratteristiche. Ad esempio, una backdoor è sempre classificata in concomitanza con un'altra caratteristica di codice nocivo. In genere le backdoor sono anche Trojan Horse e molti worm e virus incorporano anche funzionalità backdoor. I campioni di codice nocivo inoltre possono essere classificati sia come worm sia come virus a causa del modo in cui si propagano, poiché gli sviluppatori di minacce cercano di attivare il codice nocivo con più vettori di propagazione per aumentare le possibilità di compromettere i computer attaccati. Questa discussione si basa sui campioni di codice nocivo rilevati da Symantec nella regione EMEA nel 2010, con l'analisi delle tendenze seguenti: 10 Internet Security Threat Report Volume 16, Report personalizzato • • • • • Prevalenza di caratteristiche di codice nocivo Primi campioni di codice nocivo Principali nuove famiglie di codice nocivo Minacce alle informazioni riservate Meccanismi di propagazione EMEA - Prevalenza di caratteristiche di codice nocivo Considerazioni Come indicato nell'introduzione a questa sezione, Symantec classifica le caratteristiche del codice nocivo in quattro categorie principali: backdoor, Trojan Horse, virus e worm. L'analisi della prevalenza di ogni caratteristica nociva consente di avere una visione approfondita del variegato panorama delle minacce. Combinata ai dati raccolti tramite altre metriche, questa analisi permette a Symantec di determinare con maggiore accuratezza le tendenze emergenti nell'ambito dei codici nocivi. Metodologia Questa analisi si concentra sui primi 50 campioni di codice nocivo più diffusi nel 2010 in Europa, Medio Oriente e Africa (EMEA). Ogni campione di codice viene analizzato e le caratteristiche vengono classificate in base alle quattro categorie principali. La somma di questa caratteristica viene misurata in base al volume in proporzione alla prevalenza di ogni campione di codice in cui viene trovata. Come indicato precedentemente, i campioni di codice nocivo sono spesso caratterizzati da più di una categoria quindi il volume di infezioni potenziali associate con ogni campione può essere attribuito proporzionalmente a più tipi. Le proporzioni delle prime 50 infezioni potenziali del periodo in esame in EMEA vengono confrontate con quelle delle prime 50 infezioni potenziali del periodo precedente in EMEA per osservare l'evoluzione dell'attività del codice nocivo nel panorama delle minacce. Poiché si tratta di cifre proporzionali, è necessario notare che una modifica nella proporzione non rappresenta un aumento o una diminuzione delle infezioni potenziali rispetto all'anno precedente. Dati 60% 56% 50% 48% 49% 49% 47% 40% EMEA 2009 40% 42% EMEA 2010 37% 30% Global 2010 28% 20% 16% 12% 10% 0% Trojan Worm Virus 13% Backdoor Infezioni potenziali per tipo in EMEA, 2009-2010 Fonte: Symantec 11 Internet Security Threat Report Volume 16, Report personalizzato Considerazioni Stabilità proporzionale: complessivamente l'omogeneità delle proporzioni rispetto all'anno precedente di tutti i tipi di codice nocivo in EMEA suggerisce che il codice nocivo di alto profilo (ad esempio il worm Stuxnet) non ha influenzato significativamente il livello generale di attività nella regione (nonostante Stuxnet sia stato attivo principalmente in EMEA). Questa considerazione è ulteriormente supportata dagli schemi simili presenti nelle principali famiglie di codice nocivo osservate rispetto all'anno precedente nella regione. • Informazioni sul worm Stuxnet Worm e virus: in EMEA worm e virus hanno costituito una proporzione di infezioni potenziali maggiore rispetto alle osservazioni globali. Una ragione per questa situazione nel 2009 è stata la rilevanza del worm Downadup (noto anche come Conficker). A questa differenza fra le proporzioni nel 2010 ha contribuito significativamente il virus Ramnit, anch'esso caratterizzato da componenti di tipo worm. A partire dalla sua scoperta all'inizio del 2010 è stato registrato un alto numero di segnalazioni di Ramnit. Ramnit è stato classificato al terzo posto fra i campioni di codice nocivo in EMEA e al primo posto fra le nuove famiglie di codice nocivo in EMEA nel 2010. EMEA - Tendenze delle attività del codice nocivo Premessa Questa metrica valuta i principali campioni di codice nocivo in EMEA nel 2010. Symantec analizza i campioni di codice nocivo nuovi ed esistenti per determinare quali tipi di minaccia e vettori di attacco vengono impiegati nelle minacce più rilevanti. Queste informazioni, inoltre, consentono ad amministratori e utenti di acquisire familiarità con le minacce che gli aggressori possono privilegiare nelle loro attività. Un'analisi delle tendenze nello sviluppo delle minacce emergenti può contribuire a rafforzare le misure di sicurezza e mitigare attacchi futuri. Metodologia Per determinare i principali campioni di codice nocivo, Symantec classifica ogni campione in base al volume delle singole origini di infezioni potenziali osservate nel periodo in esame. 