Symantec pubblica il MessageLabs Intelligence Security Report 2010
Symantec ha presentato i risultati di MessageLabs Intelligence Security Report: anche quest'anno le reti bot si sono dimostrate resistenti, mentre il malware distribuito via email è aumentato di cento volte.
Symantec Corp ha pubblicato l'edizione 2010 del MessageLabs Intelligence Security Report.
L'analisi annuale riporta nel dettaglio che nel corso dell'ultimo anno i cyber criminali hanno messo in atto tecniche diversificate per portare avanti campagne di spam e malware di alto livello.
In particolare, il report evidenzia come i livelli di spam siano oscillati nel corso del 2010 sulla base di cambiamenti avvenuti nell'attività delle reti bot, raggiungendo il picco massimo nel mese di agosto (92,2%) quando la rete bot Rustock ha sviluppato e subito implementato in modo massiccio nuove varianti di malware, portando a un generale incremento nell'attività di spam sul 2010 con livelli medi che si assestano sull'89,1%, (+1,4% rispetto al 2009).
In generale, per la maggior parte del 2010, lo spam originato da reti bot ha rappresentato l'88,2% del totale. Tuttavia, verso la fine dell'anno si è registrata una riduzione del contributo delle reti bot alla distribuzione di spam, che è sceso al 77% in seguito chiusura di Spamit verificatasi all'inizio di ottobre 2010. Sempre verso la fine dell'anno, il numero totale di bot attivi si è assestato all'incirca sugli stessi livelli raggiunti a fine 2009, con un incremento di circa il 6% nella seconda metà del 2010, mentre si registra un numero totale di reti bot a livello globale che oscilla tra i 3,5 e i 5,4 milioni.
Si prevede che nel 2011 coloro che gestiscono le reti bot faranno ricorso all'utilizzo di tecniche steganografiche, nascondendo i propri comandi magari tra immagini o file musicali attraverso siti web per il file sharing o i social network: in questo modo i cyber criminali potranno dare istruzioni alle proprie reti bot clandestinamente, senza il bisogno di un ISP che ospiti le loro infrastrutture, minimizzando così la possibilità di venire scoperti.
Nonostante il 2010 abbia visto una fluttuazione in termini di numero di reti bot e dei loro livelli di attività, nella seconda metà del 2010 le prime tre reti bot per grandezza sono rimaste invariate: Rustock rimane la rete bot dominante, con livelli di spam più che duplicati rispetto all'anno precedente, più di 44 miliardi di email di spam al giorno e più di un milione di bot sotto il suo controllo; seguono Grum e Cutwail - rispettivamente la seconda e la terza rete bot per grandezza - responsabili per l'incremento di volume del malware distribuito come spam dalle reti bot.
Una minaccia particolarmente significativa intercettata quest'anno è quella rappresentata dal virus "Here You Have", che il 9 settembre 2010 ha utilizzato tecniche tradizionali di distribuzione generalizzata via email per inviare messaggi infetti, raggiungendo un picco di 2.000 email bloccate al minuto.
In totale, il servizio MessageLabs AntiVirus ha fermato più di 100.000 copie di virus prima che queste raggiungessero i network cliente, grazie ad una regola euristica per l'individuazione del virus aggiunta a maggio 2008, ovvero più di due anni prima. All'inizio di novembre, la stessa regola è stata inoltre funzionale a bloccare una serie di attacchi rivolti all'agenzia delle entrate degli Stati Uniti.
Nel 2010 sono state identificate come malevole e, quindi, bloccate più di 339.600 diverse tipologie di malware, un numero più che centuplicato rispetto al 2009.
Tale aumento massivo è in gran parte dovuto alla crescita di varianti di malware polimorfico, tipicamente generato da kit di strumenti che permettono a una nuova versione del codice di essere generata in modo facile e veloce.
Un esempio di questo è rappresentato dalla famiglia di trojan Bredolab distribuita attraverso la rete Cutwail, che nel 2010 ha generato circa il 7,4% di tutto il malware inviato via email. Bredolab rappresenta un approccio che gli hacker definiscono PPI (Pay Per Install): il malware è disegnato in modo da prendere controllo del computer dell'utente in modo che possa essere utilizzato dagli operatori di Bredolab o affittato, piuttosto che venduto ad altri cyber criminali.
