Skocz do zawartości

Kaspersky Lab: Ewolucja zagrożeń IT w I kwartale 2011


Rekomendowane odpowiedzi

Witam,

 

W pierwszym kwartale 2011 roku w świecie zagrożeń IT miało miejsce wiele wydarzeń. Prognozy, jakie przedstawiliśmy w naszym rocznym Biuletynie Bezpieczeństwa, szczególnie te dotyczące zagrożeń mobilnych i ataków ukierunkowanych, bardzo szybko zaczęły się sprawdzać. Poniżej przedstawiamy analizę najistotniejszych incydentów, które miały miejsce w pierwszym kwartale.

Teraz dostępne już w sklepie - mobilne trojany!

 

Zaczniemy od szkodliwego oprogramowania dla systemu Android umieszczanego przez cyberprzestępców w Android Markecie. Szkodliwe aplikacje - wykryto ich ponad pięćdziesiąt - zostały zainfekowane trojanami i zamaskowane pod postacią legalnych programów. Celem atakujących były dane dotyczące telefonów komórkowych, łącznie z numerem IMEI oraz IMSI. Trojany te zawierały również moduł, który potrafił instalować na urządzeniach niczego nieświadomych użytkowników dodatkowe szkodliwe komponenty. Wiązało się to z przejęciem pełnej kontroli nad telefonem poprzez wprowadzenie go w tryb "jailbreak" (jest to proces obejścia ochrony w celu zapewnienia pełnego dostępu do systemu plików urządzenia). W celu uzyskania przywilejów administratora, które zapewniają praktycznie nieograniczone możliwości manipulowania systemem, szkodliwe oprogramowanie wykorzystywało luki w systemie Android przy pomocy popularnych exploitów "rage against the cage", rozprzestrzenianych w tym samym pakiecie co trojany.

 

Użytkownicy, którzy zainstalowali na swoich urządzeniach program Kaspersky Mobile Security 9, byli w pełni chronieni. Mimo że trojany były stosunkowo nowe i nie zostały dodane do antywirusowych baz danych, rozwiązane Kaspersky Lab wykrywało exploity znajdujące się w tym samym pakiecie. Do czasu stworzenia sygnatur dla nowych trojanów KMS 9 wykrywał proaktywnie cały pakiet jako Exploit.AndroidOS.Lotoor.g oraz Exploit.AndroidOS.Lotoor.j. Po dodaniu trojanów do antywirusowych baz danych wykrywamy je jako Backdoor.AndroidOS.Rooter. Warto wspomnieć, że w klasyfikacjach innych producentów antywirusowych szkodniki te występują też pod nazwą DroidDream.

 

Nasuwają się dwa pytania:

 

Czy zdobycie konta producenta oprogramowania dla systemu Android stanowiłoby problem dla cyberprzestępców?

Niestety, nie. Aby zdobyć takie konto, wystarczy zapłacić 25 dolarów amerykańskich. Najwyraźniej Google chce przyciągnąć możliwie jak najwięcej producentów do swojego systemu operacyjnego. Jednak 25 dolarów nie stanowi wystarczającej bariery i cyberprzestępców stać na stworzenie kilkudziesięciu takich kont. W rezultacie może powstać błędne koło: z jednej strony Google będzie zamykał konta wykorzystywane do dystrybucji szkodliwego oprogramowania, z drugiej strony cyberprzestępcy będą tworzyli nowe.

Czy można wprowadzić bardziej restrykcyjną kontrolę w stosunku do aplikacji oferowanych w Android Markecie?

Głównym problemem jest dostępność zasobów niezbędnych do realizacji tego rozwiązania. Sprawdzenie całego kodu w aplikacjach dostępnych w Android Markecie, App Store, Samsung Markecie oraz innych sklepach jest trudnym zadaniem, ponieważ jego automatyzacja jest prawie niemożliwa. To oznacza, że w przyszłości bez wątpienia zwiększy się liczba zainfekowanych programów dostępnych w różnych sklepach z aplikacjami.

 

Jak już wspominaliśmy wcześniej, szkodliwe oprogramowanie wykryte w Android Markecie wykorzystywało luki w zabezpieczeniach. Luki te dotyczyły urządzeń z Androidem w wersjach wcześniejszych niż 2.3 "Gingerbread", która została opublikowana 6 grudnia 2010 roku. Według Google, trzy miesiące od publikacji odsetek smartfonów z tą nową wersją systemu operacyjnego wynosił tylko 2%. Wygląda na to, że użytkownicy nie spieszą się z aktualizacją swoich systemów do nowszej wersji. Głównym powodem tej opieszałości jest to, że producenci urządzeń wprowadzają znaczne modyfikacje do swoich systemów operacyjnych, zanim zainstalują je na urządzeniach przenośnych. W efekcie, aktualizacja systemu operacyjnego do nowszej wersji może okazać się niemożliwa lub całkowicie uzależniona od działań producenta sprzętu.