12 Dati Posizione Nome Tipo Meccanismi di propagazione 1 Sality.AE Virus/ worm Unità rimovibili/ eseguibili Utilizza il polimorfismo per eludere la rilevazione. Una volta in esecuzione in un computer, infetta i file eseguibili sulle unità locali, rimovibili e di rete condivise. Quindi si connette a una botnet P2P, scarica e installa altre minacce. Il virus disattiva inoltre il software per la sicurezza installato. 2 Mabezat Virus/ worm SMTP/CIFS/ unità rimovibili Copia sé stesso su unità locali, rimovibili e di rete condivise. Infetta file eseguibili e crittografa vari tipi di file. Può inoltre utilizzare il computer infetto per inviare messaggi di spam con allegati infetti. 3 Ramnit Virus/ worm Unità rimovibili/ eseguibili Infetta diversi tipi di file, compresi i file eseguibili, e copia sé stesso su unità rimovibili. Quindi si affida alla funzionalità AutoPlay per essere eseguito non appena l'utente accede all'unità rimovibile su altri computer. 4 Downadup Virus/ backdoor P2P/CIFS/ vulnerabilità remota Il worm disattiva le applicazioni per la sicurezza e la funzionalità Windows Update e consente l'accesso remoto al computer infettato. Sfrutta vulnerabilità per copiare sé stesso su unità di rete condivise. Si connette inoltre a una botnet P2P e può scaricare e installare altre minacce. 5 SillyFDC Worm Unità rimovibili Scarica altre minacce e copia sé stesso sulle unità rimovibili. Quindi si affida alla funzionalità AutoPlay per essere eseguito non appena l'utente accede all'unità rimovibile su altri computer. 6 Gamminma.AG Virus/ worm Unità rimovibili Copia sé stesso sulle unità rimovibili e si affida alla funzionalità AutoPlay per essere eseguito non appena l'utente accede all'unità rimovibile su altri computer. Il worm monitorizza quindi le attività Web e sottrae le credenziali di account di videogiochi online, che vengono inviate tramite e-mail all'aggressore. 7 FakeAV Trojan Horse N/D Abbassa il livello delle impostazioni di sicurezza e visualizza falsi avvisi di protezione che invitano gli utenti ad acquistare software per la sicurezza ingannevole per rimuovere minacce inesistenti. 8 Chir.B Virus/ worm SMTP Utilizza il proprio motore SMTP per inviare copie di sé stesso a indirizzi e-mail raccolti dai computer compromessi. L'e-mail tenta di sfruttare le vulnerabilità presenti nei computer colpiti in modo che infettarli anche se l'e-mail non viene aperta. Tenta inoltre di infettare vari tipi di file su unità di rete mappate e locali. 9 Virut.CF Virus/ backdoor Eseguibili Infetta diversi tipi di file, compresi i file eseguibili, e copia sé stesso su unità locali, rimovibili e di rete condivise. Stabilisce inoltre una backdoor che può essere utilizzata per scaricare e installare altre minacce. 10 Almanahe.B Virus/ worm CIFS/unità mappate/unità rimovibili/eseguibili Disattiva il software per la sicurezza terminando i processi correlati. Infetta inoltre i file eseguibili e copia sé stesso su unità locali, rimovibili e di rete condivise. Il worm può inoltre scaricare e installare altre minacce. Impatti/Caratteristiche Principali campioni di codice nocivo in EMEA Fonte: Symantec 13 Internet Security Threat Report Volume 16, Report personalizzato Il virus Sality.AE continua a dominare: il principale campione di codice nocivo per volume di infezioni potenziali in EMEA per il 2010 è stato Sality.AE. Le attività di questo virus segnalate sono state il principale contributo per classificare la famiglia di codice nocivo Sality al primo posto nel 2010. Scoperto nel 2008, Sality.AE è sempre stato una parte rilevante del panorama delle minacce ed è stato anche il principale campione di codice nocivo identificato da Symantec nel 2009. Sality risulta particolarmente interessante per gli aggressori perché utilizza codice polimorfo che può ostacolare il rilevamento. Sality è inoltre in grado di disabilitare i servizi di sicurezza sui computer colpiti. Questi due fattori possono portare a una percentuale più alta di installazioni riuscite per gli aggressori. Sality si propaga infettando i file eseguibili e copiandosi automaticamente su unità removibili quali i dispositivi USB. Il virus si affida quindi alla funzionalità di esecuzione automatica di Microsoft Windows per venire eseguito quando si accede a tali unità. Questa situazione può verificarsi quando un dispositivo USB infetto viene collegato a un computer. La