Selected news item is not available in the requested language.

Italian language proposed.

Close

02/10/2019
10:18

C.R.A.M. di TG Soft => Telemetria dei virus/malware in Italia 2019-09


L'analisi del Centro Ricerche Anti-Malware di TG Soft sui virus/malware diffusi nel mese di SETTEMBRE 2019



Il C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche dei virus/malware realmente circolanti nel mese di settembre 2019. Scopriamo quali sono le famiglie e varianti di Malware che hanno attaccato i PC/SERVER degli utenti/clienti.
 
Centro Ricerche Anti-Malware di TG Soft

INDICE


Analisi dei virus/malware

I dati della telemetria del C.R.A.M. di TG Soft sono ottenuti dai computer monitorati dal software anti-virus Vir.IT eXplorer PRO.
Le segnalazioni derivano da attacchi bloccati oppure malware riscontrati all'interno del parco macchine monitorate.

Nella tabella sottostante vediamo le statistiche del malware suddivise per:

  1. Tipologia del malware
  2. Singolo malware

Con il termine malware intediamo qualsiamo tipologia di software malevolo che possa arrecare danno al sistema informatica.
I malware si suddividono in diverse tipologie: Adware, Backdoor, Trojan, Worm, Virus, PUA/PUP, Deceptor, etc.


Nel mese di Settembre le statistiche per tipologia hanno confermato al primo posto la famiglia di Trojan con il 30,27%, seguiti immediate dai PUP (Potentially Unwanted Program) con il 29,73 e staccati al terzo posto il macro gruppo "Altro", che contengo le tipologie dei Virus, con il 21,71%.

Interessante notare che il numero dei sample distinti di Trojan riscontrati nel parco monitorato sono stati 2708 ed hanno prodotto il 30,27% delle infezioni, contro i 472 sample distinti dei PUP che hanno infettato per il 29,73%.




Le statistiche per singolo malware vedono sempre al primo posto il PUP.Win32.MindSpark con la variante F saldamente in vetta alla Top 10, seguito dal Trojan.VBS.Agent.AV e al terzo posto troviamo il PUP.Win32.Resoft.B.

Interessante notare che nella Top 10 dei singoli malware di Settembre troviamo ben 7 varianti di PUP, ma un solo Trojan e due Virus. Sei i PUP sono programmi indesiderati che possono rallentare il computer o installare fastidiosi Adware, Trojan e Virus possono essere invece molto più letali.

Nella Top 10 troviamo sue vecchie conoscenze dei virus: Win32.Sality e Win32.Delf.


PUP.Win32.MindSpark è oramai il consueto primatista nella Top10 e anche a settembre non si smentisce. Attenzione quindi ai browser compromessi, con home page contraffatte e ricche di oggetti "poco attendibili". Sintomo evidente di tale infezione il rallentamento della navigazione e la comparsa inaspettata di pubblicità.
Ecco alcune immagini di come MinkSpark e altri PUP si manifestano nei browser.
 
MIND SPARK
(home page alterata)
CONDUIT
(banner indesiderati)
 DEALPLY
(pop-up indesiderati)
MindSpark
MindSpark
MindSpark


Si presentano anche  settembre, occupano la quinta e l'ottava posizione,  sono entrambi virus che infettano i file di tipo eseguibile (applicazioni) e integrano un polimorfismo particolarmente sofisticato.
Sality E' proprio quest'ultima caratteristica che rende  Win32.Sality.BH e Win32.Delf.FE tecnicamente complicati da rimuovere, infatti non risulta semplice identificare correttamente tutte le possibili mutazioni dei file intaccati da essi. Un file eseguibile rimasto infetto da questo tipo di virus, può dare nuovamente inizio ad una nuova infezione vanificando tutto il lavoro di pulizia eseguito fino a quel momento.
E' di fondamentale importanza quindi, essere certi che un file, in precedenza segnalato come infetto da  Win32.Sality.BH e Win32.Delf.FE, venga realmente bonificato prima della sua nuova esecuzione e nel caso di mancata bonifica provvedere alla sua sostituzione / cancellazione.
  


Analisi dei virus/malware che si diffondono via email

Nella tabella sottostante vediamo le statistiche del malware diffusi via e-mail suddivisi per:

  1. Tipologia del malware
  2. Singolo malware


Nel mese di Settembre le statistiche per tipologia hanno confermato al primo posto la famiglia dei "Macro Virus" con il 65,66% e seguiti dai Trojan con il 33,37%.

Interessante notare che il numero dei sample distinti "Macro Virus" riscontrati nel parco monitorato sono stati 87 ed hanno prodotto il 65,66% degli attacchi via email, contro i 200 sample distinti dei Trojan che hanno attaccato per il 33,37%.

