Il 2017 è stato un anno di transizione, poiché le minacce online si sono concentrate su singoli segmenti di popolazione e gli exploit dei software finanziati dai governi sono evasi dai confini protetti sconvolgendo il mondo.
Nel corso dell’anno, Avira ha rilevato oltre 4,5 miliardi di casi di malware che hanno tentato di infettare i dispositivi operativi protetti dal nostro software AV. Tra un mese e l’altro vi sono state notevoli variazioni, ma le intercettazioni di malware hanno raggiunto il picco a marzo, toccando quota 474 milioni.
Classificare i malware è un compito approssimativo: a seconda di come i pirati informatici hanno deciso di confezionarlo e distribuirlo o perfino in base a dove Avira lo ha rilevato, lo stesso malware potrebbe essere classificato come exploit kit, trojan o ransomware. Tuttavia, l’esame di queste categorie può contribuire a scoprire le tendenze e le minacce emergenti.
Trojan
Con un totale di 1,62 miliardi di rilevamenti nel corso dell’anno, i trojan rappresentano la categoria più estesa di malware. I trojan sembrano innocui, ma poi mostrano la loro vera natura una volta all’interno del dispositivo.
Nel 2017 i ransomware hanno rappresentato una porzione estremamente visibile della famiglia dei trojan, con un totale di 25,19 milioni di rilevamenti. Tra i ransomware degni di nota del 2017 è opportuno menzionare BadRabbit e Locky, quest’ultimo in continua evoluzione. Mentre alcuni trojan potrebbero essere definiti fastidiosi, i ransomware possono cambiare la vita delle persone e metterla in pericolo. Dopotutto, quando tutti i propri file vengono cancellati o un ospedale è costretto a fermarsi, le conseguenze sono inevitabili. Noi continuiamo a raccomandare alle persone di effettuare il backup dei propri dispositivi e di non pagare il riscatto.
I trojan bancari, che prendono di mira i dati finanziari e dei conti correnti, hanno raggiunto gli 11,25 milioni di rilevazioni. Il principale trojan bancario è stato Dridex, che reindirizzava le vittime verso copie dannose di siti di banche. Dridex è stato particolarmente abile nel modificare il proprio approccio nel corso dell’anno, adattandosi a una delle ultime versioni che utilizzavano un exploit di Windows Office con il proposito di infettare i computer. Questo trojan è stato diffuso principalmente tramite email indesiderate distribuite dalla botnet Necurs. Dridex è stato sostenuto da un flusso giornaliero di milioni di email e ha causato perdite per più di 40 milioni di dollari in tutto il mondo.
I malware delle criptovalute, come il trojan CoinMiner, rappresentano una new entry in questo gruppo. Questi malware estraggono silenziosamente le criptovalute sul dispositivo della vittima, peggiorando le prestazioni del computer e consumando la larghezza di banda. A differenza dei ransomware, i costi per gli utenti infettati sono in gran parte nascosti e indiretti. C’è da aspettarsi una crescita di questo segmento.
Exploit
Gli exploit kit, grazie ai quali i cyber-criminali passano in rassegna un computer con una lista di vulnerabilità da sfruttare, hanno raggiunto quota 371 milioni di rilevamenti. Questa categoria ha ricevuto una spinta a metà anno dalla NSA, quando il suo toolkit top secret è stato violato e sfruttato dai pirati informatici. Ciò ha avuto come conseguenza gli attacchi dei ransomware EternalBlue e WannaCry.
Applicazioni potenzialmente indesiderate (PUA)
Le PUA sono un problema di sicurezza del gateway con un alto livello di irritazione per l’utente. Ammettendo applicazioni e annunci pubblicitari aggiuntivi in computer e smartphone, aprono la porta a una serie di problemi relativi alla sicurezza e alle prestazioni. Sebbene non rappresentino solitamente una minaccia diretta, compromettono la navigazione reindirizzando le ricerche sul web e creando un flusso inarrestabile di annunci pubblicitari. PUA:Win32/Linkury è stato uno degli esempi più comuni di PUA di Windows. L’anno scorso Avira ha inviato ai suoi utenti 155,6 milioni di avvisi relativi ai download di PUA.
Rilevamenti di Avira URL Cloud
Nel corso del 2017, Avira Cloud ha registrato oltre 651 milioni di rilevamenti da URL, pari a un calo del 27% rispetto al 2016, quando i rilevamenti di URL hanno superato di poco gli 882 milioni. Anche se nel mese di gennaio 2017 i rilevamenti di URL dannosi hanno raggiunto il picco di oltre 102 milioni, la loro incidenza è costantemente diminuita nel corso del 2017, scendendo a poco più di 27 milioni di rilevamenti nel dicembre 2017. Dei 651 milioni di URL rilevati nel 2017, il 65% era costituito da URL correlati a malware, il 24% da URL di phishing, il 9% da URL dannosi dei motori di ricerca, l’1,7% da URL scaricati da PUA e lo 0,3% da URL dei portali PUA.
Android
La mancanza di sicurezza dei dispositivi Android è rimasta un lavoro in corso. Anche se non ci sono stati attacchi massicci di malware Android, ciò non ha impedito ai cyber-criminali di provarci. Nel corso dell’anno abbiamo assistito all’emergere del ransomware DoubleLocker e del trojan bancario LokiBot, due esempi di tradizionali funzionalità di malware applicate agli smartphone. L’anno scorso tre famiglie di malware hanno colpito duramente, infiltrandosi nei telefoni per ricavarne denaro grazie all’introduzione di app e annunci sospetti nei dispositivi. Stiamo parlando di SPR/ANDR.SMSreg, una PUA che invia SMS ai numeri premium, ANDROID/Dropper.Shedun, che riconfeziona app legittime riempiendole di annunci pubblicitari, e ANDROID/Hiddenapp, che si nasconde nei dispositivi e scarica altre app dannose. Oltre a ciò si sono verificate varie ondate di app contaminate sul mercato: applicazioni disponibili nei portali di vendita ufficiali e non ufficiali di Android che includevano collegamenti indesiderati a malware e adware. Per quanto il Play Store ufficiale Android rappresenti un’opzione abbastanza sicura, non è certamente esente da errori.
