TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

05/08/2019 08:39:43 - C.R.A.M. di TG Soft => Telemetria dei virus/malware in Italia 2019-07




Il C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche dei virus/malware realmente circolanti nel mese di Luglio 2019. Scopriamo quali sono le famiglie e varianti di Malware che hanno attaccato i PC/SERVER degli utenti/clienti.
 
Centro Ricerche Anti-Malware di TG Soft

INDICE


Analisi dei virus/malware

Anche a Luglio si rinnova il primato per il  PUP.Win32.MindSpark, ancora padrone del podio, questa volta con due varianti nelle prime due posizioni.


Virus che scende e virus che sale... E' il caso di Win32.Delf.FE, che lascia la scena a Win32.Sality.BH, altro polimorfico che infetta i file eseguibili .EXE e quindi molto pericoloso.

Nelle "Tipologie" (colonna di sinistra), ritornano in vetta i PUP (32,62%), dato confermato anche nella colonna di destra in cui compaiono ben 6 PUP nella Top 10 di Luglio.

Prima e seconda posizione per il PUP.Win32.MindSpark. Attenzione quindi ai browser compromessi, con home page contraffatte e ricche di oggetti "poco attendibili". Sintomo evidente di tale infezione il rallentamento della navigazione e la comparsa inaspettata di pubblicità.  Di seguito un'immagine di un browser compromesso da MindSpark.

MindSpark

Dopo Win32.Delf presente nella Top 10 di giugno, ritorna in quarta posizione Win32.Sality.BHaltro pericoloso virus che infetta i file di tipo eseguibile (applicazioni) e integra un polimorfismo particolarmente sofisticato.
Sality E' proprio quest'ultima caratteristica che lo rende tecnicamente complicato da rimuovere, infatti non risulta semplice identificare correttamente tutte le possibili mutazioni dei file intaccati da esso. Un file eseguibile rimasto infetto da questo tipo di virus, può dare nuovamente inizio ad una nuova infezione vanificando tutto il lavoro di pulizia eseguito fino a quel momento.
E' di fondamentale importantanza quindi, essere certi che un file, in precedenza segnalato come infetto da  Win32.Sality, venga realmente bonificato prima della sua nuova esecuzione e nel caso di mancata bonifica provvedere alla sua sostituzione / cancellazione.
  


Analisi dei virus/malware che si diffondono via email


Sensibile calo della categoria MACRO VIRUS che pur perdendo oltre venti punti percentuali rimane saldamente in vetta con il 52,30% (A giugno superava il 75%).

La notevole flessione delle MACRO VIRUS, anche se questi occupano le prime 3 posizioni, può essere attribuita alla diffusione di altre campagne di malspam attraverso la veicolazione di forme di malware di tipo eseguibile e script. Infatti dalla posizione quarta alla sesta troviamo due malware di tipo "EXE" e un javascript. In ottava posizione troviamo un Trojan di tipo RTF e un password stealer.


La scelta degli allegati in formato EXCEL e/o WORD (colonna destra) è stata comunque la più gettonata, sommando le varianti legate ai prodotti del pacchetto Office (X97M e W97M), sono ben cinque le minacce con macro che troviamo nei primi dieci posti della classifica.
Va ricordato che gli allegati pericolosi in formato Excel e/o Word, infettano il sistema solo quando si tenta di aprirli e si abilitano appunto le macro in essi contenute.


L'apertura dell'allegato e la conseguente esecuzione della MACRO in esso creata, porta all'infezione del sistema operativo e come riscontrato dal CRAM oramai da molti mesi, l'obiettivo dell'attaco è quello di esfiltrare le credenziali di accesso dei principali servizi web. 
Spesso l'allegato può essere inviato da caselle di posta note (es. clienti e/o fornitori) o da caselle PEC le cui credenziali sono state precedentemente e illegalmente sottratte.
Con questo metodo, l'utente non può permettersi di accertare l'attendibilità del messaggio ricevuto basandosi unicamente sul mittente.

