Kaspersky pubblica il Rapporto sull’evoluzione delle minacce IT nel secondo trimestre 2013

Rilevati ad oggi più di 100.000 sample di mobile malware

Gli esperti Kaspersky Lab hanno pubblicato oggi la loro ricerca sull’evoluzione delle minacce IT per il secondo trimestre 2013, studio che prende in esame i principali incidenti e tendenze nel campo della sicurezza IT, oltre a fornire analisi statistiche e telemetriche sulle cyber-minacce nel trimestre considerato. Secondo quanto riporta lo studio, i mobile malware rappresentano la principale categoria per il secondo trimestre 2013, sia in quantità che complessità. I cyber-criminali non solo sviluppano sempre più malware che prendono di mira le piattaforme mobili, ma stanno anche affinando le capacità e i comportamenti dei programmi. Oltre ai mobile malware, i cyber-criminali sono pure impegnati a mettere a punto campagne incentrate sul bitcoin mining illegale ed il furto di bitcoin, considerato il rapido incremento di valore della moneta digitale nel secondo trimestre.

Dati statistici sui malware nel secondo trimestre 2013

I dati seguenti sono stati ottenuti utilizzando la Kaspersky Security Network (KSN) basata su cloud. Tutti i dati statistici sono stati compilati con il pieno consenso degli utenti che hanno preso parte al KSN.*

• Nel secondo trimestre del 2013 i prodotti Kaspersky Lab hanno identificato e neutralizzato un totale di 983.051.408 minacce.

• Attacchi sul web: 577.159.385 virus sono stati bloccati prima che potessero infettare gli utenti mentre accedevano ad Internet.

• Infezioni computer: 400.604.327 programmi malevoli sono stati bloccati prima che potessero infettare i PC degli utenti.

• Mobile malware: 29.695 nuove modifiche di malware sono state aggiunte al sistema di rilevamento di Kaspersky Lab nel secondo trimestre 2013.

Evoluzione Mobile Malware

Al 30 giugno 2013, Kaspersky Lab aveva aggiunto al suo sistema un totale aggregato di 100.386 modifiche di mobile malware, una crescita drastica se raffrontata alla cifra rilevata alla fine del 2012 (46.445 modifiche).

E’ importante rimarcare che quelle modifiche non sono singole identificazioni o programmi malevoli – ma sample di codici malevoli che i cyber-criminali usano per infettare applicazioni mobili legittime. La procedura comune per i cyber-criminali è scaricare le applicazioni legittime e modificarle aggiungendo il codice malevolo. A questo punto i cyber-criminali ridistribuiscono le applicazioni modificate – ed ora malevoli – sui siti da dove possono essere scaricate dagli utenti, ad esempio app store di terze parti. Il sistema di Kaspersky Lab identifica i sample di codici malevoli che vengono inseriti nelle applicazioni modificate utilizzando le tecnologie basate su cloud, tecnologia euristica e signatures antivirus. Nel rintracciare i sample di codice malevolo, Kaspersky Lab riesce ad identificare quale sono le applicazioni malevole prima che queste possano operare sui dispositivi dell’utente.

Leggi anche:  Insider threats: il 62% degli incidenti per negligenza dei dipendenti

Mobile malware per categoria comportamentale

Se gli SMS Trojan costituivano tradizionalmente la categoria prevalente di mobile malware, Kaspersky Lab ha visto questo trend calare nel corso del secondo trimestre, mano a mano che i Trojan progettati per colpire le piattaforme mobili diventavano sempre più potenti e flessibili.

Nel secondo trimestre i Backdoor Trojan hanno registrato il maggior numero di modifiche aggiunte, con il 32,3% del totale, seguiti dai Trojan (23,2%) e dagli SMS-Trojan (27,7%).

In termini di capabilities dei mobile malware, i cyber-criminali sono oggi impegnati ad aggiungere tecniche di obfuscazione allo scopo di eludere l’analisi, oltre a compilare programmi che apportano payload multipli, il che può generare profitti se si utilizzano vari tipi di modelli di business illegali. Vi sono poi nuove varianti di malware che possono esfiltrare maggiori volumi di dati rubati dai dispositivi dell’utente, oltre ad essere in grado di scaricare ed installare altri malware nei dispositivi infettati. Il malware Android è quello che si è maggiormente evoluto rispetto ad altre piattaforme, iniziando a diventare il mobile malware equivalente al malware di Windows PC.

