Informazioni su Symantec Symantec è un leader globale nelle

Transcript

Informazioni su Symantec
Symantec è un leader globale nelle
soluzioni per la sicurezza, storage
e gestione dei sistemi con l'obiettivo
di aiutare privati e organizzazioni
a proteggere e gestire le proprie informazioni.
La nostra offerta di software e servizi
consente la protezione da più rischi in
più punti, con maggiore completezza ed
efficienza, garantendo la sicurezza delle
informazioni ovunque vengano utilizzate
o archiviate.
Con sede principale a Mountain View,
California, Symantec svolge attività in
40 paesi. Maggiori informazioni sono
disponibili su www.symantec.com.
Per informazioni sui contatti in
Symantec Corporation
ogni specifico paese, visitate
Sede principale
il nostro sito Web. Per
20330 Stevens Creek Blvd.
informazioni sui prodotti
Cuperrtino, CA 95014 Stati
negli Stati Uniti, telefonare
Uniti
al numero verde
+1 (408) 517 8000
1 (800) 745 6054.
www.symantec.com
Copyright © 2011 Symantec Corporation. Tutti i diritti
riservati. Symantec, il logo Symantec e il logo Checkmark
sono marchi o marchi registrati di Symantec Corporation
o delle sue consociate negli Stati Uniti e in altri paesi.
Altri nomi possono essere marchi dei rispettivi proprietari.
05/11
XXXXXXXX
I n t e r n e t S e cu r it y T h r e at R e p o r t
Internet Security Threat Report
Volume 16
Report personalizzato
Aprile 2011
Aprile 2011
Internet Security Threat Report
Volume 16, Report personalizzato
Indice generale
EMEA - Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
EMEA - Tendenze delle attività delle minacce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
EMEA - Origine degli attacchi per paese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
EMEA - Attività degli attacchi dal Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
EMEA - Attività degli attacchi dal Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
EMEA - Tendenze delle attività del codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
EMEA - Prevalenza di caratteristiche di codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
EMEA - Tendenze delle attività del codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
EMEA - Principali nuove famiglie di codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
EMEA - Principali nuove famiglie di codice nocivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
EMEA - Meccanismi di propagazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
EMEA - Meccanismi di propagazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
EMEA - URL di phishing per paese e principali settori interessati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
EMEA - Paesi di origine dello spam delle botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Internet Security Threat Report Volume 16, Report
personalizzato
EMEA - Introduzione
Attraverso la Symantec™ Global Intelligence Network, Symantec ha realizzato alcune delle fonti più
complete e specializzate di dati sulle minacce in Internet al mondo. Questa rete acquisisce dati di
intelligence sulla sicurezza a livello mondiale che costituiscono per gli analisti Symantec una fonte di dati
senza eguali da identificare e analizzare per offrire protezione e fornire considerazioni informate sulle
linee di tendenza relative ad attacchi, attività del codice nocivo, phishing e spam.
Oltre 240.000 sensori in più di 200 paesi e territori monitorano le attività degli attacchi, tramite una
combinazione di prodotti e servizi Symantec quali Symantec DeepSight™ Threat Management System,
Symantec™ Managed Security Services e i prodotti consumer Norton™, oltre a fonti di dati di terze parti.
Symantec raccoglie informazioni sul codice nocivo da oltre 133 milioni di sistemi client, server e gateway
che utilizzano i suoi prodotti antivirus. La rete distribuita di sistemi di richiamo di Symantec,
inoltre, raccoglie dati da tutto il mondo, rilevando minacce e attacchi sconosciuti e assicurando una
preziosa visibilità sui metodi degli aggressori.
Symantec gestisce anche uno dei database di vulnerabilità più completi al mondo, che attualmente
contiene oltre 40.000 vulnerabilità registrate (in un periodo di oltre vent'anni) che interessano più
di 105.000 tecnologie sviluppate da oltre 14.000 fornitori. Symantec gestisce anche la mailing list di
BugTraq™, uno dei forum più utilizzati per la discussione delle vulnerabilità informatiche in Internet, che
vanta circa 24.000 abbonati che ogni giorno si scambiano informazioni e discutono gli aspetti della
ricerca sulle vulnerabilità.
I dati di spam e phishing vengono acquisiti attraverso diverse fonti, fra cui la Symantec Probe Network,
un sistema di oltre 5 milioni di account fittizi, MessageLabs Intelligence, un'affidabile fonte di dati
e analisi su problematiche, tendenze e statistiche sulla sicurezza della messaggistica e altre tecnologie
Symantec. I dati vengono raccolti in oltre 86 paesi in tutto il mondo. Oltre 8 miliardi di messaggi e-mail
e oltre 1 miliardo di richieste Web vengono elaborati ogni giorno da 16 data center. Symantec raccoglie
informazioni sul phishing anche tramite una nutrita comunità antifrode costituita da società, fornitori
di sicurezza e oltre 50 milioni di utenti finali.
Queste risorse offrono agli analisti Symantec fonti di informazioni senza precedenti, che rendono possibile
identificare, analizzare e presentare una panoramica completa sulle tendenze emergenti di attacchi, attività
del codice nocivo, phishing e spam. Il risultato è l'Internet Security Threat Report di Symantec, che fornisce
ad aziende e privati le informazioni essenziali per proteggere in modo efficace i loro sistemi, oggi
e in futuro.
Oltre alla raccolta di dati globali sugli attacchi in Internet, Symantec analizza anche i dati sugli attacchi
che vengono rilevati dai sensori dispiegati in regioni specifiche. In questo report vengono esaminati gli
aspetti significativi delle attività nocive che Symantec ha osservato in Europa, Medio Oriente e Africa
(EMEA) nel 2010.
4
Internet Security Threat Report Volume 16, Report personalizzato
EMEA - Tendenze delle attività delle minacce
La sezione seguente dell'Internet Security Threat Report di Symantec per Europa, Medio Oriente e Africa
(EMEA) fornisce un'analisi delle attività delle minacce, delle attività nocive e delle violazioni di dati che
Symantec ha osservato in EMEA nel 2010. Le attività nocive trattate in questa sezione non includono solo
le attività delle minacce, ma comprendono anche phishing, codice nocivo, zombi spam, computer infettati
da bot e origini degli attacchi alle reti. Gli attacchi vengono definiti come qualsiasi attività nociva intrapresa
su una rete e individuata da un sistema di rilevazione delle intrusioni (IDS) o da un firewall. Le definizioni
degli altri tipi di attività nocive sono disponibili nelle relative sezioni di questo report.
In questa sezione vengono trattate le metriche seguenti e vengono fornite analisi e informazioni sulle
tendenze delineate dai dati.
• Attività nocive per paese
•Origine degli attacchi per paese
• Attività degli attacchi dal Web
• Computer infettati da bot per paese
EMEA - Attività nocive per paese
Premessa
Questa metrica esamina i paesi della regione EMEA (Europa, Medio Oriente e Africa) in cui ha origine
o si verifica la maggior parte delle attività nocive. Le attività nocive di solito hanno effetto sui computer
connessi a Internet a banda larga ad alta velocità poiché queste connessioni sono obiettivi interessanti
per gli aggressori. Le connessioni a banda larga forniscono maggiori capacità rispetto ad altri tipi
di connessioni: maggiore velocità, potenzialità di sistemi connessi costantemente e, normalmente,
una connessione più stabile. Symantec classifica le attività nocive nel modo seguente:
Codice nocivo: comprende virus, worm e Trojan Horse inseriti in modo invisibile nei programmi.
Lo scopo del codice nocivo include la distruzione dei dati, l'esecuzione di programmi distruttivi e intrusivi,
il furto di informazioni riservate o l'attacco alla sicurezza o all'integrità dei dati del computer della vittima.
Zombi spam: sistemi compromessi che vengono controllati in modalità remota e utilizzati per inviare
grandi quantità di e-mail indesiderate o non richieste. Queste e-mail possono essere utilizzate per
veicolare codice nocivo e tentativi di phishing.
Host di phishing:
un host di phishing è un computer che fornisce servizi di siti Web allo scopo di tentare di raccogliere
in modo illegale informazioni riservate, personali e finanziarie, fingendo che la richiesta provenga
da un'organizzazione nota e attendibile. Questi siti Web sono progettati in modo da imitare i siti
di società legittime.
