In aumento il numero di URL contenuti nei messaggi di spam, mentre le recenti connessioni a Internet in Africa attraggono reti bot spam
Symantec ha annunciato la pubblicazione di MessageLabs Intelligence Report di maggio 2010. L’analisi ha rivelato che 9 e-mail di spam su 10 contengono, all’interno del messaggio, URL di rimando a siti esterni. Di questi, il 5% appartiene a siti web autentici. È interessante notare come, tra i nomi di dominio più frequentemente utilizzati all’interno degli URL di spam, i primi quattro appartengono a siti web molto conosciuti e appartenenti agli ambiti social network, blog, file sharing e altri spazi dedicati a contenuti generati dagli utenti.
“I domini dei siti web più conosciuti tendono ad essere riciclati e utilizzati continuamente, a differenza dei domini ‘usa e getta’ che vengono usati solo per un periodo breve e poi abbandonati”, ha dichiarato Paul Wood, Senior Analyst di MessageLabs Intelligence. “Questo potrebbe essere dovuto al fatto che la loro acquisizione richiede lavoro: i domini legittimi, infatti, prevedono la soluzione di captcha come precondizione per la creazione del gran numero di account che vengono poi utilizzati dagli spammer”.
Se Rustock è la rete bot che utilizza il maggior numero di domini usa e getta, Storm, recentemente tornata sulla scena, è l’unica rete bot a utilizzare domini autentici in numero superiore rispetto a quelli usa e getta. Infatti, il 65% dello spam generato da Storm utilizza domini legittimi, molti dei quali relativi a servizi di abbreviazione degli URL. Una volta registrati, i domini usa e getta sono spesso utilizzati velocemente e in media il 50% di essi viene usato entro 9 giorni, oltre i quali gli spammer si rivolgono a nuovi domini.
A maggio, inoltre, MessageLabs Intelligence ha analizzato la crescita di spam e di reti bot in alcuni dei Paesi che si trovano sulla costa orientale dell’Africa, ovvero quelli che a partire da luglio 2009 hanno a disposizione una maggiore copertura per la connessione a Internet a banda larga. In generale, a maggio, la quantità di spam originato in Africa ha portato a un incremento del 3% sullo spam globale, rispetto al 2% di aprile 2009, pari a 1,2 miliardi di e-mail di spam in più originate ogni giorno in Africa rispetto a un anno fa.
Mentre storicamente sono stati i Paesi non appartenenti alla parte orientale del continente a distribuire la maggior parte dello spam proveniente dall’Africa, nel corso dell’ultimo anno le ondate di messaggi infetti si sono progressivamente spostate verso est. La quantità di spam proveniente dal resto dell’Africa è scesa dall’86% all’80%, mentre quella proveniente dai Paesi della regione orientale è passata dal 13% al 19%. Quest’incremento è stato registrato in modo particolare in Kenya, Ruanda e Uganda, dove i messaggi di spam sono aumentati rispettivamente del 7,2%, 6,3% e 5,7% rispetto all’anno scorso.
“Storicamente, l’adozione della banda larga ha sempre rappresentato un momento cruciale per l’acquisizione di nuovi bot da parte degli spammer”, ha detto Wood. “Il nuovo cablaggio sottomarino in fibra ottica lungo la costa orientale dell’Africa ha permesso una rapida crescita del numero di utenti in grado di ottenere connessioni ad Internet ad alta velocità, dando agli spammer ampi margini di manovra per infettare nuovi computer e creare nuovi bot”.
Infine, a maggio, MessageLabs Intelligence ha intercettato un attacco di malware che ha sfruttato il tema della Coppa del Mondo in procinto di inizio a giugno 2010. Scritta in portoghese e contenente il nome di uno degli sponsor dell’evento, l’e-mail è stata inviata da un indirizzo IP localizzato a Macau, Cina.
“Una volta scaricato e attivato, il malware produce file che generano messaggi pop-up e raccoglie informazioni sugli altri computer connessi alla stessa rete, dando allo spammer la possibilità di accedere ulteriormente al computer compromesso”, ha spiegato Wood.
Altri risultati importanti:
Spam: a maggio 2010, la percentuale globale di spam distribuito via e-mail da fonti pericolose, nuove o precedentemente sconosciute, è stato pari al 90% (1 e-mail su 1,11), registrando un incremento di 0,3 punti percentuali rispetto d aprile.
Virus: a maggio, la proporzione globale di virus diffusi via posta elettronica nel traffico e-mail da fonti pericolose – nuove o precedentemente sconosciute – è stato di 1 e-mail su 211,6 (0,473%): dato che riflette un incremento di 0,18 punti percentuali rispetto al mese precedente. A maggio, il 22,6% del malware veicolato tramite e-mail conteneva link a siti pericolosi, con un aumento di 6,3 punti percentuali rispetto d aprile.