facilità di propagazione tramite i dispositivi USB e altri supporti fa sì che le famiglie di codici nocivi quali Sality.AE (oltre che SillyFDC e altri) siano degli efficaci veicoli per l'installazione di altro codice nocivo sui computer. • Informazioni su Sality.AE • Global Internet Security Threat Report 2009 • Informazioni su SillyFDC Il virus Ramnit: Ramnit è particolarmente interessante perché si è classificato al terzo posto in EMEA nel 2010 nonostante fosse stato appena scoperto nel periodo preso in esame (ed è diventato anche la nuova famiglia di codici nocivi classificata al primo posto in EMEA per il 2010). Le minacce scoperte di recente sono spesso messe in ombra in questa metrica da minacce esistenti, attive da un periodo più lungo. Ramnit si è classificato al nono posto a livello globale nel 2010, ma il 56% delle infezioni che ha causato sono state segnalate in EMEA. • Informazioni su Ramnit EMEA - Principali nuove famiglie di codice nocivo Premessa Symantec analizza le famiglie di codice nocivo nuove ed esistenti per determinare quali tipi di minaccia e vettori di attacco vengono impiegati nelle minacce più rilevanti. Queste informazioni, inoltre, consentono ad amministratori e utenti di acquisire familiarità con le minacce che gli aggressori possono privilegiare nelle loro attività. Un'analisi delle tendenze nello sviluppo delle minacce emergenti può contribuire a rafforzare le misure di sicurezza e mitigare attacchi futuri. Metodologia Una famiglia di codice nocivo è inizialmente composta da un campione di codice nocivo distinto. Quando vengono rilasciate varianti del campione, la famiglia cresce e include più varianti. Symantec determina le famiglie di codice nocivo più rilevanti organizzando e analizzando i dati anonimi di telemetria raccolti nel periodo in esame. Nel corso del 2010, questi prodotti hanno registrato oltre 1,5 miliardi di rilevazioni di questo tipo di codice nocivo. Il codice nocivo viene classificato in famiglie sulla base di varianti nelle firme assegnate da Symantec quando il codice viene identificato. Le varianti appaiono quando gli aggressori modificano o migliorano il codice nocivo esistente e aggiungono o modificano funzionalità. Queste modifiche possono alterare il codice esistente al punto che i sensori antivirus non rilevano la minaccia come una firma esistente. Questa metrica valuta le principali famiglie di codice nocivo rilevate in EMEA nel 2010. Per determinare questi dati, Symantec classifica ogni famiglia di codice nocivo in base al volume delle infezioni potenziali osservate nel periodo in esame. Per questa metrica vengono analizzate le prime 10 nuove famiglie di codice nocivo. 14 Internet Security Threat Report Volume 16, Report personalizzato Dati Posizione Nome Tipo Meccanismi di propagazione 1 Ramnit Virus/ worm Unità rimovibili/ eseguibili Infetta diversi tipi di file, compresi i file eseguibili, e copia sé stesso sulle unità rimovibili. Quindi si affida alla funzionalità AutoPlay per essere eseguito non appena l'utente accede all'unità rimovibile su altri computer. 2 Sasfis Trojan Horse N/D Arriva spesso tramite messaggi di spam o download non autorizzati. Scarica e installa altre minacce. 3 Stuxnet Worm CIFS/unità mappate/ unità rimovibili/ vulnerabilità remote Copia sé stesso su unità locali, rimovibili e di rete condivise. Può sfruttare le vulnerabilità durante la propagazione. Abbassa il livello delle impostazioni di sicurezza e assume il controllo del software per modificare il funzionamento fisico di macchinari industriali. 4 Yimfoca Worm IM Termina i processi correlati alla sicurezza e invita le vittime a compilare sondaggi quando tentano di accedere a siti Web legittimi. Utilizza client di messaggistica istantanea per inviare messaggi di spam contenenti un collegamento che tenterà di installare una copia del worm. 5 Sykipot Backdoor/ Trojan Horse N/D Modifica le impostazioni del registro di sistema in modo da essere eseguito a ogni avvio del computer colpito. Apre una backdoor consentendo l'accesso remoto all'aggressore. 6 Bamital Trojan Horse N/D Si inserisce nei processi del client browser per modificare i risultati delle ricerche in Internet in modo che includere URL promozionali. 7 Spyrat Worm/ backdoor P2P/unità rimovibili/ condivisione file Questo worm è generato dal toolkit Spy-Net RAT. Copia sé stesso sulle unità rimovibili mappate e sulle cartelle condivise utilizzate dalle applicazioni di condivisione dei file. Crea un rootkit e apre una backdoor per consentire l'accesso remoto all'aggressore. Può inoltre registrare quanto viene digitato sulla tastiera, rubare password, dirottare il traffico HTTP tramite il proxy, mostrare l'input della webcam all'aggressore e manipolare i file. 8 Wapomi Virus/ worm CIFS/unità rimovibili/ eseguibili Crea un rootkit per nascondere la sua presenza e può scaricare altri file. Copia sé stesso su unità rimovibili e di rete condivise. Infetta inoltre i file eseguibili e invia informazioni sui computer compromessi all'aggressore. 