Computer infettati da bot: si tratta di computer compromessi controllati dagli aggressori in modalità
remota. Solitamente l'aggressore remoto controlla un ampio numero di computer compromessi su un
singolo canale affidabile in una botnet (o rete di bot), che viene quindi utilizzata per sferrare attacchi
coordinati. Origini degli attacchi di rete: sono le origini degli attacchi da Internet. Ad esempio, gli
attacchi possono avere come obiettivo le vulnerabilità dei protocolli SQL o dell'overflow del buffer.
Origini degli attacchi di rete: sono le origini degli attacchi da Internet. Ad esempio, gli attacchi
possono avere come obiettivo le vulnerabilità dei protocolli SQL o dell'overflow del buffer.
5
Metodologia
Per determinare le attività nocive per paese, Symantec ha compilato dati geografici su numerose attività
nocive, inclusi segnalazioni di codice nocivo, zombi spam, host di phishing, computer infettati da bot
e origini degli attacchi di rete. Viene quindi determinata nell'ambito della regione la proporzione di ogni
attività che ha origine in ogni paese. Viene calcolata la media delle percentuali di ogni attività nociva che
ha origine in ogni paese. Questa media determina la proporzione dell'attività nociva complessiva che ha
origine dal paese in questione. Le classifiche vengono poi determinate calcolando la media aritmetica
della proporzione di queste attività nocive che hanno origine in ogni paese.
Posizione
complessiva
Origine
Percentuale
complessiva
2010
Posizione attività 2010
2009
Codice
nocivo
Zombie
spam
Host di
phishing
Bot
Origine
attacchi
di rete
2010
2009
1
1
Regno Unito
18%
16%
1
4
2
3
2
2
2
Germania
14%
12%
5
1
1
1
1
3
6
Italia
8%
6%
7
5
7
2
4
4
3
Russia
7%
7%
4
3
5
11
5
5
7
Francia
6%
5%
9
9
4
7
3
6
4
Spagna
5%
7%
6
6
8
5
6
7
10
Paesi Bassi
5%
2%
14
2
3
12
10
8
5
Polonia
4%
6%
10
8
6
4
8
9
8
Turchia
3%
5%
2
21
10
9
7
10
12
Arabia Saudita
2%
2%
3
12
46
37
18
Attività nocive per paese, EMEA
Fonte: Symantec Corporation
Considerazioni
Il Regno Unito e la Germania continuano ad avere le percentuali più alte di attività nocive nella regione
EMEA: nel 2010, il Regno Unito e la Germania sono state ancora una volta le origini principali delle attività
nocive complessive nell'ambito EMEA. Globalmente il Regno Unito si è classificato al quinto posto e la
Germania al terzo per le attività nocive complessive. Questo significa che gli aggressori negli Stati Uniti
si sono concentrati principalmente sulla regione, mentre è probabile che gli aggressori in Germania
si siano rivolti principalmente ai sistemi globali.
• La presenza continuativa del Regno Unito al vertice della classifica in questa metrica è dovuta all'alto
volume di attività del codice nocivo in questo paese.
• La posizione della Germania al secondo posto è dovuta alla sua prima posizione negli zombi spam, host
di phishing, bot e nell'origine degli attacchi di rete. La Germania ha un'infrastruttura a banda larga
decisamente consolidata che conta la maggior parte degli utenti nella regione EMEA. Con quasi 27
milioni di utenti di banda larga, anche se una piccola parte di questi sistemi non sono protetti, questi
computer rappresentano comunque un elevato numero di obiettivi interessanti per gli aggressori
e quindi conducono a un'alta percentuale di attività nocive nel paese.
Più della meta degli zombi spam del mondo sono stati localizzati nella regione EMEA: EMEA continua
a essere la regione con la più alta percentuale di zombi spam, che costituiscono il 54% del totale globale
nel 2010. Germania, Paesi Bassi e Russia hanno avuto la più alta percentuale di zombi spam nell'ambito
della regione EMEA, raggiungendo insieme circa un terzo del totale della regione. Una ragione per questa
alta percentuale è che i computer della regione EMEA sono le fonti principali di infezione per le principali
botnet di spam quali Ozdok (Mega-D), Cimbot, Bobax e Xarvester.
• Informazioni sulle origini di infezione per gli spambot.
6
Turchia e Arabia Saudita continuano a registrare alti livelli di codice nocivo per il 2010: sebbene
occupino rispettivamente il nono e il decimo posto per le attività nocive complessive in EMEA nel 2010,
la Turchia e l'Arabia Saudita occupano la seconda e la terza posizione nella categoria di codice nocivo
nella regione. Questa situazione è verosimilmente dovuta ai grandi volumi di potenziali infezioni da virus
e worm nei due paesi per il 2010. Nel 2010 la Turchia era al primo posto per le potenziali infezioni da virus,
principalmente a causa del virus Almanahe.B, che in questo paese è stato rilevante. Contemporaneamente
i worm Sality.AE e Mabezat.B hanno avuto la maggior parte delle segnalazioni di infezioni potenziali da
worm in Arabia Saudita nel 2010.
EMEA - Origine degli attacchi per paese
Premessa
Questa metrica valuta i principali paesi da cui hanno avuto origine gli attacchi che nel 2010 hanno avuto
come obiettivo la regione EMEA. Notare che, poiché i computer da cui hanno origine gli attacchi possono
essere controllati in modalità remota, gli aggressori possono trovarsi in località diverse rispetto al computer
utilizzato per sferrare l'attacco. Ad esempio, un aggressore che si trova fisicamente negli Stati Uniti
potrebbe sferrare un attacco da un sistema compromesso in Germania a una rete nel Regno Unito.
Metodologia
In questa sezione vengono valutati i principali paesi da cui hanno avuto origine gli attacchi che nel
2010 hanno avuto come obiettivo la regione EMEA. Un attacco alla rete viene generalmente considerato
un'attività nociva intrapresa su una rete e individuata tramite un sistema di rilevazione delle intrusioni
(IDS), un sistema di prevenzione delle intrusioni (IPS) o un firewall.
Dati
Posizione
Origine
2010 EMEA
2009 EMEA
2010 Globale
1
2
3
4
5
6
7
8
9
10
1
2
4
26
13
7
8
10
3
6
1
4
2
16
20
3
8
2
5
21
Stati Uniti
Regno Unito
Cina
Turchia
Svezia
Germania
Russia
Canada
Francia
Paesi Bassi
Percentuale
2010 EMEA
2009 EMEA
2010 Globale
36%
11%
9%
6%
5%
3%
3%
2%
2%
2%
36%
14%
5%
<1%
1%
3%
2%
2%
6%
3%
22%
6%
13%
2%
1%
6%
3%
2%
3%
1%
Principali attacchi per paese in EMEA, 2009-2010
Fonte: Symantec
Considerazioni
Gli Stati Uniti continuano a dominare la classifica degli attacchi verso EMEA: nel 2010 gli Stati
Uniti sono stati il primo paese da cui hanno avuto origine gli attacchi con obiettivi in EMEA e hanno
rappresentato il 36% degli attacchi rilevati dai sensori di Symantec nella regione. Si tratta della
stessa percentuale rilevata nel 2009, altro anno in cui gli Stati Uniti erano classificati al primo posto.
Questo risultato è probabilmente dovuto all'alto livello delle attività di attacco che hanno generalmente
origine negli Stati Uniti, poiché essi sono stati anche il primo paese in assoluto da cui hanno avuto origine
gli attacchi, concorrendo con il 22% del totale. Si sono inoltre classificati al primo posto per le attività
complessivamente nocive, con il 19% del totale. Gli Stati Uniti si sono classificati al primo posto anche
per il numero di computer infettati da bot e codice nocivo e gran parte delle attività di attacco con
obiettivo i paesi EMEA sembra essere stata realizzata attraverso queste reti di bot nocivi.
Aumento degli attacchi dalla Turchia: la Turchia è salita significativamente nella classifica dei paesi
da cui hanno avuto origine gli attacchi alla regione EMEA nel 2010. A questa scalata nelle posizioni hanno
probabilmente contribuito l'alta classifica della Turchia per attività di codice nocivo nella regione EMEA
e la posizione ai vertici nelle potenziali infezioni da virus. Ad esempio, il virus Almanahe.B, che si propaga
sulle reti, ha avuto una presenza notevole in Turchia nel 2010.
7
EMEA - Attività degli attacchi dal Web
Premessa
La crescente diffusione delle applicazioni Web unita alle vulnerabilità della sicurezza, sempre più comuni
e facilmente sfruttabili che caratterizzano queste applicazioni basate su browser Web, ha determinato
una crescita estesa delle minacce dal Web. Gli aggressori che vogliono trarre vantaggio delle vulnerabilità
sul lato client non hanno più bisogno di compromettere reti specifiche per accedere ai relativi computer.
