Lo spam nel mondo diminuisce di oltre la metà – cosa sta succedendo?

Lo spam nel mondo diminuisce di oltre la metà – cosa sta succedendo?

Forse non ci avete fatto caso ma di recente la quantità di spam nel mondo è diminuita drasticamente.

Ovviamente non stiamo parlando di messaggi di posta phishing, pillole di viagra a buon prezzo o infiniti sondaggi che promettono vincite di iPhone che non esistono: quelli si stanno ancora accumulando nelle inbox di tutto il mondo.

Ciò a cui ci riferiamo è una specie di spam maligno che ci affligge con informazioni su mancate consegne di pacchi, falsi curricula e fatture per servizi di cui non avete mai usufruito nella speranza di indurvi ad aprire allegati malevoli e a diffondere ransomware come Locky o trojan come Dridex.

Si tratta di allegati che si presentano in svariate forme, come documenti di Word o Excel collegati a macro malevole, o più recentemente JavaScript (.JS) e Windows Script Files (.WSF). Di solito gli allegati seguono sempre lo stesso copione: se li eseguite essi si collegano a un server controllato dai criminali e scaricano un malware (o di recente, più di uno) con cui infettarvi.

Tuttavia è accaduto qualcosa di strano nel mondo dello spam.

A partire da prima di Natale dello scorso anno, i livelli di spam si sono ridotti di oltre la metà. Abbiamo già visto fenomeni simili in precedenza, ma quest’ultimo dura già da due mesi e non ci sono segnali che sia in corso una ripresa, anche se supponiamo che prima o poi si verificherà.

Il grafico sottostante rappresenta i livelli di spam visti nella rete “acchiappa-spam” di Sophos, tracciati quotidianamente, a partire dalla fine di Novembre 2016:

Come potete vedere, i picchi nel grafico sono terminati proprio prima di Natale e non si sono più verificati. (Inoltre è interessate notare che i livelli di spam sono cresciuti regolarmente nei giorni lavorativi, il che fa pensare che persino i cybercriminali non amino lavorare nei fine settimana.)

Per escludere la possibilità che questo fenomeno sia causato da un problema nella nostra infrastruttura abbiamo anche consultato i dati pubblici di CBL, la Composite Blocking List, usata da Spamhaus, che ci ha mostrato un grafico con una forma simile:

Il motivo di tutto questo non è ancora stato definitivamente dimostrato, ma tutto fa pensare che una nota botnet chiamata Necurs si sia calmata.

Necurs è considerata una delle più grandi botnet di sempre, con un numero stimato di computer infetti che va oltre i 6 milioni. La maggioranza di tali computer pare essere in India, ma sembra che quasi ogni Paese nel mondo sia stato infettato da questo malware, fatta eccezione per la Russia (il malware Necurs volutamente evita di infettare computer configurati per l’utilizzo una tastiera russa).

È interessante notare che i livelli di spam sono diminuiti anche a giugno 2016, ma, Necurs era di nuovo in pieno vigore meno di un mese più tardi, diffondendo una nuova versione di Locky.

Perché Necurs si sia calmato in questo periodo, e per quanto tempo durerà  l’”interruzione” non si sa, così come, naturalmente, non è noto se e quando tornerà al suo antico splendore.

Quello che sappiamo è che ciò non ha impedito agli utenti di essere presi di mira da Locky o da altro malware diffuso mediante allegati ingannevoli o link web trappola, nonostante il drastico calo dei volumi di spam raffigurato sopra.

Sappiamo anche che la botnet Necurs non è completamente morta, solo molto più tranquilla di quanto non fosse in precedenza. In altre parole, se il vostro computer è parte della botnet Necurs, è ancora infetto, è ancora in attesa di istruzioni, e potrebbe ricevere l’ordine di svegliarsi e iniziare a inviare di nuovo spam in futuro.

Cosa fare?

Tanto per cominciare, assicuratevi che il vostro computer non sia al servizio  dei truffatori:

• Mantenete aggiornato il vostro antivirus.
• Installate prontamente le patch di sicurezza più recenti.
• Siate cauti nell’aprire gli allegati, nell’installare programmi e nel fidarvi dei link web.

Inoltre, se siete un sysdamin che cura la sicurezza della posta elettronica della vostra azienda, assicuratevi di attivare la scansione dello spam in uscita. (Sareste sorpresi di sapere quante aziende non si preoccupano di controllare la posta elettronica in uscita, e trattano lo spam come un problema puramente in entrata – anche se tutto lo spam in entrata, piuttosto ovviamente, è nato come spam in uscita)

Se avete nella vostra rete computer zombie che stanno inviando spam, dovete saperlo!

Dopotutto, alcuni di questi messaggi spam potrebbero prendere di mira proprio la vostra azienda, creando così un circolo vizioso di infezione.

Per vedere il ransomware Locky in azione, e come Sophos lo blocca, perché non guardate il nostro video?