Report sullo stato dei malware 2017 - Malwarebytes
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
2017 Report sullo stato dei malware
INDICE 01 Sintesi 01 Metodologia 01 L'ascesa dei ransomware contro le aziende 03 Rilevamenti di ransomware - Top 10 03 Rilevamenti di ransomware per continente 03 Le tre famiglie di ransomware più diffuse 04 La variazione dei rilevamenti di ransomware in base all'obiettivo 05 I malware pubblicitari colpiscono soprattutto gli USA 05 Rilevamenti di frodi pubblicitarie - Top 10 05 Distribuzione dei rilevamenti di Kovter per paese 05 I botnet portano scompiglio sfruttando i dispositivi IoT 06 Distribuzione dei rilevamenti di botnet per continente 06 Cambia la distribuzione, cambiano le strategie 07 I malware per Android si fanno più... smart 07 Distribuzione dei rilevamenti di malware per Android per paese 07 La differenziazione degli attacchi malware in base a paese e geografia 08 Previsioni per il 2017
Sintesi
Nel 2016, la stampa ha finalmente preso atto della gravità del problema. Gli attacchi
e la sicurezza informatica, o meglio, la sua inadeguatezza, hanno attirato l'attenzione
dei media sia per quanto riguarda le aziende che i privati, diventando perfino uno
degli argomenti principali delle elezioni presidenziali statunitensi. A questo proposito
possiamo affermare che nel 2016 i cyber-attacchi e l'hacking non hanno risparmiato
proprio nessuno, perfino chi non utilizza strumenti informatici.
Metodologia L'ascesa dei ransomware
Criteri di analisi dei dati: contro le aziende
• Quasi un miliardo di rilevamenti/episodi legati ai
Nel 2016, per delle ottime ragioni, i ransomware
malware
• Periodo da giugno a novembre 2016
hanno conquistato i titoli dei giornali. Mentre
• Quasi 100 milioni di dispositivi Windows e Android
i malware tradizionali come trojan bancari,
• Oltre 200 paesi
spyware e keylogger richiedono la supervisione
• Ambienti aziendali e privati
del criminale informatico nelle varie tappe
• Focus su sei categorie di minacce: ransomware,
prima del guadagno effettivo, i ransomware
malware pubblicitari (AdFraud), malware per rendono il processo automatico e continuo. Gli
Android, botnet, trojan bancari e adware "script kiddie" (hacker con scarse conoscenze di
programmazione) possono perfino acquistare kit
Inoltre, abbiamo utilizzato le informazioni ottenute mediante
di ransomware preconfigurati conosciuti come
i nostri honeypot e la raccolta autonoma di dati per RaaS (Ransomware as a Service), eliminando
identificare la distribuzione dei malware, senza limitarci ai così tutte le difficoltà del furto digitale. Solo nel
casi di infezione. quarto trimestre del 2016 abbiamo catalogato
quasi 400 varianti di ransomware, la maggior
Tre punti principali parte delle quali è stata creata da gruppi
1. I ransomware hanno conquistato i titoli dei giornali, criminali emergenti in cerca della propria fetta di
diventando il principale metodo di attacco contro le guadagno.
aziende.
2. I malware pubblicitari, primo fra tutti Kovter, hanno Anche se quella dei ransomware non è una
talvolta superato i rilevamenti di ransomware e tendenza nuova, negli ultimi due anni abbiamo
rappresentano una seria minaccia per consumatori e assistito all'aumento della loro distribuzione
aziende. e all'ascesa di alcune famiglie specifiche nel
3. I botnet hanno infettato e "convertito" diversi dispositivi mercato del crimine informatico.
IoT (Internet delle cose) per lanciare potenti attacchi
DDoS.
1 Malwarebytes - Report sullo stato dei malware 2017
PAYLOAD DI EXPLOIT/SPAM PAYLOAD DI EXPLOIT/SPAM
SINTESI GIU 2016 SINTESI NOV 2016
Ransomware 18%
Downloader 6% Ransomware 66%
Backdoor 2%
Banker 5% Downloader 5%
Backdoor 3%
Botnet 5% Banker 0%
Botnet 5%
AdFraud 10%
AdFraud 23%
Altro 41% Altro 15%
Figura 1. Payload giugno 2016 Figura 2. Payload novembre 2016
La distribuzione dei ransomware è aumentata del 267% tra giugno e novembre 2016. È la prima volta che una minaccia
arriva a dominare il panorama in questo modo — un evento senza precedenti.
