Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: panoramica sulle attività dei virus per l'anno 2017

29 dicembre 2017

Dal punto di vista della sicurezza informatica l'anno 2017 sarà ricordato, senz'altro, per gli eventi degni di nota, quali gli attacchi globali dei worm cryptolocker WannaCry, NePetya e BadRabbit, e inoltre per la comparsa di un numero significativo di trojan Linux per il cosiddetto "Internet degli oggetti". Inoltre, questo anno è stato segnato dalla diffusione su numerosi siti web di script malevoli progettati per il mining (l'estrazione) di una criptovaluta.

Di primavera del 2017 gli analisti dei virus dell'azienda Doctor Web hanno esaminato un nuovo backdoor per il sistema operativo macOS — questo è stato uno dei pochi programmi malevoli per l'SO Apple, aggiunti ai database dei virus quest'anno. Inoltre, durante i 12 mesi passati sono comparsi nuovi trojan banker studiati per rubare fondi ai clienti di istituti di credito: uno di tali programmi malevoli, Trojan.PWS.Sphinx.2 , è stato analizzato dagli analisti Doctor Web a febbraio, e un altro, Trojan.Gozi.64, a novembre 2017.

Durante l'anno passato i truffatori sulla rete mostravano elevata attività: l'azienda Doctor Web segnalava diverse volte di aver smascherato nuovi schemi pensati per ingannare utenti di Internet. Lo scorso marzo i truffatori sulla rete cercavano di spillare denaro a proprietari e amministratori di varie risorse Internet, per cui avevano creato circa 500 pagine web fraudolente. Nelle loro email di spam i criminali informatici cercavano di farsi passare per i dipendenti delle aziende "Yandex" e "RU-Center", e inoltre hanno inventato uno schema fraudolento in cui richiedevano alla potenziale vittima di indicare il suo numero del certificato di assicurazione pensionistica per prelevare un pagamento non esistente. Inoltre, a luglio è stato compromesso il portale dei servizi per il cittadino della Federazione Russa (gosuslugi.ru), nelle cui pagine gli sconosciuti avevano inserito un codice potenzialmente pericoloso. Questa falla è stata presto eliminata dall'amministrazione del portale.

Il 2017 non è stato un anno tranquillo neanche per i proprietari dei dispositivi mobili con l'SO Google Android. D'estate gli analisti Doctor Web hanno esaminato un trojan banker Android multifunzionale che otteneva il controllo del dispositivo e rubava informazioni confidenziali ai clienti di istituzioni creditizie e finanziarie. Inoltre, nella directory Google Play è stato rilevato un gioco con un trojan downloader incorporato, scaricato da oltre un milione di utenti. Durante l'anno scorso gli specialisti Doctor Web scoprivano trojan Android preinstallati in firmware di fabbrica di dispositivi mobili, e inoltre molti altri programmi malevoli e potenzialmente pericolosi per questa piattaforma.

Le principali tendenze dell'anno

  • Comparsi pericolosi worm cryptolocker capaci di diffondersi senza la partecipazione degli utenti;
  • Cresciuto il numero di trojan Linux per l'"Internet degli oggetti";
  • Diffusione di pericolosi programmi malevoli per la piattaforma mobile Android.

Gli eventi più interessanti del 2017

I trojan cryptolocker, programmi che cifrano file e chiedono il riscatto per il ripristino, di solito venivano distribuiti con il pretesto di qualche utility "indispensabile" o tramite messaggi di posta malevoli. In quest'ultimo caso i malfattori includevano nell'email, anziché il cryptolocker stesso, un piccolo trojan downloader che a tentativo di apertura dell'allegato scaricava e avviava il programma ransomware. Allo stesso tempo i programmi worm, che sono capaci di diffondersi via rete in autonomo, prima non venivano utilizzati per la criptazione di file, ma avevano altre funzionalità dannose — un rappresentante di questa classe è stato analizzato dagli specialisti Doctor Web all'inizio dell'anno scorso. Il primo cryptolocker che combina le possibilità di un cryptolocker e un worm di rete è stato il Trojan.Encoder.11432, ampiamente conosciuto come WannaCry.

La massiccia diffusione di questo programma malevolo ha avuto inizio alle 10 di mattina il 12 maggio 2017. Per infettare altri computer, il worm utilizzava una vulnerabilità nel protocollo SMB (MS17-10), e in particolare, erano a rischio sia nodi di una rete locale che computer in Internet con indirizzi IP arbitrari. Il worm era costituito da diversi componenti, uno di cui era il cryptolocker.

screenshot Encoder11432 #drweb

Trojan.Encoder.11432 criptava file utilizzando una chiave arbitraria; tra i suoi moduli era un decryptor che permetteva di decriptare alcuni file gratis in modalità di prova. È interessante notare che questi file casualmente selezionati venivano cifrati attraverso una chiave completamente diversa, perciò il loro ripristino non garantiva il successo della decriptazione degli altri dati. Uno studio dettagliato di questo cryptolocker è stato pubblicato sul nostro sito a maggio 2017.

Poco tempo dopo si è verificata un'altra epidemia di un worm cryptolocker, denominato da diverse fonti NePetya, Petya.A, ExPetya e WannaCry-2 (ad esso sono stati attribuiti questi nomi a causa di un'apparente somiglianza con un trojan che si diffondeva in precedenza denominato Petya — Trojan.Ransom.369 ). NePetya è stato aggiunto ai database dei virus Dr.Web sotto il nome Trojan.Encoder.12544.

Come il suo predecessore WannaCry, il worm cryptolocker Trojan.Encoder.12544 utilizzava per la sua diffusione una vulnerabilità nel protocollo SMB, però in questo caso in un tempo abbastanza breve è stato possibile identificare la fonte di diffusione originale del worm. Era il modulo di aggiornamento del software M.E.Doc studiato per la contabilità fiscale nell'Ucraina. Proprio per questo motivo utenti privati e aziende ucraini erano le prime vittime di Trojan.Encoder.12544. Gli specialisti Doctor Web hanno esaminato dettagliatamente il software M.E.Doc e hanno trovato che uno dei suoi componenti contiene un backdoor a tutti gli effetti, che può raccogliere login e password di accesso a server di posta, scaricare e avviare sul computer qualsiasi applicazione, eseguire comandi arbitrari nel sistema, e inoltre trasmettere file dal computer su un server remoto. NePetya ha approfittato di questo backdoor, e ancora prima di esso lo aveva fatto almeno un altro trojan cryptolocker.

screenshot petya #drweb

Lo studio di Trojan.Encoder.12544 ha mostrato che questo cryptolocker dall'inizio non prevedeva la possibilità di decriptazione di file danneggiati. Allo stesso tempo possedeva un arsenale piuttosto ricco di funzioni malevole. Esso impiegava le utility Mimikatz per intercettare le credenziali di utenti Windows e utilizzando queste informazioni (e inoltre alcuni altri metodi) si diffondeva su una rete locale. Per infettare i computer a cui è riuscito ad accedere, Trojan.Encoder.12544 impiegava il software di gestione del computer remoto PsExec o l'utility console standard di richiamo oggetti diWmic.exe. Inoltre, il cryptolocker danneggiava il record di avvio del disco C: (Volume Boot Record, VBR) e sostituiva il record di avvio di Windows (MBR) originale con uno proprio, in tale caso l'MBR originale veniva criptato e trasferito in un altro settore del disco.

screenshot nepetya #drweb

A giugno l'azienda Doctor Web ha pubblicato un'indagine dettagliata del worm cryptolocker Trojan.Encoder.12544.