 
   

Importante consolidamento in vetta per la categoria MACRO VIRUS che nel mese di settembre doppia la categoria TROJAN. (colonna di sx)
Sono le varianti di X97M.Downloader ad occupare ben nove posizioni nella TOP10 contro le quattro occupate nel mese precedente.

Per quanto riguarda i TROJAN, il secondo posto del Trojan.Win32.Dnldr27.DPZA rimane l'unica alternativa nella Top10, confermando comunque un importante veicolazione di forme di malware di tipo eseguibile e script, anche nel mese di settembre.

Sempre nel mese di Settembre la scelta degli allegati in formato EXCEL (colonna destra) è stata comunque la più gettonata, va ricordato che gli allegati pericolosi in formato Excel e/o Word, infettano il sistema solo quando si tenta di aprirli e si abilitano appunto le macro in essi contenute.

Altra tipologia di allegato da non sottovalutare è il tipico file compresso, sia esso .ZIP, .ARJ o altro (anche il formato .ISO, noto per le masterizzazioni di CD/DVD, viene utilizzato). All'interno di questi archivi vengono opportunamente piazzati dei file eseguibili o degli script, solo l'esecuzione di quest'ultimi avvia l'attacco che se portato a termine infetterà il sistema.


Sality
Sality

L'UTENTE HA APERTO L'ALLEGATO - Cosa rischia?
Secondo i dati in possesso dal C.R.A.M. di TGSoft, un rischio frequente dopo l'apertura dell'allegato e conseguente esecuzione di MACRO , SCRIPT o di FILE ESEGUIBILI, è quello di introdurre nel sistema operativo uno o più malware progettati per esfiltrare le credenziali di accesso dei principali servizi web.

Per rendere gli attacchi più efficaci, gli allegati malevoli vengono inviati anche da caselle di posta note alla vittima (es. clienti e/o fornitori) e anche da caselle PEC.
Entrambe le circostanze indicano che le credenziali di posta del mittente sono state precedentemente e illegalmente sottratte.
Con questo metodo, il ricevente, ovvero la vittima, non può permettersi di accertare l'attendibilità del messaggio ricevuto basandosi unicamente sulla bontà del mittente.

 
Sality Sality

PERICOLO HOME BANKING:
TOKEN - OTP - SMS non garantiscono una sicurezza assoluta!!!

I servizi Home Banking potrebbero essere oggetto di accessi da parte di persone non autorizzate allo scopo di effettuare operazioni come ad esempio BONIFICI a favore di terzi. Sempre grazie ai dati raccolti dal
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft, nei pc infetti da malware della famiglia dei BANKER, la frode bancaria risulta possibile anche se l'utente attaccato è dotato di TOKEN o servizi di ultima generazione (SMS, APP, etc.).

Consulta le campagne del mese di Settembre

Vi invitiamo a consultare i report del mese di Settembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:


30/09/2019 => Report settimanale delle campagne italiane di malspam dal 28 settembre al 4 ottobre 2019
23/09/2019 => Report settimanale delle campagne italiane di malspam dal 23 al 27 settembre 2019

16/09/2019 => Report settimanale delle campagne italiane di malspam dal 16 al 20 settembre 2019
09/09/2019 => Report settimanale delle campagne italiane di malspam dal 07 al 13 settembre 2019
02/09/2019 => Report settimanale delle campagne italiane di MalSpam dal 31 agosto al 06 settembre 2019

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft



RANSOMWARE

Il mese di Settembre è saltato alla ribalta nella categoria ransomware per la scoperta da parte di TG Soft di un nuovo crypto-malware chiamato FTCode diffuso via email e da JasperLoader, ma non sono mancati nuovi attacchi via RDP e Drive-By-Download.
Abbiamo riscontrato attacchi dai seguenti ransomware:
  • Phobos
  • Dharma
  • Ryuk
  • Buran
  • FTCode
  • GlobeImposter
  • Sodinokibi
Il mese di Settembre ha visto anche il ritorno del Trojan Downloader Emotet, che durante la fase di infezione scarica il Trickbot per prepare la strada all'attacco del ransomware Ryuk.
FTCode è nuovo ransomware scritto in PowerShell che si diffonde vie email attraverso un file .VBS che scaricherà uno script in PowerShell che cifrerà i dati del computer.


