Symantec ha annunciato la pubblicazione dell’edizione di settembre e dell’ultimo trimestre 2009 di MessageLabs Intelligence Report. L’analisi evidenzia come, ad oggi, le reti bot siano responsabili per l’invio dell’87.9% dello spam totale.
A partire dalla sua nascita a fine maggio, la nuova rete bot Maazben ha registrato un rapido incremento della propria attività, specialmente grazie all’invio di spam relativo a casinò, mentre Rustock, una delle più grandi e consolidate reti bot, ha visto raddoppiare le proprie dimensioni a partire da giugno e ha predisposto uno schema prevedibile di distribuzione dello spam.
Secondo MessageLabs Intelligence, Maazben è cresciuta nell’ultimo mese passando dallo 0.5% all’1.4% dello spam presente in rete rispetto al mese precedente.
Rustock rimane, invece, la rete più grande in termini di numero di bot, pur mantenendo un output per bot relativamente basso. Allo stesso tempo si è stabilizzata su uno schema di spam prevedibile tra l’1.3 e l’1.9 milioni di bot che comincia ogni giorno alle ore 03:00 ET, raggiunge il picco alle 07:00 ET e termina alle 18:00 ET.
Dalle 18:00 ET in poi Rustock resta inattiva per otto ore prima di cominciare di nuovo. Rustock è l’unica rete bot a seguire un ciclo di spam regolare ed è responsabile per il 10% dello spam totale generato in rete. Per questo, il suo schema di azione ha conseguenze significative sul livello globale di attacchi spam giornalieri.
“Nell’ultimo anno abbiamo assistito alla chiusura di una notevole quantità di Internet Service Provider perché ospitavano l’attività di reti bot che hanno provocato un ridimensionamento delle stesse” ha dichiarato Paul Wood, Senior Analyst di MessageLabs Intelligence, Symantec.
“Questo ha minato il potere delle reti bot principali, come Cutwail, e ha spianato la strada a nuove reti come Maazben. Non sarà, tuttavia, sempre così, dal momento che la tecnologia delle reti bot si è evoluta a partire dalla fine del 2008 e che oggi la chiusura degli ISP ha un impatto minore sull’attività totale, visto che ora perdura solo per poche ore invece che settimane o mesi come accadeva prima”.
A seguito della chiusura di questi Internet Service Provider negli ultimi 3 mesi, altre due reti bot anno avuto l’opportunità di competere con Cutwail, la rete bot più attiva.
Grum, grande la metà di Rustock ma responsabile per il 23.2% dello spam, e Bobax, a cui si addebitano il 15.7% degli attacchi, sono entrambe state rilevate come le reti bot più attive per la distribuzione di spam. Prima, invece, il 45.8% dello spam totale proveniva dalla rete Cutwail.
A settembre l’analisi di MessageLabs Intelligence ha rilevato che un calo nel testing dei domini, ossia nella pratica di cancellazione entro i cinque giorni del periodo di grazia per la registrazione di un dominio, così come riportato da ICANN (Internet Corporation for Assigned Names and Numbers) a giugno 2009, potrebbe essere responsabile per un cambiamento registrato nella natura maligna dei siti web: secondo l’analisi, i domini maligni sono probabilmente vecchi siti web compromessi, invece che domini di nuova registrazione dalla vita di breve durata com’erano circa un anno fa.
L’analisi dei siti web sviluppati con il solo intento di distribuire malware rivela che i domini ‘giovani’, quelli registrati fino a tre mesi prima di essere bloccati per aver ospitato contenuti maligni, sono poco numerosi ma la maggior parte di loro è stata bloccata perché maligna e fondata con l’intento di distribuire malware. È stato rilevato che il 90% dei domini ‘giovani’ è stato chiuso entro 38 giorni dalla registrazione.
“Date le scarse opportunità di sopravvivenza per i domini giovani, non sorprende il fatto che chi distribuisce spam registra domini molto più velocemente” ha dichiarato Wood, “e questo suggerisce che gli hacker stanno lavorando sodo per creare nuovi domini e compromettere nuovi siti web.
In genere il malware sviluppato da questi siti non cambia rapidamente e malware di nuova creazione compare a una velocità pari a un terzo di quella con cui vediamo emergere nuovi domini maligni”.
Inoltre, un’analisi di domini più vecchi, ossia registrati da più di tre mesi e si sono compromessi attraverso un’attività di malware, indica che la maggioranza di questi siti web, il 90%, è stata chiusa dopo 138 giorni, un lasso di tempo molto più lungo rispetto a quello relativo alle controparti più giovani. MessageLabs Intelligence ha rilevato che, in totale, l’80% dei domini attualmente bloccati si riferisce a siti web compromessi.
“Per gli hacker è meglio compromettere un sito web legittimo invece che creare un dominio nuovo specializzato nella creazione di malware” ha dichiarato Wood.
“Fondamentalmente l’utilizzo di siti web legittimi per diffondere malware favorisce il lavoro dei cyber criminali ed estende la longevità del malware stesso. In più, approfittando del periodo di grazia, la norma che permette agli spammer di registrare un dominio a costo zero e cancellarlo entro 5 giorni, provare i domini e testarne i risultati è diventato una pratica comune, che permette ai cyber criminali di battere il sistema senza pagare per la distribuzione di malware.