Sality
Sality

Altra tipologia di allegato da non sottovalutare è il tipico file compresso, sia esso .ZIP, .ARJ o altro (anche il formato .ISO, noto per le masterizzazioni di CD/DVD, viene utilizzato). All'interno di questi archivi vengono opportunamente piazzati dei file eseguibili o degli script, solo l'esecuzione di quest'ultimi avvia l'attacco che se portato a termine infetterà il sistema.

Secondo i dati raccolti dal C.R.A.M. Centro Ricerche Anti-Malware di TG Soft, nella maggior parte dei casi, l'apertura di allegati fraudolenti introduce nel sistema malware in grado di esfiltrare dati di accesso ai più comuni servizi web.
 
Sality Sality

HOME BANKING - TOKEN - OTP - SMS non garantiscono una sicurezza assoluta!!!
Una volta aperto l'allegato ed eseguita la macro, i servizi Home Banking potrebbero essere oggetto di accessi da parte di persone non autorizzate allo scopo di effettuare operazioni come ad esempio BONIFICI a favore di terzi. Sempre grazie ai dati raccolti dal
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft, la frode bancaria risulta possibile anche se l'utente attaccato è dotato di TOKEN o servizi di ultima generazione (SMS, APP, etc.).


RANSOMWARE

Il mese di luglio è saltato alla ribalta nei ransomware per le campagne di malspam che hanno veicolato insieme il Trojan Banker Ursnif e il Sodinokibi (aka REvil), ma non sono mancati nuovi attacchi via RDP e Drive-By-Download. Abbiamo riscontrato attacchi dai seguenti ransomware:
  • Phobos
  • Sodinokibi
Il 9, il 16 e il 17 luglio vi sono state 3 massive campagne di malspam che hanno veicolato il trojan Banker Ursnif e il ransomware Sodinokibi, conosciuto anche con il nome di REvil.
Le campagne di malspam avevano come corpo del messaggio:

"Buongiorno, Prego visionare l'allegato. zip pass 123 Cordiali saluti"

La tipologia del messaggio è nello stile delle campagne di malspam dell'Ursinf.

La configurazione di Sodinokibi nelle varie campagne di malspam analizzate del mese di luglio
:
  • pk: "M4O6efUNv8nZ38UjEZa5t0O4JprZSEOksh1dmd1lC1c="
  • pid: 21
  • sub: 707
Il gruppo con pid 21 sono gli autori dell'attacco della campagna di malspam molto probabilmente collegata anche all'Ursnif.

E' la prima volta che si vede questa duplice veicolazione di malware con Ursnif più Sodinokibi.

In questo mese è stata rilasciata la versione 1.3 del ransomware Sodinokibi:


Link al tweet completo con tutte le informazoni: https://twitter.com/VirITeXplorer/status/1151507547196669952?s=20


Continuano anche a luglio gli attacchi via RDP, che hanno permesso un accesso abusivo al sistema per eseguire direttamente il ransomware, in questa particolare situazione hanno veicolato Phobos e Sodinokibi. Il C.r.a.m. di TG Soft ha inviduato che gli autori degli attacchi RDP provengono dai seguenti IP:
  • 89.249.65[.]84 (Germany)
  • 193.233.189[.]137 (Russian Federation)
  • 5.45.72[.]214 (Netherlands)
  • 81.171.98[.]71 (Netherlands)
  • 98.167.36[.]44 (United States)
  • 185.61.1[.]224 (Ireland)
  • 141.98.102[.]174 (Germany)
  • 185.106.102[.]217 (Cyprus)
  • 185.212.168[.]245 (United Kingdom)
  • 193.188.23[.]41 (Russian Federation)
Alcune estensioni dei file cifrati utilizzatti dal ransomware Phobos:
  • ACTON
  • ADAGE
  • ADAME
  • ACTIN
  • ACUTE
Il ransomware Phobos deriva da un altro crypto-malware chiamato Dharma, che aveva la peculiarità di essere diffuso attraverso attacchi RDP.
Sodinokibi, noto anche con il nome REvil, non è un ransomware nuovo, ne avevamo parlato anche nel mese di maggio, ma a Luglio è saltato alla ribalta in Italia per diverse campagne di malspam, attacchi via RDP.