 

Skoro instalowanie łat staje się czynnością zależną od producenta, ponosi on częściowo odpowiedzialność za bezpieczeństwo urządzeń przenośnych. Jednak producenci często nie widzą dla siebie interesu we wspieraniu i aktualizowaniu oprogramowania na istniejących urządzeniach. Ponieważ modele smartfonów bardzo szybko stają sie przestarzałe, aktualizacja oprogramowania na takich urządzeniach wiąże się z dodatkowymi kosztami bez możliwości ich zwrotu. Użytkownicy mogą mieć jedynie nadzieję na to, że producenci urządzeń podejmą odpowiednie kroki i zapewnią możliwość instalowania aktualizacji na swoim sprzęcie. Czy w takich okolicznościach można poważnie dyskutować na temat bezpieczeństwa?

 

Warto wspomnieć, że Google pozwala na zdalne zainstalowanie aplikacji na dowolnym urządzeniu z Androidem lub usunięcie jej z takiego urządzenia. Jest to bardzo pomocne podczas neutralizacji szkodliwego oprogramowania na telefonach, które zostały już zainfekowane. Niemniej jednak incydent z trojanem w Android Markecie obnażył kilka słabości w tym systemie.

 

Po pierwsze, po uzyskaniu przywilejów administratora trojany zadomowiły się na smartfonach i mogły zostać usunięte tylko przez aplikację posiadającą te same przywileje administratora. Aby umożliwić usunięcie tych trojanów z zainfekowanych urządzeń, Google musiał opublikować specjalny program, który posiadał takie przywileje.

 

Po drugie, cyberprzestępcy, którzy nieustannie rozwijają szkodliwe oprogramowanie, mogą zaimplementować technologie pozwalające trojanom na wyłączenie mechanizmu zdalnej administracji - jest to proces podobny do wyłączenia funkcjonalności Windows Update na komputerach PC.

 

Po trzecie, obecny system umożliwia usuwanie trojanów z zainfekowanych telefonów, ale nie zapobiega infekcji. Jeżeli trojan jest wykorzystywany przez osoby atakujące do kradzieży pieniędzy lub istotnych danych, usunięcie go nie cofnie wyrządzonych szkód.

 

Ogólnie, sytuacja dotycząca Androida zaczyna przypominać sytuację systemu Windows:

 

Istnieje ogromna liczba urządzeń z Androidem, które posiadają przestarzałe oprogramowanie zawierające różne niezałatane luki w zabezpieczeniach;

W większości przypadków, użytkownicy ignorują ostrzeżenia bezpieczeństwa, które są wyświetlane podczas instalowania lub uruchamiania aplikacji po raz pierwszy;

Podobnie jak w przypadku systemu Windows, najwięcej zainfekowanych komputerów znajduje się wśród tych, na których użytkownicy posiadają przywileje administratora, a najbardziej narażone na infekcję są systemy z Androidem działającym w trybie jailbreak;

Mobilne szkodliwe oprogramowanie komunikuje się ze swoimi właścicielami przy użyciu metody powszechnie stosowanej przez szkodliwe oprogramowanie dla Windowsa - za pośrednictwem centrów kontroli, co nieuchronnie prowadzi do pojawienia się mobilnych botnetów;

Systemy kontroli aplikacji można obejść: aplikacje można zainstalować na urządzeniach z Androidem nie tylko poprzez Android Market.

 

Od 2007 roku liczba nowych sygnatur mobilnego szkodliwego oprogramowania dodawanych do antywirusowych baz danych praktycznie zwiększa się każdego roku.

namest_q1threat_2011_pic01_all.png

 

Liczba nowych sygnatur mobilnego szkodliwego oprogramowania dodanych do antywirusowych baz danych

 

 

Na podstawie naszych statystyk dla pierwszego kwartału tego roku, można bezpiecznie przewidywać, że liczba szkodliwych programów dla urządzeń mobilnych wykrytych w 2011 roku będzie dwukrotnie większa niż w 2010 roku.

 

Sytuacja dotycząca mobilnego szkodliwego oprogramowania jest szczególnie niepokojąca, ponieważ na urządzeniach mobilnych są przechowywane duże ilości istotnych danych. Co więcej, w niedalekiej przyszłości smartfony mogą być powszechnie stosowane jako mobilne "portfele". Ponadto, pracownicy coraz częściej wykorzystują swoje prywatne urządzenia przenośne w celach związanych z pracą, dlatego wycieki danych z prywatnych smartfonów przyprawiają ich pracodawców o prawdziwy ból głowy.