Continuano anche a settembreo gli attacchi via RDP, che hanno permesso un accesso abusivo al sistema per eseguire direttamente il ransomware, in questa particolare situazione hanno veicolato Phobos, Dharma e Sodinokibi (aka REvil). Il C.r.a.m. di TG Soft ha inviduato che gli autori degli attacchi RDP provengono dai seguenti IP:
  • 141.98.252.170 (United Kingdom)
  • 193.188.22.136 (Russian Federation)
  • 80.82.77.67 (Netherlands)
  • 177.134.19.20 (Brazil)
  • 184.69.197.142 (Canada)
  • 188.64.170.221 (Russian Federation)
  • 185.137.233.134 (Russian Federation)
  • 66.64.62.162 (United States)
  • 81.171.57.98 (Netherlands)
  • 81.171.81.48 (Netherlands)
  • 81.171.81.120 (Netherlands)
  • 184.69.126.46 (Canada)
  • 185.137.234.105 (Russian Federation)
  • 212.92.101.85 (Russian Federation)
  • 212.92.101.87 Russian Federation)

Alcune estensioni dei file cifrati utilizzatti dal ransomware Phobos e Dharma:
  • BANKS
  • HARMA
  • PDF
  • MONEY
  • BANTA
  • ACUTE

Il ransomware Phobos deriva da un altro crypto-malware chiamato Dharma, che aveva la peculiarità di essere diffuso attraverso attacchi RDP, ma in questo caso il Dharma è stato veicolato dal malware DanaBot e i file cifrati venivano rinominati con estesione ID-<NUMERO>[3442516480@QQ.COM].PDF.
Sodinokibi, noto anche con il nome REvil, non è un ransomware nuovo, ne avevamo parlato anche nel mese di maggio, ma ad agosto sono continuati gli attacchi via RDP e la distibuzione attraverso il Rig-EK .

Per maggiori informazioni sul ransomware Sodinokibi - REvil potete leggere  la nostra analisi tecnica: https://www.tgsoft.it/italy/news_archivio.asp?id=1004


 

ANCORA CYBER  ESTORSIONE - SEX TORTION

Come di consueto, segnaliamo ancora la presenza di campagne di SPAM che ricattano i malcapitati utenti, veicolati dalla minaccia di divulgare un video privato per tentare una estorsione in denaro (Bitcoin).

Di seguito due esempi di ricatto avvenuti a settembre 2019, sia con testo in italiano (immagine a sx) sia con testo in inglese (immagine a dx).

8 Settembre 2019:
"Che **** fai, pedofilo?"
  2 Settembre 2019:
"You account was crack..."
 
Che **** fai, pedofilo?
 
You system was infected
 
 
Progettare, diffondere e rendere prolifico un malware non è cosa da principianti, quasi sempre, un malware che raggiunge particolare notorietà, rappresenta l'apice della tecnologia, mettendo a volte in difficoltà gli stessi sviluppatori di sistemi operativi e sicurezza.
Sex Tortion sta dimostrando che un'eccellente "Ingegneria Sociale" unita ad una insufficente formazione degli utenti, può generare ugualmente profitti, senza la necessità di utilizzare tecniche di programmazione sofisticate. Altre info qui.

Per essere aggiornati con le news di TG Soft , vi invitiamo ad iscrivervi alla newsletter 

Torna ad Inizio Pagina

 

 

Quale metodologia viene utilizzata per l'elaborazione della telemetria realizzata dal C.R.A.M. di TG Soft

TG Soft, grazie al suo Centro Anti-Virus/Anti-Malware (C.R.A.M) e alle particolari competenze, è stata riconosciuta da Microsoft, ed in quanto tale inclusa, come membro attivo e partecipante al programma Virus Information Alliance.

La Virus Information Alliance (VIA) è un programma di collaborazione Anti-Malware riservato a fornitori di software di sicurezza, fornitori di servizi di sicurezza, organizzazioni di test Anti-Malware e ad altre organizzazioni coinvolte nella lotta contro il crimine informatico.

I membri del programma VIA collaborano attraverso lo scambio di informazioni tecniche sul software dannoso con Microsoft, con l'obiettivo di migliorare la protezione dei clienti/utenti dei S.O. Microsoft.

Pertanto tutti i dati elaborati in forma numerica e grafica seguono e sottostanno alle specifiche del protocollo VIA, al fine di elaborare i dati di diffusione di virus / malware uniformemente secondo le direttive già in uso da Microsoft, sviluppate a partire dal 2006.


Torna ad Inizio Pagina



Telemetria

Vediamo ora i dati relativi alla prevalenza dei malware registrati dal C.R.A.M. di TG Soft nel mese di settembre 2019. Per prevalenza si intende l'incidenza che i malware hanno in un determinato periodo. Il valore calcolato si chiama "rate di infezione".

Il rate di infezione viene calcolato dividendo il numero di computer ove siano stati rilevati attacchi per il numero di computer dove è installato Vir.IT. eXplorer.