9 Mijapt Trojan Horse N/D Sfrutta numerose vulnerabilità di Sun Java per scaricare e installare altre minacce. 10 Maljava Trojan Horse N/D Sfrutta numerose vulnerabilità di Sun Java per scaricare e installare altre minacce. Impatti/Caratteristiche Principali nuove famiglie di codice nocivo in EMEA Fonte: Symantec Considerazioni Il virus Ramnit: oltre a occupare il primo posto nella classifica delle nuove famiglie di codice nocivo in EMEA nel 2010, Ramnit ha occupato anche il terzo posto nella classifica dei campioni di codice nocivo in EMEA nel 2010, situazione piuttosto insolita per una minaccia nuova. Ramnit si è classificato al nono posto a livello globale nel 2010, ma il 56% delle infezioni che ha causato sono state segnalate in EMEA. • Informazioni su Ramnit Il Trojan Horse Sasfis: analogamente al virus Ramnit, Sasfis ha avuto un impatto significativo nel 2010, nonostante fosse stato appena scoperto nel periodo preso in esame. Sebbene non sia stato dannoso quanto Ramnit, Sasfis si è comunque classificato quindicesimo in EMEA e dodicesimo a livello globale tra i principali campioni di codice nocivo. • Informazioni sul Trojan Horse Sasfis 15 Internet Security Threat Report Volume 16, Report personalizzato Il worm Stuxnet: nonostante sia stato sviluppato per un tipo di obiettivo molto specifico, il numero di segnalazioni di potenziali infezioni da parte di Stuxnet osservate da Symantec nel 2010 ha fatto guadagnare a questo worm il 29esimo posto nelle famiglie di codice nocivo. Questa può essere una testimonianza dell'efficacia di questo worm nel propagarsi sui computer utilizzati per controllare la capacità del sistema nei settori industriali. Il worm Stuxnet ha generato una notevole attenzione nel 2010 poiché è stato il primo codice nocivo sviluppato specificamente per attaccare i sistemi di controllo del settore PLC (Programmable Logic Controller). Inoltre il worm si è propagato utilizzando exploit per quattro vulnerabilità zero-day, un record per un codice nocivo. Due di queste vulnerabilità consistevano nell'esecuzione di codice in modalità remota, le altre due in escalation dei privilegi locali. (L'escalation dei privilegi si verifica quando su un computer vengono attivate capacità amministrative superiori a quelle consentite per l'utente.) Stuxnet non ha solo sfruttato un certo numero di quelle che all'epoca erano vulnerabilità zero-day, ma ha anche sfruttato una varietà di altre vulnerabilità, fatto che mette in evidenza la straordinaria raffinatezza, strategia e pianificazione che hanno portato allo sviluppo di questa minaccia. Questo worm è importante poiché la possibilità di un attacco di questo tipo era stata presa in considerazione in passato, ma non era mai stata rilevata al di fuori dei laboratori. In particolare, Stuxnet è la prima famiglia di codice nocivo che può colpire direttamente strutture fisiche e dimostra che la possibilità che codice nocivo causi distruzione fisica potenzialmente grave è reale. • • • • Informazioni sul worm Stuxnet Stuxnet: un'innovazione Articolo di Wired: Iran: Computer Malware Sabotaged Uranium Centrifuges Stuxnet con tre vulnerabilità zero-day aggiuntive EMEA - Principali nuove famiglie di codice nocivo Premessa Alcuni programmi di codice nocivo sono scritti appositamente per esporre dati riservati memorizzati su un computer infettato. Queste minacce possono svelare dati riservati quali informazioni sul sistema, file e documenti personali o credenziali di accesso. Alcune minacce di codice nocivo, ad esempio le backdoor, possono fornire a un aggressore remoto il controllo totale su un computer compromesso. Le minacce a informazioni riservate sono particolarmente preoccupanti a causa del potenziale utilizzo per attività criminali. Gli operatori dell'economia sommersa utilizzano queste minacce nocive per ottenere l'accesso a informazioni bancarie, numeri di carte di credito e credenziali online e per colpire società specifiche. Se si considera il diffuso utilizzo dello shopping online e dell'Internet banking, infezioni di questo genere possono provocare significative perdite finanziarie, specialmente se vengono svelate informazioni su carte di credito o dati bancari. Per una società, la visibilità di informazioni riservate può portare a una significativa perdita di dati. Se si tratta di dati