Malwarebytes - Report sullo stato dei malware 2017 2Rilevamenti di ransomware - Top 10 Rilevamenti di ransomware per continente
1. Europa 49,26%
1. Stati Uniti 2. Nord America
32,51%
2. Germania 3. Asia 9,84%
3. Italia 4. Oceania 3,72%
4. Regno Unito 5. Sud America
3,67%
5. Francia 6. Africa 1,00%
6. Australia 7. Antartide 0,00%
7. Canada
8. Spagna
9. India Le principali famiglie di ransomware
10. Austria del 2016
Nel 2016, i principali contendenti della partita sono
stati tre. Uno di essi si è ritirato dalla gara, mentre gli
Non è una sorpresa che gli Stati Uniti siano il paese altri due continuano a competere per la supremazia.
con il maggior numero di ransomware rilevati.
Molti gruppi provenienti dall'Est Europa e dal resto
del mondo prendono di mira gli americani per via
dell'ampia accessibilità alla tecnologia, per i mezzi Le tre famiglie di ransomware più diffuse
di cui dispongono per pagare i riscatti e, si suppone, • TeslaCrypt
per le loro ideologie. • Locky
• Cerber
Un paese apparentemente assente dall'elenco
è la Russia. Questo non significa che i cittadini
russi adottino misure molto rigide sulla sicurezza
informatica. Piuttosto, indica che gli sviluppatori
di ransomware russi evitano di prendere di mira
i propri connazionali.
3 Malwarebytes - Report sullo stato dei malware 2017Il seguente grafico evidenzia alcune delle altre famiglie di ransomware particolarmente attive nel 2016.
FAMIGLIE DI RANSOMWARE - TENDENZE 2016
Figura 3. Famiglie di ransomware - Tendenze 2016
La prima parte dell'anno ha visto un picco nell'utilizzo Con la chiusura di TeslaCrypt si è creato un vuoto,
di TeslaCrypt. Tuttavia, TeslaCrypt ha "chiuso i battenti" rapidamente occupato da altre due famiglie in ascesa:
a maggio e fornito la chiave di decriptazione universale Locky e Cerber. Ci è voluta la maggior parte del terzo
a tutte le sue vittime. e del quarto trimestre 2016, ma queste famiglie sono
riuscite a raggiungere gli stessi livelli di distribuzione di
TeslaCrypt nei mesi di marzo e maggio.
I rilevamenti di ransomware variano in base
all'obiettivo, anche nelle regioni ad elevata
incidenza
• L'81% dei rilevamenti di ransomware in ambienti
aziendali è avvenuto in Nord America.
Figura 4. TeslaCrypt chiude i battenti, per gentile
• Il 51% dei rilevamenti di ransomware in ambienti
concessione di Bleeping Computer
privati è avvenuto in Europa.
I criminali che utilizzano i ransomware hanno
concentrato i propri sforzi sulle aziende, specialmente
quelle nordamericane, che hanno tutto da perdere
e dispongono delle risorse per pagare. A livello globale,
tra le sei categorie di malware monitorate ai fini del
presente documento, il 12,3% dei rilevamenti nelle
aziende ha riguardato i ransomware, rispetto all'1,8%
registrato nel settore privato.
Malwarebytes - Report sullo stato dei malware 2017 4I malware pubblicitari Non è solo l'utilizzo di Kovter ad essere cambiato nel
2016, ma anche la sua distribuzione. Se in precedenza
colpiscono soprattutto gli USA veniva diffuso soprattutto mediante exploit drive-by ed
exploit kit, quest'anno abbiamo assistito a un drastico
Sebbene i ransomware siano stati i malware dominanti
aumento della sua presenza anche nelle e-mail di
del 2016, anche i malware pubblicitari sono emersi
phishing.
con prepotenza. Infatti, in questo senso, i rilevamenti
Questo cambiamento nella distribuzione, insieme
(in particolare del malware Kovter) hanno sfidato
al fatto che la popolazione USA è stata uno degli
i ransomware alla pari durante i mesi estivi.
obiettivi principali dei distributori di Kovter, hanno reso
questo malware una delle più gravi minacce del 2016,
Rilevamenti di frodi pubblicitarie - Top 10
soprattutto per gli americani.
