I dati raccolti da Webroot durante tutto il 2015 mostrano inequivocabilmente che gli attacchi di oggi sono realmente globali e fortemente dinamici.
Molti attacchi vengono creati, eseguiti e terminati nel giro di qualche ora e in alcuni casi anche nel giro di pochi minuti.
Cosa può fare un attacco di pochi minuti? Può raccogliere credenziali, informazioni personali, crittografare i dati, recuperare informazioni “finanziarie” per accedere a sistemi di internet banking.
Contrastare questo tipo di attacchi richiede un approccio innovativo perché è necessario mettere a punto un sistema intelligente a prova di hacker.
Ma andiamo ad analizzare più in dettaglio i dati raccolti.
Malware e applicazioni PUA (Potentially Unwanted Application) sono diventatati polimorfici: oltre il 97% delle istanze di malware rilevate nel 2015 è comparsa su un solo dispositivo.
Ciò significa che il malware di oggi è personalizzato e specifico per ognuno di noi.
Altri numeri portano a questa conclusione: i “ceppi” delle applicazioni PUA sono passati da 30.000 nel 2014 a 260 nel 2015. E il “ceppo” di virus è passato da 700 a circa 100.
Mentre la diffusione dei virus è cresciuta, come mai?
La chiave di lettura è il polimorfismo, ossia meno “fonti” di virus unici, ma da queste fonti vanno in giro molte più varianti rispetto a prima.
Il fatto che i virus cambino in continuazione richiede anche un cambio di azioni nel contrastare i virus. Non sono più sufficienti antivirus che scaricano “le firme” aggiornate perché se i virus continuano a cambiare velocemente gli aggiornamento degli antivirus non riescono a reggere questo ritmo: occorre un software di protezione che lavori a più livelli e faccia ricorso a più tecnologie per l’individuazione delle minacce, possibilmente in tempo reale.
Una delle tecniche che si possono usare per fermare il malware è quella di censire i siti che diffondono il malware.
Da anni Webroot continua a tenere aggiornata una lista di indirizzi IP ad alto rischio, lista che oggi conta all’incirca 12 milioni di indirizzi IP.
Degli indirizzi che vengono aggiunti ogni giorno alla lista, il 40% risulta non essere mai stato in contatto con attività “malevole”, il che dimostra come sia pervasiva la diffusione dei sistemi portatori di virus.
Gli IP presenti in lista sono localizzati in tutte le regioni del mondo, anche se le nazioni con il maggior numero di IP presenti in lista (Stati Uniti e Cina) sono largamente davanti a tutti gli altri stati.
E’ interessante notare che la maggior parte degli indirizzi IP della lista ha in qualche modo che fare con lo spam; questi indirizzi inoltre hanno una vita molto breve e sono quindi praticamente impossibili da intercettare utilizzando le “tradizionali” blacklist statiche.
Questi indirizzi IP possano essere invece bloccati con sistemi che usano liste dinamiche aggiornate in tempo reale.
Nel corso del 2015 Webroot ha analizzato e classificato milioni di URL e in particolare per il phishing emergono dei numeri interessanti.
La probabilità per un utente di incappare in un sito di phishing nel corso del 2015 è del 50% (contro il 30% del 2014), il che testimonia l’efficacia di questo tipo di attacchi.
Le aziende più colpite dal phishing sono le aziende finanziarie (banche) e tecnologiche. Google in particolare la fa da padrone: nel solo 2015 ci sono stai 83.000 siti che si spacciavano per Google cercando di recuperare le credenziali degli utenti. La “classifica” dei siti di phishing dice che dopo gli Stati Uniti vengono Regno Unito e Germania.
E per il mondo mobile, come siamo messi?
Webroot ha analizzato oltre 10 milioni di app Android nel solo 2015 e le ha classificate secondo i parametri: buona, dannosa, rischio moderato, sospetta, indesiderata. Ebbene, il 52% di tutte le nuove app sono state categorizzate come indesiderate o dannose, e solo il 18% come buone.
Inoltre la maggior parte delle app risultano essere portatori di virus troiani (60%) o OUA (28%).
Benché con numero meno spaventoso gli utenti di iOS non possono considerarsi immune dagli attacchi: la versione trojan dell’ambiente di sviluppo Xcode, per esempio, ha infettato 2 milioni di utenti iOS.
Utilizzando gli smartphone per fare di tutto oggigiorno èmpiù opportuno che mai proteggere i telefonini con apposite app di sicurezza che, auspicabilmente, ci informino se stiamo scaricando delle app “nocive”.
Una sintesi dei numeri di presentati qui può essere dedotta da questa infografica.
Con la crescente diffusione di virus e malware polimorfi appare evidente che le aziende (ma anche i privati) devono fare affidamento su sistemi di sicurezza real-time, per esempio con endpoint di nuova generazione che impediscano agli utenti di entrare in contatto con cybercriminali.
I sistemi di intelligenza real-time e basati su cloud permettono di impostare policy proattive per salvaguardare le reti, gli utenti e le informazioni dal dilagante fenomeno del malware.
Ma la tecnologia non è tutto, ricordiamoci che tutti dobbiamo diventare più responsabili e vigili quando andiamo su internet: che siti visitiamo? Quali URL clicchiamo? Quali applicazioni scarichiamo e usiamo?
