Nel 2023, l’Italia è stato il primo Paese in Europa e il quarto al mondo più colpito dagli attacchi malware. Il dato è emerso da uno studio dell’azienda di sicurezza Trend Micro, che rivela come nella classifica delle nazioni più interessate dalla minaccia informatica, l’Italia sia preceduta solo da Giappone, Stati Uniti e India. Lo studio sottolinea anche un cambiamento nelle tattiche dei cybercriminali, che scelgono i propri obiettivi con maggiore attenzione. Gli attacchi prendono di mira profili selezionati e si affidano meno a campagne di hacking generiche. Il numero totale di malware intercettati in Italia nel 2023 è stato di 277.616.731, nel 2022 il dato era fermo a 246.941.068. Si tratta di un primato negativo in Europa per il terzo anno consecutivo, e quarto al mondo dopo Giappone (1.169.219.233), Stati Uniti (993.996.354) e India (288.557.845). I settori più colpiti sono la sanità, il bancario, la pubblica amministrazione. L’Italia è inoltre settima a livello globale per infezioni da macro malware, particolari minacce che agiscono in maniera complessa come i normali software, persino in grado di scrivere documenti e inviarli via email. L’Italia ha subito 8.343 attacchi di questo tipo. I ransomware diffusi verso gli utenti italiani sono stati, sempre nel 2023, 19.632, mentre le minacce tramite posta elettronica ammontano a 206.694.717. Gli esperti di Trend Micro affermano che, in generale, è del 10% l’aumento dei tentativi di infezione rispetto al 2022. “Assistiamo ad un cambiamento del panorama delle minacce”, spiegano da Trend Micro , “con i criminali che optano per la qualità delle campagne piuttosto che per la quantità: Invece di lanciare attacchi a una gamma più ampia di utenti e di affidarsi alle vittime che cliccano sui link dannosi presenti nei siti web e nelle email, vengono lanciati attacchi più sofisticati che utilizzano la specificità per ingannare un campo più ristretto di vittime di alto profilo. Ciò consente di eludere i livelli di rilevamento precoce, come i filtri di rete e di posta elettronica”. Un dato sicuramente allarmante che deve far riflettere sulla reale necessità di utilizzare misure precauzionali all’avanguardia e sempre aggiornate.

F.P.L.

Uno spyware, creato da un’azienda italiana che lavora con le forze dell’ordine, avrebbe intercettato un migliaio di persone per errore. Lo scrive, nel suo blog ufficiale, la società Security without borders, che in collaborazione con Motherboard ha effettuato la scoperta. Sotto accusa c’è un malware, dal nome Exodus, che è stato programmato dalla società calabrese eSurv che produce soluzioni per la sorveglianza e che, con tutta probabilità, è stato diffuso per errore sul Play Store di Google.

Circa un migliaio di persone lo hanno scaricato, perché contenuto in applicazioni ottenibili gratuitamente. Exodus è in grado di effettuare numerosissime operazioni sul telefono della vittima, perché studiato appositamente per spiare i criminali. Può registrare le telefonate, l’audio ambientale, così come copiare gli sms e i numeri di telefono in rubrica e leggere la posizione attraverso il gps.

La procura di Napoli ha aperto un fascicolo d’indagine tempo fa

La prima individuazione del malware è infatti avvenuta proprio nel capoluogo partenopeo. Mentre la società Esurv sembra sparita da Internet: se si fa la ricerca sul web compare una pagina con la scritta ‘notfound’ e sulla pagina Facebook c’è la dicitura ‘questo contenuto non e’ al momento disponibile’. Il Copasir, il comitato di controllo sui servizi segreti, approfondirà la vicenda e a quanto si apprende, nei prossimi giorni  chiederà al Dis, il dipartimento che coordina l’attività delle agenzie di intelligence, notizie e aggiornamenti sulla vicenda. Per il garante Privacy Soro, “E’ un fatto gravissimo”.

”Riteniamo – spiegano gli autori della ricerca- che questa piattaforma spyware sia stata sviluppata da una società italiana chiamata eSurv, di Catanzaro, che opera principalmente nel settore della videosorveglianza. Secondo informazioni disponibili pubblicamente sembra che eSurv abbia iniziato a sviluppare spyware dal 2016”. Secondo l’analisi effettuata sul malware, ”Exodus è dotato di ampie capacità di raccolta e di intercettazione. È particolarmente preoccupante che alcune delle modifiche effettuate dallo spyware potrebbero esporre i dispositivi infetti a ulteriori compromissioni o a manomissioni dei dati”.

In seguito alla scoperta, Security without borders ha segnalato a Google la presenza dello spyware, che è stato rimosso in tutte le sue varianti, circa 25. Una volta eliminate dallo store le app, la società americana ha dichiarato in una comunicazione via email che “grazie a modelli di rilevamento avanzati, Google Play Protect sarà ora in grado di rilevare meglio le future varianti di queste applicazioni”.

Al contrario, però, Google non ha condiviso con i ricercatori il numero totale di dispositivi infetti, ma ha confermato che una di queste applicazioni malevole ha raccolto oltre 350 installazioni attraverso il Play Store, mentre altre varianti hanno raccolto poche decine ciascuna, e che tutte le infezioni sono state localizzate in Italia. ”Abbiamo direttamente osservato molteplici copie di Exodus con più di 50 installazioni e possiamo stimare approssimativamente che il numero totale di infezioni ammonti a diverse centinaia, se non un migliaio o più”, si legge nella ricerca.

I criminali informatici utilizzano con sempre maggiore frequenza il cryptojacking, creando nuove, più profittevoli, fonti di reddito, man mano che il mercato del ransomware alza sempre più la posta e diventa sempre più affollato. Sono le prime indicazioni che emergono dal 23° volume dello Internet Security Threat Report (ISTR) di Symantec, pubblicato di recente. “il cryptojacking è una minaccia sempre più grave sia per la sicurezza informatica, sia per la sicurezza personale”, ha dichiarato Mike Fey, Presidente e COO di Symantec. “L’incentivo rappresentato da profitti ragguardevoli mettono persone, terminali e organizzazioni a rischio che i miner di cryptomonete possano succhiare risorse dai propri sistemi, motivando ulteriormente i criminali ad infiltrarsi dappertutto, dai PC di casa ai giganteschi datacenter”. Il report ISTR Symantec fornisce un quadro complessivo delle minacce informatiche, quadro che comprende minacce globali, tendenze del mondo dei criminali informatici e motivazioni per chi muove gli attacchi. Il report analizza i dati raccolti dal Symantec Global Intelligence Network, la più vasta rete privata al mondo che traccia oltre 700.000 avversari a livello globale, registra eventi da 126.5 milioni di sensori di attacco disseminati in tutto il mondo, e monitora le attività a rischio in oltre 157 paesi e territori. Tra i risultati più rilevanti emersi quest’anno:

Gli attacchi di tipo cryptojacking registrano un vero e proprio boom – Durante lo scorso anno, una crescita astronomica nel valore delle cryptomonete ha attivato una corsa all’oro del cryptojacking che ha visto i criminali informatici reiterare i tentativi di far soldi in un mercato a elevati tassi di instabilità. I rilevamenti di miner di cryptomonete su computer endpoint sono cresciuti dell’8500 per cento nel 2017. In Italia il nuovo “trend” si posiziona subito nelle posizioni alte delle classifiche, siamo al 5° posto in Europa e all’11° al mondo, con il 2.4% dei miner di cryptovaluta che operano dal nostro paese. Grazie a una barriera d’ingresso molto bassa – sono necessari solo un paio di linee di codice per poter operare – i criminali informatici sfruttano la potenza di calcolo delle CPU degli utenti comuni e delle organizzazioni per fare mining di moneta elettronica. I così detti “miner” di moneta elettronica possono rallentare i dispositivi, surriscaldare le batterie e, in alcuni casi, rendere inutilizzabili i dispositivi stessi. In ambito aziendale i miner di cryptovalute possono mettere le reti aziendali a rischio di arresto, compromettendo l’utilizzo della CPU in cloud e aumentando i costi. “Adesso ci tocca combattere per le risorse sul nostro telefono, computer o dispositivo IoT contro i criminali informatici che cercano di utilizzarli per trarre profitto”, ha detto Kevin Haley, Direttore Symantec Security Response. “È necessario ampliare le proprie difese o ci si ritroverà a pagare il prezzo per qualcun altro che utilizza i nostri dispositivi”. I dispositivi IoT confermano lo status di obiettivi maturi per lo sfruttamento. Symantec ha messo alla luce un incremento del 600% di attacchi verso dispositivi IoT nel 2017, il che significa che i criminali informatici potrebbero potenzialmente sfruttare la natura intrinseca di questi oggetti connessi per fare “estrazioni” di massa. Neanche i Mac sono immuni, Symantec ha, infatti, rilevato un incremento dell’80% in attacchi di tipo “coin mining” nei confronti di Mac OS. Sfruttando gli attacchi browser-based, i criminali non hanno più bisogno di scaricare del malware sul PC o sul Mac della vittima per hackerarli.

Un singolo metodo per infettare le vittime – Il numero di gruppi di attacco mirati è in crescita: Symantec tiene oggi traccia di 140 gruppi organizzati. Lo scorso anno, il 71% di tutti gli attacchi mirati ha avuto inizio con lo spear phishing – il trucco più vecchio sul manuale dell’hacker – per infettare le vittime. Mentre i gruppi di attacchi mirati continuano a utilizzare tattiche collaudate per infiltrare le imprese, l’utilizzo delle minacce di tipo zero-day pare non sia più in voga. Solo il 27% dei gruppi d’attacco mirati hanno utilizzato vulnerabilità zero-day nel recente passato. Il settore sicurezza discute da tempo il tipo di danni che gli attacchi informatici potrebbero provocare. Questa conversazione si è adesso spostata oltre il teorico e uno su dieci gruppi che effettuano attacchi mirati utilizzano malware progettato pe causare seri danni.

Il malware cresce del 200% – Symantec ha rilevato nel 2017 un incremento del 200% nell’impianto di malware nella catena logistica del software da parte di cybercriminali. Il dato equivale a un attacco ogni mese rispetto ai quattro attacchi dell’anno precedente. Compromettere gli aggiornamenti software fornisce ai criminali informatici un punto d’ingresso per penetrare reti anche ben sorvegliate. Petya è stato uno degli esempi più rilevanti di attacco alla catena logistica. Utilizzando del software di accounting ucraino come punto di ingresso, Petya ha successivamente sfruttato diversi metodi per diffondersi lateralmente attraverso le reti aziendali e rilasciare il carico malevolo. Bot e spam ancora molto popolari in Italia, tanto da posizionare il paese al secondo posto in Europa.

Il malware per mobile si espande – Le minacce informatiche nel mobile continuano a crescere di anno in anno, e cresce anche il numero di varianti di nuovo malware per mobile (+54%). Lo scorso anno, Symantec ha bloccato una media di 24.000 applicativi mobile potenzialmente dannosi. Con il perdurare della presenza sul mercato di vecchi sistemi operativi, il problema si è ulteriormente aggravato. Ad esempio, nel caso di Android, solo il 20% dei terminali monta la versione più recente del sistema operativo e solo il 2.3% sono aggiornati alle release minori più recenti. Gli utenti mobile corrono anche notevoli rischi per la propria privacy da app grayware, non sono necessariamente malevoli ma in grado di causare problemi. Symantec ha scoperto che il 63% di app grayware rendono pubblico il numero di telefono del terminale. Con un incremento del 20% nel 2017, il grayware non è un problema destinato a scomparire a breve.

Minaccia ransomware – Nel 2016 la profittabilità del ransomware ha finito col creare un mercato affollato. Nel 2017 il mercato ha subito degli aggiustamenti e l’importo medio del ricatto si è abbassato a 522 dollari, un segnale chiaro che il ransomware è diventata una commodity. Molti hacker hanno probabilmente cambiato focus verso il mining di cryptomonete come alternativa per incassare denaro facilmente, intanto che il valore delle cryptomonete è ancora alto. Inoltre, mentre il numero di famiglie di ransomware è diminuito, il numero delle varianti di ransomware è cresciuto del 46%, un indizio del fatto che i gruppi di criminali informatici sono meno innovativi ma sempre molto produttivi. In Italia, il ransomware conquista il podio delle minacce informatiche nel 2017: il nostro paese è quinto a livello globale e primo in Europa; il 3,7% degli attacchi ransomware a livello mondiale sono stati registrati nel nostro paese.

A proposito dello Internet Security Threat Report – L’Internet Security Threat Report fornisce una panoramica e un’analisi su base annua delle attività globali delle minacce informatiche. Il report si basa sui dati forniti dal Global Intelligence Network di Symantec che gli analisti dell’azienda usano per identificare, analizzare e commentare le tendenze emergenti relative ad attacchi informatici, attività con codici nocivi, phishing e spam.

F.P.L.

Utenti Android fate attenzione. I ricercatori di ESET, uno fra i più il più grandi produttori di software per la sicurezza digitale dell’UE, hanno scoperto DoubleLocker, un pericoloso malware per il sistema operativo mobile sviluppato da Google che combina un astuto meccanismo di infezione con due potenti strumenti per estorcere denaro alle vittime. Distribuito principalmente come aggiornamento “fake” di Adobe Flash Player tramite siti compromessi, DoubleLocker sfrutta in modo improprio i servizi di accessibilità di Android, un classico stratagemma usato dai criminali informatici. ll suo payload di infezione è in grado di cambiare il PIN del dispositivo, per evitare che la vittima possa accedere al proprio dispositivo e contemporaneamente codifica i dati della vittima: una tale combinazione non era mai stata vista prima nell’ecosistema Android.

Una volta avviata, l’applicazione richiede l’attivazione del “Servizio di Google Play”. Dopo aver acquisito le autorizzazioni di accesso, il malware le utilizza per attivare i diritti di amministratore del dispositivo e si imposta come applicazione Home predefinita, in entrambi i casi senza il consenso dell’utente. Oltre a essere un ransomware, il DoubleLocker si basa anche su un particolare Trojan bancario già analizzato dai ricercatori di ESET, secondo i quali la funzionalità che consentirebbe a questo malware di sottrarre le credenziali bancarie dai sistemi delle vittime potrebbe essere aggiunta molto facilmente. Questa funzionalità aggiuntiva trasformerebbe DoubleLocker in quello che i ricercatori di ESET definiscono come un “ransom-banker”. L’azienda consiglia a tutti gli utenti Android di utilizzare sempre una valida soluzione di sicurezza per proteggere i dispositivi mobile, che impediscono il contagio da DoubleLocker e da altri tipi di malware. Usare un dispositivo mobile senza un antivirus aggiornato al giorno d’oggi può rappresentare un grosso rischio e se si vuole evitare d’incappare in brutte sorprese, questa è attualmente la via più sicura.

Francesco Pellegrino Lise