I ransomware e l’Intelligence Report di Symantec

Symantec Intelligence Report - June 2015E’ stato pubblicato l’Intelligence Report di giugno 2015 di Symantec [WBM] sulle analisi delle minacce alla sicurezza, tra le quali anche i ransomware come Cryptolocker, Torrentlocker e simili. Stupisce osservare come le statistiche fornite da Symantec mostrino un grafico con una netta diminuzione di rilevamenti di ransomware e crypto-ransomware, mentre la percezione di chi lavora nell’ambiente è esattamente l’opposto.

Il comportamento di questi trojan è sempre molto simile: arriva una mail con un allegato o un link a un sito dove si viene invitati a scaricare un finto documento, all’apertura di ciò che si crede essere un documento viene infettato il PC, i documenti dell’utente vengono criptati e compare sullo schermo la richiesta di riscatto da pagarsi in bitcoin.

Cryptolocker e la richiesta di riscatto in bitcoin

E’ interessante osservare come – riporta Symantec – da luglio dell’anno scorso gli attacchi di ransomware rilevati risultano secondo il report report diminuiti con un balzo del 50% tra dicembre 2014 e gennaio 2015, mentre la percezione di chiunque lavori in questo campo è esattamente l’opposto.

Statistiche degli attacchi da ransomware rilevati da Symantec

Ipotizziamo quindi (a meno che la percezione non sia errata, ovviamente) che gli attacchi siano aumentati ma il loro rilevamento invece possa essere reso più difficile dalla qualità dei ransomware stessi, dato che è proprio dalla fine del 2014 che i vari Cryptolocker, Cryptowall, Torrentlocker nelle loro successive versioni ed evoluzioni hanno messo in ginocchio decine di migliaia di aziende, privati ed enti pubblici in tutto il mondo.

Tox RansomwareSono infatti aumentate le varianti dei ransomware (Torrentlocker, Cryptolocker, CryptoWall, CTB-Locker, TeslaCrypt, CoinVault, etc…) e sono persino usciti servizi come Tox che permettono a chiunque di diffondere ransomware con una specie di “distribuzione in franchising”.

Osservando il grafico con le statistiche dei rilevamenti di ransomware che criptano i documenti e chiedono il riscatto, come Cryptolocker, da parte di Symantec si nota una diminuzione ancora più netta dal 2014, con un aumento ripido fino a ottobre 2014 per poi ridursi del 75% se consideriamo ottore 2014 rispetto a maggio 2015.

Grafico di statistiche dei rilevamenti Cryptolocker nel 2015 fornito da Symantec

Un altro aspetto interessante del report è la statistica sulle percentuali di malware rilevato nelle URL contenute nel testo delle mail rispetto al malware inviato come allegato alle mail. Per quanto una mail contenente un link sia meno facile da rilevare dagli antivirus (che non possono valutare la presenza malevola negli allegati, non essendo presenti) la percentuale di email che infettano i PC tramite trojan contenuti nei link è secondo Symantec bassissima.

Percentuali dei malware che si diffondono via URL in confronto agli attachment

La percentuale si attesta infatti tra il %3 e l’8% tranne che per novembre 2014, mese durante il quale il 41% delle mail infette contenevano un link con una URL contenente, a sua volta, il download del payload infetto. Questa percentuale sembra ragionevole, anche se in alcuni mesi – almeno in Italia – le campagne di ransomware Cryptolocker che si fingevano una ricevuta di invio di un pacco DHL e invitavano a visitare il sito web sono state decisamente massicce. Lo stesso sta avvenendo in questo periodo, con le mail che si fingono provenienti da ENEL Energia e contengono link a finti siti web dai quali è possibile scaricare quella che si crede essere una bolletta dell’ENEL ma in realtà è un dropper (cioé un software che scarica a sua volta un malware, in questo caso Crpytolocker).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.