L’Italia è il Paese più colpito da attacchi di spam, Rustock supera Cutwail diventando la rete bot più grande e attiva, il virus LoveBug compie 10 anni
Symantec ha annunciato la pubblicazione di MessageLabs Intelligence Report di aprile 2010. L’analisi ha rivelato come la rete bot Rustock abbia superato Cutwail per quantità di spam distribuito e numero di bot attivi sotto il suo controllo, posizionandosi al primo posto in termini di grandezza. Benché abbia visto una diminuzione del 65% del numero di bot individuali, Rustock ha tuttavia incrementato il numero di bot attivi del 300%, compensando in questo modo il decremento di output.
Al contempo, Cutwail ha visto ridursi le proprie dimensioni, passando dai 2 milioni di bot registrati a maggio 2009 ai 600.000 di oggi, diventando responsabile per il solo 4% dello spam totale presente in Rete. Rustock rimane, quindi, la più grande rete bot per quantità di spam inviato, che rappresenta il 32,8% del totale.
«Colpito dalla chiusura dell’ISP Real Host ad agosto 2009, probabilmente Cutwail non è più stato in grado di aggiornare alcuni dei suoi bot e ha visto diminuire in maniera significativa la dimensione della propria rete, senza riuscire a recuperare la situazione», ha dichiarato Paul Wood, Senior Analyst di MessageLabs Intelligence. «Di conseguenza, Rustock è riuscita a impadronirsi di notevoli volumi di traffico, andando ad aggredire il mercato con maggiore capacità e minori costi operativi».
Grum e Mega-D sono la seconda e la terza rete bot in termini di dimensioni dopo Rustock e sono responsabili, rispettivamente, per il 23,9% e il 17,7% dello spam. Sopravvissuta a un paio di tentativi di chiusura dell’ISP, Mega-D possiede meno bot sia rispetto a Rustock sia a Grum, ma risulta essere la rete che lavora più intensamente, portando i suoi 240.000 bot attivi a distribuire circa 430 e-mail infette al minuto.
Grum ha mantenuto inalterato il livello di performance negli ultimi 5 mesi, con 145-150 messaggi di spam inviati al minuto da ciascun bot, benché abbia recentemente aumentato il numero di bot controllati passando da 700.000 a 1 milione, diventando così la seconda rete bot più grande al mondo.
Inoltre, ad aprile MessageLabs Intelligence ha analizzato il traffico di e-mail di spam che si servivano della tecnica di fingerprinting passivo (FP), per capire quali tipi di sistema operativo venivano utilizzati dai computer infetti che distribuivano spam. È emerso che molti di questi computer utilizzavano Windows e la percentuale di spam che si serviva della tecnica FP era simile alla quota occupata da Windows sul mercato dei sistemi operativi.
«Lo spam è più comunemente distribuito da computer che utilizzano Windows rispetto a computer che usano altri sistemi operativi», ha spiegato Wood. «Inoltre, è stato rilevato che i computer con sistema operativo Windows hanno distribuito più spam originato dalle reti bot note, rispetto a messaggi spam aventi altre origini».
L’indice di spam, che misura la probabilità che un particolare computer invii messaggi infetti, può essere calcolato mettendo a confronto la quantità di spam associata ad un certo sistema operativo e la quota di mercato occupata da quest’ultimo.
Attualmente, questo indice mostra che, in rapporto alla propria quota di mercato, la probabilità di inviare spam di un computer che utilizza Linux è 5 volte superiore rispetto a quella dei computer che usano Windows. Tuttavia, i computer che operano su sistema Linux sono responsabili solo del 5,1% dello spam totale: questo si spiega sulla base della minor quota di mercato occupata da Linux, legata a una minore presenza di malware associato a questo sistema operativo.
Infine, MacOS è risultato essere il sistema operativo meno soggetto all’invio di spam, sia in termini globali che di computer individuali. L’indice di spam mostra, infatti, che i computer che utilizzano MacOS non inviano quasi nessun messaggio infetto, risultando responsabile per lo 0,001% dello spam totale.
Il 4 maggio segna il 10° anniversario da quando Symantec Hosted Services, allora MessageLabs, ha bloccato e dato un nome al virus LoveBug, il warm che nel 2000 ha causato problemi a 45 milioni di utenti, provocando danni pari a miliardi di dollari in un solo giorno. Prima di intercettarlo e nominarlo LoveBug, Symantec Hosted Services ha rilevato 13.000 copie del virus nel corso della giornata.
Oggi la rilevazione e il blocco di 1,5 milioni di e-mail malevole al giorno da parte di MessageLabs Intelligence è attività di routine. Benché attualmente sia raro identificare virus importanti inviati tramite e-mail – quale è stato LoveBug – i cyber criminali hanno evoluto le proprie tecniche per sviluppare attacchi ancora più mirati e dannosi, motivati principalmente da un possibile ritorno finanziario e dal furto di identità.
Il 4 maggio del 2000, 1 e-mail su 28 conteneva il virus LoveBug; mentre il 9 aprile 2010, quando è stato raggiunto il picco mensile, solo 1 e-mail ogni 287,2 è risultata infetta dal virus. In generale, durante tutto il mese di aprile 2010 MessageLabs Intelligence ha intercettato 36.208 tipologie di malware.