Per maggiori informazioni sul ransomware Sodinokibi - REvil potete leggere  la nostra analisi tecnica: https://www.tgsoft.it/italy/news_archivio.asp?id=1004


 

ANCORA CYBER  ESTORSIONE - SEX TORTION

Come di consueto, segnaliamo ancora la presenza di campagne di SPAM che ricattano i malcapitati utenti, veicolati dalla minaccia di divulgare un video privato per tentare una estorsione in denaro (Bitcoin).

Di seguito due esempi di ricatto avvenuti a luglio 2019, sia con testo in italiano (immagine a sx) sia con testo in inglese (immagine a dx).

17 Luglio 2019:
"Cambia la tua password immediatamente"
  24 Luglio 2019:
"Caution! Attack Hakers to your Account!"
 
Cambia la tua password immediatamente
 
You system was infected
 
 
Progettare, diffondere e rendere prolifico un malware non è cosa da principianti, quasi sempre, un malware che raggiunge particolare notorietà, rappresenta l'apice della tecnologia, mettendo a volte in difficoltà gli stessi sviluppatori di sistemi operativi e sicurezza.
Sex Tortion sta dimostrando che un'eccellente "Ingegneria Sociale" unita ad una insufficente formazione degli utenti, può generare ugualmente profitti, senza la necessità di utilizzare tecniche di programmazione sofisticate. Altre info qui.

Per essere aggiornati con le news di TG Soft , vi invitiamo ad iscrivervi alla newsletter 

Torna ad Inizio Pagina

 

 

Quale metodologia viene utilizzata per l'elaborazione della telemetria realizzata dal C.R.A.M. di TG Soft

TG Soft, grazie al suo Centro Anti-Virus/Anti-Malware (C.R.A.M) e alle particolari competenze, è stata riconosciuta da Microsoft, ed in quanto tale inclusa, come membro attivo e partecipante al programma Virus Information Alliance.

La Virus Information Alliance (VIA) è un programma di collaborazione Anti-Malware riservato a fornitori di software di sicurezza, fornitori di servizi di sicurezza, organizzazioni di test Anti-Malware e ad altre organizzazioni coinvolte nella lotta contro il crimine informatico.

I membri del programma VIA collaborano attraverso lo scambio di informazioni tecniche sul software dannoso con Microsoft, con l'obiettivo di migliorare la protezione dei clienti/utenti dei S.O. Microsoft.

Pertanto tutti i dati elaborati in forma numerica e grafica seguono e sottostanno alle specifiche del protocollo VIA, al fine di elaborare i dati di diffusione di virus / malware uniformemente secondo le direttive già in uso da Microsoft, sviluppate a partire dal 2006.


Torna ad Inizio Pagina



Telemetria

Vediamo ora i dati relativi alla prevalenza dei malware registrati dal C.R.A.M. di TG Soft nel mese di luglio 2019. Per prevalenza si intende l'incidenza che i malware hanno in un determinato periodo. Il valore calcolato si chiama "rate di infezione".

Il rate di infezione viene calcolato dividendo il numero di computer ove siano stati rilevati attacchi per il numero di computer dove è installato Vir.IT. eXplorer.

Al primo posto prevalgono i Trojan dominatori della classifica con una percentuale del 4,83%, più staccati e al secondo posto i PUP , con una percentuale del 2,71%, chiude il podio la categoria Adware   con il 2,19%. 
Lieve risalita (dall'11° al 13° posto)  per i Ransomware  con lo 0,23% (era 0,16%), i quali restano tra i più  pericolosi malware se non addirittura i più incontrastabili qualora si fosse sprovvisti di tecnologie AntiRansomware Protezione CryptoMalware.
Ricordiamo che per Ransomware vengono considerati tutti i malware che chiedono un riscatto, come, ad esempio, i Cryptomalware (SodinoKibi, GandCrab, CryptoScarab, GlobeImposter2.0, CryptoShade, etc.) e il vecchio e famoso FakeGDF (virus della polizia di stato, guardia di finanza etc.).

