Sophos ha svelato i risultati di una nuova ricerca dei SophosLabs, dalla quale emerge come i cyber criminali stiano sempre di più analizzando e filtrando le caratteristiche peculiari dei singoli Paesi al fine di creare ransomware e attacchi sempre più in linea con le caratteristiche locali. La ricerca raccoglie le informazioni da milioni di endpoint in tutto il mondo ed evidenzia anche come, per attirare più vittime con i propri attacchi, i cyber criminali stiano creando dello spam personalizzato in grado di contenere minacce sfruttando i gerghi regionali, i brand e i metodi di pagamento per una migliore compatibilità culturale.

I ransomware si “mascherano” come autentiche notifiche da email, contraffacendo anche i loghi locali e rendendo l’email più credibile e di conseguenza più facilmente cliccabile e più redditizia per i criminali. Per essere ancora più credibili, queste email si spacciano per compagnie postali locali, agenzie fiscali, forze dell’ordine e enti statali, includendo avvisi di spedizioni false, rimborsi, multe e bollette dell’elettricità. I SophosLabs hanno anche rilevato un sensibile aumento della diffusione dello spam con impostazione grammaticale e ortografica priva di errori, il che naturalmente rafforza la percezione di “autenticità” della mail da parte di chi la riceve.

I ricercatori hanno rilevato inoltre importanti differenze nella diffusione geografica dei vari tipi di ransomware. Varie versioni di CryptoWall hanno ad esempio attaccato prevalentemente gli Stati Uniti, la Gran Bretagna, il Canada, l’Australia, la Germania e la Francia, mentre TorrentLocker punta prevalentemente sulla Gran Bretagna, l’Italia, l’Australia e la Spagna e TeslaCrypt colpisce soprattutto Gran Bretagna, Stati Uniti, Canada, Singapore e Tailandia.

I sistemi bancari sono infine un perfetto esempio di come i cyber criminali stiano usando malware localizzati per effettuare attacchi più redditizi

Nonostante le economie occidentali siano le più bersagliate, il loro Tasso di Esposizione ai Rischi (TER) è più basso rispetto ad altre zone geografiche prese in esame. Le nazioni che hanno un TER più basso sono Italia (7,6%), Francia (5,2%), Canada (4,6%), Australia (4,1%), Stati Uniti (3%) e Gran Bretagna (2,8%). Il TER tocca invece picchi preoccupanti in Algeria (30,7%), Bolivia (20,3%), Pakistan (19,9%), Cina (18,5%) e India (16,9%).

Il concetto di selezionare specifici paesi come obiettivi preferenziali per gli attacchi è un’altra tendenza emersa da questa ricerca. “I cyber criminali hanno imparato a programmare i loro attacchi evitando alcuni paesi o tastiere in determinate lingue” ha dichiarato Chester Wisniewski, senior security advisor di Sophos. “Questo può accadere per diverse ragioni: ad esempio, forse i criminali non vogliono attaccare troppo vicino a dove si trovano per evitare di essere scoperti. Oppure potrebbe trattarsi di una sorta di orgoglio nazionale oppure, volendo ipotizzare un’ipotesi complottistica puntano a creare un clima di sospetto nei confronti del paese che viene risparmiato dall’attacco”.

I sistemi bancari sono infine un perfetto esempio di come i cyber criminali stiano usando malware localizzati per effettuare attacchi più redditizi. La ricerca di Sophos indica infatti come storicamente trojan e malware siano usati per infiltrarsi nelle banche e nelle istituzioni finanziarie in specifiche aree geografiche. Qualche esempio? Dridex è predominante negli Stati Uniti e in Germania, Trustezeb nei paesi di lingua tedesca, Yebot colpisce Hong Kong e Giappone, mentre Zbot è presente soprattutto negli Stati Uniti, Gran Bretagna, Canada, Germania, Australia, Italia, Spagna e Giappone.