1. Stati Uniti 68,85%
2. Canada 3,39%
Distribuzione dei rilevamenti di Kovter per
3. Francia 3,02%
paese (Top 5)
4. Germania 2,72%
1. Stati Uniti 68,64%
5. Italia 2,26%
2. Germania 2,58%
6. Spagna 2,10%
3. Canada 1,65%
7. Regno Unito 1,60%
4. Francia 1,34%
8. Australia 0,96%
5. Italia 1,30%
9. India 0,90%
10. Polonia 0,84%
I cambiamenti nell'utilizzo e nella distribuzione di
Kovter sono importanti perché riflettono le nuove
Kovter, un esame più attento tendenze legate all'aumento dei ransomware: Kovter
Kovter rappresenta una delle famiglie di malware più e i ransomware rappresentano una fonte di guadagno
avanzate attualmente note. Comprende funzionalità diretto per i criminali informatici. Anziché vendere dump
sofisticate, come la capacità di infettare i sistemi senza di password, dati di carte di credito e account sui social
l'utilizzo di file ma tramite la creazione di una speciale media ad altri criminali, questi attacchi esigono un
chiave di registro, che ne rende difficile il rilevamento pagamento diretto dalle vittime che hanno bisogno di
da parte degli antivirus. Inoltre, Kovter utilizza dei recuperare i propri file o sfruttano le vittime per attuare
rootkit per nascondere ulteriormente la sua presenza, frodi pubblicitarie, con il massimo profitto e il minimo
identificando e disabilitando attivamente le soluzioni di sforzo.
sicurezza.
Sebbene Kovter non rappresenti una novità, essendo I botnet portano scompiglio
comparso nel 2015, finora era stato utilizzato come
downloader per altre famiglie di malware, come
sfruttando i dispositivi IoT
strumento per il furto di dati personali e come backdoor I botnet (una rete di computer privati infettati con
per l'accesso ai sistemi. software dannosi e utilizzati per inviare spam)
rappresentano uno dei meccanismi più comunemente
Nel 2016, tuttavia, è stato utilizzato prevalentemente utilizzati negli ultimi 10 anni per la distribuzione
come malware pubblicitario, ossia come strumento dei malware. I botnet vengono scelti a causa delle
capace di reindirizzare i sistemi su altri siti web e fare dimensioni ridotte, della capacità di passare inosservati
clic sulle pubblicità per aumentare il numero di visite alle e di eseguire un'innumerevole quantità di operazioni.
campagne pubblicitarie (fenomeno noto come click-
jacking) lanciate dai criminali responsabili del malware Quest'anno abbiamo scoperto una nuova strategia:
Kovter o dai loro clienti. compromettere, infettare e convertire i dispositivi IoT
5 Malwarebytes - Report sullo stato dei malware 2017(termostati o telecamere di sicurezza collegati a internet, Cambia la distribuzione, cambiano le
ecc.) facendoli diventare parte della rete. In questo strategie
senso, il botnet più famoso del 2016 è Mirai, un malware Nel 2016, uno dei maggiori cambiamenti nella
open-source che infetta i dispositivi e "prende ordini" da distribuzione dei malware è stato l'utilizzo di script
un operatore di comando e controllo. allegati alle e-mail di phishing. Questi script sono
Alla fine di settembre, Mirai è stato utilizzato per lanciare normalmente contenuti in un file ZIP e, una volta aperti
un potente attacco volto a compromettere una serie ed eseguiti, sfruttano un server remoto per scaricare
di dispositivi IoT e router domestici, infettandoli per e installare software dannosi sul sistema.
poterli controllare da un'unica fonte. Una volta riunito
l'esercito di bot, il criminale ha utilizzato un attacco DDoS
(Distributed Denial of Service) per mandare offline una
serie di importanti siti web.
Un mese dopo, Mirai è stato utilizzato per attaccare
Dyn, una colonna portante di internet, impedendo a
milioni di utenti di accedere a famosi siti tra cui Twitter, Figura 7. E-mail di phishing con file ZIP allegato
Reddit e Netflix. Una delle caratteristiche principali di
Mirai non è solo la capacità di individuare i dispositivi Un altro metodo che nel 2016 si è molto diffuso prevede
connessi a internet, ma anche quella di utilizzare un l'uso di script di macro nei documenti Microsoft Office
database interno con username e password predefiniti (.docx, .xlsx, ecc.), che vengono eseguiti all'apertura
per ottenere l'accesso ai dispositivi. Dopo aver ottenuto del documento e all'abilitazione delle macro da parte
l'accesso al dispositivo e averlo infettato, Mirai può dell'utente. Avvalendosi di strategie di ingegneria
lanciare attacchi DDoS contro qualunque obiettivo. sociale, i criminali convincono gli utenti ad abilitare
tali funzioni, che scaricano ed eseguono i malware sul
In Asia ed Europa è stato registrato un aumento delle sistema. I criminali sono inoltre riusciti a migliorare
varianti sviluppate a partire da note famiglie di botnet. questo metodo di infezione preesistente, inviando
Ad esempio, la diffusione del botnet Kelihos è aumentata e-mail di phishing con file ZIP e documenti Office protetti
del 785% a luglio e del 960% a ottobre, mentre quella di da password. Così facendo si aumenta l'impressione di
IRCBot e Qbot è cresciuta rispettivamente del 667% ad legittimità e si supera più facilmente l'analisi automatica
agosto e del 261% a novembre. delle e-mail da parte degli strumenti per il rilevamento
dei malware, compresi honeypot e sandbox.