Click per ingrandire

Andiamo ora ad analizzare le infezioni del mese di giugno in base ai sistemi operativi suddivisi tra sistemi Server e Client.

Nelle immagini sottostanti i dati raccolti sono stati suddivisi secondo i sistemi operativi Windows Server e Client in macro categorie, senza dividere per tipo di architettura o per le varianti che la stessa versione può avere (es: Server 2008 R2, Server 2008 R2 Foundation, etc.), calcolati sulla totalità delle macchine (server + client).
Invariata la classifica che vede in prima posizione per Windows Server 2012 (0,17%) seguito da Windows Server2008 (0,11%),
Windows Server 2016 si attesta terzo posto con lo 0,06%. Chiude Windows Server 2003 con lo (0,04%).


 

Nelle statistiche relative ai computer client nel mese di luglio abbiamo riscontrato che il 9,4% dei terminali è stato infettato  o ha subito un attacco. Questo dato indica che 1 computer su 11 è stato colpito da malware nel mese di luglio.
Nella figura sottostante possiamo vedere il grafico delle infezioni in base ai sistemi operativi dei Client:




Come abbiamo visto nella figura sopra relativa ai Client, troviamo Windows 7 in prima posizione, come sistema operativo con il maggior numero di infezioni, con il 4,42% e in seconda posizione con un punto percentuali di distacco, troviamo  Windows 10, il quale si attesta a 3,40%.
Al terzo posto e lievemente sopra il punto percentuale, Windows XP con l'1,02% , segue in quarta posizione  Windows 8.1  con lo 0,41% , in quinta piazza Windows Vista con lo 0,12%. Prossimo allo zero  Windows 8 con lo 0,03%.

Windows 7 e Windows 10 coprono quasi l' 84% del parco macchine dei Client, per questo motivo si trovano rispettivamente al primo e al secondo posto.

Ma quale sarà il sistema operativo più sicuro ?

TG Soft fornisce la telemetria sul rate ovvero, il tasso di incidenza percentuale di attacchi suddivisi per sistema operativo rapportati al complessivo numero di computer (PC o Server) ove sia installato quel S.O. (esempio immagine sottostante: se il rate di infezione per il S.O. Windows Vista sfiora il 16%, significa che, su 100 computer con Windows Vista ove sia presente Vir.IT eXplorer,  16 pc (con Vista) hanno subito un attacco o un'infezione bloccata e/o bonificata da Vir.IT eXplorer).


Nell'immagine sopra è stato graficato il rate degli attacchi/infezioni bloccate e/o bonificate sui PC con Vir.IT eXplorer installato.

In testa alla lista  Windows Vista,  primo con un rate dell' 16,23%.
Al secondo posto troviamo Windows XP con il 14,50%.
Terza posizione nella classifica per Windows 7 con l'10,51%.
In quarta posizione troviamo Windows 8.1 con il 10,31%.
Chiude anche a giugno Windows 10 con il 8,33% .
Questo grafico va letto partendo dal valore più basso, cioè da Windows 10 con rate pari a 8,33%, che indica che 8 pc su 100 con Windows 10 sono stati attaccati contro i 16 pc di Windows Vista.
In base a questa chiave di lettura i sistemi operativi più sicuri sono quelli con rate di infezione minore, come possiamo vedere in questo ordine: Windows 10, Windows 8,1, Windows 7, Windows XP e per ultimo Windows Vista.
Questa chiave di lettura va a confermare che i sistemi operativi più moderni sono quelli anche più sicuri.
 
È possibile consultare la top 10 del mese di Giugno al seguente link: TOP 10 virus-malware di Luglio 2019.

Trovate, invece, la definizione di varie tipologie di agenti infestanti nel glossario sui virus & malware
 
 

Integra la difesa del tuo PC / SERVER per rilevare attacchi dai virus/malware realmente circolanti

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie alle seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusion Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Centro Ricerche AntiMalware di TG Soft.

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283