Symantec ha presentato i risultati di MessageLabs Intelligence Security Report per l’anno 2010
Symantec ha annunciato la pubblicazione dell’edizione 2010 del MessageLabs Intelligence Security Report. L’analisi annuale riporta nel dettaglio che nel corso dell’ultimo anno i cyber criminali hanno messo in atto tecniche diversificate per portare avanti campagne di spam e malware di alto livello.
In particolare, il report evidenzia come i livelli di spam siano oscillati nel corso del 2010 sulla base di cambiamenti avvenuti nell’attività delle reti bot, raggiungendo il picco massimo nel mese di agosto (92,2%) quando la rete bot Rustock ha sviluppato e subito implementato in modo massiccio nuove varianti di malware, portando a un generale incremento nell’attività di spam sul 2010 con livelli medi che si assestano sull’89,1%, (+1,4% rispetto al 2009).
In generale, per la maggior parte del 2010, lo spam originato da reti bot ha rappresentato l’88,2% del totale. Tuttavia, verso la fine dell’anno si è registrata una riduzione del contributo delle reti bot alla distribuzione di spam, che è sceso al 77% in seguito chiusura di Spamit verificatasi all’inizio di ottobre 2010. Sempre verso la fine dell’anno, il numero totale di bot attivi si è assestato all’incirca sugli stessi livelli raggiunti a fine 2009, con un incremento di circa il 6% nella seconda metà del 2010, mentre si registra un numero totale di reti bot a livello globale che oscilla tra i 3,5 e i 5,4 milioni.
Si prevede che nel 2011 coloro che gestiscono le reti bot faranno ricorso all’utilizzo di tecniche steganografiche, nascondendo i propri comandi magari tra immagini o file musicali attraverso siti web per il file sharing o i social network: in questo modo i cyber criminali potranno dare istruzioni alle proprie reti bot clandestinamente, senza il bisogno di un ISP che ospiti le loro infrastrutture, minimizzando così la possibilità di venire scoperti.
Nonostante il 2010 abbia visto una fluttuazione in termini di numero di reti bot e dei loro livelli di attività, nella seconda metà del 2010 le prime tre reti bot per grandezza sono rimaste invariate: Rustock rimane la rete bot dominante, con livelli di spam più che duplicati rispetto all’anno precedente, più di 44 miliardi di email di spam al giorno e più di un milione di bot sotto il suo controllo; seguono Grum e Cutwail – rispettivamente la seconda e la terza rete bot per grandezza – responsabili per l’incremento di volume del malware distribuito come spam dalle reti bot.
“Con reti bot resistenti e di successo rese stabili negli anni precedenti, i cyber criminali hanno sperimentato diverse tattiche per sviluppare anche quest’anno nuove campagne di spam”, ha dichiarato Paul Wood, MessageLabs Intelligence Senior Analyst, Symantec Hosted Services. “Facendo leva su eventi ad alta notiziabilità, come la Coppa del Mondo FIFA, o sfruttando la grande popolarità dei servizi di abbreviazione dei link ipertestuali e dei social network, gli spammer hanno messo in campo una varietà di trucchi per raggirare i filtri antispam e trarre in inganno potenziali vittime”.
Una minaccia particolarmente significativa intercettata quest’anno è quella rappresentata dal virus “Here You Have”, che il 9 settembre 2010 ha utilizzato tecniche tradizionali di distribuzione generalizzata via email per inviare messaggi infetti, raggiungendo un picco di 2.000 email bloccate al minuto. In totale, il servizio MessageLabs AntiVirus ha fermato più di 100.000 copie di virus prima che queste raggiungessero i network cliente, grazie ad una regola euristica per l’individuazione del virus aggiunta a maggio 2008, ovvero più di due anni prima. All’inizio di novembre, la stessa regola è stata inoltre funzionale a bloccare una serie di attacchi rivolti all’agenzia delle entrate degli Stati Uniti.
Nel 2010 sono state identificate come malevole e, quindi, bloccate più di 339.600 diverse tipologie di malware, un numero più che centuplicato rispetto al 2009. Tale aumento massivo è in gran parte dovuto alla crescita di varianti di malware polimorfico, tipicamente generato da kit di strumenti che permettono a una nuova versione del codice di essere generata in modo facile e veloce. Un esempio di questo è rappresentato dalla famiglia di trojan Bredolab distribuita attraverso la rete Cutwail, che nel 2010 ha generato circa il 7,4% di tutto il malware inviato via email.