Ataki ukierunkowane

 

Wydarzenia opisane w tej sekcji miały swój początek w 2010 roku. Pod koniec zeszłego roku grupa o nazwie Anonymous przyznała się do przeprowadzenia ataków DDoS na strony internetowe Mastercard, Visa oraz Paypal. Była to zemsta za to, że firmy te odmówiły przetwarzania transakcji związanych z inicjatywą Wikileaks. Wiele osób zastanawiało się, kto kryje się za nazwą Anonymous. Na początku 2011 roku HBGary, firma zajmująca się bezpieczeństwem IT, poinformowała, że wie, kto jest odpowiedzialny za te ataki. Jednak kilka dni później sama padła ofiarą ataku.

 

W pierwszym kwartale 2011 roku miało miejsce kilka ataków, których celem padły różne organizacje. Oprócz zaatakowania HBGary hakerzy uderzyli również w RSA, BMI, Lush oraz strony internetowe Play.com i wiki.php.net. W efekcie tych skutecznych ataków cyberprzestępcy uzyskali dostęp do różnych danych, łącznie z danymi identyfikującymi użytkowników, które mimo że nie mogą przynieść natychmiastowych korzyści, mogą być przydatne.

 

Kilka lat temu włamanie się do serwerów dużej firmy stanowiłoby spory wyczyn dla hakerów. Niestety obecnie podobne incydenty stają się coraz bardziej powszechne. Wszystko wskazuje na to, że niektórzy profesjonalni hakerzy trafili na żyłę złota, rezygnując z masowego infekowania komputerów domowych na rzecz włamywania się do dużych korporacji. Taka aktywność jest bardziej ryzykowna, ponieważ w przeciwieństwie do użytkowników domowych, duże korporacje mogą pozwolić sobie, i często decydują się, na rewanż. Jednak stawka, a tym samym potencjalne korzyści związane z dokonywaniem ataków ukierunkowanych na korporacje są wyższe. Co więcej w tym segmencie czarnego rynku istnieje mniejsza konkurencja.

 

Niepokojący jest fakt, że celem wielu ataków stają się firmy zajmujące się bezpieczeństwem IT. Firmy z tej branży obsługują zwykle dużą liczbę klientów, dlatego w wyniku udanego ataku cyberprzestępcy mogą wejść w posiadanie kluczy do cyfrowych portfeli dużej liczby użytkowników rozsianych po całym świecie.

 

Z technicznego punktu widzenia włamanie się do serwerów firm zajmujących się bezpieczeństwem IT jest bardzo trudne. W przypadku HBGary, hakerzy zdołali przeniknąć do sieci firmy poprzez zaatakowanie najmniej krytycznych, a przez to najsłabiej chronionych, serwerów wykorzystywanych przez dział pomocy technicznej. Ponieważ administrator serwera był jednocześnie dyrektorem generalnym firmy, po zdobyciu jego loginu i hasła hakerzy uzyskali również dostęp do różnych innych danych na serwerze. Skradzione dane były bardzo cenne, ponieważ HBGary współpracuje z dużymi organizacjami finansowymi i organami rządowymi. Pierwszy lepszy cyberprzestępca próbowałby od razu sprzedać takie dane na czarnym rynku. Jednak hakerzy stojący za tym atakiem nie poszli utartą ścieżką: zamiast tego publicznie udostępnili uzyskane poufne dane. Ich głównym celem było zaszkodzenie reputacji firmy poprzez rozgłoszenie wiadomości o włamaniu.

 

W ataku na RSA dużą rolę odegrał czynnik ludzki. Cyberprzestępcy wysłali pracownikom tej firmy szkodliwe pliki Excela o nazwie "2011 Recruitment Plan.xls", mając nadzieję, że znajdzie się przynajmniej jedna osoba, która pokusi się o otworzenie pliku. Ich kalkulacje okazały się słuszne: jeden z pracowników RCA otworzył szkodliwy plik, który w rzeczywistości zawierał exploity zero-day. Dzięki niemu cyberprzestępcy mogli przejąć kontrolę nad komputerem tego pracownika, a następnie przeniknąć przez rozbudowany system ochrony sieci korporacyjnej. Incydent ten po raz kolejny pokazuje, że pracownicy firm stanowią najsłabsze ogniwo w łańcuchu bezpieczeństwa IT. Głównym sposobem wzmocnienia tego ogniowa jest organizowanie szkoleń - nie tylko dla personelu IT, ale również dla pozostałych pracowników. Niezależnie od tego, jak mocna jest ochrona techniczna firmy oraz jak profesjonalnie zostały skonfigurowane jej polityki bezpieczeństwa, stworzenie dobrze chronionego systemu nie będzie możliwe, jeżeli wszyscy pracownicy nie będą rozumieli i przestrzegali podstawowych reguł bezpieczeństwa IT.