Symantec analizza le attività di attacco per determinare quali tipi di attacco e toolkit di attacco vengono
utilizzati dagli aggressori. Questa analisi fornisce una visione approfondita delle tendenze emergenti degli
attacchi dal Web e può evidenziare i tipi di attacchi con i quali gli aggressori ottengono i migliori risultati.
Metodologia
Questa metrica valuta le principali attività di attacco dal Web che hanno avuto origine da siti legittimi
compromessi e siti intenzionalmente configurati in modo nocivo che hanno avuto come obiettivo gli
utenti del Web in Europa, Medio Oriente e Africa (EMEA) nel 2010. Per determinare questi dati, Symantec
classifica le attività di attacco in base al volume delle relative segnalazioni osservate nel periodo in esame.
Per questa metrica vengono analizzate le prime 10 attività di attacco dal Web.
Dati
Posizione
1
2
3
4
5
6
7
8
9
10
Attività di attacco
Attività del toolkit Phoenix
Attività del toolkit Nukesploit P4ck
Attività del toolkit NeoSploit
Attività di attacco a Adobe Reader
Attività del toolkit Sun Java
Attività del toolkit Eleonore
Attività del toolkit Fragus
Attività del toolkit Unique Pack
Attività delle varianti di toolkit nocivi
Attacco di overflow del buffer JavaScript
Percentuale dei primi 10
49%
26%
7%
7%
4%
4%
3%
<1%
<1%
<1%
EMEA - Attività degli attacchi dal Web, 2010
Fonte: Symantec
Considerazioni
Il crimine informatico è globale: la classifica delle prime 10 attività di attacco dal Web in EMEA nel 2010
differisce solo minimamente dalla classifica globale per lo stesso anno. Le attività principali sono le stesse
e si registrano solo leggere variazioni nelle posizioni e nelle percentuali. Questo indica la natura globale
del crimine informatico e mostra che, poiché queste attività provengono dal Web, non esistono evidenti
limitazioni geografiche. Questo fattore può essere significativo nell'aumento degli attacchi dal Web negli
ultimi anni, in particolar modo se si considerano gli aspetti di guadagno finanziario, in quanto un sito Web
nocivo può raggiungere un gruppo ampiamente distribuito di vittime potenziali senza essere limitato a un
paese o a una regione specifica.
Phoenix è in aumento: il volume più rilevante di attività degli attacchi dal Web osservato nel 2010, sia
in EMEA che a livello globale, è stato relativo al toolkit Phoenix. Questo kit è stato osservato per la prima
volta dai ricercatori nel 2009, sebbene si dicesse che fosse stato rilasciato già nel 2007. Questa attività
si riferisce a tentativi di scaricare ed eseguire sul client Web della vittima codice di exploit specifico del
toolkit Phoenix. È nota una versione di Phoenix che sfrutta 16 vulnerabilità colpendo più tecnologie.
È possibile che gli attacchi che giungono a buon fine installino un'applicazione di software di sicurezza
ingannevole chiamata PC Defender Antivirus sui computer compromessi. Alcune delle vulnerabilità
sfruttate da Phoenix colpiscono un certo numero di tecnologie ampiamente utilizzate, fra cui Sun Java,
Microsoft Windows Media Player, Microsoft Internet
Explorer e Adobe Flash Player e Reader.
•
•
•
•
•
•
8
Informazioni sul software di sicurezza ingannevole PC Defender Antivirus
Sun Java Runtime Environment and Java Development Kit Multiple Security Vulnerabilities
Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
Microsoft Active Template Library Header Data Remote Code Execution Vulnerability
Adobe Flash Player Multimedia File Remote Buffer Overflow Vulnerability
Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities
L'obiettivo è Java:
• Java presenta un interessante punto di attacco per gli aggressori:
come dimostra l'attività relativa al kit di attacco di Phoenix, così come di numerosi altri kit che
utilizzano gli exploit di Java, Java costituisce un interessante punto di attacco per gli aggressori.
Inoltre l'attività di attacco Sun Java, che si colloca al sesto posto nella classifica, fa riferimento ad
attacchi Java che non sono direttamente riferibili a un toolkit di attacco specifico. In alcuni casi, il
codice di exploit utilizzato in questi attacchi potrebbe essere lo stesso utilizzato da altri kit se
gli autori hanno reperito il codice dalla stessa fonte.
• È possibile che gli aggressori inizino a prediligere gli exploit di Java: rilevare gli attacchi Java può
essere complesso poiché la tecnologia si basa su un ambiente runtime che inserisce ulteriori livelli
di elaborazione che è necessario analizzare. Gli attacchi Java che si sono verificati nel 2010 hanno
ricevuto una notevole attenzione, ma non sono stati utilizzati con la stessa frequenza con cui sono
stati utilizzati attacchi che sfruttavano altre tecnologie. Una ragione può essere che i toolkit di attacco
spesso lanciano attacchi in sequenza, utilizzando un exploit dopo l'altro fino a quando uno di questi
riesce nell'intento, le opzioni si sono esaurite o l'origine dell'attacco viene bloccata dalla vittima. Questo
può portare ad attacchi bloccati o completati che si verificano prima che vengano lanciati gli exploit
di Java. Nel corso del tempo, gli aggressori valutano la sequenza di tentativi di attacco a favore di
quelli che sfruttano le vulnerabilità di Java per aumentare la probabilità di riuscita degli attacchi.
• Symantec prevede che il volume di attacchi basati su Java aumenterà: gli autori di kit rilasciati
recentemente quali Dragon Pack e Bleeding Life stanno pubblicizzando il successo degli exploit di Java
inclusi nei kit. Di conseguenza Symantec prevede che il volume di attacchi basati su Java aumenterà.
• Microsoft: ‘Unprecedented Wave of Java Exploitation’
• Exploit Packs Run on Java Juice
EMEA - Attività degli attacchi dal Web
Premessa
Questa metrica valuta i paesi di origine dei computer infettati da bot in Europa, Medio Oriente e Africa
(EMEA) nel 2010. I bot sono programmi installati in modo invisibile sul computer di un utente per
consentire il controllo in modalità remota del sistema da parte di un aggressore tramite un canale di
comunicazione, ad esempio IRC (Internet Relay Chat), P2P o HTTP. Questi canali consentono all'aggressore
di controllare un gran numero di computer compromessi su un singolo canale affidabile in una botnet,
che può essere utilizzata per sferrare attacchi coordinati.
I bot consentono un'ampia gamma di funzionalità e la maggior parte di essi può essere aggiornata per
fornire nuove funzionalità scaricando nuovo codice e caratteristiche. Gli aggressori possono utilizzare
i bot per eseguire numerose attività che possono causare gravi conseguenze finanziarie e legali, ad
esempio sferrare attacchi di tipo denial-of-service (DoS) contro i siti Web di organizzazioni, distribuire
spam e attacchi di phishing, distribuire spyware e adware, propagare codici nocivi e raccogliere
informazioni personali che possono essere utilizzate per il furto di identità da computer compromessi.
Gli aggressori preferiscono i computer infettati da bot con un modello di comando e controllo (C&C)
decentralizzato perché sono difficili da disabilitare e consentono loro di nascondersi in piena vista
fra rilevanti quantità di traffico non correlato sugli stessi canali di comunicazione. Aspetto ancora più
importante, le operazioni delle botnet possono essere remunerative per chi le controlla poiché i bot sono
economici e relativamente facili da propagare. Ad esempio, nel 2010 Symantec ha notato in un forum
underground una pubblicità che promuoveva una botnet di 10.000 bot a 15 USD. (Nella pubblicità non
si specificava se il costo si riferiva all'acquisto o all'affitto).
Metodologia
Un computer infettato da bot è considerato attivo in un determinato giorno se in quel giorno esegue almeno
un attacco. Non è necessario che l'attacco sia continuo; anzi, un computer singolo di questo tipo può essere
attivo in diversi giorni. Un computer distinto infettato da bot è un computer che è stato attivo almeno
una volta nel periodo. Delle attività dei computer infettati da bot che Symantec registra, possono essere
classificati come bot di attacco effettivo i bot che inviano spam (ovvero gli zombi spam) o i bot utilizzati
per le campagne DoS.