Distribuzione dei rilevamenti di botnet per
continente
1. Asia 61,15%
2. Europa 14,97%
3. Nord America 12,49%
4. Sud America 6,56%
5. Africa 4,32%
6. Oceania 0,51%
Per la Germania, il problema dei botnet è stato piuttosto
grave. I rilevamenti di botnet nel paese sono aumentati
del 550% tra il 2015 e il 2016.
Figura 8. Documento Word dannoso, che utilizza
l'ingegneria sociale per convincere l'utente ad abilitare
le macro.
Malwarebytes - Report sullo stato dei malware 2017 6A giugno è stato registrato un notevole aumento Distribuzione dei rilevamenti di malware per
nell'utilizzo di script di macro in confronto agli exploit kit. Android per paese
Questo è dovuto al fatto che Angler, uno dei principali
exploit kit del 2015 e dell'inizio del 2016, ha chiuso i battenti. 1. Stati Uniti 12,74%
Tuttavia, l'exploit kit RIG sta rapidamente sostituendo 2. Brasile 9,95%
Angler e farà probabilmente parlare di sé nel 2017. 3. Indonesia 6,54%
4. India 5,04%
5. Spagna 4,60%
I malware per Android si 6. Filippine 4,25%
7. Francia 4,24%
fanno più... smart 8. Messico 3,87%
Il panorama delle minacce ai dispositivi mobili non 9. Regno Unito 3,59%
è cambiato granché negli ultimi anni. I creatori di 10. Italia 2,79%
malware per Android continuano a cercare di mettersi in
pari con le funzionalità dei moderni malware per desktop È interessante notare come Brasile, Indonesia, Filippine
Windows, un'impresa alquanto difficile. e Messico facciano parte dei primi 10 paesi per numero
di rilevamenti di malware per Android. L'elevato tasso
Tuttavia, una tendenza rilevante del 2016 di rilevamenti di malware per Android nei paesi in via
è rappresentata dall'aumento nell'utilizzo della di sviluppo può essere attribuito al vasto utilizzo di app
randomizzazione, sfruttata dai creatori di malware per store di terze parti, relativamente poco sicuri.
evitarne il rilevamento da parte dei sistemi di sicurezza
per dispositivi mobili. Questo ha provocato l'aumento del
numero di rilevamenti di malware per Android. La differenziazione degli
attacchi malware in base
a paese e geografia
Le informazioni da noi raccolte denotano la presenza di
differenze regionali nei metodi di attacco e nella scelta
dei malware. Non è stata una sorpresa scoprire che
gli attacchi negli USA e in Europa sono estremamente
differenziati. Gli Stati Uniti hanno registrato il maggior
numero di rilevamenti di malware e sono in testa a ogni
categoria, eccetto quella dei trojan bancari, dove "vince"
la Turchia.
Tra le categorie esaminate nel presente report, l'Europa
è il continente più oppresso dai malware e ha registrato
il 20% di infezioni in più rispetto al Nord America e
17 volte più dell'Oceania.
• L'Europa supera ogni altro continente per quanto
riguarda i ransomware: il 49% dei rilevamenti
è avvenuto da dispositivi con base in Europa.
• L'Europa supera ogni altro continente per quanto
riguarda i malware per Android: il 31% dei
rilevamenti è avvenuto da dispositivi con base in
Figura 9. Ransomware su Android Europa.
7 Malwarebytes - Report sullo stato dei malware 2017• L'Europa supera ogni altro continente per quanto Il Regno Unito, dopo la Francia, è stato il secondo paese
riguarda gli adware: il 37% dei rilevamenti europeo più colpito dai malware di ogni categoria. Nei
è avvenuto da dispositivi con base in Europa. sei mesi della nostra analisi, il Regno Unito ha registrato
almeno il doppio degli incidenti avvenuti in Russia.
