Comunicato stampa
Trend Micro: le minacce informatiche della prima metà del 2007
e previsioni per i prossimi sei mesi
Rispetto agli ultimi sei mesi del 2006 il rischio di contrarre infezioni da malware è raddoppiato. Tra le tendenze più significative del periodo: proliferazione di toolkit per lo sfruttamento delle vulnerabilità, tecniche di social engineering che fanno leva su eventi di cronaca, utilizzo sempre maggiore di botnet, aumento delle infezioni provocate da falsi antispyware, truffe di phishing mirate a organizzazioni operanti in singoli Paesi, come Poste Italiane, che si classifica tra le 10 aziende più colpite al mondo
Milano, 4 settembre 2007 - Com’è cambiato il panorama delle minacce informatiche nei primi sei mesi dell’anno? Trend Micro, in base ai dati raccolti dai TrendLabs, ha delineato l’evoluzione dello scenario attuale e le tendenze che si svilupperanno nei prossimi mesi.
Tramontata l’era degli attacchi globali, le minacce oggi sono diventate più latenti e furtive, prendono di mira gli utenti di una specifica regione o Paese - o addirittura i visitatori di un particolare sito Internet - utilizzano combinazioni di diversi tipi di malware e si avvalgono del Web per sferrare gli attacchi e per violare e rubare informazioni e dati personali.
Lo scopo ultimo è quello di guadagnare denaro illecitamente. Esistono ormai, infatti, delle vere e proprie economie sommerse totalmente basate sulla creazione, sulla vendita e sull'utilizzo di malware.
Tra i numerosi esempi di questa evoluzione rilevati da Trend Micro, spicca il caso di Italian Job che nel mese di giugno ha preso di mira numerosi siti italiani, soprattutto del settore turistico.
Trend Micro ha analizzato le minacce del primo semestre 2007 suddividendole nelle seguenti categorie:
1. Vulnerabilità dell'infrastruttura: si tratta di minacce che sfruttano la presenza di eventuali falle all'interno delle applicazioni, dell'architettura di rete o dei sistemi operativi.
2. Minacce a impatto elevato: sono quelle che hanno la capacità di causare gravi danni su base localizzata; tra gli esempi, le epidemie a livello globale e gli attacchi mirati.
3. Minacce basate sui contenuti: l'utente riceve tali minacce sotto forma di contenuti, ad esempio phishing e spam.
4. Minacce basate sui processi: sono minacce che hanno le sembianze di un'applicazione eseguibile residente sul PC host; ad esempio malware, spyware e adware.
5. Minacce distribuite: sono quelle, come ad esempio i bot, che utilizzano il contagio per sferrare attacchi a vittime terze.
Le vulnerabilità dell'infrastruttura
La prima metà del 2007 ha portato con sé un interesse rinnovato e profondo nei confronti di vulnerabilità sconosciute all'interno di applicazioni e sistemi operativi, con numerosi progetti Month of Bugs emersi per sfidare gli sviluppatori software. Risultato: è stato sviluppato e diffuso malware che sfruttava tali vulnerabilità. Un'altra tendenza in atto è il proliferare di toolkit per lo sfruttamento delle vulnerabilità: si tratta di comodi strumenti che automatizzano la creazione di codice utilizzato per sfruttare le vulnerabilità conosciute.
Le minacce a impatto elevato
Le minacce a impatto elevato rilevate in questa prima metà dell'anno evidenziano come gli autori di malware possano sviluppare codice che, grazie alle tecniche di social engineering, è in grado di prendere di mira vittime ben identificate. Queste tecniche, in molti casi, fanno leva su eventi di cronaca capaci di stuzzicare la curiosità delle persone. Molte ad esempio sono state le vittime del Trojan SMALL.GHI: a febbraio, ignari cittadini australiani hanno aperto messaggi email che promettevano maggiori dettagli su un presunto attacco cardiaco subito dal Primo Ministro australiano John Howard, installando inconsapevolmente il malware sul proprio PC.
Altro caso eclatante si è verificato nel corso della prima settimana di febbraio quando gli autori di malware hanno pianificato un attacco in occasione del Super Bowl XLI negli Stati Uniti: i criminali informatici hanno messo a punto uno script maligno - JS_DLOADER.KQZ - attivandolo direttamente all'interno del sito ufficiale del Miami Dolphins Stadium, e rilasciando un keylogger a chiunque visitasse il sito.
Le minacce basate sul contenuto
Lo spam ha proliferato anche durante il primo semestre 2007. Fatto degno di nota è l’incremento del volume di spam tedesco, praticamente triplicato nel secondo trimestre rispetto ai dati registrati nel primo trimestre dell'anno. Questo picco è dovuto alle migliaia di utenti tedeschi che hanno esposto le proprie macchine ai downloader (TROJ_AGENT.IQN) nel mese di marzo cliccando su link o aprendo allegati .PDF in messaggi che si spacciavano per fatture o bollette.