Ransomware per Android

Nel mese di giugno il primo esempio di Ransomware basato su Android – “Free Calls Update” – un’applicazione gratuita che si poteva scaricare dagli app store di terze parti. Il ransomware è un tipo di software progettato per estorcere denaro alla vittima bloccandogli l’accesso ai suoi device o computer fino a che l’utente infettato non paga un “riscatto;” tuttavia il pagamento è solitamente uno scam e anche dopo che la vittima ha pagato l’accesso al sistema non viene sbloccato. Dopo che Free Calls Update si è auto-installato sul dispositivo, l’app viene automaticamente lanciata e tenta di ottenere i diritti d’amministratore del dispositivo con l’obiettivo di modificare i setting del dispositivo e modificarne i parametri di cellulare e Wi-Fi. L’app finge poi di eseguire una scansione alla ricerca di malware e visualizza una finta notifica, avvisando l’utente che il suo dispositivo è infettato da un virus. Quindi l’app spinge la vittima ad acquistare una licenza di un finto kit software anti-virus mobile per rimuovere l’infezione. La notifica continuerà a visualizzarsi sul dispositivo mentre blocca l’accesso al resto del telefono, rendendolo inservibile.

Leggi anche:  Il Gruppo Lutech insieme a CyberArk per le soluzioni di Privileged Access Management

Ransomware e notifiche fake sono gli schemi più comuni dei malware PC ed ora i cyber-criminali ricorrono a questi metodi, sia tecnicamente che psicologicamente, nel tentativo di frodare l’ancora relativamente giovane mercato dei dispositivi mobili.

Bitcoin per alimentare l’economia sotterranea

Il trend più evidente emerso nel secondo trimestre 2013 è il crescente interesse dei cyber-criminali nel creare malware che permettano loro di accumulare bitcoin. I bitcoin sono una valuta digitale creata su una infrastruttura peer-to-peer (P2P) e appositamente pensata per effettuare transazioni anonime e decentralizzate. Le transazioni avvengono sui suoi server, chiamati Bitcoin miner, che vengono utilizzati per contribuire allo scambio e all’elaborazione di bitcoin. L’infrastruttura si avvale di una rete di computer connessi che forniscono le risorse che permettono ai Bitcoin miner di operare. La moneta virtuale può essere poi convertita in un’altra valuta oppure utilizzata per pagare beni e servizi nello store online (i bitcoin come valuta elettronica vengono designati con la “b” minuscola, mentre si usa una “B” maiuscola per designare l’infrastruttura Bitcoin).

Negli ultimi anni a questa parte il valore dei bitcoin è cresciuto drasticamente. Se all’inizio un’unità equivaleva a meno di 1 centesimo di dollaro, oggi il valore è salito alle stelle, arrivando a 130 dollari per bitcoin. Seppur avendo un tasso di incremento volatile, questa moneta continua a crescere sempre più stabilmente. La popolarità, l’anonimato e l’incremento di valore sono altrettanti incentivi che spingono i cyber-criminali a colpire sempre più aggressivamente i bitcoin. Inoltre i bitcoin sono la valuta di elezione dei cyber-criminali per condurre i loro business, dal momento che garantiscono una buona dose di anonimato, processi di transazione sicuri e non sono soggetti a requisititi o procedure di tipo finanziario, il che ne rende molto più difficile la rintracciabilità.

Leggi anche:  Trend Micro presenta la security di prossima generazione per gli endpoint ICS

In aprile il team di ricerca di Kaspersky Lab ha svelato una campagna in cui i cyber-criminali si servivano di Skype per distribuire malware per il Bitcoin mining. Il team utilizzava il social engineering per infettare all’inizio le vittime, quindi installava dei malware nel sistema compromesso che trasformavano i computer delle vittime e le loro risorse CPU in macchine slave per il Bitcoin mining. I bitcoin generati dai sistemi infettati delle vittime venivano poi spediti all’account dei cyber-criminali ideatori dello scam.

Un mese dopo gli esperti di sicurezza di Kaspersky Lab hanno identificato un’altra campagna Bitcoin malevola, realizzata tramite un attacco di phishing dal Brasile. Analogamente all’uso improprio di Skype per infettare i computer, i cyber-criminali utilizzavano il social engineering sempre per infettare le vittime; tuttavia in questo attacco i criminali si servivano di e-mail con messaggi phishing per reindirizzare gli utenti ad una versione fake di uno dei più popolari siti di trading di bitcoin – MtGox. MtGox gestisce un numero enorme di transazioni autorizzate, e dunque l’obiettivo di questa campagna era quello di ingannare gli utenti e convincerli a fornire le loro credenziali di login, il che avrebbe poi permesso a criminali di sottrarre bitcoin direttamente dai loro account.