La comparsa del fenomeno ’Crimeware-as-a-Service’ segna una svolta nella tipologia delle cyberminacce: lo rivela l’ultimo rapporto di CA Technologies sulla sicurezza in Internet. L’indagine annuale segnala la presenza di ‘scareware’, falsi antivirus e ‘Black Hat Search Engine Optimization’
Quasi due miliardi di persone utilizzano Internet per lavorare, comunicare con amici, cercare informazioni o semplicemente come fonte di svago, senza rendersi conto dei pericoli a cui sono esposti.
CA Technologies ha pubblicato il rapporto State of the Internet 2010: A Report on the Ever-Changing Threat Landscape in cui offre una panoramica dettagliata delle principali minacce in rete nel primo semestre del 2010, fra cui l’emergere del fenomeno “Crimeware-as-a-Service”. Il report analizza una vasta gamma di infezioni segnalate in tutto il mondo da clienti e partner della divisione ’Internet Security Business Unit’ (ISBU) di CA Technologies.
Nel nuovo rapporto realizzato dalla divisione Internet Security Business Unit (ISBU) di CA Technologies, i ricercatori hanno identificato oltre 400 nuovi generi di minacce, tra i quali emergono ai primi posti rogue security software, downloader e backdoor. La categoria più diffusa è risultata essere quella dei Trojan, con il 73% del totale di infezioni da virus informatici segnalate a livello mondiale. Il dato di maggiore rilievo è che il 96% dei Trojan identificati rientrano nell’emergente fenomeno della cybercriminalità organizzata, nota anche con il nome di “Crimeware-as-a-Service”.
“Il crimeware non è nulla di nuovo, la vera novità è rappresentata dal crescente diffondersi del fenomeno come modello di servizio”, ha dichiarato Don DeBolt, Director of Threat Research per la ISBU di CA Technologies. “Questo nuovo metodo di diffusione del malware lo rende più arduo da identificare e da neutralizzare. Per fortuna, gli esperti della sicurezza e gli sviluppatori riescono quasi sempre a battere sul tempo i cybercriminali”.
Le minacce e le tendenze di maggior rilievo segnalate finora nel 2010 comprendono:
• Rogue o Fake Security Software – Noto anche come ‘scareware’ o ‘fake AV’, questo genere di malware ha mantenuto una posizione di predominio anche nella prima metà del 2010. Google è diventato il bersaglio preferito per la distribuzione del falso software di security tramite ‘Blackhat SEO’ che manipola i risultati delle ricerche in modo da favorire i link verso siti web infetti o domìni affetti da typo-squatting. Dopo l’installazione, il sedicente software di sicurezza visualizza segnalazioni fasulle d’allarme, facendo pagare gli utenti per l’acquisto del falso prodotto/servizio. Un’interessante tendenza rilevata negli ultimi tempi è il dilagare della clonazione di rogue security software, dove il programma fraudolento si serve di un template che conia il nome del prodotto in base alla versione del sistema operativo Windows infettato, contribuendo ad accreditarne l’apparente legittimità.
• Crimeware – Il 96% dei Trojan rilevati nel primo semestre 2010 agisce nell’ambito di un meccanismo più vasto del mercato nero che la divisione ISBU di CA Technologies ha battezzato “Crimeware-as-a-Service”. Il crimeware non fa altro che automatizzare l’illecito informatico basato sulla raccolta e sull’acquisizione di informazioni di valore tramite infezioni di malware su larga scala che fanno confluire copiosi ricavi nelle tasche dei truffatori. Si presenta sotto forma di servizio Internet ‘on-demand’ che privilegia il cloud computing come nuovo modello di distribuzione. Questo particolare tipo di crimeware è stato congegnato principalmente per trafugare dati e identità al fine di accedere ai servizi bancari online, alla transazioni di e-commerce e ad altri servizi Internet degli utenti.
• Distribuzione via cloud – Lo studio ha rivelato che i truffatori si affidano sempre più ad applicazioni e servizi web basati su cloud per la distribuzione di programmi criminosi. Nello specifico, i cybercriminali sfruttano applicazioni web e Internet (come Google Apps), piattaforme di social media (come Facebook, YouTube, Flickr e WordPress), suite di produttività online (Apple iWorks, Google Docs e Microsoft Office Live) e mobile web services in tempo reale (come Twitter, Google Maps e RSS Readers). Ad esempio, alcune delle recenti campagne di spam a scopo di lucro hanno assunto le sembianze di email dirette a utenti Twitter e YouTube, inducendo i malcapitati a cliccare su link potenzialmente dannosi o a visitare siti web infetti. L’ecosistema di Facebook ha fornito un terreno fecondo per varie attività offensive fra cui cyberbullying, stalking, furto di identità, phishing, truffe, ‘bufale’ e fastidiosi raggiri di marketing.