I malware europei puntano su Francia, La Germania è la seconda nazione più colpita dai
Regno Unito e Spagna ransomware, dopo gli USA, a supporto della teoria che
I paesi europei più colpiti dai malware sono Francia, i creatori di malware utilizzano la Germania come terreno
Regno Unito e Spagna — anche se la Città del Vaticano di prova prima di estendere la distribuzione dei propri
ha sperimentato l'aumento più notevole, con una prodotti. Intanto, la Russia è sproporzionatamente poco
crescita del 1.200% in tutte le varianti di malware. colpita dai ransomware, pur rimanendo uno dei principali
obiettivi dei trojan bancari.
Previsioni per il 2017
Ransomware Distribuzione dei malware
Sebbene sia probabile che i ransomware più diffusi Nel corso degli anni, abbiamo osservato una sola
guadagneranno terreno entro la fine dell'anno, realtà sempre presente nello sviluppo dei malware:
difficilmente assisteremo all'introduzione sul mercato la distribuzione tramite e-mail. Gli attacchi di phishing,
di nuove famiglie di ransomware avanzati, dotati della compresi gli allegati dannosi, hanno fatto un grande
stessa raffinatezza e capacità di diffusione di Cerber ritorno nella seconda metà dell'anno. Tuttavia,
e Locky. Molti di essi verranno sviluppati rapidamente, prevediamo che nel prossimo futuro gli exploit kit
al solo scopo di sfruttare la popolarità dei ransomware (specialmente RIG) torneranno a essere la scelta
tra i criminali informatici. standard per la distribuzione dei malware.
Si tratta di una continuazione della tendenza iniziata nel Questo non significa che assisteremo alla scomparsa
2016. Quasi il 60% delle varianti di ransomware rilevate degli attacchi di phishing. Grazie alle innovazioni nel
negli ultimi sei mesi del 2016 avevano meno di un anno download e nell'installazione di malware provenienti
di età, il che lascia intendere come la maggior parte dei dalle e-mail di phishing e all'utilizzo di script di macro
ransomware attualmente in uso venga sviluppata da nei documenti Microsoft Office, questo metodo di
nuovi arrivati nel settore. attacco manterrà livelli costanti per il resto dell'anno,
probabilmente affinandosi sempre di più.
È possibile che un sempre maggior numero di varianti
provi a modificare il MBR (Master Boot Record) dei IoT (Internet delle cose)
computer infetti, parte fondamentale della capacità di L'aumento degli attacchi informatici che sfruttano
avviare il sistema operativo di un dispositivo. Una volta i dispositivi IoT e le lacune di sicurezza in quel settore
modificato, il sistema visualizza una schermata bloccata hanno consentito a botnet come Mirai di assaltare una
configurata dal malware, richiedendo un pagamento colonna portante di internet. A prescindere da come
per decriptare i file e ripristinare l'accesso al sistema il settore IoT deciderà di reagire — correre ai ripari
operativo principale. L'aggiunta di questa funzionalità o ignorare il problema — i malware come Mirai hanno
riduce le possibilità della vittima a due: pagare il riscatto aperto le porte a nuove strategie di attacco IoT nel 2017.
o assistere alla totale cancellazione del sistema.
Malwarebytes - Report sullo stato dei malware 2017 8INFORMAZIONI SU
MALWAREBYTES
Malwarebytes è l'azienda per la sicurezza informatica di prossima
generazione a cui si affidano milioni di persone in tutto il mondo.
Malwarebytes protegge in maniera proattiva i privati e le aziende da
minacce pericolose quali malware, ransomware ed exploit che sfuggono al
rilevamento degli antivirus convenzionali. Il principale prodotto dell'azienda
combina la rilevazione euristica e avanzata delle minacce con le tecnologie
senza firma per rilevare e arrestare un attacco informatico prima che
possa danneggiare i sistemi. Oltre 10.000 aziende in tutto il mondo
utilizzano, si affidano e consigliano Malwarebytes. Fondata nel 2008, la
sede principale dell'azienda è in California, con uffici in Europa e Asia
e conta su un team globale di ricercatori ed esperti della sicurezza.
Santa Clara, CA
malwarebytes.com
corporate-sales@malwarebytes.com
1.800.520.2796Puoi anche leggere
