L’Annual Report di Trend Micro

CyberwarSicurezza

Trojan horse, bot worm, spam, spyware e phishing: rubare informazioni per trarne profitto. Le previsioni per il 2006

L’azienda riepiloga la sicurezza informatica nel 2005.

Trojan horse, bot worm, spam, spyware e phishing sono programmi pericolosi che determinano – secondo Trend Micro – la nascita dell’era delle “minacce multi-scopo”. L’obiettivo principale èrubare informazioni per trarne profitto. Secondo il “2005 Annual Report” di Trend Micro, in base all’analisi dei programmi pericolosi rilevati nel corso dell’anno, la Rete è dipinta come l’ultimo selvaggio West”. La maggior parte delle minacce è motivata dalla ricerca di profitti finanziari. L’obiettivo principale è rubare informazioni. Novità assoluta del 2005 è lo “spy-phishing”, una forma di truffa insidiosa. Più in generale, restano in primo piano gli attacchi a tecnica mista (ne è un esempio WORM_BAGLE.BE, abbinamento di Trojan horse e spam). I bot worm e le

reti bot ? che hanno mietuto fino a 200 mila vittime in tutto il mondo – si sono confermati una delle maggiori minacce e, probabilmente, quella con il potenziale di danno più elevato. Cresce il peso di spyware e adware, mentre spam e phishing continuano a rappresentare un problema serio. Da non trascurare anche le minacce correlate a chat e comunicazioni P2P. Tra l’altro, la continua riduzione della finestra tra la scoperta di una vulnerabilità e il suo sfruttamento da parte di un worm fa lievitare i costi per danni e ripristino derivanti da ogni epidemia. Secondo stime di Computer Economics, sono nell’ordine dei miliardi di dollari. Per il futuro potrebbero arrivare ad almeno 11 miliardi di dollari ogni anno. Il 2005 potrebbe essere considerato “l’anno del grayware”, con il 65% delle prime 15 minacce responsabili di quasi 11 milioni di segnalazioni – riguardanti una qualche forma di spyware, adware, backdoor, rootkit o funzionalità bot. Nel complesso, l’apparizione di nuove forme di adware è rimasta stabile, mentre l’emergere di nuovi downloader, dropper, backdoor e altri spyware di natura Trojan horse è più che raddoppiato nel 2005. In generale, il numero di nuove varianti di programmi pericolosi è aumentato meno rispetto agli ultimi anni. La quantità di nuovi virus è rimasta stabile nel corso dell’anno mentre worm e Trojan horse sono stati responsabili di gran parte della modesta crescita registrata. I nuovi

rootkit, anche se in piccola quantità, hanno evidenziato una forte crescita nell’autunno 2005. Il 2005 ha assistito anche all’emergere di un nuovo genere di attacco, quello che Trend Micro ha chiamato “spy-phishing“. Si consideri per esempio un attacco che combini le truffe tipiche del phishing con un attacco di pharming avendo come obiettivo banche online, istituzioni finanziarie e altri siti protetti da password. E’ stato anche l’anno delle minacce a tecnica mista. Spinti dalla ricerca di guadagni finanziari, gli attaccanti non si sono limitati al furto di credenziali bancarie o e-commerce: molti hanno infestato i sistemi delle loro vittime con spyware, adware e altro grayware. Si sono diffuse tecniche di compressione che riducono le dimensioni dei file eseguibili e li rendono differenti dal punto di vista degli scanner tradizionali che non utilizzano emulazione del codice e analisi comportamentale. I rootkit sono stati usati per mascherare le attività di malware e grayware. Modificano il comportamento del sistema operativo per nascondere taluni processi, file, cartelle ed elementi del registry. Sono disponibili e molti utilizzano standard open source. I bot worm sono diventati il malware dalla diffusione più rapida soprattutto grazie alla loro trasformazione in progetti open source realizzati in modalità modulare. Aggiungendo e perfezionando nuovi moduli i bot si sono evoluti da attacco tradizionalmente lento a una nuova categoria: il malware dalla diffusione più rapida possibile di sempre, potendo diventare worm di posta elettronica, worm di rete, worm P2P o tutto quanto contemporaneamente. Grazie alla superiore flessibilità, riescono a sfruttare qualsiasi nuova vulnerabilità non appena sia pubblicata sul Web. ZOTOB ha lasciato trascorrere solo 5 giorni tra l’annuncio della vulnerabilità e il suo sfruttamento all’interno di un worm. Le principali famiglie di bot possiedono migliaia di varianti documentate, con riscontri nell’ordine dei milioni di casi. Sul fronte dello spam vi sono state alcune modifiche significative in termini di contenuti: lo spam commerciale si è quasi dimezzato rispetto al 2004, mentre i messaggi legati a offerte formative/didattiche è raddoppiato. Da rilevare inoltre la crescita del 20% registrata dallo spam in lingue diverse dall’inglese, ciò significa che lo spam è sempre più localizzato per aumentare la propria efficacia. Secondo gli esperti di Trend Micro,nel 2006 si assisterà a un’ulteriore “espansione” delle minacce in atto: cresceranno i casi di spy-phishing e in particolare lo spear-phishing (gli attacchi di phishing mirati a determinate organizzazioni) diverrà la maggiore preoccupazione per le aziende. Il tempo necessario per sfruttare una data vulnerabilità continuerà a ridursi, mentre assisteremo all’impiego sempre più massiccio di bot e bot-net. È possibile prevedere un’ulteriore diffusione dei rootkit e di altre tecnologie di mascheramento oltre a una crescita inarrestabile di adware e spyware.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore