I dati della telemetria del C.R.A.M. di TG Soft sono ottenuti dai computer monitorati dal software anti-virus Vir.IT eXplorer PRO.
Le segnalazioni derivano da attacchi bloccati oppure malware riscontrati all'interno del parco macchine monitorate.
Nella tabella sottostante vediamo le statistiche del malware suddivise per:
Con il termine malware intediamo qualsiamo tipologia di software malevolo che possa arrecare danno al sistema informatica.
I malware si suddividono in diverse tipologie: Adware, Backdoor, Trojan, Worm, Virus, PUA/PUP, Deceptor, etc.
Per quanto riguarda i singoli virus/malware, da segnalare il ritorno in vetta del
. Attenzione come sempre quindi ai browser compromessi, con home page contraffatte e ricche di oggetti "poco attendibili".
di novembre. Ricordiamo che
Analisi dei virus/malware che si diffondono via email
Nella tabella sottostante vediamo le statistiche del malware diffusi via e-mail suddivisi per:
- Tipologia del malware
- Singolo malware
Si ripete anche questo mese lo straordinario risultato ottenuto dalla tipologia Macro Virus ( 86,80%) dovute alle massive campagne dell'Emotet. E' l'ennesima conferma che i pericoli diffusi tramite mail hanno riguardato principalmente allegati Word ed Excel.
Trojan nuovamente "schiacciati" al secondo posto con il 12,98%.
Nelle prime due posizioni si può notare che il divario dei sample è aumentato a favore dei Trojan mentre le percentuali di attacco sono rimaste pressoche invariate rispetto al mese precedente.
Il numero di sample distinti non ha inficiato quindi sulle prestazioni dei Macro Virus. |
|
Ben distanziate e prossime allo zero le categorie Altro Phishing e Worm, mentre risultano azzerate tutte le altre categorie monitorate.
Dalla statistica per singolo malware nella sezione MAIL si evince un uso preponderante degli allegati in formato .DOC e .XLS, le varianti di di W97M.Downloader e X97M.Downloader occupano eccezionalmente tutte le posizioni nella TOP10. Il formato .DOC primeggia come numero di varianti (6 su 10) e come posizione (occupa le prime 3) grazie alle massive quotidiane campagne del'Emotet.
Va ricordato che gli allegati pericolosi in formato Word e/o Excel, infettano il sistema solo quando si tenta di aprirli e si abilitano appunto le macro in essi contenute.
Tra le tipologie di allegato da non sottovalutare vi è anche il tipico file compresso, sia esso .ZIP, .ARJ o altro (anche il formato .ISO, noto per le masterizzazioni di CD/DVD, viene utilizzato). All'interno di questi archivi vengono opportunamente piazzati dei documenti .DOC, dei documenti .XLS, file eseguibili o degli script, solo l'esecuzione di quest'ultimi avvia l'attacco che se portato a termine infetterà il sistema.
L'UTENTE HA APERTO L'ALLEGATO - Cosa rischia?
Secondo i dati in possesso dal C.R.A.M. di TGSoft, un rischio frequente dopo l'apertura dell'allegato e conseguente esecuzione di
MACRO , SCRIPT o di
FILE ESEGUIBILI, è quello di introdurre nel sistema operativo uno o più malware progettati per
esfiltrare le credenziali di accesso dei principali servizi web.
Per rendere gli attacchi più efficaci, gli allegati malevoli vengono inviati anche da caselle di posta
note alla vittima (es. clienti e/o fornitori) e anche da
caselle PEC.
Entrambe le circostanze indicano che le credenziali di posta del mittente sono state precedentemente e
illegalmente sottratte.
Con questo metodo, il ricevente, ovvero la vittima,
non può permettersi di accertare l'attendibilità del messaggio ricevuto basandosi unicamente sulla bontà del mittente.
RANSOMWARE
Il mese di Novembre si è contraddistinto nella categoria ransomware per l'aumento di attacchi di Ryuk e FTCode, ma non sono mancati nuovi attacchi via RDP e Drive-By-Download.