2018: quando le cose si mettono male, fate bene attenzione a come vi comportate
La sicurezza inizia dall’hardware
Ora che è iniziato il nuovo anno, stiamo già assistendo alle prime grandi vulnerabilità con i problemi di progettazione dei chip Spectre e Meltdown. Ci sono moltissimi dispositivi connessi, che utilizzano un mix di chipset hardware e sistemi operativi modificati e adottano una varietà di protocolli, applicazioni e servizi multipli: i vettori di minacce che creano potenziali rischi stanno aumentando in modo esponenziale. Ciò include non solo i tradizionali dispositivi informatici, come laptop, PC e smartphone, ma anche i dispositivi delle case intelligenti, la cui diffusione è in netta crescita. L’enorme quantità di variazioni e combinazioni è direttamente correlata alla scoperta delle vulnerabilità di sicurezza e al loro sfruttamento da parte di hacker e autori di malware. Questa situazione non farà altro che peggiorare.
Pensate in piccolo, pensate in modo intelligente
Il numero di dispositivi di Internet delle cose è in piena espansione. Gartner ha stimato 8,4 miliardi di unità in circolazione l’anno scorso e il numero esploderà fino a 20 miliardi entro il 2020. Una quantità significativa di questi dispositivi è vulnerabile per natura, a causa delle configurazioni fisse o difficili da modificare, e il malware Mirai ha mostrato chiaramente come potrebbero essere asserviti in una botnet per diffondere spam o mandare offline siti web tramite attacchi DDoS.
“Tre sono i principali problemi relativi all’Internet degli oggetti: la privacy, i ransomware e i ricatti.” Travis Witteveen, AD di Avira
Tre sono i principali problemi relativi all’Internet degli oggetti: la privacy, i ransomware e i ricatti. Come minaccia diretta, ci aspettiamo di vedere ransomware adattati ai dispositivi intelligenti con l’intento di bloccare il dispositivo, o la casa, fino al pagamento di un riscatto. In secondo luogo, questa marea di dati non crittografati provenienti dalle case intelligenti sarà acquisita e sfruttata per mettere in atto un ricatto.
I limiti della legislazione sulla privacy
Il 2018 è l’anno del GDPR, il tentativo dell’Ue di rimettere nelle mani dei singoli individui il controllo e la consapevolezza della privacy. Se è vero che questo innalza il livello della privacy aumentando la consapevolezza, il livello rimane comunque troppo basso, poiché la natura stessa di Internet e la sua “globalità” renderanno queste leggi in gran parte insufficienti e inutilizzabili. Mentre il GDPR comporterà dei costi e si tradurrà probabilmente in una serie di cause legali per le aziende di alto profilo, il gruppo più ampio composto da singoli sviluppatori di applicazioni, proprietari di siti web e altre aziende continuerà, consapevolmente e non, ad agire in modo inadeguato e a ignorare i principi di base della privacy dei dati.
La tutela della privacy individuale richiede un insieme di servizi che consentano agli utenti, in modo comprensibile, di essere consapevoli e di definire il concetto di privacy che ritengono appropriato.
Nuova centralizzazione
Il mondo sta vivendo un’enorme evoluzione: gli stati nazionali, infatti, stanno perdendo autorevolezza nella sfera dell’individuo rispetto a marchi aziendali globali (Apple, Facebook, Google, Amazon e Microsoft). La moneta virtuale riduce l’influenza dei governi e delle banche centrali (tutti interessati al benessere economico dei rispettivi paesi), mentre nelle prime fasi del suo sviluppo rappresenta un altro attacco agli stati nazionali. Nel complesso, gli stati nazionali tradizionali stanno perdendo potere a causa di questi nuovi arrivati. Il timore di perdere potere sta innescando una reazione sotto forma di leggi e iniziative protezionistiche in vari settori: neutralità della rete, approvvigionamento regionale, privacy dei dati, ecc.
Pensate in modo intelligente e prendete in considerazione una cura preventiva
Nell’insieme, come società e singoli individui, stiamo traendo grandi benefici da queste nuove tecnologie e servizi. Possiamo fare cose più velocemente, meglio e a prezzi più bassi che mai. L’obiettivo di Avira è quello di aiutare le persone a trarre il massimo profitto da questi sviluppi, garantendo al contempo che la loro sicurezza di base continui a migliorare. Per mantenere questa promessa, abbiamo ampliato il nostro portfolio non solo per rilevare ed eliminare le minacce dannose, ma anche per evitare che si verifichino eventi indesiderati sia nel mondo dei dispositivi tradizionali sia all’interno delle case intelligenti.
Alla fine del 2017 abbiamo lanciato Avira SafeThings™, la nostra piattaforma di sicurezza per l’Internet delle cose. Grazie all’apprendimento automatico e all’intelligenza artificiale, il sistema protegge automaticamente i dispositivi connessi presenti in casa. SafeThings™ viene distribuito alla casa tramite il router o il provider di servizi Internet: in questo modo gli utenti non saranno più responsabili della sicurezza delle informazioni per i propri dispositivi intelligenti.