relativi ai clienti, ad esempio numeri di carte di credito, la fiducia dei clienti nei confronti della società ne risulta gravemente indebolita. Questa situazione può inoltre costituire una violazione alle leggi vigenti. Anche informazioni aziendali riservate, ad esempio dettagli finanziari, piani industriali e tecnologie proprietarie, potrebbero essere sottratte dai computer compromessi. Metodologia Questa metrica valuta il rilievo di diversi tipi di minacce a informazioni riservate in Europa, Medio Oriente e Africa (EMEA) nel 2010. Per determinare questo dato, Symantec ha analizzato i primi 50 campioni di codice nocivo classificati in base al volume di infezioni potenziali registrate durante l'anno. Ogni campione viene analizzato per determinare la sua capacità di rivelare informazioni riservate e i dati che emergono vengono quindi misurati come percentuale delle minacce alle informazioni riservate. 16 Internet Security Threat Report Volume 16, Report personalizzato Dati 100% 90% 88% 92% 80% 78% 79% 70% 74% 75% 74% 65% 60% 76% 69% 50% 40% 30% 20% 10% 0% Exports user data Exports systems data Exports email addresses EMEA Keystroke logger Allows remote access Global Minacce alle informazioni riservate - EMEA e globale Fonte: Symantec Considerazioni Minacce alle informazioni riservate che consentono l'accesso in modalità remota: in EMEA, il codice nocivo che consente un accesso remoto ha rappresentato nel 2010 l'88% delle minacce alle informazioni riservate, contro l'85% registrato nel 2009. Per un certo periodo di tempo l'accesso in modalità remota è stato la minaccia più rilevante alle informazioni riservate, probabilmente a causa delle caratteristiche di comodità e versatilità che offre agli aggressori. La capacità di accedere in modalità remota a computer compromessi permette agli aggressori di eseguire una vasta gamma di azioni aggiuntive che non richiedono di essere specificate a livello di codice nel codice nocivo che stabilisce la backdoor. Minacce alle informazioni riservate che esportano i dati utente e registrano quanto digitato sulla tastiera: nel 2010, il 78% delle minacce alle informazioni riservate è consistito nell'esportazione di dati utente, una percentuale rimasta invariata rispetto al 2009. La percentuale di minacce alle informazioni riservate che include keystroke logger si è ridotta leggermente dal 75% nel 2009 al 74% nel 2010. Per gli aggressori, entrambe queste minacce sono mezzi efficaci per raccogliere informazioni finanziarie riservate, credenziali per il banking online o numeri di conto corrente e altre informazioni riservate. La continua crescita delle minacce alle informazioni riservate: come si è osservato globalmente e nelle edizioni passate dell'Internet Security Threat Report di Symantec, la crescita di tutte le categorie di minacce alle informazioni riservate è stata costante, una tendenza confermata anche nel periodo in esame. Sebbene le percentuali globali siano state leggermente superiori a quelle di EMEA, l'effetto globale è quasi identico. La differenza suggerisce che sia stato un numero leggermente superiore di segnalazioni di codice nocivo che ha minacciato più tipi di informazioni riservate a livello globale che in EMEA. Gli utili finanziari che gli aggressori possono ricavare sono l'elemento trainante per queste minacce; l'esposizione delle informazioni che possono essere utilizzate o vendute in cambio di un ritorno economico è un aspetto integrante del crimine informatico che utilizza il codice nocivo. 17 Internet Security Threat Report Volume 16, Report personalizzato EMEA - Meccanismi di propagazione Premessa I worm e i virus utilizzano vari mezzi per passare da un computer a un altro. Questi mezzi vengono chiamati collettivamente meccanismi di propagazione. I meccanismi di propagazione possono includere diversi vettori, come IM (messaggistica istantanea), SMTP (Simple Mail Transfer Protocol), CIFS (Common Internet File System), trasferimenti di file P2P (Peer-To-Peer) e vulnerabilità che possono essere sfruttate in modalità remota. Alcuni tipi di codice nocivo possono addirittura utilizzare altro codice nocivo come vettore di propagazione, identificando un computer che è stato compromesso attraverso un server backdoor e utilizzandolo per autocaricarsi e installarsi. Metodologia Questa metrica valuta il rilievo dei meccanismi di propagazione utilizzati dal codice nocivo in Europa, Medio Oriente e Africa (EMEA) nel 2010. Per determinare il rilievo, Symantec analizza i campioni di codice nocivo che si propaga e classifica quindi i meccanismi di propagazione associati secondo i relativi volumi di infezioni potenziali osservate. Notare che, poiché i campioni di codice nocivo utilizzano spesso più di un meccanismo per propagarsi, è possibile che le percentuali cumulative siano superiori al 100%. 