Bredolab rappresenta un approccio che gli hacker definiscono PPI (Pay Per Install): il malware è disegnato in modo da prendere controllo del computer dell’utente in modo che possa essere utilizzato dagli operatori di Bredolab o affittato, piuttosto che venduto ad altri cyber criminali. Bredolab è un esempio di malware contenuto in un archivio compresso che col tempo si è evoluto da un singolo pezzo di malware criptato impacchettato con un codice polimorfico a una versione protetta con una macchina polimorfica aggiornata e sviluppata affinché si comporti allo stesso modo pur evitando di essere intercettata come Bredolab. La versione finale è stato un pacchetto polimorfico aggressivo rilasciato alla fine del 2010 e inviato in modo generalizzato via email con centinaia di varianti per massimizzare l’attacco.
Mentre Bredolab veniva inviato in maniera massiva, venivano effettuati anche attacchi mirati, caratterizzati da una distribuzione in piccoli volumi. Quando gli attacchi mirati, o attacchi avanzati persistenti, sono emersi per la prima volta cinque anni fa, MessageLabs Intelligence ne aveva rilevati da uno a due a settimana, mentre nel corso dell’anno successivo questo numero è incrementato fino a una media di 1-2 attacchi al giorno. Successivamente, gli attacchi mirati sono incrementati passando da 10 a circa 60 al giorno nel 2010: alla fine dell’anno, MessageLabs Intelligence ne ha bloccati 77 ogni giorno.
“La crescita degli attacchi mirati si accompagna a variazioni nell’esecuzione e nella complessità dell’attacco”, ha spiegato Wood. “Tipicamente, ogni mese sono circa 200-300 le aziende che subiscono attacchi di questo tipo, ma il settore d’industria è variabile e i ruoli professionali di alto livello sono quelli più colpiti, benché questo avvenga spesso attraverso una casella postale generica o tramite quella degli assistenti. Mentre cinque ad essere maggiormente colpite erano le aziende più grandi e note, oggi lo spettro di organizzazioni attaccate si è espanso a tal punto da non poter più ritenere alcun’azienda al sicuro da attacchi”.
Infine, MessageLabs Intelligence ha analizzato le abitudini di navigazione web di una forza lavoro sempre più distribuita sul territorio, composta da lavoratori che operano in viaggio o da casa, rispetto a quelle di coloro che lavorano dall’ufficio. La ricerca ha rivelato come i lavoratori mobili si comportino in modo simile a coloro che restano in ufficio e, quindi, non rappresentino alcun rischio aggiuntivo per l’azienda; al contrario, gli stessi lavoratori che operano da luoghi differenti, ovvero coloro che lavorano sia all’interno che all’esterno dell’ufficio, sembrano rilassarsi significativamente rispetto alle proprie abitudini di navigazione web mentre sono fuori ufficio, rappresentando quindi un rischio considerevolmente maggiore per l’organizzazione.
Sulla base di quanto emerso, le aziende devono determinare fino a che punto e in che modo intendono gestire il comportamento online dei propri dipendenti tramite controlli di web policy. A riconoscimento del bisogno di un accesso al web più flessibile, le aziende nel 2010 stanno optando per un approccio che sfrutta sempre di più “liste di siti accessibili” al posto della “lista di siti bloccati” utilizzata nell’approccio degli anni precedenti: in questo modo, nel 2010il numero di policy di permesso è incrementato mensilmente in media dello 0,8% al mese, rispetto allo 0,6% nel 2009.
Trend principali nel 2010
Sicurezza Web: Nel 2010, il numero medio di nuovi siti malevoli bloccati ogni giorno è salito a 3.066 rispetto ai 2.465 del 2009, per un incremento del 24,3%. MessageLabs Intelligence ha identificato attacchi malevoli su 42.926 domini distinti, la maggioranza dei quali costituita da domini legittimi compromessi.
Spam: Nel 2010 la percentuale media di spam globale ha raggiunto l’89,1%, per un incremento dell’1,4% rispetto all’anno precedente. Ad agosto i livelli di spam globale hanno raggiunto il picco d’attività raggiungendo il 92,2% del totale, quando lo spam inviato da reti bot è incrementato fino a raggiungere il 95% dal momento che una nuova variante di Rustock è stata messa a punto ed implementata velocemente.
Virus: Il livello di attacchi virus nel 2010 è stato di 1 email su 284,2 (0,352%), un dato quasi immutato rispetto a quello rappresentato da 1 email su 286,4 (0,349%) del 2009. Nel 2010 più di 115,6 milioni di email sono state bloccate da Skeptic, con un incremento del 58,1% rispetto all’anno precedente. Inoltre, sono stati identificati 339,627 diversi tipi di malware all’interno delle email malevole bloccate, un numero più che centuplicato rispetto al 2009 dovuto alla crescita di varianti di malware polimorfico.
Phishing: Nel 2010 il numero di attacchi di phishing è stato di 1 email ogni 444,5 (0.23%), rispetto a 1 email ogni 352,2 (0,31%) nel 2009, per un totale di circa 95,1 miliardi di attacchi.