Minacce agli endpoint: MessageLabs Intelligence è ora in grado di analizzare anche le minacce rivolte a device fisici quali laptop, PC e server ed esaminare i trend che li riguardano, grazie al lancio del nuovo servizio Hosted Endpoint Protection. Il malware può farsi largo in un’organizzazione in molti modi, che includono attacchi generati da siti web compromessi, cavalli di Troia e worm che si diffondono generando copie di sé sulle periferiche hardware removibili. Ad esempio, “AutoRun” è la funzione di Windows che permette a un file eseguibile di essere attivato ogni volta che un supporto removibile viene connesso al computer. Il malware intercettato più frequentemente nell’ultimo mese è stato il virus Sality.AE, che si diffonde infettando file eseguibili e provoca lo scaricamento da Internet di file potenzialmente infetti.
Phishing: a maggio, l’attività di phishing è stata pari a 1 e-mail ogni 237,1 (0,42%), con un incremento di 0,2 punti percentuali rispetto al mese precedente. Valutato come parte delle minacce veicolate tramite e-mail quali virus e trojan, il numero di e-mail di phishing è aumentato di 10,3 punti percentuali, andando a costituire l’80,6% di tutte le minacce di malware veicolate tramite e-mail.
Web security: l’analisi della sicurezza web indica che il 12,4% del malware intercettato in rete è stato creato nel mese di maggio, con un incremento dell’1,5% rispetto al mese precedente. MessageLabs Intelligence ha anche identificato una media di 1,770 nuovi siti web al giorno ospitanti malware e altri programmi pericolosi come spyware e adware, per un aumento pari al 5,6% rispetto al mese di aprile.
Tendenze per zona geografica:
• Con il 95,4% delle e-mail totali distribuite ad aprile, l’Ungheria conquista il primato di Paese più colpito da attacchi di spam.
• Gli Stati Uniti e il Canada hanno registrato livelli di spam rispettivamente pari al 90,5% e all’89,4%, mentre in Gran Bretagna gli attacchi si sono attestati sull’89,6%.
• In Olanda, Australia e Germania i livelli di spam hanno raggiunto rispettivamente il 91,1%, 89,5% e 91,8%.
• A Hong Kong i livelli di spam hanno raggiunto il 91,5%, mentre in Giappone si sono attestati sull’87,7%.
• L’attività di virus a Taiwan ha visto 1 e-mail infetta ogni 59,8, mantenendolo al primo posto come il Paese più colpito nel mese di maggio.
• Negli Stati Uniti e in Canada si registrano attacchi di virus pari rispettivamente a 1 e-mail ogni 339,7 e 230,9. In Germania, Olanda e Australia, invece, questi si attestano rispettivamente su 1 e-mail ogni 160,9, 610,5 e 343,2, mentre a Hong Kong e a Singapore si sono registrati attacchi pari a 1 e-mail su 218,2 e 464,7.
• La Gran Bretagna è rimasta il Paese più attivo per quanto riguarda gli attacchi di phishing, con 1 e-mail infetta ogni 121,8.
Trend per settore:
• Anche maggio, il settore più colpito dallo spam rimane quello ingegneristico, con una percentuale del 95,1%.
• I livelli del fenomeno hanno raggiunto, invece, il 91% nel settore della scuola, il 90,8% nel settore chimico e farmaceutico, il 90,7% in quello dei servizi IT, il 90,7% nel retail, 89,2% nella pubblica amministrazione e l’88,5% in quello finanziario.
• A maggio, il settore della pubblica amministrazione rimane il settore più colpito da attacchi di malware, con 1 e-mail infetta ogni 74,2.
• I livelli di virus sono stati pari a 1 e-mail su 262,7 nel settore chimico e farmaceutico, 1 su 187,5 in quello dei servizi IT, 1 su 347,2 nel retail, 1 su 109,2 nel settore della scuola e 1 su 272,9 nel finanziario.
L’edizione integrale del MessageLabs Intelligence Report di maggio 2010 offre un’analisi ancora più dettagliata delle tendenze e dei valori sopra riportati unitamente a ulteriori informazioni sulle tendenze per settore e per zona geografica.
Symantec MessageLabs Intelligence è un’autorevole fonte di informazioni e analisi di problematiche, tendenze e statistiche inerenti la sicurezza della messaggistica. MessageLabs Intelligence esamina in tempo reale i dati provenienti dai propri datacenter situati in tutto il mondo e preposti alla scansione di miliardi di messaggi ogni giorno.
Scarica gratuitamente il MessageLabs Intelligence Report di maggio 2010 cliccando qui