Altri risultati importanti:
Spam: a settembre la percentuale globale di spam nel traffico email da fonti pericolose, nuove o precedentemente sconosciute, è stato pari all’86.4% (1 email su 1,2), registrando una diminuzione dello 2.1% rispetto ad agosto. I livelli di spam nel terzo trimestre hanno raggiunto una media dell’88.1%, a fronte dell’81.0% registrato nel terzo trimestre dell’anno precedente.
Virus: la proporzione globale di virus diffusi via posta elettronica nel traffico email da fonti pericolose nuove o precedentemente sconosciute è stato di 1 email su 399.2 (0,25%), dato che riflette una diminuzione dello 0.09% rispetto ad agosto. A settembre il 39.8% del malware veicolato tramite email conteneva link a siti pericolosi, con un incremento del 22% rispetto al mese precedente. Il terzo trimestre del 2009 ha registrato un livello di malware pari a un’email su 330.3, contro un’attività di un’email ogni 122.5 nel terzo trimestre del 2008.
Phishing: a settembre l’attività di phishing è stata pari a un’email ogni 437.1 (0.23%), con un incremento dello 0.06% rispetto al mese precedente. Valutato come parte delle minacce veicolate tramite email, il numero di email di phishing è diminuito dell’11.1, andando a costituire il 75.8% di tutte le minacce di malware veicolate tramite email registrate in settembre. L’attività di phishing nel terzo trimestre 2009 ha raggiunto un livello di un’email ogni 368.6, a fronte di un’email ogni 330.5 registrato nello stesso periodo del 2008.
Sicurezza web: L’analisi della sicurezza web indica che il 12.3% del malware intercettato in rete è stato creato nel mse di settembre con un aumento dello 0.4% rispetto al mese precedente. MessageLabs Intelligence ha anche identificato una media di 2.337 nuovi siti al giorno ospitanti malware e altri programmi pericolosi come spyware e adware, con una diminuzione dello 33.4% rispetto al mese precedente.
Tendenze per zona geografica:
• La Danimarca è stato il paese più colpito da attacchi di spam a settembre, con livelli di spam che hanno raggiunto il 95.6% delle email totali.
• I livelli di spam negli Stati Uniti, in Canada e in Gran Bretagna hanno raggiunto rispettivamente il 91.8%, il 91.2% e il 91.7%.
• Il maggiore incremento nei livelli di spam è stato registrato in Svezia, dove sono aumentati del 7.2% per raggiungere un livello di 89.6%. In Olanda, Hong Kong e Giappone i livelli di spam hanno raggiunto rispettivamente il 91.9%, il 93.4% e l’89.4%, mentre in Austria è rimasto stabile sul 90.7%.
• La Svizzera ha visto il maggiore aumento di attività di virus, pari allo 0.08%, posizionandosi in testa alla classifica virus di settembre.
• Negli Stati Uniti e in Canada si registrano attacchi di virus pari rispettivamente a un’email ogni 552.5 e 393.8. In Germania, Olanda e Australia, invece, questi si attestano rispettivamente su un’email ogni 358.5, 666.2 e 626.5 Australia, mentre a Hong Kong e in Giappone si sono registrati attacchi pari a un’email su 328.7 e una su 552.0.
• La Svizzera è risultata essere il paese più attivo per quanto riguarda gli attacchi di phishing, con un’email infetta ogni 246.4, a cui segue la Gran Bretagna con un’email di spam ogni 252.3.
Trend per settore:
• A settembre, il settore più colpito dallo spam è stato quello ingegneristico, con una percentuale del 94.7%.
• I livelli del fenomeno hanno raggiunto, invece, il 93.8% nel settore della scuola, il 92% nel settore chimico e farmaceutico, il 92.2% in quello retail, il 90.6% nella pubblica amministrazione e il 90.6% in quello finanziario.
• L’attività dei virus mirata al settore della scuola ha registrato una diminuzione dello 0.36%, pur restando in testa alla classifica con un’email infetta ogni 209.7.
• I livelli di virus sono stati pari a 1 su 288.2 nel settore chimico e farmaceutico, 1 su 346.4 in quello dei servizi IT, 1 su 682 nel retail, 1 su 262.2 nella pubblica amministrazione e 1 su 579.2 nel finanziario.
L’edizione integrale del MessageLabs Intelligence Report di settembre 2009 offre un’analisi ancora più dettagliata delle tendenze e dei valori sopra riportati unitamente a ulteriori informazioni sulle tendenze per settore e per zona geografica.
Lo studio completo è consultabile all’indirizzo http://www.messagelabs.com/intelligence.aspx.
Symantec MessageLabs Intelligence è una fonte di informazioni e di analisi di problematiche, tendenze e statistiche inerenti la sicurezza della messaggistica. MessageLabs Intelligence esamina in tempo reale i dati provenienti dai propri datacenter distribuiti in tutto il mondo preposti alla scansione di miliardi di messaggi ogni giorno.
Scarica il report integrale