Bredolab è un esempio di malware contenuto in un archivio compresso che col tempo si è evoluto da un singolo pezzo di malware criptato impacchettato con un codice polimorfico a una versione protetta con una macchina polimorfica aggiornata e sviluppata affinché si comporti allo stesso modo pur evitando di essere intercettata come Bredolab.
La versione finale è stato un pacchetto polimorfico aggressivo rilasciato alla fine del 2010 e inviato in modo generalizzato via email con centinaia di varianti per massimizzare l'attacco.
Mentre Bredolab veniva inviato in maniera massiva, venivano effettuati anche attacchi mirati, caratterizzati da una distribuzione in piccoli volumi. Quando gli attacchi mirati, o attacchi avanzati persistenti, sono emersi per la prima volta cinque anni fa, MessageLabs Intelligence ne aveva rilevati da uno a due a settimana, mentre nel corso dell'anno successivo questo numero è incrementato fino a una media di 1-2 attacchi al giorno.
Successivamente, gli attacchi mirati sono incrementati passando da 10 a circa 60 al giorno nel 2010: alla fine dell'anno, MessageLabs Intelligence ne ha bloccati 77 ogni giorno. Infine, MessageLabs Intelligence ha analizzato le abitudini di navigazione web di una forza lavoro sempre più distribuita sul territorio, composta da lavoratori che operano in viaggio o da casa, rispetto a quelle di coloro che lavorano dall'ufficio.
La ricerca ha rivelato come i lavoratori mobili si comportino in modo simile a coloro che restano in ufficio e, quindi, non rappresentino alcun rischio aggiuntivo per l'azienda; al contrario, gli stessi lavoratori che operano da luoghi differenti, ovvero coloro che lavorano sia all'interno che all'esterno dell'ufficio, sembrano rilassarsi significativamente rispetto alle proprie abitudini di navigazione web mentre sono fuori ufficio, rappresentando quindi un rischio considerevolmente maggiore per l'organizzazione. Sulla base di quanto emerso, le aziende devono determinare fino a che punto e in che modo intendono gestire il comportamento online dei propri dipendenti tramite controlli di web policy.
A riconoscimento del bisogno di un accesso al web più flessibile, le aziende nel 2010 stanno optando per un approccio che sfrutta sempre di più "liste di siti accessibili" al posto della "lista di siti bloccati" utilizzata nell'approccio degli anni precedenti: in questo modo, nel 2010il numero di policy di permesso è incrementato mensilmente in media dello 0,8% al mese, rispetto allo 0,6% nel 2009.
Trend principali nel 2010 Sicurezza Web:
Nel 2010, il numero medio di nuovi siti malevoli bloccati ogni giorno è salito a 3.066 rispetto ai 2.465 del 2009, per un incremento del 24,3%. MessageLabs Intelligence ha identificato attacchi malevoli su 42.926 domini distinti, la maggioranza dei quali costituita da domini legittimi compromessi.
Spam: Nel 2010 la percentuale media di spam globale ha raggiunto l'89,1%, per un incremento dell'1,4% rispetto all'anno precedente. Ad agosto i livelli di spam globale hanno raggiunto il picco d'attività raggiungendo il 92,2% del totale, quando lo spam inviato da reti bot è incrementato fino a raggiungere il 95% dal momento che una nuova variante di Rustock è stata messa a punto ed implementata velocemente.
Virus: Il livello di attacchi virus nel 2010 è stato di 1 email su 284,2 (0,352%), un dato quasi immutato rispetto a quello rappresentato da 1 email su 286,4 (0,349%) del 2009. Nel 2010 più di 115,6 milioni di email sono state bloccate da Skeptic, con un incremento del 58,1% rispetto all'anno precedente. Inoltre, sono stati identificati 339,627 diversi tipi di malware all'interno delle email malevole bloccate, un numero più che centuplicato rispetto al 2009 dovuto alla crescita di varianti di malware polimorfico.
Phishing: Nel 2010 il numero di attacchi di phishing è stato di 1 email ogni 444,5 (0.23%), rispetto a 1 email ogni 352,2 (0,31%) nel 2009, per un totale di circa 95,1 miliardi di attacchi.