Al primo posto prevalgono i Trojan dominatori della classifica con una percentuale del 5,06%, più staccati e al secondo posto i PUP , con una percentuale del 2,62%, chiude il podio la categoria Adware   con il 2,29%. 
Per i Ransomware  lieve risalita con lo 0,24%  (era 0,19%). Sono inseriti tra i malware  più  pericolosi se non addirittura i più incontrastabili qualora si fosse sprovvisti di tecnologie AntiRansomware Protezione CryptoMalware.
Ricordiamo che per Ransomware vengono considerati tutti i malware che chiedono un riscatto, come, ad esempio, i Cryptomalware (SodinoKibi, GandCrab, CryptoScarab, GlobeImposter2.0, CryptoShade, etc.) e il vecchio e famoso FakeGDF (virus della polizia di stato, guardia di finanza etc.).

Click per ingrandire

Andiamo ora ad analizzare le infezioni del mese di SETTEMBRE in base ai sistemi operativi suddivisi tra sistemi Server e Client.

Nelle immagini sottostanti i dati raccolti sono stati suddivisi secondo i sistemi operativi Windows Server e Client in macro categorie, senza dividere per tipo di architettura o per le varianti che la stessa versione può avere (es: Server 2008 R2, Server 2008 R2 Foundation, etc.), calcolati sulla totalità delle macchine (server + client).
Invariata la classifica che vede in prima posizione per Windows Server 2012 (0,18%) seguito da Windows Server2008 (0,11%),
Windows Server 2016 si attesta terzo posto con lo 0,05%. Chiude Windows Server 2003 con lo (0,03%).


 

Nelle statistiche relative ai computer client nel mese di settembre abbiamo riscontrato che il 13,15% dei terminali è stato infettato  o ha subito un attacco. Questo dato indica che 1 computer su 13 è stato colpito da malware nel mese di settembre.
Nella figura sottostante possiamo vedere il grafico delle infezioni in base ai sistemi operativi dei Client:




Come abbiamo visto nella figura sopra relativa ai Client, troviamo Windows 7 in prima posizione, come sistema operativo con il maggior numero di infezioni, con il 4,82% e in seconda posizione con un punto percentuali di distacco, troviamo  Windows 10, il quale si attesta a 4,06%.
Al terzo posto e lievemente sopra il punto percentuale, Windows XP con l'1,02% , segue in quarta posizione  Windows 8.1  con lo 0,53% , in quinta piazza Windows Vista con lo 0,12%. Prossimo allo zero  Windows 8 con lo 0,05%.

Windows 7 e Windows 10 coprono quasi l' 84% del parco macchine dei Client, per questo motivo si trovano rispettivamente al primo e al secondo posto.

Ma quale sarà il sistema operativo più sicuro ?

TG Soft fornisce la telemetria sul rate ovvero, il tasso di incidenza percentuale di attacchi suddivisi per sistema operativo rapportati al complessivo numero di computer (PC o Server) ove sia installato quel S.O. (esempio immagine sottostante: se il rate di infezione per il S.O. Windows Vista supera il 16%, significa che, su 100 computer con Windows Vista ove sia presente Vir.IT eXplorer,  16 pc (con Vista) hanno subito un attacco o un'infezione bloccata e/o bonificata da Vir.IT eXplorer).


Nell'immagine sopra è stato graficato il rate degli attacchi/infezioni bloccate e/o bonificate sui PC con Vir.IT eXplorer installato.

In testa alla lista  Windows Vista,  primo con un rate del 16,70%.
Al secondo posto troviamo Windows XP con il 14,61%.
Terza posizione nella classifica per Windows 8.1 con  il 12,99%.
In quarta posizione troviamo Windows 7 con il 11,72%.
Chiude anche ad agosto Windows 10 con il 9,76% .
Questo grafico va letto partendo dal valore più basso, cioè da Windows 10 con rate pari a 9,76%, che indica che 9 pc su 100 con Windows 10 sono stati attaccati contro i 16 pc di Windows Vista.

La chiusura estiva di molte società nel mese di settembre può avere influenzato il rate di infezione calcolato per i sistemi operativi, come possiamo vedere nel caso di Windows XP.

 
È possibile consultare la top 10 del mese di Settembre al seguente link: TOP 10 virus-malware di Settembre 2019.

Trovate, invece, la definizione di varie tipologie di agenti infestanti nel glossario sui virus & malware
 
 

Integra la difesa del tuo PC / SERVER per rilevare attacchi dai virus/malware realmente circolanti

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie alle seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusion Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

Centro Ricerche AntiMalware di TG Soft.
Torna ad Inizio Pagina
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: