600 milionów prób infekcji, Stuxnet i kradzież danych - efekty trzymiesięcznej działalności cyberprzestepców

W trzecim kwartale 2010 roku produkty firmy Kaspersky Lab zablokowały ponad 600 milionów prób zainfekowania komputerów użytkowników szkodliwymi i niechcianymi programami. Stanowi to 10% wzrost w stosunku do drugiego kwartału. Spośród wszystkich zablokowanych obiektów 534 milionów stanowiło szkodliwe programy.


W drugiej połowie roku największe zainteresowanie mediów wzbudziła epidemia Stuxneta, która potwierdziła teorię, według której szkodliwe oprogramowanie bardzo szybko staje się coraz bardziej zaawansowane. Analiza wykazała, że celem tego robaka była zmiana sterowników programowalnych (PLC) osadzonych w inwerterach, które są wykorzystywane do kontrolowania prędkości obrotów silników elektrycznych. Takie sterowniki działają z bardzo szybkimi silnikami, posiadającymi ograniczone zastosowania przemysłowe. Stuxnet to najbardziej złożony szkodliwy program w arsenale cyberprzestępców. Jego epidemia zapoczątkowała erę ataków na cele przemysłowe. O unikatowości Stuxneta świadczy również to, że w celu infekowania komputerów użytkowników wykorzystuje jednocześnie aż cztery luki zero-day w systemie Windows oraz posiada komponent rootkit podpisany certyfikatami skradzionymi od Realtek Semiconductors oraz JMicron.


Certyfikaty oraz podpisy cyfrowe to jedne z filarów, na których opiera się cyberbezpieczeństwo. Podpis cyfrowy odgrywa ważną rolę w potwierdzeniu wiarygodności pliku, w którym został umieszczony. Jednak w 2010 roku odnotowano kilka przypadków legalnego uzyskania cyfrowych certyfikatów przez cyberprzestępców. W jednym z nich grupa cyberprzestępców otrzymała certyfikat dla „oprogramowania do zdalnej obsługi komputera bez graficznego interfejsu”, który w rzeczywistości był backdoorem, czyli programem pozwalającym na zdalne przejęcie kontroli nad zainfekowanym komputerem. Twórcy oprogramowania adware, riskware oraz fałszywych programów antywirusowych często wykorzystują skradzione certyfikaty w celu uniemożliwienia wykrycia swojego szkodliwego oprogramowania. Kradzież certyfikatów jest również jedną z głównych funkcji Zbota (znanego również jako Zeus), szeroko rozpowszechnionego trojana. „Sądząc po tym, co możemy obecnie zaobserwować, problem skradzionych certyfikatów może stać się jeszcze poważniejszy w 2011 roku” – powiedział Jurij Namiestnikow, ekspert z Kaspersky Lab i autor raportu „Ewolucja zagrożeń IT w trzecim kwartale 2010 roku”.


Wykorzystywanie błędów w popularnych programach, tak jak wcześniej, cieszyło się dużą popularnością wśród cyberprzestępców. W kwartalnym rankingu najczęściej wykorzystywanych luk pojawiły się cztery nowe pozycje: dwie z nich dotyczą produktów Adobe Flash Player, jedna programu Adobe Reader, jedna Microsoft Office. Ranking Top 10 zawierał ponadto trzy luki w zabezpieczeniach wykryte w 2009 roku i jedną zidentyfikowaną w 2008 roku. Statystyki te pokazują, że niektórzy użytkownicy zwlekają z aktualizacją oprogramowania nawet przez lata. Wszystkie luki znajdujące się w rankingu pozwalają cyberprzestępcom przejąć pełną kontrolę nad atakowanym systemem.


Według ekspertów z Kaspersky Lab, w najbliższej przyszłości znacznie zwiększy się liczba incydentów dotyczących szkodliwych programów posiadających certyfikaty. Jednak o wiele bardziej niepokojące jest to, że wzrośnie również liczba zaawansowanych szkodliwych programów, które potrafią działać na platformach 64-bitowych. Nie ma wątpliwości również co do tego, że cyberprzestępcy będą coraz szybciej wykorzystywać nowo wykryte luki w zabezpieczeniach.


Wybierając platformy do umieszczenia swojego szkodliwego oprogramowania, cyberprzestępcy preferują zhakowane legalne strony internetowe oraz odporne na ataki hakerów podejrzane strony hostingowe, które nie sprawdzają danych właściciela podczas procesu rejestracji ani nie zwracają uwagi na skargi użytkowników.