 

W pierwszym kwartale 2011 roku hakerzy zaatakowali również zasoby rządowe należące do Kanady, Francji i Korei Południowej. O ile ataki na prywatne firmy zwykle są podyktowane względami finansowymi, w przypadku zasobów rządowych nie wiadomo, czym kierują się osoby wybierające sobie takie cele. W Kanadzie i Francji cyberprzestępcy chcieli uzyskać dostęp do tajnych dokumentów. W Korei Południowej celami były rządowe konta na Twitterze i YouTubie. W przypadku grupy Anonymous i firmy HBGary, cyberprzestępców motywowało coś innego niż chciwość. Ataki były formą protestu przeciwko konkretnym decyzjom podjętym przez organizacje i organy rządowe. Trzeba pamiętać, że Internet stał się istotną częścią naszego życia codziennego i nie stanowi już jedynie globalnego środowiska informacji; dzisiaj to również arena dla zmagań politycznych.

SCADA - czy to dopiero początek?

 

21 marca 2011 roku na liście mailingowej seclists.org opublikowano informację o 24 lukach w systemach SCADA dostarczanych przez różnych producentów (takich jak Siemens, Iconics, 7-Technologies oraz DATAC itd.).

 

Po szeroko nagłośnionym incydencie ze Stuxnetem, systemy SCADA wzbudzają coraz większy niepokój wśród firm zajmujących się bezpieczeństwem. Systemy te kontrolują operacje przebiegające w obiektach przemysłowych, elektrowniach, systemach sygnalizacji świetlnej oraz innych obiektach mających krytyczne znaczenie dla naszego życia. Możliwość manipulowania takimi obiektami przez jakąś "siłę zewnętrzną" stanowi zagrożenie dla milionów ludzi.

 

Oprogramowanie SCADA zasadniczo nie różni się od typowych aplikacji. Jest napisane przy użyciu tych samych języków programistycznych, a do komunikacji wykorzystywane są dobrze znane protokoły, głównie sieciowe. Oprogramowanie SCADA - jak każde inne - jest tworzone przez człowieka, który siłą rzeczy może popełnić najwięcej błędów. Dlatego w oprogramowaniu tym często znajdowane są błędy podobne do tych wykrywanych w zwykłych programach. Na porządku dziennym znajdują się również exploity rozwijane dla takich systemów.

 

Należy pamiętać, że na świecie istnieje wiele systemów SCADA, które zostały skonfigurowane w czasie rozruchu kontrolowanych przez nie przedsiębiorstw i od tego czasu prawie wcale nie były aktualizowane. W praktyce aktualizacja takich systemów nie zawsze jest wykonalna, ponieważ niewiele przedsiębiorstw może pozwolić sobie na sklonowanie swoich obiektów przemysłowych w celu przetestowania łat.

 

Warto wspomnieć, że pakiet exploitów dla systemów SCADA jest już dostępny online, a niektóre z luk opublikowanych pod koniec marca nie zostały jeszcze załatane w czasie, gdy powstawał ten artykuł.

Cyfrowy brak zaufania?

 

Dzisiaj cała koncepcja "zaufania cyfrowego" - gwarancji, że źródła plików, bankowość internetowa, zakupy online, usługi poczty elektronicznej oraz telekomunikacyjne są dla nas bezpieczne - jest uwarunkowana tym, że możemy polegać na integralności mechanizmów weryfikacji podpisów cyfrowych oraz firm wydających takie certyfikaty cyfrowe.

 

Niestety nasza prognoza, w której przewidywaliśmy, że w 2011 roku certyfikaty cyfrowe staną się głównym problemem bezpieczeństwa IT, zaczyna się sprawdzać. Pod koniec marca Microsoft opublikował biuletyn, w którym informował, że w imieniu Comodo opublikowano dziewięć fałszywych certyfikatów, które domyślnie stanowią zaufane certyfikaty we wszystkich wersjach systemu Windows oraz Mac OS X. Fałszywe certyfikaty pozwalają cyberprzestępcom przeprowadzać ataki phishingowe, podrabiać zawartość stron internetowych oraz dokonywać ataków MITM (man-in-the-middle).

 

Według Comodo, wydanie fałszywych certyfikatów było możliwe na skutek uzyskania dostępu do kont dwóch zaufanych partnerów firmy. Incydent ten zwrócił uwagę na inną kwestię: ponieważ prawo do wydawania certyfikatów w imieniu zaufanej firmy można przenieść na osoby trzecie, bezpieczeństwo użytkowników zależy nie tylko od zaufanej firmy, ale również jej partnerów.

