lunedì 14 novembre 2011

Kaspersky Lab, rapporto malware e attacchi in Rete ad ottobre 2011


Come consuetudine Kasperky Lab ha pubbblicato il suo rapporto mensile dei malware in circolazione. Senza ombra di dubbio in ottobre la notizia che ha suscitato più clamore nell'industria dei prodotti antivirus è stata l'individuazione del programma trojan Duqu. L'analisi condotta dagli esperti di Crysys e Symantec ha messo in evidenza una serie di corrispondenze tra il codice del trojan e quello del worm Stuxnet, uno degli esempi più eclatanti di "cyber-arma". A differenza di Stuxnet, che conteneva un codice per modificare i parametri di funzionamento di motori ad alta frequenza e che probabilmente è stato creato per mettere fuori uso le centrali di uno stabilimento iraniano di arricchimento dell'uranio, Duqu non è dotato di un funzionale che gli consente di operare con i sistemi industriali. Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:
  • sono stati respinti 161.003.697 attacchi di rete;
  • sono stati bloccati 72.207.273 tentativi di infezione via Internet;
  • sono stati individuati e neutralizzati 205.822.404 programmi malware (tentativi di infezione locale);
  • sono state registrate 80.900.079 attivazioni di analisi euristiche.

Attacchi a singoli utenti

In ottobre in Germania ha suscitato grande scalpore lo scandalo relativo all'individuazione di un backdoor utilizzato dalla polizia tedesca nel corso delle indagini per intercettare il traffico vocale e i messaggi inviati dai computer di persone sospette. L'indagine condotta dall'organizzazione di hacker tedesca Chaos Computer Club (CCC), alla quale hanno partecipato anche gli esperti di Kaspersky Lab in Germania, ha dimostrato che il trojan non ha per obiettivo la sola intercettazione dei messaggi inviati su Skype, ma che è indirizzato anche a tutti i browser più diffusi, a diverse applicazioni di messaggistica immediata e ai programmi di telefonia IP (VoIP), quali ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster e Yahoo! Messenger. Inoltre è stato stabilito che il backdoor è in grado di funzionare con le versioni a 64 bit di Windows.

Lo scandalo è nato non solo dal fatto che già cinque Stati federali tedeschi hanno confessato di utilizzare questo trojan, ma anche perché le leggi federali del Paese permettono alle autorità di tutela giuridica solo di intercettare il traffico Skype delle persone sospette. Inoltre, come abbiamo appurato, il http://Backdoor.Win32.R2D2 (noto anche con il nome di "0zapftis") è in grado di "spiare" uno spettro molto più ampio di programmi. La storia di R2D2 ha sollevato ancora una volta la questione dell'esistenza di programmi trojan cosiddetti "governativi" e interrogativi sulla legittimità del loro utilizzo. Vale la pena osservare che la nostra azienda, come la maggior parte dei vendor di prodotti antivirus, assume in merito a questa questione una posizione rigida: individuiamo e continueremo a individuare tutti i programmi nocivi, a prescindere da chi li ha creati e a quale scopo.




Minacce per i dispositivi mobili: Android domina la classifica

In ottobre è accaduto un evento importante per il mondo delle minacce mobile. Secondo i dati statistici di Kaspersky Lab il numero approssimativo di malware per Android ha superato quello dei malware per la piattaforma J2ME (secondo questo indice Android aveva già superato Symbian verso la metà dell'estate). Ricordiamo che gli ultimi due anni sono stati dominati dal programma nocivo per Java 2 Micro Edition (J2ME). Tuttavia, una crescita tanto rapida e significativa dei malware per Android è indice del fatto che nel prossimo futuro l'attenzione sarà rivolta principalmente a questo sistema operativo. Alla fine di ottobre Kaspersky ha individuato 1.916 varianti di programmi nocivi per Android, appartenenti a 92 diverse famiglie. Per quanto riguarda la piattaforma J2ME, sono state individuate 1.610 varianti appartenenti a 60 famiglie.

Minacce per MacOS: individuato un nuovo funzionale

Nella metà di ottobre è stata individuata una nuova versione del trojan per il sistema operativo Mac OS X Flashfake, il Trojan-Downloader.OSX.Flashfake.d. La funzione principale del malware, vale a dire il download di file, è rimasta invariata. Due anni fa la Apple aveva aggiunto al sistema operativo Mac OS X il sistema di protezione contro i programmi nocivi Xprotect. In sostanza si tratta di un semplice scanner di firme digitali che dal 31 maggio di quest'anno, dopo quanto è accaduto con MacDefender, verifica quotidianamente la presenza di eventuali aggiornamenti per la banca dati relativa ai programmi dannosi. Il Trojan-Downloader.OSX.Flashfake.d è in grado di mettere fuori uso la protezione di Xprotect, danneggiando i file di archivio principali. In tal modo il file dannoso, una volta installatosi sul computer, non solo si autoprotegge da eventuali tentativi di eliminazione, ma rende vulnerabile il sistema mettendolo alla mercé di altri programmi dannosi che la protezione integrata dovrebbe individuare.

Classifiche di ottobre



Attacchi alla rete di società e a grandi organizzazioni

Il Giappone figura ancora una volta nel bollettino di questo mese nel corso del quale è stato individuato un attacco mirato sferrato ai membri della camera bassa del Parlamento giapponese e a una serie di missioni diplomatiche di questo Paese in tutto il mondo. In Parlamento sono stati infettati 32 computer e gli hacker hanno avuto la possibilità (che forse hanno colto) di accedere alla corrispondenza elettronica dei parlamentari. Sono stati inoltre scoperti virus nei computer delle ambasciate giapponesi in Francia, in Olanda, a Miami, negli Stati Uniti, in Canada, in Cina e nella Corea del Sud. I programmi dannosi comunicavano con due server situati in Cina che i cybercriminali avevano già utilizzato in precedenza per gli attacchi rivolti alla Google.

In ottobre negli Stati Uniti , anch'essi sempre presenti quando si parla di cybercriminalità, nel corso di alcune sessioni straordinarie del Congresso è stata fatta luce sui dettagli di una serie di attacchi tra cui anche quelli legati alla violazione dei sistemi della RSA avvenuta nel mese di marzo. È stato comunicato che probabilmente altre centinaia di diverse società situate in tutto il mondo sono state vittima di casi simili e di attacchi da parte dello stesso gruppo di hacker. Sono stati inoltre resi noti fatti relativi agli attacchi rivolti a due satelliti negli anni 2007-2008. Gli hacker, che restano ancora nell'anonimato, si sono ripetutamente intromessi nel lavoro di ricerca scientifica dei satelliti Landsat-7 e Terra AM-1. Ufficialmente non è stato comunicato se gli hacker siano riusciti a sottrarre delle informazioni o se siano riusciti a compromettere il lavoro dei satelliti. Rapporto completo http://www.securelist.com/en/analysis/204792200/Monthly_Malware_Statistics_October_2011

Nessun commento:

Posta un commento