L'edizione integrale del MessageLabs Intelligence Report annuale offre un'analisi ancora più dettagliata delle tendenze e dei valori sopra riportati unitamente a ulteriori informazioni sulle tendenze registrate nel 2010. Lo studio completo è consultabile a questo indirizzo.
L'analisi annuale riporta nel dettaglio che nel corso dell'ultimo anno i cyber criminali hanno messo in atto tecniche diversificate per portare avanti campagne di spam e malware di alto livello.
In particolare, il report evidenzia come i livelli di spam siano oscillati nel corso del 2010 sulla base di cambiamenti avvenuti nell'attività delle reti bot, raggiungendo il picco massimo nel mese di agosto (92,2%) quando la rete bot Rustock ha sviluppato e subito implementato in modo massiccio nuove varianti di malware, portando a un generale incremento nell'attività di spam sul 2010 con livelli medi che si assestano sull'89,1%, (+1,4% rispetto al 2009).
In generale, per la maggior parte del 2010, lo spam originato da reti bot ha rappresentato l'88,2% del totale. Tuttavia, verso la fine dell'anno si è registrata una riduzione del contributo delle reti bot alla distribuzione di spam, che è sceso al 77% in seguito chiusura di Spamit verificatasi all'inizio di ottobre 2010. Sempre verso la fine dell'anno, il numero totale di bot attivi si è assestato all'incirca sugli stessi livelli raggiunti a fine 2009, con un incremento di circa il 6% nella seconda metà del 2010, mentre si registra un numero totale di reti bot a livello globale che oscilla tra i 3,5 e i 5,4 milioni.
Si prevede che nel 2011 coloro che gestiscono le reti bot faranno ricorso all'utilizzo di tecniche steganografiche, nascondendo i propri comandi magari tra immagini o file musicali attraverso siti web per il file sharing o i social network: in questo modo i cyber criminali potranno dare istruzioni alle proprie reti bot clandestinamente, senza il bisogno di un ISP che ospiti le loro infrastrutture, minimizzando così la possibilità di venire scoperti.
Nonostante il 2010 abbia visto una fluttuazione in termini di numero di reti bot e dei loro livelli di attività, nella seconda metà del 2010 le prime tre reti bot per grandezza sono rimaste invariate: Rustock rimane la rete bot dominante, con livelli di spam più che duplicati rispetto all'anno precedente, più di 44 miliardi di email di spam al giorno e più di un milione di bot sotto il suo controllo; seguono Grum e Cutwail - rispettivamente la seconda e la terza rete bot per grandezza - responsabili per l'incremento di volume del malware distribuito come spam dalle reti bot.
Una minaccia particolarmente significativa intercettata quest'anno è quella rappresentata dal virus "Here You Have", che il 9 settembre 2010 ha utilizzato tecniche tradizionali di distribuzione generalizzata via email per inviare messaggi infetti, raggiungendo un picco di 2.000 email bloccate al minuto.
In totale, il servizio MessageLabs AntiVirus ha fermato più di 100.000 copie di virus prima che queste raggiungessero i network cliente, grazie ad una regola euristica per l'individuazione del virus aggiunta a maggio 2008, ovvero più di due anni prima. All'inizio di novembre, la stessa regola è stata inoltre funzionale a bloccare una serie di attacchi rivolti all'agenzia delle entrate degli Stati Uniti.
Nel 2010 sono state identificate come malevole e, quindi, bloccate più di 339.600 diverse tipologie di malware, un numero più che centuplicato rispetto al 2009.
Tale aumento massivo è in gran parte dovuto alla crescita di varianti di malware polimorfico, tipicamente generato da kit di strumenti che permettono a una nuova versione del codice di essere generata in modo facile e veloce.
Un esempio di questo è rappresentato dalla famiglia di trojan Bredolab distribuita attraverso la rete Cutwail, che nel 2010 ha generato circa il 7,4% di tutto il malware inviato via email. Bredolab rappresenta un approccio che gli hacker definiscono PPI (Pay Per Install): il malware è disegnato in modo da prendere controllo del computer dell'utente in modo che possa essere utilizzato dagli operatori di Bredolab o affittato, piuttosto che venduto ad altri cyber criminali.
Bredolab è un esempio di malware contenuto in un archivio compresso che col tempo si è evoluto da un singolo pezzo di malware criptato impacchettato con un codice polimorfico a una versione protetta con una macchina polimorfica aggiornata e sviluppata affinché si comporti allo stesso modo pur evitando di essere intercettata come Bredolab.