 

Certyfikaty te nie zostały wydane dla organizacji finansowych, ale dla stron internetowych, które są odwiedzane przez miliony użytkowników i należą do dużych korporacji (łącznie z takimi usługami jak Google, Gmail, Microsoft Live Mail, Yahoo!, Skype oraz dodatki do Mozilli). Nie jest to działanie typowe dla hakerów ze starej szkoły, których interesują przede wszystkim pieniądze i dlatego atakują organizacje finansowe. Ataki wykorzystujące fałszywe certyfikaty nie są przeprowadzane dla zysków finansowych, jednak w ich wyniku mogą zostać skradzione tożsamości ogromnej liczby użytkowników internetowych. Pasuje to do koncepcji nowej klasy cyberprzestępców, o której wspominaliśmy w naszym rocznym Biuletynie Bezpieczeństwa

 

Co ciekawe, według Comodo, ataki hakerskie na partnerów zostały przeprowadzone z Iranu. Również w tym państwie hostowano stronę internetową, na której został po raz pierwszy użyty fałszywy certyfikat. Następnie do ataku na system przyznała się osoba, która przedstawiła się jako irański haker samouk, i na dowód tego opublikowała nawet część prywatnego klucza. Wiadomo jednak, że atak został bardzo dokładnie zaplanowany i profesjonalnie przeprowadzony - co całkowicie wyklucza takiego sprawcę. Jak dotąd wysiłki znalezienia hakera, który tak otwarcie przyznał się do przeprowadzenia ataków, spełzły na niczym. Irański trop równie dobrze mógł być fałszywy i służyć jedynie odwróceniu uwagi od rzeczywistych sprawców.

Rustock zostaje rozbity, ale jego właściciele pozostają na wolności

 

W połowie marca botnet Rustock zaprzestał rozprzestrzeniania spamu. Był to bezpośredni wynik wspólnej operacji firmy Microsoft oraz amerykańskich organów ścigania, która doprowadziła do zdjęcia centrów kontroli tego botnetu. W następstwie tego zdarzenia całkowita ilość spamu krążącego w Sieci spadła o 15 punktów procentowych.

 

Rustock był botnetem zarządzanym za pomocą centrów kontroli ze specjalnymi adresami zaszytymi w jego boty spamowe. Po zdjęciu serwerów kontroli botnetu ich właściciele stracili kontrolę nad zainfekowanymi maszynami. Cyberprzestępcy nie będą w stanie odzyskać kontroli nad komputerami tworzącymi botnet bez powtórnego zainfekowania ich, nie oznacza to jednak końca Rustocka.

 

Rustock został stworzony w jednym celu: rozsyłania spamu. W związku z tym jego funkcjonalność ograniczała się do maskowania swojej obecności na komputerze, otrzymywania poleceń od właściciela botnetu oraz wysyłania niechcianych wiadomości e-mail. Rustock nigdy nie posiadał możliwości samodzielnego rozprzestrzeniania się. Sieć zombie została stworzona przy użyciu innych botnetów. Znajdujące się na zainfekowanych komputerach szkodliwe oprogramowanie, w większości Trojan-Downloader.Win32.Harnig, otrzymywało polecenie pobrania i zainstalowania botu spamowego Rustock. Typowym "gospodarzem" Rustocka był komputer bez zainstalowanego oprogramowania antywirusowego oraz posiadający niezałatany system Windows XP. Na całym świecie istnieją setki tysięcy takich komputerów. Tak długo jak właściciele Rustocka pozostają na wolności, mogą stworzyć podobny botnet składający się z tych samych maszyn, które tworzyły rozbitą sieć zombie.

 

Cyberprzestępcy nie próbowali stworzyć nowego botnetu w miejsce zamkniętego. Według danych firmy Kaspersky Lab, w ciągu dwóch tygodni, od 16 marca do końca miesiąca, na maszynach użytkowników nie wykryto żadnych nowych downloaderów instalujących Rustocka.

Ofiary GpCode'a

 

Pod koniec kwartału miał miejsce atak przeprowadzony przy użyciu nowej wersji GpCode'a, niezwykle niebezpiecznego trojana-szantażysty, który szyfruje dane na zainfekowanych przez siebie komputerach i żąda pieniędzy za ich odszyfrowanie.

 

Nowe warianty tego trojana zostały pierwotnie wykryte pod koniec 2010 roku. W przeciwieństwie do wcześniejszych wariantów, które usuwały oryginały zaszyfrowanych plików, nowe warianty GpCode'a nadpisywały pliki zaszyfrowanymi danymi. O ile usunięte oryginały zaszyfrowanych plików można przywrócić przy pomocy specjalistycznego oprogramowania, nadpisanych plików nie da się odzyskać bez klucza prywatnego. Sytuację dodatkowo komplikuje to, że nowe warianty GpCode'a wykorzystują mocne algorytmy szyfrowania: AES z 256-bitowymi kluczami oraz RSA z 1024-bitowymi kluczami. Obecnie, nie da się odszyfrować danych zaszyfrowanych przy pomocy takich algorytmów w rozsądnym czasie i mając do dyspozycji jedynie przechowywane otwarcie zaszyfrowane dane, które są wszystkim, co pozostaje na maszynach ofiar.

