Press Release

Sfogliate il nostro archivio stampa

03 set 2007

Nuovo “Rapporto Sophos sulla sicurezza”: il malware viaggia sempre più via Internet

Sono in forte aumento le pagine web colpite, oltre 29.700 al giorno quelle identificate in giugno, una cifra record se paragonata alle 5.000 pagine web infette rilevate quotidianamente ad inizio 2007. Il malware dominante sulla rete è ancora Mal/Iframe, autore di quasi metà del malware web intercettato a livello mondiale.

Sophos, società leader a livello mondiale nella sicurezza informatica e nella tecnologia di controllo dell’accesso alla rete (NAC), ha pubblicato il nuovo “Rapporto sulla sicurezza” relativo al primo semestre del 2007. Il rapporto, che prende in esame le tendenze attuali ed emergenti nel panorama della sicurezza informatica, svela un deciso aumento delle minacce via web e getta uno sguardo sui Paesi e le tipologie di server che hanno ospitato la maggior parte dei siti infetti.

Nel primo semestre del 2007 si è registrata un’impennata delle minacce provenienti dal web, attualmente il metodo di attacco prediletto dai cybercriminali spinti dalla sete di guadagno. Nel solo mese di giugno, i SophosLabs hanno isolato in media 29.700 nuove pagine infette al giorno, una cifra record rispetto a quella decisamente inferiore registrata agli inizi del 2007, vale a dire circa 5.000 pagine infette al giorno.

Siti web al microscopio

Analizzando un campione di appena un milione di pagine web tra quelle bloccate da Sophos per proteggere i propri clienti da malware e contenuti indesiderati, gli esperti di Sophos hanno riscontrato che il 28,8% dei siti ospitava malware. Un ulteriore 28,0% presentava contenuti destinati agli adulti; nella maggior parte dei casi, infatti, si trattava di siti pornografici o per il gioco d’azzardo.

milliion snap shot

Analisi di un milione di pagine web bloccate da Sophos, suddivise per categoria.

Il 19,4% della pagine web bloccate da Sophos era costituito da pagine create dagli spammer, mentre nel 4,3% dei casi i siti presi in esame sono stati classificati come illegali perché legati alla vendita di software pirata o a truffe online (phishing). Ciononostante, di tutti i siti web contenenti malware, solo uno su cinque era stato progettato specificamente per scopi illeciti; il restante 80% era costituito, infatti, da siti legittimi controllati dagli hacker.

Apache si rivela il server maggiormente colpito

Per infettare facilmente e rapidamente un elevato numero di siti web, è sufficiente in molti casi che gli hacker manomettano un singolo file su un server web. Se il file fa parte di diversi siti web non correlati tra loro, ma ospitati su uno stesso server controllato dagli hacker, questi sono in grado di attaccare contemporaneamente un’enorme quantità di siti web.

Tipologie di server maggiormente colpiti dalle minacce via web a livello globale nel primo semestre 2007:

Tipologie di server maggiormente colpiti dal malware.

Il fatto che oltre la metà di tutte le pagine web infette erano ospitate su server Apache dimostra che Windows non è l’unico sistema operativo a rischio. Agli inizi dell’anno, infatti, in occasione di un attacco di vaste proporzioni sferrato da ObfJS, in cui siti legittimi venivano compromessi in modo da distribuire codici dannosi, 98 server web colpiti su 100 erano Apache. Molti di questi non erano ospitati sulle piattaforme Windows, ma UNIX.

"Vista l’enorme percentuale di pagine web infette, ben l’80%, ospitate su siti legittimi, sorge spontanea la domanda sul perché i gestori di spazio web non stiano adottando le dovute contromisure per rendere sicuri i propri server", ha commentato Walter Narisoni, Security Consultant di Sophos Italia. "Semplici misure, come l’aggiornamento con patch di sicurezza, contribuirebbero in maniera decisiva a contrastare questo problema. Minore è il numero di vulnerabilità nella sicurezza delle installazioni server, minore sarà il rischio di infezione. I gestori di spazio web sono chiamati ad agire in maniera responsabile, rafforzando la sicurezza dei propri server. Il semplice utilizzo di Apache non rende i server web completamente immuni agli attacchi degli hacker che tentano di piazzare malware sui siti web. Il fatto che tali attacchi non rappresentino un problema per le sole piattaforme Windows servirà ad aprire gli occhi a tanti utenti".

Le minacce più diffuse sul web nel primo semestre 2007

La top ten dei malware ospitati sui siti web nei primi sei mesi del 2007 è la seguente:

Posizione Malware Percentuale di segnalazioni
1Mal/Iframe
   49,2%
2Troj/Psyme
   8,3%
3Troj/Fujif
   7,9%
4JS/EncIFra
   7,3%
5Troj/Decdec
   6,9%
6Troj/Ifradv
   4,1%
7Mal/ObfJS
   2,5%
8Mal/Packer
   1,5%
9VBS/Redlof
   1,1%
10Mal/FunDF
   0,9%
Altri10,3%

Guardate il grafico tratto dalla tabella.