La versione finale è stato un pacchetto polimorfico aggressivo rilasciato alla fine del 2010 e inviato in modo generalizzato via email con centinaia di varianti per massimizzare l'attacco.
Mentre Bredolab veniva inviato in maniera massiva, venivano effettuati anche attacchi mirati, caratterizzati da una distribuzione in piccoli volumi. Quando gli attacchi mirati, o attacchi avanzati persistenti, sono emersi per la prima volta cinque anni fa, MessageLabs Intelligence ne aveva rilevati da uno a due a settimana, mentre nel corso dell'anno successivo questo numero è incrementato fino a una media di 1-2 attacchi al giorno.
Successivamente, gli attacchi mirati sono incrementati passando da 10 a circa 60 al giorno nel 2010: alla fine dell'anno, MessageLabs Intelligence ne ha bloccati 77 ogni giorno. Infine, MessageLabs Intelligence ha analizzato le abitudini di navigazione web di una forza lavoro sempre più distribuita sul territorio, composta da lavoratori che operano in viaggio o da casa, rispetto a quelle di coloro che lavorano dall'ufficio.
La ricerca ha rivelato come i lavoratori mobili si comportino in modo simile a coloro che restano in ufficio e, quindi, non rappresentino alcun rischio aggiuntivo per l'azienda; al contrario, gli stessi lavoratori che operano da luoghi differenti, ovvero coloro che lavorano sia all'interno che all'esterno dell'ufficio, sembrano rilassarsi significativamente rispetto alle proprie abitudini di navigazione web mentre sono fuori ufficio, rappresentando quindi un rischio considerevolmente maggiore per l'organizzazione. Sulla base di quanto emerso, le aziende devono determinare fino a che punto e in che modo intendono gestire il comportamento online dei propri dipendenti tramite controlli di web policy.
A riconoscimento del bisogno di un accesso al web più flessibile, le aziende nel 2010 stanno optando per un approccio che sfrutta sempre di più "liste di siti accessibili" al posto della "lista di siti bloccati" utilizzata nell'approccio degli anni precedenti: in questo modo, nel 2010il numero di policy di permesso è incrementato mensilmente in media dello 0,8% al mese, rispetto allo 0,6% nel 2009.
Trend principali nel 2010 Sicurezza Web:
Nel 2010, il numero medio di nuovi siti malevoli bloccati ogni giorno è salito a 3.066 rispetto ai 2.465 del 2009, per un incremento del 24,3%. MessageLabs Intelligence ha identificato attacchi malevoli su 42.926 domini distinti, la maggioranza dei quali costituita da domini legittimi compromessi.
Spam: Nel 2010 la percentuale media di spam globale ha raggiunto l'89,1%, per un incremento dell'1,4% rispetto all'anno precedente. Ad agosto i livelli di spam globale hanno raggiunto il picco d'attività raggiungendo il 92,2% del totale, quando lo spam inviato da reti bot è incrementato fino a raggiungere il 95% dal momento che una nuova variante di Rustock è stata messa a punto ed implementata velocemente.
Virus: Il livello di attacchi virus nel 2010 è stato di 1 email su 284,2 (0,352%), un dato quasi immutato rispetto a quello rappresentato da 1 email su 286,4 (0,349%) del 2009. Nel 2010 più di 115,6 milioni di email sono state bloccate da Skeptic, con un incremento del 58,1% rispetto all'anno precedente. Inoltre, sono stati identificati 339,627 diversi tipi di malware all'interno delle email malevole bloccate, un numero più che centuplicato rispetto al 2009 dovuto alla crescita di varianti di malware polimorfico.
Phishing: Nel 2010 il numero di attacchi di phishing è stato di 1 email ogni 444,5 (0.23%), rispetto a 1 email ogni 352,2 (0,31%) nel 2009, per un totale di circa 95,1 miliardi di attacchi.
L'edizione integrale del MessageLabs Intelligence Report annuale offre un'analisi ancora più dettagliata delle tendenze e dei valori sopra riportati unitamente a ulteriori informazioni sulle tendenze registrate nel 2010. Lo studio completo è consultabile a questo indirizzo.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
