Il 18 gennaio viene rilevato per la prima volta un e-mail worm denominato Bagle. Tale software nocivo ha dato luogo alla nascita di un’intera nuova famiglia di temibili worm, espressamente creati per scopi malevoli. Bagle era stato appositamente progettato per generare l’installazione di Trojan adibiti alla funzione di proxy server sui computer-vittima, macchine in seguito utilizzate per la conduzione di mailing di spam di vaste proporzioni.

Nella notte tra il 26 e il 27 gennaio [CET] del 2004 si scatena poi una vasta epidemia di malware, causata dalla prima versione dell’e-mail worm Mydoom. Tale epidemia raggiunse immediatamente il suo apice, suggerendo agli esperti di sicurezza IT che la sua rapida propagazione fosse dovuta a mailing di massa costituiti da messaggi di posta infetti, inviati attraverso reti di computer-zombie. La quantità di e-mail generate in maniera automatica fu così ingente che molti server di posta aziendali andarono in crash, oppure ridussero drasticamente la velocità di trasmissione dei dati, non essendo in grado di gestire un flusso di traffico così imponente. Il worm Mydoom era ugualmente di chiara natura criminale. Anch’esso installava sui computer-vittima programmi Trojan con funzione di proxy server, per la successiva conduzione di vasti mailing di massa nocivi, proprio come Bagle. Allo stesso tempo, tuttavia, veniva ugualmente installato un Trojan backdoor, il quale consentiva ai malintenzionati di ottenere, da remoto, il pieno accesso ai computer sottoposti ad attacco. L’epidemia in questione raggiunse il suo culmine il 1° febbraio, giorno in cui il worm dette inizio ad un attacco DDoS rivolto al sito web di SCO (www.sco.com), noto produttore di sistemi UNIX. Il sito Internet venne così “fatto fuori”, e la società interessata dovette ricorrere, per qualche tempo, all’utilizzo di un sito alternativo (www.thescogroup.com).

Il 9 febbraio, poi, si manifesta l’epidemia causata dal worm di rete Doomjuice. Tale worm si propagava nei computer infetti assieme a Mydoom, penetrando all’interno del sistema attraverso una porta di rete aperta dal suo predecessore, la quale consentiva il successivo invio di comandi remoti ai computer-vittima. Nel caso in cui il computer infetto avesse risposto alla richiesta del worm, Doomjuice avrebbe stabilito la connessione con tale macchina, per poi copiare se stesso nel malcapitato PC. Il Trojan precedentemente installato da Mydoom avrebbe ricevuto tale file, e ne avrebbe poi lanciata l’esecuzione. Il worm Doomjuice, in pratica, approfittava di qualsiasi computer in precedenza infettato da Mydoom.

Il 15 febbraio del 2003 aveva segnato l’inizio della prima epidemia informatica provocata dalla famigerata e prolifica famiglia di worm denominata NetSky. Tali worm, di fatto, eliminavano le versioni conosciute di Mydoom dai computer da essi infettati. Il worm NetSky, in seguito, acquisì ugualmente la specifica funzionalità di eliminare l’e-mail worm Bagle dalle macchine sottoposte a contagio. Nel mese di marzo del 2003, in realtà, era iniziata una lotta senza quartiere, o per meglio dire una vera e propria guerra, tra i due gruppi di autori di malware, con i sostenitori di NetSky da un lato ed i sostenitori di Mydoom e Bagle dall’altro. Il 3 marzo del 2004 compaiono sulla scena cinque nuove varianti di tali worm, nello spazio di sole 3 ore. Nei mesi di marzo ed aprile del 2004, le versioni maggiormente prolifiche di tali worm generano, in pratica, dall’80 al 90% dell’intero traffico web di natura malevola. Le successive versioni dei worm in causa vedono i gruppi rivali prendere di mira e distruggere i rispettivi codici maligni, indirizzando allo stesso tempo agli avversari messaggi dal tono sprezzante, minaccioso ed offensivo:

NetSky.c:

we are the skynet – you can’t hide yourself! – we kill malware writers (they have no chance!) – [LaMeRz->]MyDoom.F is a thief of our idea! – — ->->

NetSky.f:

Skynet AntiVirus – Bagle – you are a looser!!!!
Come si può vedere, i toni dello scontro erano decisamente alti, da entrambe le parti…

Mydoom.f:

to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shi**y app.