Ad ottobre è stata registrata la diffusione di un altro worm encryptor, denominato Trojan.BadRabbit. I campioni conosciuti del trojan venivano diffusi come un software con l'icona del programma di installazione di Adobe Flash. L'architettura di BadRabbit era simile a quella dei suoi predecessori: anch'esso era costituito da diversi componenti: un dropper, un cryptolocker e un worm di rete, anch'esso conteneva un decryptor integrato, oltre a ciò, una parte del suo codice ovviamente era stata mutuata da Trojan.Encoder.12544. Tuttavia, questo cryptolocker era caratterizzato da una caratteristica notevole: al suo avvio verificava se sul computer sotto attacco erano presenti due antivirus — Dr.Web e McAfee — e se li rilevava, saltava la prima fase di criptazione, evidentemente, per evitare di essere scoperto presto.

screenshot badrabbit #drweb

Maggiori informazioni su questo programma malevolo sono ritrovabili in un articolo panoramico pubblicato dall'azienda Doctor Web.

Programmi malevoli più diffusi

Secondo le informazioni ottenute con l'utilizzo dei server di statistiche Doctor Web nel 2017 sui computer degli utenti il più spesso venivano rilevati script e programmi malevoli studiati per scaricare da Internet altri trojan, e inoltre per installare applicazioni pericolose e indesiderate. A confronto dell'anno scorso, da queste statistiche sono quasi del tutto scomparsi i trojan di pubblicità.

According to Doctor Web’s statistics servers

JS.Inject
Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
JS.DownLoader
Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
Trojan.InstallCore
Una famiglia di programmi che installano applicazioni indesiderate e malevole.
Trojan.DownLoader
Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.
Trojan.Inject
Una famiglia di programmi malevoli che integrano un codice malevolo nei processi di altri programmi.
Trojan.DownLoad
Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.

Una situazione simile è osservabile anche nell'analisi del traffico email, però qui oltre ai downloader ci sono anche i trojan progettati per il furto di password e di altre informazioni confidenziali.

Statistics concerning malicious programs discovered in email traffic

JS.DownLoader
Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Scaricano e installano sul computer altri programmi malevoli.
JS.Inject
Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Integrano uno script malevolo nel codice HTML di pagine web.
Trojan.InstallCore
Una famiglia di programmi che installano applicazioni indesiderate e malevole.
Trojan.PWS.Stealer
Una famiglia di trojan studiati per rubare password ed altre informazioni confidenziali sul computer infetto.
Trojan.DownLoader
Una famiglia di trojan che hanno l'obiettivo di scaricare altre applicazioni malevole sul computer sotto attacco.
W97M.DownLoader
Una famiglia di trojan downloader che per il loro funzionamento approfittano delle vulnerabilità nelle applicazioni di ufficio. Sono studiati per scaricare altre applicazioni malevole sul computer sotto attacco.
PowerShell.DownLoader
Una famiglia di script malevoli, scritti nel linguaggio PowerShell. Scaricano e installano sul computer altri programmi malevoli.
Trojan.Inject
Una famiglia di programmi malevoli che integrano un codice malevolo nei processi di altri programmi.

Cryptolocker

Il 2017 può essere definito l'anno dei worm cryptolocker: appunto l'anno scorso i cryptolocker hanno imparato a diffondersi in modo massiccio sulla rete senza la partecipazione di utenti causando diverse epidemie. Nel corso dei 12 mesi passati al servizio di supporto tecnico Doctor Web si sono rivolti in totale circa 18.500 utenti colpiti dalle attività di cryptolocker. A partire da maggio il numero di richieste calava gradualmente, e verso la fine dell'anno è diminuito della metà rispetto all'inizio dell'anno.

Encryption ransomware

Secondo le statistiche, nel 2017 il più spesso sui computer si infiltrava Trojan.Encoder.858, la seconda posizione è occupata da Trojan.Encoder.3953, il terzo più "popolare" è Trojan.Encoder.567.

I cryptolocker più diffusi nel 2017:

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A