9
personalizzato
Posizione
Origine
2010 EMEA
2009 EMEA
2010 Globale
1
2
3
4
5
6
7
8
9
10
1
2
8
4
3
9
6
7
5
10
2
4
7
8
10
11
12
14
15
17
Percentuale
2010 EMEA
2009 EMEA
2010 Globale
20%
15%
11%
8%
7%
6%
6%
3%
3%
3%
14%
12%
5%
12%
12%
4%
7%
5%
7%
3%
12%
9%
7%
5%
4%
4%
4%
2%
2%
2%
Germania
Italia
Regno Unito
Polonia
Spagna
Ungheria
Francia
Portogallo
Turchia
Israele
Computer infettati da bot per paese in EMEA, 2009-2010
Fonte: Symantec
Considerazioni
La regione EMEA domina per i computer infettati da bot:
nel 2010, la regione EMEA costituiva il 59% dei computer infettati da bot rilevati globalmente, più
di qualsiasi altra regione. Dei primi 10 paesi per computer infettati da bot nella regione EMEA, sette
erano anche fra i primi 10 paesi per attività complessivamente nocive a livello globale. Questo dato può
indicare che il numero di computer infettati da bot in questi paesi può essere un riflesso delle attività
complessivamente nocive che si verificano nei paesi stessi.
I primi 10 paesi per computer infettati da bot nella regione EMEA rimangono invariati rispetto al 2009:
la distribuzione dei computer infettati da bot nella regione appare relativamente stabile e i paesi presenti ai
primi 10 posti nel 2009 rimangono nei primi 10 posti anche nel 2010. Di fatto, ad eccezione dell'Ungheria,
gli altri paesi presenti in questa classifica nel 2010 si sono classificati tra i primi 10 per questa categoria
sin dal 2007.
EMEA - Tendenze delle attività del codice nocivo
Symantec raccoglie informazioni sul codice nocivo dalla propria ampia base di clienti tramite una serie
di programmi di telemetria che mantengono l'anonimato dei clienti che accettano di aderire, quali
Norton Community Watch e le tecnologie Symantec Digital Immune System e Scansione e Invio. A questi
programmi contribuiscono oltre 100 milioni di sistemi client, server e gateway. I nuovi campioni di codice
nocivo e le rilevazioni degli incidenti causati da tipi di codice nocivo noti, vengono segnalati a Symantec.
Gli incidenti segnalati sono considerati infezioni potenziali se un'infezione si sarebbe potuta verificare in
assenza di software per la sicurezza in grado di rilevare ed eliminare la minaccia.
Le minacce da codice nocivo vengono classificate in base a quattro tipi principali: backdoor, virus, worm
e Trojan Horse.
Le backdoor consentono a un aggressore di accedere ai computer compromessi in modalità remota.
I Trojan Horse sono codice nocivo che gli utenti installano inconsapevolmente sul proprio computer quando
aprono un allegato e-mail o durante un download da Internet. I Trojan Horse vengono anche scaricati
e installati da altro codice nocivo. I programmi Trojan Horse sono diversi da worm e virus in quanto
non si propagano.
I virus si propagano infettando con codice nocivo i file presenti sui computer colpiti
I worm sono minacce di codice nocivo che possono riprodursi sui computer infettati ed essere facilmente
copiati su altri computer (ad esempio tramite i dispositivi di archiviazione USB).
Molte minacce di codice nocivo presentano più caratteristiche. Ad esempio, una backdoor è sempre
classificata in concomitanza con un'altra caratteristica di codice nocivo. In genere le backdoor sono anche
Trojan Horse e molti worm e virus incorporano anche funzionalità backdoor. I campioni di codice nocivo
inoltre possono essere classificati sia come worm sia come virus a causa del modo in cui si propagano,
poiché gli sviluppatori di minacce cercano di attivare il codice nocivo con più vettori di propagazione per
aumentare le possibilità di compromettere i computer attaccati. Questa discussione si basa sui campioni di
codice nocivo rilevati da Symantec nella regione EMEA nel 2010, con l'analisi delle tendenze seguenti:
10
•
•
•
•
•
Prevalenza di caratteristiche di codice nocivo
Primi campioni di codice nocivo
Principali nuove famiglie di codice nocivo
Minacce alle informazioni riservate
Meccanismi di propagazione
EMEA - Prevalenza di caratteristiche di codice nocivo
Considerazioni
Come indicato nell'introduzione a questa sezione, Symantec classifica le caratteristiche del codice nocivo
in quattro categorie principali: backdoor, Trojan Horse, virus e worm. L'analisi della prevalenza di ogni
caratteristica nociva consente di avere una visione approfondita del variegato panorama delle minacce.
Combinata ai dati raccolti tramite altre metriche, questa analisi permette a Symantec di determinare con
maggiore accuratezza le tendenze emergenti nell'ambito dei codici nocivi.
Metodologia
Questa analisi si concentra sui primi 50 campioni di codice nocivo più diffusi nel 2010 in Europa, Medio
Oriente e Africa (EMEA). Ogni campione di codice viene analizzato e le caratteristiche vengono classificate
in base alle quattro categorie principali. La somma di questa caratteristica viene misurata in base al volume
in proporzione alla prevalenza di ogni campione di codice in cui viene trovata.
Come indicato precedentemente, i campioni di codice nocivo sono spesso caratterizzati da più di una
categoria quindi il volume di infezioni potenziali associate con ogni campione può essere attribuito
proporzionalmente a più tipi. Le proporzioni delle prime 50 infezioni potenziali del periodo in esame in
EMEA vengono confrontate con quelle delle prime 50 infezioni potenziali del periodo precedente in EMEA
per osservare l'evoluzione dell'attività del codice nocivo nel panorama delle minacce. Poiché si tratta di
cifre proporzionali, è necessario notare che una modifica nella proporzione non rappresenta un aumento
o una diminuzione delle infezioni potenziali rispetto all'anno precedente.
Dati
60%
56%
50%
48%
49%
49%
47%
40%
EMEA 2009
40%
42%
EMEA 2010
37%
30%
Global 2010
28%
20%
16%
12%
10%
0%
Trojan
Worm
Virus
13%
Backdoor
Infezioni potenziali per tipo in EMEA, 2009-2010
Fonte: Symantec
11
Considerazioni
Stabilità proporzionale: complessivamente l'omogeneità delle proporzioni rispetto all'anno precedente
di tutti i tipi di codice nocivo in EMEA suggerisce che il codice nocivo di alto profilo (ad esempio il worm
Stuxnet) non ha influenzato significativamente il livello generale di attività nella regione (nonostante
Stuxnet sia stato attivo principalmente in EMEA). Questa considerazione è ulteriormente supportata dagli
schemi simili presenti nelle principali famiglie di codice nocivo osservate rispetto all'anno precedente nella
regione.
• Informazioni sul worm Stuxnet
Worm e virus: in EMEA worm e virus hanno costituito una proporzione di infezioni potenziali maggiore
rispetto alle osservazioni globali. Una ragione per questa situazione nel 2009 è stata la rilevanza del worm
Downadup (noto anche come Conficker). A questa differenza fra le proporzioni nel 2010 ha contribuito
significativamente il virus Ramnit, anch'esso caratterizzato da componenti di tipo worm. A partire dalla
sua scoperta all'inizio del 2010 è stato registrato un alto numero di segnalazioni di Ramnit. Ramnit è stato
classificato al terzo posto fra i campioni di codice nocivo in EMEA e al primo posto fra le nuove famiglie di
codice nocivo in EMEA nel 2010.
EMEA - Tendenze delle attività del codice nocivo
Premessa
Questa metrica valuta i principali campioni di codice nocivo in EMEA nel 2010. Symantec analizza
i campioni di codice nocivo nuovi ed esistenti per determinare quali tipi di minaccia e vettori di attacco
vengono impiegati nelle minacce più rilevanti. Queste informazioni, inoltre, consentono ad amministratori
e utenti di acquisire familiarità con le minacce che gli aggressori possono privilegiare nelle loro attività.
Un'analisi delle tendenze nello sviluppo delle minacce emergenti può contribuire a rafforzare le misure
di sicurezza e mitigare attacchi futuri.
Metodologia
Per determinare i principali campioni di codice nocivo, Symantec classifica ogni campione in base al volume
delle singole origini di infezioni potenziali osservate nel periodo in esame.
12
Dati
Posizione
Nome
Tipo
Meccanismi
di propagazione
1
Sality.AE
Virus/
worm
Unità rimovibili/
eseguibili
Utilizza il polimorfismo per eludere la
rilevazione. Una volta in esecuzione in un
computer, infetta i file eseguibili sulle unità
locali, rimovibili e di rete condivise. Quindi si
connette a una botnet P2P, scarica e installa
altre minacce. Il virus disattiva inoltre
il software per la sicurezza installato.