Bagle.i:

Hey, NetSky, f**k off you b**ch, don’t ruine our bussiness, wanna start a war ?

Il 30 aprile dell’anno 2004 si verifica un’ulteriore grave epidemia informatica, causata dal worm di rete Sasser. Il worm riusciva a penetrare all’interno dei computer-vittima attraverso una falla di sicurezza individuata nel servizio LSASS di Microsoft Windows, causando, occasionalmente, il riavvio dei computer infetti. Sasser si diffuse rapidamente, provocando il blocco di milioni di computer, in tutto il mondo. Migliaia di aziende, università ed enti governativi videro di colpo paralizzate le loro attività. Alcune compagnie aeree (British Airways, Delta Airlines) dovettero ritardare o addirittura cancellare i loro voli; varie banche (Goldman Sachs & Westpac Bank) interruppero le operazioni condotte sul momento, mentre Samp, noto istituto bancario finlandese, si vide costretto a chiudere temporaneamente tutte le proprie 130 filiali, come opportuna misura di prevenzione. A Taiwan, l’epidemia interruppe lo svolgimento di Computex, famosa manifestazione fieristica del settore IT; fu inoltre interrotta l’attività di più di un terzo di tutti gli uffici postali. Ad Hong Kong, invece, il worm lasciò gli istituti ospedalieri pubblici privi di qualsiasi supporto informatico, mentre in Australia il worm Sasser produsse l’improvviso arresto del traffico ferroviario.

Microsoft Corporation, da parte sua, annunciò una ricompensa di ben 250.000 dollari per chiunque avesse fornito informazioni utili all’arresto dei virus writer che si celavano dietro le quinte delle operazioni Mydoom e Sasser. Finalmente, nel mese di maggio del 2004, fu arrestato Sven Jaschan, studente tedesco di 18 anni, con l’accusa di aver creato e diffuso sia Netsky che Sasser. Rimane tuttora sconosciuto, ad ogni caso, l’autore di Mydoom.

Nel corso del 2004 emergono inoltre, uno dopo l’altro, numerosi virus di tipo concettuale. Tali virus, di per se stessi, non recano alcun payload nocivo, né generano profitti per i loro autori. Essi vengono esclusivamente progettati per fornire una sorta di dimostrazione riguardo a nuove tecniche di propagazione del malware. Nell’occasione, tutti questi virus concettuali furono ideati e scritti dai membri di un gruppo di autori di malware denominato 29A, per essere poi direttamente inviati a varie società produttrici di antivirus.

Il 27 maggio compare sulla scena Rugrat. Si trattava, nella circostanza, del primo virus in grado di infettare i file eseguibili dell’OS Windows a 64 bit.

Il 14 giugno si registra poi la comparsa di Cabir, il primo worm “dedicato” agli smartphone provvisti di sistema operativo Symbian. Cabir si propagava tramite Bluetooth: esso effettuava in primo luogo una scansione, in cerca degli smartphone dotati di connessione Bluetooth attiva, ed inviava poi a questi ultimi il proprio codice nocivo. Qualche tempo dopo, iniziarono a giungere notifiche riguardo all’avvenuta propagazione del worm Cabir in diversi paesi del mondo. I programmi malware possono quindi diffondersi così ampiamente e rapidamente anche mediante l’utilizzo di simili mezzi tecnologici.

Il 17 luglio appare poi Duts, il primo virus per Windows Mobile. Windows Mobile era, all’epoca, una delle piattaforme più diffuse per dispositivi mobili, quali palmari (PDA) e smartphone.