In vetta alla classifica troneggia Mal/Iframe, che agisce piazzando codici dannosi sulle pagine Internet. Iframe, rilevato su quasi la metà delle pagine web infette a livello mondiale, non mostra segni di cedimento. In un recente e clamoroso attacco contro i portali italiani ospitati da uno dei maggiori service provider nazionali sono state colpite oltre 10.000 pagine web.

"Mal/Iframe è un perfetto esempio di minaccia via web molto prolifica, che prende di mira e sfrutta i siti vulnerabili, poco importa se si tratta di un sito sulla ceramica o di un sito pornografico. Le soluzioni per la sicurezza web non devono limitarsi a bloccare i siti web in base alla categoria: un sito per il gioco d’azzardo può sembrare pericoloso, ma talvolta i pericoli maggiori si annidano nei siti apparentemente più innocui", ha aggiunto Narisoni.

La Cina, patria dei siti web infetti

La top ten dei Paesi che hanno ospitato il maggior numero di pagine web infette durante il primo semestre 2007 è la seguente:

Posizione Paese Percentuale di segnalazioni
1Cina
   53,9%
2Stati Uniti
   27,2%
3Russia
   4,5%
4Germania
   3,5%
5Ucraina
   1,2%
6Francia
   1,1%
7Canada
   0,8%
8Regno Unito
   0,7%
9=Taiwan
   0,6%
9=Corea del Sud
   0,6%
Altri5,9%

Guardate il grafico tratto dalla tabella.

La Cina, che alla fine del 2006 ospitava poco più di un terzo di tutto il malware in circolazione sul web, ha strappato il primato agli Stati Uniti, in quanto rea di aver dato sede a oltre la metà di tutte le minacce via web segnalate a Sophos nel primo semestre dell’anno. L’ascesa della Cina in classifica è da ricondursi principalmente alle infezioni causate su larga scala da Mal/Iframe, che hanno colpito l’80% delle pagine web ospitate nel Paese.

Nuove armi nell’arsenale dei cybercriminali: allegati in formato PDF e unità rimovibili

Nel primo semestre 2007 gli esperti di Sophos hanno registrato un significativo incremento dei messaggi di spam contenenti allegati. Per aggirare i filtri antispam meno sofisticati sul gateway e raggiungere il maggior numero possibile di potenziali clienti, gli spammer inseriscono sempre più spesso i propri messaggi pubblicitari in formato grafico non più all’interno delle mail, bensì negli allegati, adoperando file in formato PDF.

Gli hacker hanno sfruttato anche la funzione di avvio automatico sui PC con sistema operativo Windows. Se questa è abilitata, i codici dannosi vengono eseguiti automaticamente, non appena un’unità USB infetta viene connessa al computer. Due esempi degni di nota sono stati finora il worm LiarVB-A, che diffondeva informazioni sull’AIDS e sul virus HIV tramite le chiavi USB, e il worm Hairy, che sosteneva che il giovane mago Harry Potter fosse morto. Tuttavia, nessuna delle due minacce si è diffusa su larga scala e ambedue possono essere rese inefficaci utilizzando sul desktop un software antivirus aggiornato.

Vettori di diffusione: il web non eclissa totalmente la posta elettronica

Sebbene i criminali della Rete prediligano ormai il web alla posta elettronica come vettore di diffusione, le mail contenenti malware continuano a minacciare la sicurezza delle aziende e degli utenti privati. Nel corso dell’ultimo anno la percentuale di malware contenuto nei messaggi e-mail si è mantenuta costante. Durante il primo semestre 2007, l’incidenza delle mail infette si è attestata sullo 0,29%, vale a dire 1 mail infetta su 322. La famiglia di malware HckPk si è dimostrata particolarmente attiva: nel periodo gennaio-giugno 2007 gli esperti di Sophos ne hanno identificato oltre 8.000 nuove versioni, tra cui i worm Dref e Dorf, che si sono ampiamente diffusi.

Ulteriori informazioni sulle ultime tendenze in tema di malware, spyware e spam si possono trovare nel “Rapporto sulla sicurezza”, la cui versione completa può essere scaricata dal sito web di Sophos, all’indirizzo:

http://www.sophos.it/security/whitepapers/security-threats-update-2007-wsrit

Informazioni su Sophos

Più di 100 milioni di utenti in 150 paesi si affidano a Sophos, considerandola la migliore protezione contro minacce complesse e perdita di dati. Sophos si impegna a fornire soluzioni di sicurezza completa facili da distribuire, gestire e utilizzare, aventi i più bassi costi di proprietà del settore. Sophos offre soluzioni all'avanguardia per cifratura, sicurezza degli endpoint, Web, e-mail, dispositivi mobili e protezione della rete, grazie al supporto dei SophosLabs: la nostra rete mondiale di centri di prevenzione delle minacce.

Le sedi centrali di Sophos sono situate a Boston, USA, e ad Oxford, Regno Unito. Maggiori informazioni sono disponibili sul sito web www.sophos.com.