2
Mabezat
Virus/
worm
SMTP/CIFS/
unità rimovibili
Copia sé stesso su unità locali, rimovibili
e di rete condivise. Infetta file eseguibili
e crittografa vari tipi di file. Può inoltre
utilizzare il computer infetto per inviare
messaggi di spam con allegati infetti.
3
Ramnit
Virus/
worm
Unità rimovibili/
eseguibili
Infetta diversi tipi di file, compresi i file
eseguibili, e copia sé stesso su unità
rimovibili. Quindi si affida alla funzionalità
AutoPlay per essere eseguito non appena
l'utente accede all'unità rimovibile su altri
computer.
4
Downadup
Virus/
backdoor
P2P/CIFS/
vulnerabilità remota
Il worm disattiva le applicazioni per la
sicurezza e la funzionalità Windows Update
e consente l'accesso remoto al computer
infettato. Sfrutta vulnerabilità per copiare sé
stesso su unità di rete condivise. Si connette
inoltre a una botnet P2P e può scaricare
e installare altre minacce.
5
SillyFDC
Worm
Unità rimovibili
Scarica altre minacce e copia sé stesso
sulle unità rimovibili. Quindi si affida alla
funzionalità AutoPlay per essere eseguito
non appena l'utente accede all'unità
rimovibile su altri computer.
6
Gamminma.AG
Virus/
worm
Unità rimovibili
Copia sé stesso sulle unità rimovibili e si
affida alla funzionalità AutoPlay per essere
eseguito non appena l'utente accede
all'unità rimovibile su altri computer. Il worm
monitorizza quindi le attività Web e sottrae
le credenziali di account di videogiochi
online, che vengono inviate tramite e-mail
all'aggressore.
7
FakeAV
Trojan
Horse
N/D
Abbassa il livello delle impostazioni
di sicurezza e visualizza falsi avvisi di
protezione che invitano gli utenti ad
acquistare software per la sicurezza
ingannevole per rimuovere minacce
inesistenti.
8
Chir.B
Virus/
worm
SMTP
Utilizza il proprio motore SMTP per inviare
copie di sé stesso a indirizzi e-mail raccolti
dai computer compromessi. L'e-mail tenta
di sfruttare le vulnerabilità presenti nei
computer colpiti in modo che infettarli anche
se l'e-mail non viene aperta. Tenta inoltre
di infettare vari tipi di file su unità di rete
mappate e locali.
9
Virut.CF
Virus/
backdoor
Eseguibili
Infetta diversi tipi di file, compresi i file
eseguibili, e copia sé stesso su unità locali,
rimovibili e di rete condivise. Stabilisce
inoltre una backdoor che può essere
utilizzata per scaricare e installare
altre minacce.
10
Almanahe.B
Virus/
worm
CIFS/unità
mappate/unità
rimovibili/eseguibili
Disattiva il software per la sicurezza
terminando i processi correlati. Infetta
inoltre i file eseguibili e copia sé stesso su
unità locali, rimovibili e di rete condivise.
Il worm può inoltre scaricare e installare
altre minacce.
Impatti/Caratteristiche
Principali campioni di codice nocivo in EMEA
Fonte: Symantec
13
Il virus Sality.AE continua a dominare: il principale campione di codice nocivo per volume di infezioni
potenziali in EMEA per il 2010 è stato Sality.AE. Le attività di questo virus segnalate sono state il principale
contributo per classificare la famiglia di codice nocivo Sality al primo posto nel 2010. Scoperto nel 2008,
Sality.AE è sempre stato una parte rilevante del panorama delle minacce ed è stato anche il principale
campione di codice nocivo identificato da Symantec nel 2009. Sality risulta particolarmente interessante
per gli aggressori perché utilizza codice polimorfo che può ostacolare il rilevamento. Sality è inoltre in
grado di disabilitare i servizi di sicurezza sui computer colpiti. Questi due fattori possono portare a una
percentuale più alta di installazioni riuscite per gli aggressori. Sality si propaga infettando i file eseguibili
e copiandosi automaticamente su unità removibili quali i dispositivi USB. Il virus si affida quindi alla
funzionalità di esecuzione automatica di Microsoft Windows per venire eseguito quando si accede a tali
unità. Questa situazione può verificarsi quando un dispositivo USB infetto viene collegato a un computer.
La facilità di propagazione tramite i dispositivi USB e altri supporti fa sì che le famiglie di codici nocivi
quali Sality.AE (oltre che SillyFDC e altri) siano degli efficaci veicoli per l'installazione di altro codice
nocivo sui computer.
• Informazioni su Sality.AE
• Global Internet Security Threat Report 2009
• Informazioni su SillyFDC
Il virus Ramnit: Ramnit è particolarmente interessante perché si è classificato al terzo posto in EMEA nel
2010 nonostante fosse stato appena scoperto nel periodo preso in esame (ed è diventato anche la nuova
famiglia di codici nocivi classificata al primo posto in EMEA per il 2010). Le minacce scoperte di recente
sono spesso messe in ombra in questa metrica da minacce esistenti, attive da un periodo più lungo.
Ramnit si è classificato al nono posto a livello globale nel 2010, ma il 56% delle infezioni che ha
causato sono state segnalate in EMEA.
• Informazioni su Ramnit
EMEA - Principali nuove famiglie di codice nocivo
Premessa
Symantec analizza le famiglie di codice nocivo nuove ed esistenti per determinare quali tipi di minaccia
e vettori di attacco vengono impiegati nelle minacce più rilevanti. Queste informazioni, inoltre, consentono
ad amministratori e utenti di acquisire familiarità con le minacce che gli aggressori possono privilegiare
nelle loro attività. Un'analisi delle tendenze nello sviluppo delle minacce emergenti può contribuire
a rafforzare le misure di sicurezza e mitigare attacchi futuri.
Metodologia
Una famiglia di codice nocivo è inizialmente composta da un campione di codice nocivo distinto. Quando
vengono rilasciate varianti del campione, la famiglia cresce e include più varianti. Symantec determina le
famiglie di codice nocivo più rilevanti organizzando e analizzando i dati anonimi di telemetria raccolti
nel periodo in esame. Nel corso del 2010, questi prodotti hanno registrato oltre 1,5 miliardi di rilevazioni
di questo tipo di codice nocivo. Il codice nocivo viene classificato in famiglie sulla base di varianti nelle
firme assegnate da Symantec quando il codice viene identificato. Le varianti appaiono quando gli
aggressori modificano o migliorano il codice nocivo esistente e aggiungono o modificano funzionalità.
Queste modifiche possono alterare il codice esistente al punto che i sensori antivirus non rilevano la
minaccia come una firma esistente.
Questa metrica valuta le principali famiglie di codice nocivo rilevate in EMEA nel 2010. Per determinare
questi dati, Symantec classifica ogni famiglia di codice nocivo in base al volume delle infezioni potenziali
osservate nel periodo in esame. Per questa metrica vengono analizzate le prime 10 nuove famiglie di
codice nocivo.
14
Dati
Posizione
Nome
Tipo
Meccanismi
di propagazione
1
Ramnit
Virus/
worm
Unità rimovibili/
eseguibili
Infetta diversi tipi di file, compresi i file eseguibili,
e copia sé stesso sulle unità rimovibili. Quindi si
affida alla funzionalità AutoPlay per essere eseguito
non appena l'utente accede all'unità rimovibile su
altri computer.
2
Sasfis
Trojan
Horse
N/D
Arriva spesso tramite messaggi di spam o download
non autorizzati. Scarica e installa altre minacce.
3
Stuxnet
Worm
CIFS/unità mappate/
unità rimovibili/
vulnerabilità remote
Copia sé stesso su unità locali, rimovibili e di rete
condivise. Può sfruttare le vulnerabilità durante la
propagazione. Abbassa il livello delle impostazioni
di sicurezza e assume il controllo del software per
modificare il funzionamento fisico di macchinari
industriali.
4
Yimfoca
Worm
IM
Termina i processi correlati alla sicurezza e invita
le vittime a compilare sondaggi quando tentano
di accedere a siti Web legittimi. Utilizza client di
messaggistica istantanea per inviare messaggi di
spam contenenti un collegamento che tenterà di
installare una copia del worm.