 

Cyberprzestępcy infekowali komputery użytkowników za pomocą ataków drive-by download, zwabiając potencjalne ofiary na zainfekowane strony przy użyciu technik "czarnego SEO", czyli metod pozwalających na manipulowanie wynikami wyszukiwania w Internecie. Użytkownicy mogli trafić na zainfekowaną stronę, jeżeli ich zapytanie wpisane w wyszukiwarkę dotyczyło gotowania. Warto zauważyć, że wszystkie strony wykorzystane do przeprowadzenia ataku znajdowały się na darmowych serwisach hostingowych, takich jak am.ae, cx.cc, gv.vg itd. Aby ukryć swoje zamiary, cyberprzestępcy zarejestrowali domeny z nazwami kojarzącymi się z jedzeniem, np. "delicate-grill.ae.am", "generalcook.gv.vg", "warmblueberry.cx.cc" oraz "full-bread.ae.am".

 

Ofiary tego trojana są zlokalizowane głównie w Europie oraz byłych republik Związku Radzieckiego. Infekcje zostały odnotowane w Niemczech, Rosji, Polsce, Francji, Holandii, Kazachstanie, na Ukrainie i w wielu innych państwach. Cyberprzestępcy żądali od swoich ofiar zapłacenia okupu za pośrednictwem Ukash, systemu płatności elektronicznych dostępnego we wszystkich tych państwach.

 

Celem tego ataku, który trwał zaledwie kilka godzin, byli użytkownicy domowi. Bez wykorzystania współczesnych technologii antywirusowych nie da się w tak krótkim czasie stworzyć sygnatur i dostarczyć ich na maszyny użytkowników. Warto wspomnieć, że ochrona w postaci sygnatur UDS (Urgent Detection System) opartych na chmurze została szybko udostępniona użytkownikom produktów Kaspersky Lab.

 

Krótki okres dystrybucji oznacza, że autor (autorzy) GpCode'a nie mieli zamiaru infekować ogromnej liczby maszyn. Masowa infekcja zwróciłaby uwagę organów ścigania w różnych państwach oraz uruchomiłaby działania mające na celu zidentyfikowanie sprawcy (sprawców), co bez wątpienia byłoby bardzo niepożądane dla osób odpowiedzialnych za te ataki. To oznacza, że dalsze ataki trojana szyfrującego będą dotykały stosunkowo wąskiej grupy użytkowników.

Statystyki

 

Poniżej przedstawiamy analizę statystyk wygenerowanych przez różne moduły antywirusowe wchodzące w skład produktów firmy Kaspersky Lab, zainstalowanych na komputerach użytkowników na całym świecie. Wszystkie dane statystyczne zawarte w tym raporcie zostały uzyskane przy użyciu Kaspersky Security Network (KSN) za zgodą uczestników tej sieci. Globalny system wymiany informacji dotyczących aktywności szkodliwego oprogramowania obejmuje miliony użytkowników produktów Kaspersky Lab z 213 państw na całym świecie.

Zagrożenia online

 

Dane statystyczne zawarte w tej sekcji zostały dostarczone przez moduł ochrony WWW wchodzący w skład produktów firmy Kaspersky Lab, który chroni użytkowników przed pobraniem szkodliwego kodu z zainfekowanych stron internetowych. Zainfekowane strony obejmują strony specjalnie stworzone przez cyberprzestępców, strony zawierające treści tworzone przez użytkowników, takie jak fora, oraz zhakowane legalne strony.

Obiekty wykryte w Internecie

 

W pierwszym kwartale 2011 roku liczba zablokowanych ataków wynosiła 254 932 299. Ataki te były przeprowadzane z zasobów internetowych zlokalizowanych w różnych państwach na całym świecie.

Obiekty wykryte w Internecie

 

W pierwszym kwartale 2011 roku liczba zablokowanych ataków wynosiła 254 932 299. Ataki te były przeprowadzane z zasobów internetowych zlokalizowanych w różnych państwach na całym świecie.

20 szkodliwych obiektów najczęściej wykrywanych w Internecie

 

24q1z5x.jpg

 

Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez moduł ochrony WWW wchodzący w skład produktów firmy Kaspersky Lab zainstalowanych na komputerach użytkowników, którzy zgodzili się na przekazywanie swoich danych statystycznych.

* Odsetek łącznej liczby ataków sieciowych zarejestrowanych na komputerach poszczególnych użytkowników.

 

Większość szkodliwych obiektów wykrytych online to umieszczone na czarnej liście odsyłacze, stanowiące 66,16% wszystkich wykrytych obiektów. Lista ta zawiera adresy URL stron internetowych zawierających różne rodzaje szkodliwej zawartości. Wszystkie z nich można podzielić na dwie ogólne kategorie. Do pierwszej należą strony, które aktywnie wykorzystują socjotechnikę w celu skłonienia użytkowników do tego, aby sami zainstalowali szkodliwe programy. Drugą tworzą strony, które niepostrzeżenie pobierają i uruchamiają szkodliwe programy na komputerach ofiar za pośrednictwem ataków drive-by download zawierających exploity.