I titoli dei messaggi di spam in questo periodo sono stati particolarmente tempestivi e pertinenti rispetto ai fatti di cronaca di grande richiamo come l’esecuzione di Saddam, il rilascio mondiale di Vista, il lancio di IE7 e il massacro al Virginia Tech.
Tra dicembre e maggio i volumi di phishing si sono mantenuti su livelli significativi. Le prime dieci aziende i cui siti Web sono stati violati dai phisher nell'arco degli ultimi sei mesi sono:
| TOP 10 DELLE AZIENDE PIU’ COLPITE | |
| 1 | eBay |
| 2 | Paypal |
| 3 | Bank of America |
| 4 | Wachovia |
| 5 | Fifth Third Bank |
| 6 | BB&T |
| 7 | Poste Italiane |
| 8 | Sparkasse |
| 9 | Regions Bank |
| 10 | VolksBank |
I tentativi di phishing sono sempre più rivolti a banche di dimensioni minori e che operano a livello regionale o di singoli Paesi come Poste Italiane. Da notare inoltre che, ad esclusione di eBay e di Paypal, la prima metà dei nomi presenti nella lista appartiene a banche americane, mentre l'altra metà si riferisce a banche europee.
Le minacce basate sui processi
L'aumento del numero di casi di contagio da malware rilevato con metodi euristici è praticamente raddoppiato nel periodo tra dicembre 2006 e maggio 2007. Questo significa che rispetto a sei mesi fa, gli utenti rischiano due volte di più di essere contagiati da malware.
Nella top 20 delle minacce più diffuse compaiono nove tipologie di worm, a dimostrare quanto la velocità di propagazione della minaccia sia un aspetto importante per gli autori di malware. Si sa che i worm vengono utilizzati nella creazione di reti botnet.
Per quanto riguarda le minacce basate su Trojan contenente spyware, va segnalato che questo tipo di minaccia sta prendendo sempre più di mira i siti di gaming.
Un altro trend da evidenziare è l’aumento delle infezioni provocate da finto anti-spyware: esistono vendor di soluzioni anti-spyware contraffatte che prima convincono la vittima di essere infettata, e poi le vendono un prodotto che in realtà è inutile, nel frattempo l'autore del crimine ha sottratto i dati della carta di credito del cliente vittima della truffa.
Le minacce distribuite
Uno degli aspetti più preoccupanti è rappresentato da un utilizzo sempre maggiore di bot e botnet per la distribuzione e la diffusione di spam e malware. Durante il periodo in esame, una serie di avvenimenti legati al malware lascia pensare a una ben organizzata economia sommersa le cui operazioni mirano a compromettere la capacità di calcolo delle macchine violate dirottandola nello svolgimento di determinati compiti. All'insaputa delle vittime oggetto dell'attacco, l'attivazione di un worm all'interno di un sistema permette al cyber-criminale di tenersi aperta una via mentre installa altri file in maniera clandestina, sottrae informazioni e sfrutta le risorse del computer per effettuare attività di spamming o addirittura attacchi Distributed Denial of Service (DDoS).
Le previsioni per il secondo semestre 2007
Le previsioni di Trend Micro parlano di un aumento del numero di minacce Web legato a una serie di ragioni: innanzitutto, la disponibilità di kit di exploit e l'accessibilità di bot e botnet rende estremamente semplice mettere a punto minacce Web. In secondo luogo, con l'incremento del numero di siti Web che integrano tecnologie Web 2.0 e con la creazione di applicazioni Web interattive, gli autori di malware saranno attentissimi e pronti a cogliere le eventuali falle che potranno poi utilizzare per eseguire i propri codici.
Si prevede un aumento dei tentativi di phishing a seguito dell'introduzione di kit di phishing nei mercati sommersi e per la grande facilità con cui è possibile avere una presenza online (grazie alla riduzione dei costi di registrazione di domini).
Anche lo spam basato su immagini diventerà molto più sofisticato, una sorta di vendetta contro i vendor di software che mettono a punto soluzioni per la sicurezza volte a sradicare questa tipologia di minaccia dal traffico email.
Le reti botnet si riconfermeranno una minaccia di rilievo, richiedendo quindi una visione più profonda e più integrata affinché le autorità possano tentare di debellarle.
In allegato il Virus Report completo.
Informazioni su Trend Micro
Trend Micro Incorporated è un pioniere della sicurezza dei contenuti e della gestione delle minacce. Fondata nel 1988, l'azienda fornisce a privati e aziende di ogni dimensione software, hardware e servizi per la sicurezza vincitori di numerosi premi. Con la sede centrale a Tokyo e le altre sedi operative in oltre 30 paesi, le soluzioni Trend Micro vengono commercializzate tramite una rete di rivenditori aziendali e a valore aggiunto e fornitori di servizi in tutto il mondo. Per ulteriori informazioni e per ottenere copie di prova di tutti i prodotti e servizi Trend Micro, visitare il sito Web it.trendmicro-europe.com.
Per ulteriori informazioni:
Morena Maestroni Federica Beretta
Trend Micro M&CM
Tel 02 925931 Tel 02 68821.619