Abbiamo riscontrato attacchi dai seguenti ransomware:
- FTCode
- Ryuk
- Phobos
- Hermes
Nel mese di Novembree sono continuate in modo massivo le campagne di malspam del Trojan Downloader Emotet, che durante la fase di infezione scarica il Trickbot per prepare la strada all'attacco del ransomware Ryuk.
Anche FTCode è stato diffuso massivamente, si tratta di un ransomware recente scritto in PowerShell che si diffonde vie email attraverso un file .VBS che scaricherà uno script in PowerShell che cifrerà i dati del computer.
Continuano anche a Ottobre gli attacchi via RDP, che hanno permesso un accesso abusivo al sistema per eseguire direttamente il ransomware, in questa particolare situazione hanno veicolato Phobos.
Alcune estensioni dei file cifrati utilizzatti dal ransomware Phobos:
Il ransomware Phobos deriva da un altro crypto-malware chiamato Dharma, che aveva la peculiarità di essere diffuso attraverso attacchi RDP.
E' stato identifcato anche un attacco fa parte del ransomware Hermes, da cui deriva invece il più famoso Ryuk.
 |
Per essere aggiornati con le news di TG Soft , vi invitiamo ad iscrivervi alla newsletter |
Torna ad Inizio Pagina
Quale metodologia viene utilizzata per l'elaborazione della telemetria realizzata dal C.R.A.M. di TG Soft
TG Soft, grazie al suo Centro Anti-Virus/Anti-Malware (C.R.A.M) e alle particolari competenze, è stata riconosciuta da Microsoft, ed in quanto tale inclusa, come membro attivo e partecipante al programma Virus Information Alliance.
La Virus Information Alliance (VIA) è un programma di collaborazione Anti-Malware riservato a fornitori di software di sicurezza, fornitori di servizi di sicurezza, organizzazioni di test Anti-Malware e ad altre organizzazioni coinvolte nella lotta contro il crimine informatico.
I membri del programma VIA collaborano attraverso lo scambio di informazioni tecniche sul software dannoso con Microsoft, con l'obiettivo di migliorare la protezione dei clienti/utenti dei S.O. Microsoft.
Pertanto tutti i dati elaborati in forma numerica e grafica seguono e sottostanno alle specifiche del protocollo VIA, al fine di elaborare i dati di diffusione di virus / malware uniformemente secondo le direttive già in uso da Microsoft, sviluppate a partire dal 2006.
Torna ad Inizio Pagina
Telemetria
Vediamo ora i dati relativi alla
prevalenza dei malware registrati dal
C.R.A.M. di
TG Soft nel mese di novembre 2019. Per
prevalenza si intende l'incidenza che i malware hanno in un determinato periodo. Il valore calcolato si chiama "
rate di infezione".
Il rate di infezione viene calcolato dividendo il numero di computer ove siano stati rilevati attacchi per il numero di computer dove è installato Vir.IT. eXplorer.
Al primo posto confermati i
Trojan con una percentuale del
5,66%. Mantiene il secondo posto anche a novembre la categoria
Macro Word con il
2,67%, a conferma di quanto si è visto nei paragrafi precedenti
. Più staccati e in terza posizione i
PUP , con una percentuale del
2,34%, fuori dalo la categoria
Adware con il
2,19%.
Undicesima posizione per i
Ransomware con lo
0,25%. Sono considerati tra i malware più
pericolosi se non addirittura i più incontrastabili qualora si fosse sprovvisti di
tecnologie AntiRansomware Protezione CryptoMalware.
Ricordiamo che per
Ransomware vengono considerati tutti i malware che chiedono un riscatto, come, ad esempio, i
Cryptomalware (
SodinoKibi,
GandCrab,
CryptoScarab,
GlobeImposter2.0,
CryptoShade, etc.) e il vecchio e famoso
FakeGDF (virus della polizia di stato, guardia di finanza etc.).
