I computer colpiti da minacce informatiche – i cosiddetti computer zombie comandati a distanza dai cyber criminali – rimangono, in molti casi, infetti per oltre 2 anni. E’ il dato sconcertante emerso da un’analisi condotta da Trend Micro su oltre 100 milioni di PC compromessi sparsi in tutto il mondo.
In particolare, in Italia i computer che rimangono infetti per 2 anni toccano quota 1.585.228. Più in generale, la durata media di infezione dei PC è pari a 300 giorni nei Paesi più colpiti. Secondo le stime Trend Micro, l’80% di tutte le macchine compromesse è rimasto infetto per più di un mese.
I dati emersi non promettono niente di buono, purtroppo. Trend Micro ha rilevato che, mentre il 75% di questi indirizzi IP compromessi è costituito da utenti privati, il restante 25% appartiene a realtà aziendali.
Un indirizzo IP corrisponde generalmente al gateway Internet di una rete di computer: questo significa che più macchine contagiate possono essere associate a un solo indirizzo IP – a indicare quindi che la percentuale relativa al mondo business è con ogni probabilità nettamente superiore al 25%.
Una volta che una macchina viene infettata è normale che venga integrata in una botnet molto più estesa cioè una rete di bot (PC comandati a distanza). Spesso le reti bot sono fonte di attacchi malware, frodi, furti di dati e altri generi di crimini cibernetici.
Nel 2009 praticamente tutto il malware registrato dagli esperti Trend Micro si è rivelato principalmente finalizzato al furto di informazioni (credenziali, password, dati bancari ecc.).
Le principali reti zombie
Lo studio di Trend Micro ha preso in esame le botnet più pericolose in relazione al furto di informazioni, identità e dati finanziari. Al momento, le tre reti bot più degne di nota sono: Koobface, ZeuS/Zbot e Ilomo/Clampi.
Dal quadro generale è emerso che le reti bot riescono a controllare un numero di macchine compromesse ben superiore a quanto stimato. Bastano poche centinaia di cybercriminali, infatti, per controllare più di 100 milioni di computer; ciò significa che questi individui dispongono di una potenza di calcolo sensibilmente superiore a quella di tutti i supercomputer mondiali messi insieme – non sorprende dunque che oltre il 90% di tutte le e-mail inviate a livello mondiale sia costituito da spam.
Anche se non vi è una correlazione esatta di 1:1 fra i primi dieci Paesi in termini di macchine compromesse e i primi dieci Paesi produttori di spam, un qualche legame esiste comunque.
Trend Micro ha analizzato Koobface come esempio di una tipica rete bot: gli esperti hanno evidenziato che circa 51.000 computer infettati fanno attualmente parte di questa rete bot. Koobface si serve di 5 o 6 centri di comando e controllo (C&C) per gestire le macchine compromesse.
Se un dominio C&C viene rimosso da un determinato provider, il gruppo di Koobface registra gli stessi domini C&C presso altri provider. Nel periodo compreso da metà marzo a metà agosto 2009, Trend Micro ha registrato circa 46 domini C&C di Koobface.
Analizzando invece la rete bot Ilomo botnet, i domini C&C identificati sono 69: un numero che tuttavia risulta difficilmente confermabile per via dell’aggiunta e della rimozione quotidiana di nuovi domini.
Inoltre, la quantità di macchine infette nell’ambito della rete bot Ilomo non può essere accertata con sicurezza a causa della particolare struttura della rete stessa.
Le tecnologie più innovative per combattere le minacce
Fortunatamente oggi sono sempre più numerose le nuove tecnologie messe a punto per contrastare e gestire la crescente quantità di minacce Internet. Come, ad esempio, la piattaforma in-the-cloud di Trend Micro, Smart Protection Network, che previene miliardi di minacce ogni giorno.
Analizzando più da vicino l’attività della piattaforma tecnologica di Trend Micro, tra il terzo trimestre del 2008 e il secondo trimestre del 2009, si è rilevata una crescita notevole, con oltre 4 miliardi di minacce bloccate mediamente ogni giorno (4.000.314.950, +277% ).
Questa innovativa architettura è in grado di rilevare e proteggere gli utenti da possibili infezioni grazie a tre principali componenti tecnologiche: Email Reputation, Web Reputation e File Reputation, associate a tecniche di protezione anti-spam e anti-malware più tradizionali a livello di endpoint.
Arrivando a gestire oltre 5 miliardi di richieste di utenti al giorno, Trend Micro Smart Protection Network rappresenta la nuova generazione dell’infrastruttura per la sicurezza dei contenuti cloud-client progettata per bloccare le minacce prima che queste colpiscano una rete.
Unendo tecnologie in-the-cloud a client più piccoli e leggeri, gli utenti hanno accesso immediato ai più avanzati sistemi di protezione.