Quando, nei mesi successivi al 4 maggio del 2000, sono comparse copie del virus, Skeptic – il motore di rilevamento e di analisi predittiva dei virus cloud-based di MessageLabs – ha studiato il codice del virus riuscendo così a intercettare nuovi codici malware e mettere in quarantena ogni messaggio sospetto.
«LoveBug operava sulla scia del virus Melissa, un warm altrettanto distruttivo che era stato distribuito l’anno precedente», ha dichiarato Wood. «Allora, gli utenti erano meno consapevoli dei pericoli insiti in allegati sospetti e in messaggi ricevuti da mittenti sconosciuti, oltre ad essere in generale meno informati sui rischi legati allo spam e ad altri attacchi che sfruttano false comunicazioni di servizio».
Altri risultati importanti:
Spam: ad aprile 2010, la percentuale globale di spam distribuito via e-mail da fonti pericolose, nuove o precedentemente sconosciute, è stato pari al 89,9 % (1 e-mail su 1,11), registrando un decremento di 0,8 punti percentuali rispetto a marzo.
Virus: ad aprile, la proporzione globale di virus diffusi via posta elettronica nel traffico e-mail da fonti pericolose – nuove o precedentemente sconosciute – è stato di 1 e-mail su 340,7 (0,294%): dato che riflette un incremento dello 0,01% rispetto al mese precedente. Ad aprile, il 28,9% del malware veicolato tramite e-mail conteneva link a siti pericolosi, con un aumento di 12,1% punti percentuali rispetto a marzo.
Phishing: ad aprile, l’attività di phishing è stata pari a 1 e-mail ogni 455,2 (0,219%), con un incremento dello 0,03% rispetto al mese precedente. Valutato come parte delle minacce veicolate tramite e-mail quali virus e trojan, il numero di e-mail di phishing è aumentato di 5,7 punti percentuali, andando a costituire il 70,3% di tutte le minacce di malware veicolate tramite e-mail.
Web security: l’analisi della sicurezza web indica che il 10,9% del malware intercettato in rete è stato creato nel mese di aprile, con un decremento del 4% rispetto al mese precedente. MessageLabs Intelligence ha anche identificato una media di 1,675 nuovi siti web al giorno ospitanti malware e altri programmi pericolosi come spyware e adware, per una diminuzione pari al 12,7% rispetto al mese di marzo.
Tendenze per zona geografica:
• Con il 95,5% delle e-mail totali distribuite ad aprile, l’Italia conquista il primato di Paese più colpito da attacchi di spam.
• Gli Stati Uniti e il Canada hanno registrato livelli di spam rispettivamente pari al 90,2% e all’88,9%, mentre in Gran Bretagna gli attacchi sono scesi all’89,4%.
• In Olanda, Australia e Germania i livelli di spam hanno raggiunto rispettivamente il 91,5%, 89,4% e 92,3%.
• A Hong Kong i livelli di spam hanno raggiunto il 91%, mentre in Giappone si sono attestati sull’86,9%.
• L’attività di virus a Taiwan ha visto 1 e-mail infetta ogni 76,3, mantenendolo al primo posto come il Paese più colpito nel mese di aprile.
• Negli Stati Uniti e in Canada si registrano attacchi di virus pari rispettivamente a 1 e-mail ogni 646,3 e 416,2. In Germania, Olanda e Australia, invece, questi si attestano rispettivamente su 1 e-mail ogni 471, 1.120 e 501, mentre a Hong Kong e a Singapore si sono registrati attacchi pari a 1 e-mail su 1.161 e 613.
• La Gran Bretagna è rimasta il Paese più attivo per quanto riguarda gli attacchi di phishing, con 1 e-mail infetta ogni 199,7.
Trend per settore:
• Ad aprile, il settore più colpito dallo spam è stato quello ingegneristico, con una percentuale del 94,9%.
• I livelli del fenomeno hanno raggiunto, invece, il 91,1% nel settore della scuola, il 90,2% nel settore chimico e farmaceutico, il 90,7% in quello dei servizi IT, il 90,9% nel retail, l88,4% nella pubblica amministrazione e l’88,4% in quello finanziario.
• Ad aprile, il settore della pubblica amministrazione rimane il settore più colpito da attacchi di malware, con 1 e-mail infetta ogni 99,1.
• I livelli di virus sono stati pari a 1 e-mail su 438,2 nel settore chimico e farmaceutico, 1 su 487,5 in quello dei servizi IT, 1 su 600,2 nel retail, 1 su 109,6 nel settore della scuola e 1 su 365,9 nel finanziario.
L’edizione integrale del MessageLabs Intelligence Report di aprile 2010 offre un’analisi ancora più dettagliata delle tendenze e dei valori sopra riportati unitamente a ulteriori informazioni sulle tendenze per settore e per zona geografica.
Lo studio completo è consultabile all’indirizzo http://www.messagelabs.com/intelligence.aspx.