Andiamo ora ad analizzare le infezioni del mese di NOVEMBRE in base ai sistemi operativi suddivisi tra sistemi Server e Client.
Nelle immagini sottostanti i dati raccolti sono stati suddivisi secondo i sistemi operativi Windows Server e Client in macro categorie, senza dividere per tipo di architettura o per le varianti che la stessa versione può avere (es: Server 2008 R2, Server 2008 R2 Foundation, etc.), calcolati sulla totalità delle macchine (server + client).
Invariata la classifica che vede in prima posizione per Windows Server 2012 (0,20%) seguito da Windows Server2008 (0,15%),
Windows Server 2016 si attesta terzo posto con lo 0,06%. Chiude Windows Server 2003 con lo (0,06%).
Nelle statistiche relative ai computer client nel mese di novembre abbiamo riscontrato che l'
11,63% dei terminali è stato infettato o ha subito un attacco. Questo dato indica che
1 computer su 9 è stato colpito da malware nel mese di novembre.
Nella figura sottostante possiamo vedere il grafico delle infezioni in base ai sistemi operativi dei Client:
Come abbiamo visto nella figura sopra relativa ai Client, troviamo Windows 7 in prima posizione, come sistema operativo con il maggior numero di infezioni, con il 5,35% e in seconda posizione con una differenza di quasi un punto percentuale, troviamo Windows 10, il quale si attesta al 4,66%.
Al terzo posto ed appena sopra il punto percentuale, Windows XP con l'1,02% , segue in quarta posizione Windows 8.1 con lo 0,47% , in quinta piazza Windows Vista con lo 0,09%. Prossimo allo zero Windows 8 con lo 0,04%.
Windows 7 e Windows 10 coprono quasi l' 88% del parco macchine dei Client, per questo motivo si trovano rispettivamente al primo e al secondo posto.
Ma quale sarà il sistema operativo più sicuro ?
TG Soft fornisce la telemetria sul rate ovvero, il tasso di incidenza percentuale di attacchi suddivisi per sistema operativo rapportati al complessivo numero di computer (PC o Server) ove sia installato quel S.O. (esempio immagine sottostante: se il rate di infezione per il S.O. Windows Vista supera il 16%, significa che, su 100 computer con Windows Vista ove sia presente Vir.IT eXplorer, 16 pc (con Vista) hanno subito un attacco o un'infezione bloccata e/o bonificata da Vir.IT eXplorer).
Nell'immagine sopra è stato graficato il rate degli attacchi/infezioni bloccate e/o bonificate sui PC con Vir.IT eXplorer installato.
In testa alla lista Windows XP, primo con un rate del 15,83%.
Al secondo posto troviamo Windows Vista con il 13,86%.
Terza posizione nella classifica per Windows 7 con il 13,43%.
In quarta posizione troviamo Windows 8.1 con il 11,67%.
Chiude anche Windows 10 con il 10,63%, un punto percentuale sotto il precedente sistema e unico sotto la soglia degli 11 punti percentuali.
Questo grafico va letto partendo dal valore più basso, cioè da Windows 10 con rate pari a 10,63%, che indica che 10 pc su 100 con Windows 10 sono stati attaccati contro i 16 pc di Windows 7
Sia Windows XP sia Windows 8.1 coprono meno dell'5% del parco macchine, questo valore così basso va ad influenzare il rate di infezione sul medesimo sistema operativo.
Dopo un ottobre "alterato" dalle innumerevoli infezioni da Emotet, con il conseguente aumento delle rilevazioni generato anche dallo spostamento laterale del Trojan all'interno della rete, novembre ri-presenta una situazione standard, in cui i sistemi operativi piu recenti, risultano essere anche i più sicuri.
Integra la difesa del tuo PC / SERVER per rilevare attacchi dai virus/malware realmente circolanti
| Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie alle seguenti caratteristiche peculiari: |
 |
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusion Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