• Social Media – I Social Media sono un bersaglio molto colpito per la diffusione del crimeware. CA Technologies ha recentemente rilevato attività virali e applicazioni offensive nei servizi più diffusi quali Twitter e Facebook, derivanti da una campagna di marketing a tappeto nel mercato clandestino. La divisione ISBU ha registrato la crescita esponenziale di un mercato nero per lo sviluppo e la vendita di tool come i bot di social networking. Vengono promossi nuovi servizi di social networking che comprendono account checker, wall poster, wall liker, wall commenter, fan inviter e friend adder. Queste nuove funzionalità, facenti parte della categoria ‘crimeware-as-a-service’, sono emerse con gli ultimi attacchi virali e applicazioni offensive contro Facebook – anch’esse oggetto di numerose segnalazioni.
• SPIM (Spamming Through Instant Messaging) – Un nuovo vettore contro gli utenti Internet è lo SPIM, una forma di spamming veicolata dall’Instant Messaging. CA Technologies ha rilevato una proliferazione di messaggi di chat su Skype non direttamente riferibili a un interlocutore.
• Trend dello spamming: Per tenere traccia dell’andamento delle mail indesiderate, la divisione ISBU ha monitorato l’impiego di indirizzi IP unici nel tentativo di individuare la prevalente origine geografica dei bot di spamming. In base alle osservazioni raccolte, al primo posto della classifica della provenienza geografica delle mail indesiderate si trova l’Europa con il 31%, seguita da Giappone (28%), India (21%) e Stati Uniti (18%)
“In Europa spiccano ai primi posti la Germania (20%), il Regno Unito (19%) e l’Italia (16%) per numero di PC compromessi,” ha affermato Rossano Ferraris, Senior Research Engineer, Functional Lead Internet Security Intelligence Team, CA ISBU.
• Minacce contro Mac OS X – Nel primo semestre 2010 si è confermato l’interesse delle minacce alla sicurezza per il mondo Mac con attacchi quali il reindirizzamento del traffico, il ransomware ‘blocker’ contro Mac OS X e lo spyware OpinionSpy.
I ricercatori di CA Technologies hanno stilato una serie di raccomandazioni per una navigazione sicura su Internet:
1. Non aprire le mail provenienti da mittenti sconosciuti: effettuare tutti i controlli necessari prima di cliccare su un URL o aprire un allegato.
2. Adottare una password articolata ma facilmente memorizzabile.
3. Nell’eseguire disposizioni bancarie o transazioni finanziarie online, controllare che la connessione del browser sia sicura.
4. Criptare le comunicazioni online e i dati confidenziali.
5. Eseguire il backup di tutti i dati importanti. Conservare una copia di tutti i file in un luogo separato.
6. Utilizzare con cautela con l’Instant Messaging, evitando di chattare con chi non si conosce.
7. Proteggere la propria identità durante le attività online nei siti di social networking. E’ consigliabile astenersi dal cliccare su link o profili sospetti. E’ inoltre opportuno valutare con attenzione se installare programmi supplementari come applicazioni di terze parti: potrebbero causare l’infezione di un malware o essere utilizzati da malintenzionati per il furto dell’identità.
8. In caso di utilizzo di Adobe PDF Reader, impedire al browser installato di aprire automaticamente i documenti PDF.
9. Controllare periodicamente la disponibilità di eventuali aggiornamenti di security da installare.
Il rapporto State of Internet Security 2010 ha lo scopo di informare aziende e privati sulle minacce più recenti e sui pericoli presenti in Internet, prevedere eventuali trend e fornire consigli pratici su come proteggersi. L’analisi fornita si basa sulle segnalazioni inviate tra gennaio e giugno 2010 da clienti e utenti privati al team di esperti del Global Security Advisor di CA Technologies, oltre a informazioni di pubblico dominio. I
Il Global Security Advisor Team di CA Technologies fornisce da oltre 16 anni consulenza sulla sicurezza in tutto il mondo. Il suo staff, composto da ricercatori esperti in sicurezza e professionisti certificati, opera 24 ore al giorno.
Un esempio concreto dell’impegno del team è l’invio periodico gratuito, agli utenti, di Security Alert, RSS feed, PC scan e blog, aggiornati regolarmente dai ricercatori CA di tutto il mondo. Nel marzo 2008, CA Technologies e HCL America hanno annunciato un accordo di partnership, in base al quale HCL ha il compito di prestare opera di ricerca, supporto e sviluppo per l’intero portfolio delle soluzioni CA Technologies per la protezione di privati, PMI e grandi aziende contro le minacce alla security.