5
Sykipot
Backdoor/
Trojan
Horse
N/D
Modifica le impostazioni del registro di sistema in
modo da essere eseguito a ogni avvio del computer
colpito. Apre una backdoor consentendo l'accesso
remoto all'aggressore.
6
Bamital
Trojan
Horse
N/D
Si inserisce nei processi del client browser per
modificare i risultati delle ricerche in Internet in
modo che includere URL promozionali.
7
Spyrat
Worm/
backdoor
P2P/unità rimovibili/
condivisione file
Questo worm è generato dal toolkit Spy-Net RAT.
Copia sé stesso sulle unità rimovibili mappate e
sulle cartelle condivise utilizzate dalle applicazioni
di condivisione dei file. Crea un rootkit e apre
una backdoor per consentire l'accesso remoto
all'aggressore. Può inoltre registrare quanto viene
digitato sulla tastiera, rubare password, dirottare
il traffico HTTP tramite il proxy, mostrare l'input
della webcam all'aggressore e manipolare i file.
8
Wapomi
Virus/
worm
CIFS/unità rimovibili/
eseguibili
Crea un rootkit per nascondere la sua presenza e può
scaricare altri file. Copia sé stesso su unità rimovibili
e di rete condivise. Infetta inoltre i file eseguibili
e invia informazioni sui computer compromessi
all'aggressore.
9
Mijapt
Trojan
Horse
N/D
Sfrutta numerose vulnerabilità di Sun Java per
scaricare e installare altre minacce.
10
Maljava
Trojan
Horse
N/D
Sfrutta numerose vulnerabilità di Sun Java per
scaricare e installare altre minacce.
Impatti/Caratteristiche
Principali nuove famiglie di codice nocivo in EMEA
Fonte: Symantec
Considerazioni
Il virus Ramnit: oltre a occupare il primo posto nella classifica delle nuove famiglie di codice nocivo in
EMEA nel 2010, Ramnit ha occupato anche il terzo posto nella classifica dei campioni di codice nocivo in
EMEA nel 2010, situazione piuttosto insolita per una minaccia nuova. Ramnit si è classificato al nono posto
a livello globale nel 2010, ma il 56% delle infezioni che ha causato sono state segnalate in EMEA.
• Informazioni su Ramnit
Il Trojan Horse Sasfis: analogamente al virus Ramnit, Sasfis ha avuto un impatto significativo nel 2010,
nonostante fosse stato appena scoperto nel periodo preso in esame. Sebbene non sia stato dannoso
quanto Ramnit, Sasfis si è comunque classificato quindicesimo in EMEA e dodicesimo a livello globale tra i
principali campioni di codice nocivo.
• Informazioni sul Trojan Horse Sasfis
15
Il worm Stuxnet: nonostante sia stato sviluppato per un tipo di obiettivo molto specifico, il numero di
segnalazioni di potenziali infezioni da parte di Stuxnet osservate da Symantec nel 2010 ha fatto guadagnare
a questo worm il 29esimo posto nelle famiglie di codice nocivo. Questa può essere una testimonianza
dell'efficacia di questo worm nel propagarsi sui computer utilizzati per controllare la capacità del sistema
nei settori industriali. Il worm Stuxnet ha generato una notevole attenzione nel 2010 poiché è stato il primo
codice nocivo sviluppato specificamente per attaccare i sistemi di controllo del settore PLC (Programmable
Logic Controller). Inoltre il worm si è propagato utilizzando exploit per quattro vulnerabilità zero-day, un
record per un codice nocivo. Due di queste vulnerabilità consistevano nell'esecuzione di codice in modalità
remota, le altre due in escalation dei privilegi locali. (L'escalation dei privilegi si verifica quando su un
computer vengono attivate capacità amministrative superiori a quelle consentite per l'utente.)
Stuxnet non ha solo sfruttato un certo numero di quelle che all'epoca erano vulnerabilità zero-day, ma ha
anche sfruttato una varietà di altre vulnerabilità, fatto che mette in evidenza la straordinaria raffinatezza,
strategia e pianificazione che hanno portato allo sviluppo di questa minaccia. Questo worm è importante
poiché la possibilità di un attacco di questo tipo era stata presa in considerazione in passato, ma non era
mai stata rilevata al di fuori dei laboratori. In particolare, Stuxnet è la prima famiglia di codice nocivo che
può colpire direttamente strutture fisiche e dimostra che la possibilità che codice nocivo causi distruzione
fisica potenzialmente grave è reale.
•
•
•
•
Informazioni sul worm Stuxnet
Stuxnet: un'innovazione
Articolo di Wired: Iran: Computer Malware Sabotaged Uranium Centrifuges
Stuxnet con tre vulnerabilità zero-day aggiuntive
EMEA - Principali nuove famiglie di codice nocivo
Premessa
Alcuni programmi di codice nocivo sono scritti appositamente per esporre dati riservati memorizzati su
un computer infettato. Queste minacce possono svelare dati riservati quali informazioni sul sistema, file
e documenti personali o credenziali di accesso. Alcune minacce di codice nocivo, ad esempio le backdoor,
possono fornire a un aggressore remoto il controllo totale su un computer compromesso.
Le minacce a informazioni riservate sono particolarmente preoccupanti a causa del potenziale utilizzo per
attività criminali. Gli operatori dell'economia sommersa utilizzano queste minacce nocive per ottenere
l'accesso a informazioni bancarie, numeri di carte di credito e credenziali online e per colpire società
specifiche. Se si considera il diffuso utilizzo dello shopping online e dell'Internet banking, infezioni di
questo genere possono provocare significative perdite finanziarie, specialmente se vengono svelate
informazioni su carte di credito o dati bancari.
Per una società, la visibilità di informazioni riservate può portare a una significativa perdita di dati. Se si
tratta di dati relativi ai clienti, ad esempio numeri di carte di credito, la fiducia dei clienti nei confronti della
società ne risulta gravemente indebolita. Questa situazione può inoltre costituire una violazione alle leggi
vigenti. Anche informazioni aziendali riservate, ad esempio dettagli finanziari, piani industriali e tecnologie
proprietarie, potrebbero essere sottratte dai computer compromessi.
Metodologia
Questa metrica valuta il rilievo di diversi tipi di minacce a informazioni riservate in Europa, Medio
Oriente e Africa (EMEA) nel 2010. Per determinare questo dato, Symantec ha analizzato i primi 50
campioni di codice nocivo classificati in base al volume di infezioni potenziali registrate durante l'anno.
Ogni campione viene analizzato per determinare la sua capacità di rivelare informazioni riservate
e i dati che emergono vengono quindi misurati come percentuale delle minacce alle informazioni riservate.
16
Dati
100%
90%
88%
92%
80%
78%
79%
70%
74%
75%
74%
65%
60%
76%
69%
50%
40%
30%
20%
10%
0%
Exports
user data
Exports
systems data
Exports
email addresses
EMEA
Keystroke
logger
Allows remote
access
Global
Minacce alle informazioni riservate - EMEA e globale
Fonte: Symantec
Considerazioni
Minacce alle informazioni riservate che consentono l'accesso in modalità remota: in EMEA, il codice nocivo
che consente un accesso remoto ha rappresentato nel 2010 l'88% delle minacce alle informazioni riservate,
contro l'85% registrato nel 2009. Per un certo periodo di tempo l'accesso in modalità remota è stato la
minaccia più rilevante alle informazioni riservate, probabilmente a causa delle caratteristiche di comodità
e versatilità che offre agli aggressori. La capacità di accedere in modalità remota a computer compromessi
permette agli aggressori di eseguire una vasta gamma di azioni aggiuntive che non richiedono di essere
specificate a livello di codice nel codice nocivo che stabilisce la backdoor.
Minacce alle informazioni riservate che esportano i dati utente e registrano quanto digitato sulla tastiera:
nel 2010, il 78% delle minacce alle informazioni riservate è consistito nell'esportazione di dati utente, una
percentuale rimasta invariata rispetto al 2009. La percentuale di minacce alle informazioni riservate che
include keystroke logger si è ridotta leggermente dal 75% nel 2009 al 74% nel 2010. Per gli aggressori,
entrambe queste minacce sono mezzi efficaci per raccogliere informazioni finanziarie riservate, credenziali
per il banking online o numeri di conto corrente e altre informazioni riservate.
La continua crescita delle minacce alle informazioni riservate: come si è osservato globalmente e nelle
edizioni passate dell'Internet Security Threat Report di Symantec, la crescita di tutte le categorie di minacce
alle informazioni riservate è stata costante, una tendenza confermata anche nel periodo in esame. Sebbene
le percentuali globali siano state leggermente superiori a quelle di EMEA, l'effetto globale è quasi identico.
