TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

04/11/2019 08:30:03 - C.R.A.M. di TG Soft => Telemetria dei virus/malware in Italia 2019-10




Il C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche dei virus/malware realmente circolanti nel mese di ottobre 2019. Scopriamo quali sono le famiglie e varianti di Malware che hanno attaccato i PC/SERVER degli utenti/clienti.
 
Centro Ricerche Anti-Malware di TG Soft

INDICE


Analisi dei virus/malware

I dati della telemetria del C.R.A.M. di TG Soft sono ottenuti dai computer monitorati dal software anti-virus Vir.IT eXplorer PRO.
Le segnalazioni derivano da attacchi bloccati oppure malware riscontrati all'interno del parco macchine monitorate.

Nella tabella sottostante vediamo le statistiche del malware suddivise per:

  1. Tipologia del malware
  2. Singolo malware

Con il termine malware intediamo qualsiamo tipologia di software malevolo che possa arrecare danno al sistema informatica.
I malware si suddividono in diverse tipologie: Adware, Backdoor, Trojan, Worm, Virus, PUA/PUP, Deceptor, etc.


Per quanto riguarda la classifica per "Tipologia", il mese di Ottobre vede un eccezionale stravolgimento delle classifche, al primo posto infatti troviamo il macro gruppo "Altro" con il 36,10%, che contengono anche i macro virus di Word e Excel. L'exploit di  questa tipologia è dovuta alle massive campagne di malspam di Emotet.

Regge il passo la famiglia dei Trojan con il 32,27% mentre precipitano al terzo posto i PUP (Potentially Unwanted Program) con il 18,92%.

Fuori dal podio la categoria  Adware che rimane comunque in doppia cifra con il 10,17%  ed i suoi 1049 sample distinti.
Tra i 634 sample distinti che hanno portato il gruppo "Altro" in vetta, da notare le varianti di W97M.Downloader che ad ottobre, occupano ben 5 posizioni nella Top 10. W97M.Downloader è un macro virus che scarica il trojan downloader Emotet. Un fatto che evidenzia l'uso preponderante dei documenti WORD, con all'interno delle macro, per sferrare attacchi informatici.

Immancabile ma leggermente defilata, la presenza in classifica del PUP.Win32.MindSpark presente ancora con 2 varianti, precisamente al secondo ed al nono posto. Attenzione quindi ai browser compromessi, con home page contraffatte e ricche di oggetti "poco attendibili".

Le statistiche per singolo malware vedono in classifica anche  il Trojan.LNK.Dropper.BK, unico trojan  presente nelle prime 10 posizioni.
Da notare in ottava posizione, il virus Win32.Tenga.A,
questo tipo di minaccia infetta i file di tipo eseguibile (applicazioni) e integra un polimorfismo particolarmente sofisticato che  rende la sua rimozione particolarmente complicata.
Riepilogando, si sono presentati nella TOP 10 per singolo malware di ottobre, 
5 W97MDownloader (Altro), 3 PUP, 1 Trojan  e 1 Virus.

Analisi dei virus/malware che si diffondono via email

Nella tabella sottostante vediamo le statistiche del malware diffusi via e-mail suddivisi per:

  1. Tipologia del malware
  2. Singolo malware


Il dato più eclatante di ottobre riguarda la famiglia dei Macro Virus che con l'86,75% aggiunge ben 20 punti percentuali al valore rilevato nel mese precedente.
In forte discesa la famiglia dei Trojan, i quali hanno attaccato per il 13,22% (-20% rispetto a settembre).
Si noti che i sample disinti delle prime due categorie differiscono di solo 2 unità (167 vs 165) mentre le percentuali rilevate sono ben diverse (86,75% vs 13,22%).

Ben distanziate e prossime allo zero le categorie Worm e Altro mentre risultano azzerate tutte le altre categorie monitorate.

Anche dalla statistica per singolo malware nella sezione MAIL si evince un uso preponderante degli allegati in formato .DOC, le varianti di di W97M.Downloader e W97M.Emotet  occupano ben nove posizioni nella TOP10.
Va ricordato che gli allegati pericolosi in formato Word e/o Excel, infettano il sistema solo quando si tenta di aprirli e si abilitano appunto le macro in essi contenute.

Per quanto riguarda i TROJAN, rimane la magra consolazione del primo posto in classifica del Trojan.Win32.PSWStealer.BSU.(unico trojan presente nella Top10)

Tra le tipologie di allegato da non sottovalutare vi è anche il tipico file compresso, sia esso .ZIP, .ARJ o altro (anche il formato .ISO, noto per le masterizzazioni di CD/DVD, viene utilizzato). All'interno di questi archivi vengono opportunamente piazzati dei documenti .DOC, dei documenti .XLS, file eseguibili o degli script, solo l'esecuzione di quest'ultimi avvia l'attacco che se portato a termine infetterà il sistema.


Sality
Sality

L'UTENTE HA APERTO L'ALLEGATO - Cosa rischia?
Secondo i dati in possesso dal C.R.A.M. di TGSoft, un rischio frequente dopo l'apertura dell'allegato e conseguente esecuzione di MACRO , SCRIPT o di FILE ESEGUIBILI, è quello di introdurre nel sistema operativo uno o più malware progettati per esfiltrare le credenziali di accesso dei principali servizi web.