Zasoby internetowe zawierające szkodliwe oprogramowanie można znaleźć w niemal wszystkich państwach na całym świecie. Jednak aż 89% wykrytych platform wykorzystywanych do dystrybucji szkodliwego oprogramowania jest zlokalizowanych w 10 państwach.

 

10 państw z największą liczbą serwerów zawierających szkodliwy kod

  

„Wydarzenia, jakie miały miejsce w trzecim kwartale 2010 roku, pokazują, że znajdujemy się u progu nowej ery w ewolucji cyberprzestępczości” – mówi Jurij Namiestnikow. „Koncepcja masowej infekcji, takiej jak te wywoływane przez robaki Klez, Medoom, Sasser oraz Kido, ustąpi miejsca precyzyjnym atakom”.  

źródło: Kaspersky LAB 

W listopadzie spadła ilość spamu farmaceutycznego oraz aktywność amerykańskich spamerów

W listopadzie 2010 roku ilość spamu wykrywanego w ruchu pocztowym zmniejszyła się o 0,6% w porównaniu z październikiem i wynosiła średnio 76,8%. Najmniej niechcianych wiadomości odnotowano 1 listopada (71%), najwięcej natomiast 7 listopada (85,6%). W pierwszych kilku dniach miesiąca zarejestrowano spadek w ruchu spamowym spowodowany zamknięciem centrów kontroli botnetu Bredolab, który do końca października zainfekował 30 milionów komputerów.
 
Ilość spamu pochodzącego z Indii wzrosła o 10,4%, dzięki czemu kraj ten uplasował się na pierwszym miejscu rankingu największych spamerów. Tuż za Indiami znalazł się Wietnam (8,8%), Wielka Brytania (6%) oraz Rosja (5,6%). Pierwszą piątkę zamknęły Włochy, które rozesłały 5,2% ogółu spamu, co stanowi wzrost o 1,4% w stosunku do października. Polska zajęła 10 miejsce z wynikiem 2,8% (spadek o 2 miejsca w porównaniu z poprzednim miesiącem).

Źródła spamu w listopadzie 2010 r.

Prowadzona w Stanach Zjednoczonych kampania antybotnetowa najwyraźniej przyniosła efekty – po raz pierwszy od rozpoczęcia monitoringu państwo to w ogóle nie pojawiło się w rankingu 20 największych spamerów. Wygląda na to, że spamerzy dystrybuujący spam farmaceutyczny z terytorium Stanów Zjednoczonych, Kanady i Europy Zachodniej zdali sobie sprawę, że ich działalność nie ujdzie im na sucho, i rozpoczęli współpracę z innymi programami partnerskimi. Świadczy o tym bardzo niewielki udział spamu z tej kategorii wykrytego w listopadzie: na początku miesiąca odsetek spamu farmaceutycznego oscylował na poziomie 40%, natomiast pod koniec stanowił niecałą jedną trzecią całego ruchu spamowego.
„Spam farmaceutyczny stanowi bardzo lukratywny interes, dlatego aż do niedawna był tak szeroko rozpowszechniony w Internecie” – powiedziała Maria Namiestnikowa, starszy analityk spamu w Kaspersky Lab. „Straciwszy część swoich dochodów pochodzących ze spamu farmaceutycznego, spamerzy szukają teraz innych możliwości zarabiania pieniędzy. Jest to dość trudne, ponieważ w październiku, a zwłaszcza w listopadzie, miały miejsce znaczne fluktuacje w innych kategoriach spamu”.


Udział ataków phishingowych na system PayPal zmniejszył się o 27% w porównaniu z poprzednim miesiącem i wynosił średnio 34,2%. W listopadzie liczba ataków na Facebooka podwoiła się, a ich udział wzrósł do 16,9%. W porównaniu z październikiem zwiększyło się również zainteresowanie phisherów eBayem – udział ataków na ten portal aukcyjny wzrósł trzykrotnie i wynosił 14,8%. Phisherzy poszerzyli również zakres swoich celów – w listopadzie częściej atakowali posiadaczy kart MasterCard oraz Visa, wznowili również ataki na osoby korzystające z kart Delta.

 

10 organizacji najczęściej atakowanych przez phisherów w listopadzie 2010 roku 

źródło: Kaspersky Lab