Il 5 agosto viene alla luce il malware Brador. Si trattava, nella circostanza, del primo Trojan backdoor per PC tascabili provvisti di sistema operativo Windows CE o delle nuove versioni di Windows Mobile. Brador è stato, tra l’altro, anche il primo programma malevolo per dispositivi mobili appositamente progettato per generare profitti illeciti.

Verso la fine del 2004 compare una versione di Gpcode. Questo particolare Trojan provvedeva a cifrare i dati degli utenti, per poi cercare di estorcere denaro agli stessi, a fronte della relativa operazione di decodifica.

Dal 2004 in poi, la maggior parte dei worm e dei Trojan viene creata dai virus writer con l’intento di realizzare sostanziosi guadagni di natura illecita. Il numero dei programmi malware ideati per semplici scopi di “disturbo” inizia a divenire sempre più insignificante, se paragonato alla crescente quantità di crimeware appositamente progettato e sviluppato per realizzare il furto dell’identità digitale e dei dati di natura confidenziale, eseguire insistenti attacchi DDoS ed inviare vere e proprie montagne di spam. Cominciano a proliferare i cosiddetti attacchi bancari, provocati da programmi Trojan in grado di carpire i codici di accesso ai conti bancari degli utenti. Allo stesso modo, aumenta rapidamente il numero degli attacchi di phishing, condotti per gli stessi loschi fini, ovvero ottenere l’accesso agli account bancari personali.

Il 2004 vede ugualmente un significativo incremento del numero di indagini svolte dalle forze di cyberpolizia, investigazioni che conducono spesso all’arresto di malintenzionati. Complessivamente, vengono arrestate circa un centinaio di persone, in vari paesi, per varie tipologie di cybercrimini commessi, come riferito dalle fonti di informazione pubblicamente accessibili.

Il quadro generale relativo alle epidemie di malware verificatesi nel corso del 2004 evidenzia due periodi ben distinti. Nella prima metà dell’anno si registrano principalmente numerose epidemie provocate da worm di posta elettronica. La svolta avviene poi nell’estate; in tale periodo si verifica, in effetti, una forte riduzione sia del numero che della gamma di epidemie informatiche. Le ragioni di un calo così repentino possono essere solo oggetto di varie supposizioni. Riteniamo, da parte nostra, che tale circostanza si sia verificata per l’intervento di vari fattori:

  • In primo luogo, i produttori di soluzioni antivirus avevano ormai appreso, all’epoca, come rispondere prontamente alle epidemie causate dal malware, rilasciando tempestivamente gli indispensabili aggiornamenti di sicurezza; da parte loro, gli Internet provider erano già in grado di garantire l’installazione del necessario software di sicurezza, ben sapendo che per i programmi antivirus occorreva un’apposita integrazione con filtri dedicati. Simili sforzi contennero, di fatto, lo sviluppo delle epidemie generate dagli e-mail worm, limitandone considerevolmente sia la portata che l’efficacia.
  • Le notizie relative all’arresto di numerosi autori di programmi malware ebbero, a tutti gli effetti, un’ampia copertura mediatica; tra l’altro, vennero a più riprese offerte sostanziose ricompense per chi avesse fornito informazioni utili per poter procedere alla condanna dei cybercriminali di più alto profilo. Tutti questi elementi, di sicuro, scoraggiarono i programmatori underground dal continuare a creare software nocivi altamente contagiosi.
  • Per ciò che riguarda, infine, gli specifici “interessi” dei cybercriminali, occorre sottolineare come le epidemie più estese, capaci di coinvolgere milioni di computer infetti, si dimostrino, spesso, molto meno efficaci rispetto alle infezioni informatiche che si propagano lentamente, su scala ridotta, e possono essere pertanto più facilmente controllabili; queste ultime interessano, in genere, non più di alcune decine di migliaia di computer, peraltro ricorrendo all’utilizzo di un considerevole numero di programmi Trojan diversi tra loro.