Per rendere gli attacchi più efficaci, gli allegati malevoli vengono inviati anche da caselle di posta note alla vittima (es. clienti e/o fornitori) e anche da caselle PEC.
Entrambe le circostanze indicano che le credenziali di posta del mittente sono state precedentemente e illegalmente sottratte.
Con questo metodo, il ricevente, ovvero la vittima, non può permettersi di accertare l'attendibilità del messaggio ricevuto basandosi unicamente sulla bontà del mittente.

 
Sality Sality

PERICOLO HOME BANKING:
TOKEN - OTP - SMS non garantiscono una sicurezza assoluta!!!

I servizi Home Banking potrebbero essere oggetto di accessi da parte di persone non autorizzate allo scopo di effettuare operazioni come ad esempio BONIFICI a favore di terzi. Sempre grazie ai dati raccolti dal
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft, nei pc infetti da malware della famiglia dei BANKER, la frode bancaria risulta possibile anche se l'utente attaccato è dotato di TOKEN o servizi di ultima generazione (SMS, APP, etc.).

Consulta le campagne del mese di Ottobre

Vi invitiamo a consultare i report del mese di Ottobre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

22/10/2019 => Report settimanale 21/10/2019 al 27/10/2019 campagne MalSpam target Italia
14/10/2019 => Report settimanale 12/10/2019 al 18/10/2019 campagne MalSpam target Italia
10/10/2019 => 2019W40 Report settimanale => 05-11/10 2K19 campagne MalSpam target Italia

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft



RANSOMWARE

Il mese di Ottobre si è contraddistinto nella categoria ransomware per l'aumento di attacchi di Ryuk e FTCode, ma non sono mancati nuovi attacchi via RDP e Drive-By-Download.
Abbiamo riscontrato attacchi dai seguenti ransomware:
  • FTCode
  • Ryuk
  • Phobos
  • Rapid
  • Dharma
  • Maze

Nel mese di Ottobre sono continuate in modo massivo le campagne di malspam del Trojan Downloader Emotet, che durante la fase di infezione scarica il Trickbot per prepare la strada all'attacco del ransomware Ryuk.
Anche FTCode è stato diffuso massivamente, si tratta di un ransomware recente scritto in PowerShell che si diffonde vie email attraverso un file .VBS che scaricherà uno script in PowerShell che cifrerà i dati del computer.


Continuano anche a Ottobre gli attacchi via RDP, che hanno permesso un accesso abusivo al sistema per eseguire direttamente il ransomware, in questa particolare situazione hanno veicolato Phobos e Dharma.
Alcune estensioni dei file cifrati utilizzatti dal ransomware Phobos e Dharma:
  • ACTIN
  • BANJO
  • ENCRYPTED
  • MONEY
Il ransomware Phobos deriva da un altro crypto-malware chiamato Dharma, che aveva la peculiarità di essere diffuso attraverso attacchi RDP, ma in questo caso il Dharma è stato veicolato dal malware DanaBot e i file cifrati venivano rinominati con estesione ID-<NUMERO>[3442516480@QQ.COM].PDF.





Per essere aggiornati con le news di TG Soft , vi invitiamo ad iscrivervi alla newsletter 

Torna ad Inizio Pagina

 

 

Quale metodologia viene utilizzata per l'elaborazione della telemetria realizzata dal C.R.A.M. di TG Soft

TG Soft, grazie al suo Centro Anti-Virus/Anti-Malware (C.R.A.M) e alle particolari competenze, è stata riconosciuta da Microsoft, ed in quanto tale inclusa, come membro attivo e partecipante al programma Virus Information Alliance.

La Virus Information Alliance (VIA) è un programma di collaborazione Anti-Malware riservato a fornitori di software di sicurezza, fornitori di servizi di sicurezza, organizzazioni di test Anti-Malware e ad altre organizzazioni coinvolte nella lotta contro il crimine informatico.

I membri del programma VIA collaborano attraverso lo scambio di informazioni tecniche sul software dannoso con Microsoft, con l'obiettivo di migliorare la protezione dei clienti/utenti dei S.O. Microsoft.

Pertanto tutti i dati elaborati in forma numerica e grafica seguono e sottostanno alle specifiche del protocollo VIA, al fine di elaborare i dati di diffusione di virus / malware uniformemente secondo le direttive già in uso da Microsoft, sviluppate a partire dal 2006.


Torna ad Inizio Pagina


Telemetria

Vediamo ora i dati relativi alla prevalenza dei malware registrati dal C.R.A.M. di TG Soft nel mese di ottobre 2019. Per prevalenza si intende l'incidenza che i malware hanno in un determinato periodo. Il valore calcolato si chiama "rate di infezione".

Il rate di infezione viene calcolato dividendo il numero di computer ove siano stati rilevati attacchi per il numero di computer dove è installato Vir.IT. eXplorer.