2010 Posizione EMEA Nome EMEA 2010 Globale 2010 1 Condivisione di file eseguibili: il codice nocivo crea copie di sé stesso o infetta i file eseguibili. I file vengono distribuiti ad altri utenti, spesso copiandoli su unità rimovibili come le chiavette USB e configurando una routine di esecuzione automatica. 77% 75% 72% 2 Trasferimento file, CIFS: CIFS è un protocollo di condivisione dei file che consente di condividere file e altre risorse di un computer con altri computer in internet. Una o più directory in un computer possono essere condivise per consentire ad altri computer di accedere ai file che vi sono contenuti. Il codice nocivo crea copie di sé stesso nelle directory condivise per colpire gli altri utenti che accedono alla condivisione. 40% 44% 47% 3 Trasferimento file, allegato e-mail: il codice nocivo invia un messaggio di spam che contiene una copia di sé stesso. Se il destinatario dello spam apre l'allegato, il codice nocivo verrà eseguito compromettendo il computer. 29% 24% 18% 4 Vulnerabilità sfruttabile in modalità remota: il codice nocivo sfrutta una vulnerabilità che consente di copiare sé stesso su un altro computer e infettarlo. 15% 15% 24% 5 Condivisione file, P2P: il codice nocivo copia sé stesso nelle cartelle di un computer infetto che sono associate ad applicazioni di condivisione file P2P. Quando l'applicazione viene eseguita, il codice nocivo verrà condiviso con altri utenti nella stessa rete P2P. 3% 6% 8% 6 Trasferimento file, HTTP, URL incorporato, messaggistica istantanea: il codice nocivo invia o modifica messaggi istantanei con un URL incorporato che, quando viene selezionato dal destinatario, lancerà un attacco e installerà una copia di sé stesso. 2% 2% 4% 7 SQL: il codice nocivo accede ai server SQL sfruttando una vulnerabilità latente di SQL o tentando di usare password di amministratore predefinite o facilmente indovinabili, quindi copia sé stesso sul server. 2% 2% 2% 8 Trasferimento file, messaggistica istantanea: il codice nocivo utilizza il client di messaggistica istantanea per avviare un trasferimento file di sé stesso a un destinatario nell'elenco dei contatti della vittima. 1% 1% 1% 9 Trasferimento file, HTTP, URL incorporato, corpo dei messaggi e-mail: il codice nocivo invia un messaggio di spam contenente un URL nocivo che, quando viene selezionato dal destinatario, lancerà un attacco e installerà una copia del codice nocivo. <1% 1% 1% 10 Trasferimento file, allegato MMS: il codice nocivo utilizza MMS (Multimedia Messaging Service) per inviare messaggi di spam contenenti una copia di sé stesso. <1% <1% <1% Principali vettori di propagazione in EMEA Fonte: Symantec 18 EMEA 2009 Internet Security Threat Report Volume 16, Report personalizzato Considerazioni Lo sfruttamento dei meccanismi di propagazione è relativamente stabile: dal 2009 al 2010 le variazioni nelle percentuali dei meccanismi di propagazione in EMEA sono state minime. Questo dato suggerisce che gli aggressori conseguono percentuali di successo relativamente stabili con i meccanismi utilizzati. Quando un meccanismo di propagazione diventa meno affidabile grazie all'applicazione di patch o altre mitigazioni, gli aggressori incorporano altri meccanismi ed emerge una nuova tendenza. Condivisione di file eseguibili: dal 2009 al 2010 le variazioni nelle percentuali dei meccanismi di propagazione in EMEA sono state minime. Questo dato suggerisce che gli aggressori conseguono percentuali di successo relativamente stabili con i meccanismi utilizzati. Quando un meccanismo di propagazione diventa meno affidabile grazie all'applicazione di patch o altre mitigazioni, gli aggressori incorporano altri meccanismi ed emerge una nuova tendenza. • Informazioni sul worm SillyFDC • Informazioni su Sality.AE • Altre informazioni sul worm Stuxnet Allegati e-mail e vulnerabilità sfruttabili in modalità remota: le percentuali di campioni di codice nocivo che si propagano tramite allegati e-mail o tramite vulnerabilità sfruttabili in modalità remota in EMEA e a livello globale sono state quasi speculari. Gli allegati e-mail sono stati il 24% in EMEA e il 18% globalmente, mentre le vulnerabilità sfruttabili in modalità remota sono state il 18% in EMEA e il 24% globalmente. Mabezat.B e Chir.B hanno costituito la maggior parte dei campioni di codice nocivo che si propagano tramite allegati e-mail globalmente e la maggior parte di queste segnalazioni proveniva dall'area EMEA. Le origini dei campioni di codice nocivo che si propagano sfruttando altro codice