La differenza suggerisce che sia stato un numero leggermente superiore di segnalazioni di codice nocivo
che ha minacciato più tipi di informazioni riservate a livello globale che in EMEA. Gli utili finanziari che gli
aggressori possono ricavare sono l'elemento trainante per queste minacce; l'esposizione delle informazioni
che possono essere utilizzate o vendute in cambio di un ritorno economico è un aspetto integrante del
crimine informatico che utilizza il codice nocivo.
17
EMEA - Meccanismi di propagazione
Premessa
I worm e i virus utilizzano vari mezzi per passare da un computer a un altro. Questi mezzi vengono
chiamati collettivamente meccanismi di propagazione. I meccanismi di propagazione possono includere
diversi vettori, come IM (messaggistica istantanea), SMTP (Simple Mail Transfer Protocol), CIFS (Common
Internet File System), trasferimenti di file P2P (Peer-To-Peer) e vulnerabilità che possono essere sfruttate in
modalità remota. Alcuni tipi di codice nocivo possono addirittura utilizzare altro codice nocivo come vettore
di propagazione, identificando un computer che è stato compromesso attraverso un server backdoor
e utilizzandolo per autocaricarsi e installarsi.
Metodologia
Questa metrica valuta il rilievo dei meccanismi di propagazione utilizzati dal codice nocivo in Europa,
Medio Oriente e Africa (EMEA) nel 2010. Per determinare il rilievo, Symantec analizza i campioni di codice
nocivo che si propaga e classifica quindi i meccanismi di propagazione associati secondo i relativi volumi
di infezioni potenziali osservate. Notare che, poiché i campioni di codice nocivo utilizzano spesso più di
un meccanismo per propagarsi, è possibile che le percentuali cumulative siano superiori al 100%.
2010
Posizione
EMEA
Nome
EMEA
2010
Globale
2010
1
Condivisione di file eseguibili: il codice nocivo crea copie di sé stesso
o infetta i file eseguibili. I file vengono distribuiti ad altri utenti,
spesso copiandoli su unità rimovibili come le chiavette USB
e configurando una routine di esecuzione automatica.
77%
75%
72%
2
Trasferimento file, CIFS: CIFS è un protocollo di condivisione dei
file che consente di condividere file e altre risorse di un computer
con altri computer in internet. Una o più directory in un computer
possono essere condivise per consentire ad altri computer di accedere
ai file che vi sono contenuti. Il codice nocivo crea copie di sé stesso
nelle directory condivise per colpire gli altri utenti che accedono alla
condivisione.
40%
44%
47%
3
Trasferimento file, allegato e-mail: il codice nocivo invia un
messaggio di spam che contiene una copia di sé stesso.
Se il destinatario dello spam apre l'allegato, il codice nocivo
verrà eseguito compromettendo il computer.
29%
24%
18%
4
Vulnerabilità sfruttabile in modalità remota: il codice nocivo sfrutta
una vulnerabilità che consente di copiare sé stesso su un altro
computer e infettarlo.
15%
15%
24%
5
Condivisione file, P2P: il codice nocivo copia sé stesso nelle cartelle
di un computer infetto che sono associate ad applicazioni di
condivisione file P2P. Quando l'applicazione viene eseguita, il codice
nocivo verrà condiviso con altri utenti nella stessa rete P2P.
3%
6%
8%
6
Trasferimento file, HTTP, URL incorporato, messaggistica istantanea:
il codice nocivo invia o modifica messaggi istantanei con un URL
incorporato che, quando viene selezionato dal destinatario, lancerà
un attacco e installerà una copia di sé stesso.
2%
2%
4%
7
SQL: il codice nocivo accede ai server SQL sfruttando una
vulnerabilità latente di SQL o tentando di usare password di
amministratore predefinite o facilmente indovinabili, quindi
copia sé stesso sul server.
2%
2%
2%
8
Trasferimento file, messaggistica istantanea: il codice nocivo utilizza
il client di messaggistica istantanea per avviare un trasferimento file
di sé stesso a un destinatario nell'elenco dei contatti della vittima.
1%
1%
1%
9
Trasferimento file, HTTP, URL incorporato, corpo dei messaggi
e-mail: il codice nocivo invia un messaggio di spam contenente un
URL nocivo che, quando viene selezionato dal destinatario, lancerà
un attacco e installerà una copia del codice nocivo.
<1%
1%
1%
10
Trasferimento file, allegato MMS: il codice nocivo utilizza MMS
(Multimedia Messaging Service) per inviare messaggi di spam
contenenti una copia di sé stesso.
<1%
<1%
<1%
Principali vettori di propagazione in EMEA
Fonte: Symantec
18
EMEA
2009
Considerazioni
Lo sfruttamento dei meccanismi di propagazione è relativamente stabile: dal 2009 al 2010 le variazioni
nelle percentuali dei meccanismi di propagazione in EMEA sono state minime. Questo dato suggerisce che
gli aggressori conseguono percentuali di successo relativamente stabili con i meccanismi utilizzati. Quando
un meccanismo di propagazione diventa meno affidabile grazie all'applicazione di patch o altre mitigazioni,
gli aggressori incorporano altri meccanismi ed emerge una nuova tendenza.
Condivisione di file eseguibili: dal 2009 al 2010 le variazioni nelle percentuali dei meccanismi di
propagazione in EMEA sono state minime. Questo dato suggerisce che gli aggressori conseguono
percentuali di successo relativamente stabili con i meccanismi utilizzati. Quando un meccanismo di
propagazione diventa meno affidabile grazie all'applicazione di patch o altre mitigazioni, gli aggressori
incorporano altri meccanismi ed emerge una nuova tendenza.
• Informazioni sul worm SillyFDC
• Informazioni su Sality.AE
• Altre informazioni sul worm Stuxnet
Allegati e-mail e vulnerabilità sfruttabili in modalità remota: le percentuali di campioni di codice
nocivo che si propagano tramite allegati e-mail o tramite vulnerabilità sfruttabili in modalità remota in
EMEA e a livello globale sono state quasi speculari. Gli allegati e-mail sono stati il 24% in EMEA e il 18%
globalmente, mentre le vulnerabilità sfruttabili in modalità remota sono state il 18% in EMEA e il 24%
globalmente. Mabezat.B e Chir.B hanno costituito la maggior parte dei campioni di codice nocivo che si
propagano tramite allegati e-mail globalmente e la maggior parte di queste segnalazioni proveniva
dall'area EMEA. Le origini dei campioni di codice nocivo che si propagano sfruttando altro codice
nocivo non indicano tuttavia particolari connotazioni geografiche. Data la propensione in EMEA per
la propagazione tramite e-mail, il risultato è una percentuale leggermente più alta di questo
meccanismo in EMEA rispetto a tutte le regioni.
• Informazioni su Mabezat.B
• Informazioni su Chir.B
EMEA - Meccanismi di propagazione
L'attività di frode esamina le tendenze nel phishing e nello spam. Il phishing consiste nel tentativo
da parte di terzi di ottenere informazioni riservate su individui, gruppi oppure organizzazioni imitando
(o falsificando) un marchio specifico e generalmente noto. Gli autori del phishing tentano con l'inganno di
farsi rivelare dagli utenti dati riservati, come numeri di carta di credito, credenziali per operazioni bancarie
online e altre informazioni riservate che possono poi essere utilizzate per commettere atti fraudolenti.
Il phishing generalmente richiede che l'utente finale immetta le proprie credenziali in un campo di
immissione di dati online. Questa è una delle caratteristiche che differenzia il phishing dalle truffe
basate sullo spam, ad esempio la diffusissima "truffa 419" e altre truffe di ingegneria sociale.
• 419 – Il trucco più vecchio trasformato nella truffa più recente
Lo spam è generalmente definito come e-mail indesiderata o non richiesta. Se da una parte rappresenta
un fastidio per utenti e amministratori, dall'altra è anche un serio problema per la sicurezza in quanto può
essere utilizzato per distribuire Trojan Horse, virus e tentativi di phishing. Lo spam può inoltre includere
URL che spesso collegano a siti nocivi che, senza che l'utente ne sia consapevole, attaccano il suo sistema
durante la visita. Grandi quantità di spam possono inoltre causare una perdita del servizio o un degrado
delle prestazioni delle risorse di rete e dei gateway delle e-mail.
