lunedì 27 maggio 2013

Minacce IT, l'evoluzione nel Q1 2013: nuovi incidenti e vecchi sospetti


Nell’ultimo report, gli esperti di Kaspersky Lab hanno analizzato lo sviluppo delle minacce IT nel primo trimestre del 2013. I primi tre mesi dell'anno sono stati caratterizzati da vari incidenti, legati principalmente a spionaggio e armi informatiche. All'inizio dell'anno Kaspersky Lab ha pubblicato un report che analizzava una serie di operazioni globali di spionaggio informatico, Ottobre Rosso. Questi attacchi mirati colpivano agenzie governative, organizzazioni diplomatiche e aziende in tutto il mondo. 

Oltre a colpire le workstation, Ottobre Rosso era anche in grado di sottrarre dati dai dispositivi mobile, dalle apparecchiature di rete, dai file archiviati nei drive USB, dagli archivi di posta da Outlook e dai server remoti POP/IMAP ed estrarre i file dal server locale FTP in Internet. A febbraio venne individuato un nuovo programma nocivo, nominato MiniDuke, che è riuscito a penetrare nei sistemi grazie alla vulnerabilità 0-day presente in Adobe Reader (CVE-2013-0640). 

Kaspersky Lab, insieme alla società ungherese CrySys Lab, ha condotto un’indagine sulla tipologia di incidenti che coinvolgevano questo malware. Le vittime colpite da MiniDuke erano agenzie governative presenti in Ucraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda, un’organizzazione di ricerca e un istituto di ricerca in Ungheria, due centri di ricerca scientifica e una struttura medica negli Stati Uniti. In totale, ha rilevato 59 vittime in 23 paesi. A febbraio è stato anche pubblicato da Mediant un report su una serie di attacchi lanciati da un gruppo di hacker cinesi denominati APT1

Mediant ha dichiarato che l’autore con ogni probabilità era una divisione dell’esercito cinese. Questa non è la prima volta che Pechino viene accusata di complicità in attacchi informatici contro agenzie governative e organizzazioni di altri paesi. Alla fine di febbraio, Symantec ha pubblicato uno studio su una “vecchia” versione di Stuxnet identificata recentemente, Stuxnet 0.5, che si è rivelata essere la più antica versione del worm che fu attivo tra il 2007 e il 2009. Gli esperti hanno dichiarato che sono ancora in circolazione le versioni precedenti del worm, ma che questa rappresenta la prima prova concreta.  


“Nel primo trimestre del 2013 si sono verificati un gran numero di incidenti legati allo spionaggio informatico e alle armi informatiche. Gli incidenti che richiedono mesi di indagini sono rari nel settore antivirus. Ancora più rari sono gli eventi che mantengono una certa gravità anche tre anni dopo essersi manifestati, come ad esempio Stuxnet”, ha dichiarato Dennis Maslennikov, Senior Malware Analyst di Kaspersky Lab.

“Anche se questo worm è stato studiato da numerosi produttori di antivirus, sono ancora presenti numerosi moduli che non sono stati studiati nel dettaglio. Lo studio relativo alla versione 0.5 di Stuxnet ha fornito molte informazioni sui programmi nocivi in generale. In futuro, è probabile che verranno raccolte ancora più informazioni. Lo stesso vale per le armi informatiche individuate dopo Stuxnet, così come il malware impiegato per lo spionaggio informatico”.

Nel primo trimestre del 2013  si sono verificati anche attacchi mirati contro tibetani e attivisti uiguri. Gli aggressori hanno utilizzato ogni strumento a loro disposizione per raggiungere i propri obiettivi, tra cui anche gli utenti Mac OS X, Windows e Android. Dal 2011 abbiamo assistito ad attacchi hacking di massa contro le aziende e alcune importanti perdite di dati per gli utenti. Per i criminali informatici le grandi aziende sono sempre un obiettivo di grande interesse, perché hanno a disposizione una grande quantità di dati riservati, comprese le informazioni degli utenti.

Nel primo trimestre del 2013 le vittime più colpite sono stati gli utenti di Apple, Facebook, Twitter, Evernote. Il primo trimestre del 2013 è stato anche caratterizzato da numerose minacce mobile. Gennaio è stato un mese abbastanza tranquillo per gli autori di virus mobile, ma nei mesi successivi Kaspersky Lab ha rilevato più di 20.000 nuove versioni di malware mobile, il che equivale a circa la metà di tutti i campioni di malware rilevati durante il 2012. Ci sono stati anche dei cambiamenti nella geografia delle minacce.


Questa volta, la Russia (19%, con -6 punti percentuali) e gli Stati Uniti (25%, con +3 punti percentuali) ancora una volta si sono posizionati ai nei primi posti in termini di servizi di hosting nocivi. Gli Stati Uniti si sono aggiudicati la prima posizione, mentre le percentuali degli altri paesi sono rimaste più o meno invariate rispetto al quarto trimestre del 2012. La valutazione delle vulnerabilità più diffuse non ha subito grandi variazioni.

Le vulnerabilità di Java sono ancora le più diffuse, rilevate sul 45,26% di tutti i computer. In media, gli esperti di Kaspersky hanno contato otto diverse violazioni su ogni macchina vulnerabile. E' stata determinata da Kaspersky Lab la ripartizione per singoli paesi delle quote percentuali di utenti del Kaspersky Security Network sui computer dei quali, nel corso del primo trimestre del 2013, sono stati bloccati tentativi di infezione informatica di natura «locale».

Le cifre ricavate dalle elaborazioni statistiche eseguite dagli esperti di Kaspersky Lab riflettono pertanto i valori medi relativi al rischio di contaminazione «locale» esistente sui computer degli utenti nei vari paesi del globo. La graduatoria stilata si riferisce esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni anti-virus di Kaspersky Lab.

In media, nel 31,4% del totale complessivo dei computer facenti parte del Kaspersky Security Network (KSN) - in pratica in un computer su tre - è stato individuato perlomeno una volta un file dannoso, residente nel disco rigido o in supporti rimovibili collegati al computer; tale valore ha fatto registrare una diminuzione dello 0,8% rispetto all’analogo indice riscontrato nel trimestre precedente. Per leggere il report completo sull’evoluzione delle minacce nel primo trimestre 2013 visitare il sito securelist.com

Nessun commento:

Posta un commento