nocivo non indicano tuttavia particolari connotazioni geografiche. Data la propensione in EMEA per la propagazione tramite e-mail, il risultato è una percentuale leggermente più alta di questo meccanismo in EMEA rispetto a tutte le regioni. • Informazioni su Mabezat.B • Informazioni su Chir.B EMEA - Meccanismi di propagazione L'attività di frode esamina le tendenze nel phishing e nello spam. Il phishing consiste nel tentativo da parte di terzi di ottenere informazioni riservate su individui, gruppi oppure organizzazioni imitando (o falsificando) un marchio specifico e generalmente noto. Gli autori del phishing tentano con l'inganno di farsi rivelare dagli utenti dati riservati, come numeri di carta di credito, credenziali per operazioni bancarie online e altre informazioni riservate che possono poi essere utilizzate per commettere atti fraudolenti. Il phishing generalmente richiede che l'utente finale immetta le proprie credenziali in un campo di immissione di dati online. Questa è una delle caratteristiche che differenzia il phishing dalle truffe basate sullo spam, ad esempio la diffusissima "truffa 419" e altre truffe di ingegneria sociale. • 419 – Il trucco più vecchio trasformato nella truffa più recente Lo spam è generalmente definito come e-mail indesiderata o non richiesta. Se da una parte rappresenta un fastidio per utenti e amministratori, dall'altra è anche un serio problema per la sicurezza in quanto può essere utilizzato per distribuire Trojan Horse, virus e tentativi di phishing. Lo spam può inoltre includere URL che spesso collegano a siti nocivi che, senza che l'utente ne sia consapevole, attaccano il suo sistema durante la visita. Grandi quantità di spam possono inoltre causare una perdita del servizio o un degrado delle prestazioni delle risorse di rete e dei gateway delle e-mail. • Articolo di BBC News: Spammers plunder Plusnet e-mail In questa sezione vengono valutate le tendenze del phishing e dello spam osservate da Symantec in Europa, Medio Oriente e Africa (EMEA) nel 2010 e vengono analizzate le tendenze seguenti: • URL di phishing per paese e principali settori interessati • Paesi di origine dello spam delle botnet 19 Internet Security Threat Report Volume 16, Report personalizzato EMEA - URL di phishing per paese e principali settori interessati Premessa Questa metrica esamina i paesi della regione EMEA (Europa, Medio Oriente e Africa) in cui erano situati la maggior parte di URL di phishing e i settori maggiormente coinvolti in ogni paese. Questi dati costituiscono un'istantanea di un preciso momento e non offrono una panoramica sui cambiamenti verificatisi nelle posizioni dei siti di phishing nel corso del periodo preso in esame. È inoltre opportuno notare che il fatto che un URL di phishing sia ospitato in un determinato paese non significa necessariamente che l'aggressore si trovi nello stesso paese. Metodologia I dati per questa sezione sono determinati raccogliendo i collegamenti nei messaggi e-mail di phishing e incrociando gli indirizzi con numerosi database di abbonamenti di terze parti che collegano le posizioni geografiche dei sistemi agli indirizzi. In questo caso, Symantec conta gli URL di phishing come numero di indirizzi univoci che ospitano le pagine Web utilizzate per il phishing. Sebbene questi database siano generalmente affidabili, esiste un piccolo margine di errore. I dati prodotti vengono poi utilizzati per determinare la distribuzione globale degli URL di phishing. Dati Posizione 2010 EMEA 2009 EMEA Origine 2010 Globale Percentuale 2010 EMEA 2009 EMEA 2010 Globale Principale settore colpito nel paese Percentuale di URL che colpiscono il settore 1 10 2 Paesi Bassi 26% 4% 8% Finanza 89% 2 6 4 Germania 13% 8% 4% Finanza 73% 3 5 5 Regno Unito 12% 9% 4% Finanza 84% 4 8 6 Italia 10% 5% 3% Finanza 89% 5 7 7 Francia 9% 6% 3% Finanza 84% 6 4 9 Russia 6% 9% 2% Finanza 70% 7 17 13 Bulgaria 3% 1% 1% Assicurazioni 62% 8 2 14 Polonia 3% 11% 1% Finanza 86% 9 1 5 Spagna 3% 11% 1% Finanza 79% 10 14 16 Ucraina 2% 2% 1% Finanza 69% Principali paesi che ospitano URL di phishing e principali settori interessati in EMEA Fonte: Symantec Corporation Considerazioni Zombi spam che causano phishing: i Paesi Bassi hanno ospitato la percentuale più alta di URL di phishing osservata in EMEA nel 2010, pari al 26%. I Paesi Bassi si sono classificati al secondo posto per gli zombi spam e al terzo per gli host di phishing in EMEA nel 2010. È probabile che molti di questi zombi spam siano stati utilizzati per diffondere lo spam che includeva i collegamenti agli URL di phishing. Informazioni finanziarie principalmente ricercate negli URL di phishing: non sorprende che il settore finanziario sia il più colpito dagli URL di phishing in nove su 10 dei primi paesi considerati in questa metrica. Gli URL di phishing che attaccano il settore finanziario tentano di rubare una notevole varietà di informazioni che possono essere utilizzate per furti di identità e frodi, ad esempio nomi, numeri di identificazione rilasciati da organi istituzionali, numeri di carta di credito e numeri di conto corrente. I criminali informatici sono particolarmente concentrati sul furto di informazioni finanziarie che consentono di trarre velocemente profitto anziché in truffe che richiedono un investimento maggiore in termini di tempo. 