Al primo posto prevalgono i Trojan dominatori della classifica con una percentuale del 5,68%. Un significativo balzo in avanti si evince chiaramante dal risultato ottenuto dalla categoria Macro Word, al secondo posto (4,22%), a conferma di quanto si è visto nei paragrafi precedenti. Più staccati e in terza posizione i PUP , con una percentuale del 2,08%, chiude il podio la categoria Adware   con il 1,85%. 
Undicesima posizione per i Ransomware  con lo 0,20%. Sono considerati tra i malware  più  pericolosi se non addirittura i più incontrastabili qualora si fosse sprovvisti di tecnologie AntiRansomware Protezione CryptoMalware.
Ricordiamo che per Ransomware vengono considerati tutti i malware che chiedono un riscatto, come, ad esempio, i Cryptomalware (SodinoKibi, GandCrab, CryptoScarab, GlobeImposter2.0, CryptoShade, etc.) e il vecchio e famoso FakeGDF (virus della polizia di stato, guardia di finanza etc.).

Click per ingrandire

Andiamo ora ad analizzare le infezioni del mese di OTTOBRE in base ai sistemi operativi suddivisi tra sistemi Server e Client.

Nelle immagini sottostanti i dati raccolti sono stati suddivisi secondo i sistemi operativi Windows Server e Client in macro categorie, senza dividere per tipo di architettura o per le varianti che la stessa versione può avere (es: Server 2008 R2, Server 2008 R2 Foundation, etc.), calcolati sulla totalità delle macchine (server + client).
Invariata la classifica che vede in prima posizione per Windows Server 2012 (0,22%) seguito da Windows Server2008 (0,15%),
Windows Server 2016 si attesta terzo posto con lo 0,09%. Chiude Windows Server 2003 con lo (0,06%).


 

Nelle statistiche relative ai computer client nel mese di ottobre abbiamo riscontrato che il 15,63% dei terminali è stato infettato  o ha subito un attacco. Questo dato indica che 1 computer su 15 è stato colpito da malware nel mese di ottobre.
Nella figura sottostante possiamo vedere il grafico delle infezioni in base ai sistemi operativi dei Client:




Come abbiamo visto nella figura sopra relativa ai Client, troviamo Windows 10 in prima posizione, come sistema operativo con il maggior numero di infezioni, con il 7,00% e in seconda posizione con una lievissima differenza , troviamo  Windows 7, il quale si attesta al 6,97%.
Al terzo posto ed appena sotto il punto percentuale, Windows XP con lo 0,86% , segue in quarta posizione  Windows 8.1  con lo 0,63% , in quinta piazza Windows Vista con lo 0,12%. Prossimo allo zero  Windows 8 con lo 0,05%.

Windows 10 e Windows 7 coprono quasi l' 88% del parco macchine dei Client, per questo motivo si trovano rispettivamente al primo e al secondo posto.

Ma quale sarà il sistema operativo più sicuro ?

TG Soft fornisce la telemetria sul rate ovvero, il tasso di incidenza percentuale di attacchi suddivisi per sistema operativo rapportati al complessivo numero di computer (PC o Server) ove sia installato quel S.O. (esempio immagine sottostante: se il rate di infezione per il S.O. Windows Vista supera il 16%, significa che, su 100 computer con Windows Vista ove sia presente Vir.IT eXplorer,  16 pc (con Vista) hanno subito un attacco o un'infezione bloccata e/o bonificata da Vir.IT eXplorer).


Nell'immagine sopra è stato graficato il rate degli attacchi/infezioni bloccate e/o bonificate sui PC con Vir.IT eXplorer installato.

In testa alla lista  Windows 7,  primo con un rate del 17,23%.
Al secondo posto troviamo Windows Vista con il 16,40%.
Terza posizione nella classifica per Windows 10 con  il 16,37%.
In quarta posizione troviamo Windows 8.1 con il 15,52%.
Chiude anche  Windows XP con il 12,65% .
Questo grafico va letto partendo dal valore più basso, cioè da Windows XP con rate pari a 12,65%, che indica che 12 pc su 100 con Windows XP sono stati attaccati contro i 17 pc di Windows 7

Sia Windows XP sia Windows 8.1 coprono meno dell'5% del parco macchine, questo valore così basso va ad influenzare il rate di infezione sul medesimo sistema operativo.

L'aumento sensibile del numero di attacchi nel mese di ottobre generati da Emotet (con spostamento laterale all'interno della rete) ha portato anche i sistemi operativi più recenti e tendenzialmente piu sicuri ad avere un rate più elevato. A questo punto il confronto va fatto tra Windows 10 e Windows 7 e come si può vedere Windows 10 è un punto percentuale più sicuro rispetto a Windows 7.
 
È possibile consultare la top 10 del mese di Settembre al seguente link: TOP 10 virus-malware di Ottobre 2019.

Trovate, invece, la definizione di varie tipologie di agenti infestanti nel glossario sui virus & malware
 
 

Integra la difesa del tuo PC / SERVER per rilevare attacchi dai virus/malware realmente circolanti

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie alle seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusion Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Centro Ricerche AntiMalware di TG Soft.

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283