 

2 i 6 miejsce w rankingu zajmują różne werdykty heurystyczne. W większości przypadków, użytkownicy byli atakowani trojanami skryptowymi oraz exploitami. Fakt, że na drugiej pozycji znajduje się Trojan.Script.Iframer, a na 9 analogiczny program Trojan.HTML.Iframe.dl, wskazuje, że wiele legalnych stron internetowych zawiera wstrzyknięty szkodliwy kod zamaskowany pod postacią niewidocznych znaczników "iframe" wykorzystanych podczas przeprowadzania ataków drive-by.

 

Z kolei na 7 i 8 miejscu rankingu znalazły się programy adware HotBar.dh oraz FunWeb.gq. Takie oprogramowanie najczęściej występuje w czterech państwach: w Stanach Zjednoczonych (28% wszystkich wykrytych infekcji HotBar.dh oraz FunWeb.gq), Chinach (14%), Indiach (6%) oraz Wielkiej Brytanii (4%).

 

Pod koniec zeszłego roku trojany z rodziny Trojan-Downloader.Java.OpenConnection cieszyły się największą popularnością wśród cyberprzestępców. Jednak w pierwszym kwartale 2011 roku szkodniki te znalazły się na dole rankingu. Trojany z tej rodziny wykorzystują lukę w zabezpieczeniach środowiska Java Runtime Environment, która pozwala cyberprzestępcom obejść to środowisko wirtualne oraz wywołać funkcje systemowe Javy. Narażone jest każde oprogramowanie wykorzystujące środowisko Java Runtime Environment starsze niż wersja 6 Update 18. Ponieważ spora liczba funkcji ma na celu zwalczanie exploitów w interpretowanych językach, exploity te atakują raczej wirtualne maszyny niż napisane w tych językach programy.

 

Warto zwrócić uwagę na fakt, że dwa miejsca w rankingu, 12 i 14, zajmują programy wykrywane jako Hoax.Win32.ArchSMS. Są to archiwa, których rozpakowanie wymaga wysłania przez użytkowników SMS-a na płatny numer. Szkodniki te są w większości wykrywane w rosyjskojęzycznym sektorze Internetu.

Państwa hostujące najwięcej szkodliwego oprogramowania

 

Zasoby sieciowe zawierające szkodliwe programy istnieją praktycznie w każdym państwie na świecie. W pierwszym kwartale 2011 roku 89% wszystkich zasobów sieciowych wykorzystywanych do hostingu szkodliwego oprogramowania zostało wykrytych w 10 państwach na całym świecie.

vcw412.jpg

 

 

 

Stany Zjednoczone nadal znajdują się na szczycie listy państw, w których wykryto najwięcej zasobów internetowych rozprzestrzeniających szkodliwe oprogramowanie. W państwie tym większość szkodliwej zawartości znajduje się na zhakowanych legalnych zasobach. Pomiędzy styczniem a marcem 2011 roku udział amerykańskich stron hostujących szkodliwe oprogramowanie zwiększył się o 1,7 punktu procentowego.

 

Największy wzrost liczby stron hostujących szkodliwe oprogramowanie miał miejsce w Rosji (o 3,5 punktów procentowych) oraz w Wielkiej Brytanii (o 2 punkty procentowe), co pozwoliło tym państwom zająć odpowiednio 2 i 7 pozycję.

 

Z kolei w Chinach liczba stron hostujących szkodliwe oprogramowanie zmniejszyła się, zgodnie z tendencją zapoczątkowaną w 2010 roku. Liczba ataków sieciowych pochodzących z tego kraju spadła o 3,33 punktu procentowego w porównaniu z czwartym kwartałem 2010 r. Spadła również liczba serwerów ze szkodliwą zawartością w Niemczech, w wyniku masowej kampanii "czyszczenia" przeprowadzonej w tym państwie.

Państwa, w których użytkownicy są najbardziej narażeni na infekcję przez Internet

 

Aby ocenić, jak wysokie jest ryzyko zainfekowania komputerów użytkowników za pośrednictwem Sieci w różnych państwach na świecie, przeanalizowaliśmy, jak często moduł Ochrona WWW wykrywał szkodliwe oprogramowanie na komputerach użytkowników w każdym państwie.

25zoxep.jpg

 

 

 

*Państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest poniżej progu stanowiącego 10 tysięcy, nie zostały uwzględnione w szacunkach.

 

**Liczba komputerów użytkowników indywidualnych, którzy zostali zaatakowani za pośrednictwem Sieci, jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab w danym państwie.