• Articolo di BBC News: Spammers plunder Plusnet e-mail
In questa sezione vengono valutate le tendenze del phishing e dello spam osservate da Symantec in
Europa, Medio Oriente e Africa (EMEA) nel 2010 e vengono analizzate le tendenze seguenti:
• URL di phishing per paese e principali settori interessati
• Paesi di origine dello spam delle botnet
19
personalizzato
EMEA - URL di phishing per paese e principali settori interessati
Premessa
Questa metrica esamina i paesi della regione EMEA (Europa, Medio Oriente e Africa) in cui erano
situati la maggior parte di URL di phishing e i settori maggiormente coinvolti in ogni paese. Questi dati
costituiscono un'istantanea di un preciso momento e non offrono una panoramica sui cambiamenti
verificatisi nelle posizioni dei siti di phishing nel corso del periodo preso in esame. È inoltre opportuno
notare che il fatto che un URL di phishing sia ospitato in un determinato paese non significa
necessariamente che l'aggressore si trovi nello stesso paese.
Metodologia
I dati per questa sezione sono determinati raccogliendo i collegamenti nei messaggi e-mail di phishing
e incrociando gli indirizzi con numerosi database di abbonamenti di terze parti che collegano le posizioni
geografiche dei sistemi agli indirizzi. In questo caso, Symantec conta gli URL di phishing come numero
di indirizzi univoci che ospitano le pagine Web utilizzate per il phishing. Sebbene questi database siano
generalmente affidabili, esiste un piccolo margine di errore. I dati prodotti vengono poi utilizzati per
determinare la distribuzione globale degli URL di phishing.
Dati
Posizione
2010
EMEA
2009
EMEA
Origine
2010
Globale
Percentuale
2010
EMEA
2009
EMEA
2010
Globale
Principale
settore colpito
nel paese
Percentuale di URL
che colpiscono
il settore
1
10
2
Paesi Bassi
26%
4%
8%
Finanza
89%
2
6
4
Germania
13%
8%
4%
Finanza
73%
3
5
5
Regno Unito
12%
9%
4%
Finanza
84%
4
8
6
Italia
10%
5%
3%
Finanza
89%
5
7
7
Francia
9%
6%
3%
Finanza
84%
6
4
9
Russia
6%
9%
2%
Finanza
70%
7
17
13
Bulgaria
3%
1%
1%
Assicurazioni
62%
8
2
14
Polonia
3%
11%
1%
Finanza
86%
9
1
5
Spagna
3%
11%
1%
Finanza
79%
10
14
16
Ucraina
2%
2%
1%
Finanza
69%
Principali paesi che ospitano URL di phishing e principali settori interessati in EMEA
Fonte: Symantec Corporation
Considerazioni
Zombi spam che causano phishing: i Paesi Bassi hanno ospitato la percentuale più alta di URL di phishing
osservata in EMEA nel 2010, pari al 26%. I Paesi Bassi si sono classificati al secondo posto per gli zombi
spam e al terzo per gli host di phishing in EMEA nel 2010. È probabile che molti di questi zombi spam
siano stati utilizzati per diffondere lo spam che includeva i collegamenti agli URL di phishing.
Informazioni finanziarie principalmente ricercate negli URL di phishing: non sorprende che il settore
finanziario sia il più colpito dagli URL di phishing in nove su 10 dei primi paesi considerati in questa
metrica. Gli URL di phishing che attaccano il settore finanziario tentano di rubare una notevole varietà
di informazioni che possono essere utilizzate per furti di identità e frodi, ad esempio nomi, numeri di
identificazione rilasciati da organi istituzionali, numeri di carta di credito e numeri di conto corrente.
I criminali informatici sono particolarmente concentrati sul furto di informazioni finanziarie che
consentono di trarre velocemente profitto anziché in truffe che richiedono un investimento
maggiore in termini di tempo.
20
55Datenverkehr am Eintrittspunkt bezieht sich auf den Datenverkehr, der aus dem Internet oder einem anderen Netzwerk in ein Netzwerk fließt. Datenverkehr
am Austrittspunkt bezieht sich auf den Datenverkehr, der das Netzwerk verlässt und in das Internet oder ein anderes Netzwerk übertragen wird.
EMEA - Paesi di origine dello spam delle botnet
Premessa
In questa sezione vengono esaminati i primi 10 paesi di origine dello spam delle botnet in Europa,
Medio Oriente e Africa (EMEA) nel 2010. Le botnet possono essere identificate dagli schemi SMTP e nella
struttura delle intestazioni delle e-mail. Le e-mail di spam vengono classificate per essere ulteriormente
analizzate in base alla botnet di origine durante la fase di transazione SMTP. L'analisi verifica solamente le
botnet coinvolte nell'invio dello spam e non esamina le botnet utilizzate per altri scopi, ad esempio per frodi
finanziarie o attacchi DoS.
Metodologia
I sistemi di richiamo dello spam di Symantec hanno raccolto nel 2010 da 30 a 50 milioni di e-mail di spam
al giorno. Le e-mail vengono classificate in base a una serie di regole euristiche applicate alla conversazione
SMTP e alle informazioni dell'intestazione dell'e-mail. Le informazioni vengono condivise con altri esperti
del settore per garantire che i dati siano aggiornati e accurati.
Dati
Posizione
Origine
Percentuale
2010 EMEA
2010 Globale
2010 EMEA
2010 Globale
1
2
Russia
14%
7%
2
4
Ucraina
7%
4%
3
5
Regno Unito
7%
4%
4
6
Germania
6%
3%
5
7
Italia
5%
3%
6
9
Romania
5%
3%
7
13
Francia
5%
2%
8
14
Polonia
4%
2%
9
5
Spagna
4%
2%
10
16
Arabia Saudita
4%
2%
Principali paesi di origine dello spam delle botnet in EMEA
Fonte: MessageLabs Intelligence
Considerazioni
Le principali botnet di invio di spam si trovano in EMEA: nel 2010, metà dello spam causato da
botnet rilevato da Symantec era originato nella regione EMEA. All'interno di questa regione, la Russia
è stata l'origine della maggior parte dello spam causato da botnet, il 14% del totale della regione EMEA.
Globalmente la Russia si è collocata al terzo posto con il 7% del totale. Uno dei fattori determinanti per
questa alta posizione è dato dal fatto che la Russia è una grande fonte di computer infettati da bot per
importanti botnet di spam, quali Grum, Cutwail, Maazben, Ozkok (Mega-D) e Bobax, e alla fine del 2010
la Russia rappresentava il 9% del totale globale per i computer infettati da bot che inviavano spam.
Le botnet Grum e Cutwail si sono collocate al secondo e terzo posto tra le botnet più attive per volume
di spam inviato nel 2010.
• MessageLabs Intelligence: 2010 Annual Security Report
21
22
Qualsiasi informazione tecnica che viene resa disponibile da Symantec Corporation è prodotto coperto da diritto d'autore di Symantec Corporation ed è di proprietà
di Symantec Corporation.
ESCLUSIONE DELLA GARANZIA. Symantec rende disponibile questo documento COSÌ COM'È, e non fornisce alcuna garanzia in relazione alla sua accuratezza
o al suo utilizzo. Le informazioni contenute in questo documento possono contenere imprecisioni o errori tipografici ed è possibile che non riflettano gli sviluppi
più recenti, pertanto Symantec non dichiara, assicura o garantisce che sia completo, accurato o aggiornato, né offre alcuna certificazione o garanzia in relazione
a opinioni espresse qui o in alcun riferimento fornito. Circostanze variabili possono modificare l'accuratezza dei contenuti qui forniti. Le opinioni presentate in
questo documento riflettono pareri validi al momento della pubblicazione e sono soggette a modifica. Qualsiasi utilizzo delle informazioni contenute in questo
documento è a rischio dell'utente. Symantec non si assume alcuna responsabilità in merito a errori, omissioni o danni derivanti dall'utilizzo o dalla considerazione
dell'attendibilità delle informazioni fornite qui. Symantec si riserva il diritto di apportare modifiche senza alcun preavviso.

Informazioni su Symantec Symantec è un leader globale nelle

Transcript

Documenti analoghi

Le issues critiche da ribaltare in positivo

Ferro Cloruro (ferrico)

Giù le mani dai bambini - Coordinamento Genitori Democratici

Symantec™ Email and Web Security.cloud

scarica cv

perché investire in francia

FARMACI: Eczema, malattia della casalinga, Emea approva cura

breve - Infoservi.it

Trasforma contenuto in PDF