20 55Datenverkehr am Eintrittspunkt bezieht sich auf den Datenverkehr, der aus dem Internet oder einem anderen Netzwerk in ein Netzwerk fließt. Datenverkehr am Austrittspunkt bezieht sich auf den Datenverkehr, der das Netzwerk verlässt und in das Internet oder ein anderes Netzwerk übertragen wird. Internet Security Threat Report Volume 16, Report personalizzato EMEA - Paesi di origine dello spam delle botnet Premessa In questa sezione vengono esaminati i primi 10 paesi di origine dello spam delle botnet in Europa, Medio Oriente e Africa (EMEA) nel 2010. Le botnet possono essere identificate dagli schemi SMTP e nella struttura delle intestazioni delle e-mail. Le e-mail di spam vengono classificate per essere ulteriormente analizzate in base alla botnet di origine durante la fase di transazione SMTP. L'analisi verifica solamente le botnet coinvolte nell'invio dello spam e non esamina le botnet utilizzate per altri scopi, ad esempio per frodi finanziarie o attacchi DoS. Metodologia I sistemi di richiamo dello spam di Symantec hanno raccolto nel 2010 da 30 a 50 milioni di e-mail di spam al giorno. Le e-mail vengono classificate in base a una serie di regole euristiche applicate alla conversazione SMTP e alle informazioni dell'intestazione dell'e-mail. Le informazioni vengono condivise con altri esperti del settore per garantire che i dati siano aggiornati e accurati. Dati Posizione Origine Percentuale 2010 EMEA 2010 Globale 2010 EMEA 2010 Globale 1 2 Russia 14% 7% 2 4 Ucraina 7% 4% 3 5 Regno Unito 7% 4% 4 6 Germania 6% 3% 5 7 Italia 5% 3% 6 9 Romania 5% 3% 7 13 Francia 5% 2% 8 14 Polonia 4% 2% 9 5 Spagna 4% 2% 10 16 Arabia Saudita 4% 2% Principali paesi di origine dello spam delle botnet in EMEA Fonte: MessageLabs Intelligence Considerazioni Le principali botnet di invio di spam si trovano in EMEA: nel 2010, metà dello spam causato da botnet rilevato da Symantec era originato nella regione EMEA. All'interno di questa regione, la Russia è stata l'origine della maggior parte dello spam causato da botnet, il 14% del totale della regione EMEA. Globalmente la Russia si è collocata al terzo posto con il 7% del totale. Uno dei fattori determinanti per questa alta posizione è dato dal fatto che la Russia è una grande fonte di computer infettati da bot per importanti botnet di spam, quali Grum, Cutwail, Maazben, Ozkok (Mega-D) e Bobax, e alla fine del 2010 la Russia rappresentava il 9% del totale globale per i computer infettati da bot che inviavano spam. Le botnet Grum e Cutwail si sono collocate al secondo e terzo posto tra le botnet più attive per volume di spam inviato nel 2010. • MessageLabs Intelligence: 2010 Annual Security Report 21 Internet Security Threat Report Volume 16, Report personalizzato 22 Qualsiasi informazione tecnica che viene resa disponibile da Symantec Corporation è prodotto coperto da diritto d'autore di Symantec Corporation ed è di proprietà di Symantec Corporation. ESCLUSIONE DELLA GARANZIA. Symantec rende disponibile questo documento COSÌ COM'È, e non fornisce alcuna garanzia in relazione alla sua accuratezza o al suo utilizzo. Le informazioni contenute in questo documento possono contenere imprecisioni o errori tipografici ed è possibile che non riflettano gli sviluppi più recenti, pertanto Symantec non dichiara, assicura o garantisce che sia completo, accurato o aggiornato, né offre alcuna certificazione o garanzia in relazione a opinioni espresse qui o in alcun riferimento fornito. Circostanze variabili possono modificare l'accuratezza dei contenuti qui forniti. Le opinioni presentate in questo documento riflettono pareri validi al momento della pubblicazione e sono soggette a modifica. Qualsiasi utilizzo delle informazioni contenute in questo documento è a rischio dell'utente. Symantec non si assume alcuna responsabilità in merito a errori, omissioni o danni derivanti dall'utilizzo o dalla considerazione dell'attendibilità delle informazioni fornite qui. Symantec si riserva il diritto di apportare modifiche senza alcun preavviso.