 

W pierwszym kwartale 2011 roku najbardziej narażeni na infekcję byli użytkownicy w Rosji i Omanie (dane te dotyczą członków sieci KSN). W omawianym okresie w państwach tych prawie co drugi użytkownik (49%) stał się celem ataku sieciowego. Jednak zagrożenie to ma całkowicie inny charakter w obu państwach. W Omanie komputery są infekowane głównie w celu dalszego rozszerzenia istniejących sieci zombie; w Rosji natomiast oszukańcze programy rozprzestrzeniają się na równi z botnetami.

 

Wszystkie te państwa można przydzielić do jednej z poniższych grup:

 

Państwa wysokiego ryzyka. Grupa ta obejmuje 7 państw, w których wskaźnik ryzyka mieści się w przedziale 41- 60%. Są to: Rosja, Oman, Irak, Białoruś, Armenia, Azerbejdżan i Kazachstan.

Państwa średniego ryzyka. Wskaźnik ryzyka zawiera się w przedziale 21- 40%. Grupa ta liczy 87 państw.

Państwa, w których można surfować bezpiecznie. Grupa ta obejmuje państwa o wskaźniku ryzyka pomiędzy 13-20%. W pierwszym kwartale 2011 grupa ta liczyła 33 państwa. Najniższy odsetek komputerów użytkowników atakowanych podczas surfowania po Internecie znajdował się w Japonii, Niemczech, Serbii, Czechach oraz Luksemburgu.

Zagrożenia lokalne

 

Wszystkie podawane w tej sekcji statystyki zostały wygenerowane przez skaner na żądanie zawarty w produktach firmy Kaspersky Lab.

Szkodliwe obiekty wykryte na komputerach użytkowników

 

W pierwszym kwartale 2011 roku rozwiązania antywirusowe firmy Kaspersky Lab skutecznie zablokowały 412 790 509 prób lokalnych infekcji na komputerach użytkowników należących do sieci Kaspersky Security Network.

 

W sumie zgłoszono ponad 1 987 044 incydentów związanych ze szkodliwym oprogramowaniem i potencjalnie niechcianymi programami. Liczba ta obejmuje, między innymi, obiekty, które trafiły na komputery ofiar za pośrednictwem sieci lokalnych lub nośników wymiennych, a nie przez Internet, pocztę elektroniczną czy porty sieciowe.

x4q15c.jpg

 

 

 

Statystyki są tworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania generowanych przez moduły ochrony antywirusowej zawarte w produktach Kaspersky Lab wykorzystywanych przez użytkowników, którzy wyrazili zgodę na przekazywanie swoich danych statystycznych.

*Liczba użytkowników indywidualnych, na komputerach których moduł antywirusowy wykrył szkodliwe obiekty, jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab w danym państwie.

 

Pierwsze miejsce w rankingu zajmują różne szkodliwe programy wykryte przy pomocy technologii opartych na chmurze. Technologie te zaczynają działać, kiedy szkodliwy program zaczyna krążyć w Internecie, zanim jeszcze antywirusowe bazy danych posiadają sygnatury czy narzędzia heurystyczne do ich wykrywania. W tym czasie informacje o takim szkodliwym oprogramowaniu mogą istnieć w chmurze. W takich przypadkach, szkodliwy program otrzymuje nazwę w formacie: DangerousObject.Multi.Generic.

 

Na 3 i 6 miejscu rankingu pojawiły się odpowiednio robaki Net-Worm.Win32.Kido i Virus.Win32.Sality - oba są dobrze znane i istnieją już od pewnego czasu. Szkodniki te wykorzystują efektywne metody rozprzestrzeniania się i pozostają na wolności jeszcze długo po ich wykryciu. Sądząc po obecnej sytuacji, szkodniki te jeszcze długo utrzymają się na szczycie listy najbardziej rozpowszechnionego szkodliwego oprogramowania.

Państwa, w których komputery użytkowników są najbardziej narażone na lokalne infekcje

 

Obliczyliśmy odsetek użytkowników z różnych państw należących do sieci KSN, na komputerach których zablokowano próby infekcji lokalnej. Wyniki pokazują średni odsetek zainfekowanych komputerów w danym państwie.

2q9ylbr.jpg

 

 

 

*Kraje, w których liczba użytkowników produktów firmy Kaspersky Lab znajduje się poniżej progu 10 tysięcy, nie zostały uwzględnione w tych szacunkach.

 

**Liczba indywidualnych użytkowników, na komputerach których zablokowano zagrożenia lokalne, jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab w danym kraju.

 

Lista 10 państw, w których komputery użytkowników są najbardziej narażone na ryzyko lokalnych infekcji, składa się w całości z państw azjatyckich i afrykańskich. W regionach tych stopnień informatyzacji rośnie wykładniczo. Niestety, ponieważ nie można tego samego powiedzieć o poziomie świadomości użytkowników, liczba infekcji jest wysoka - w państwach tych zainfekowanych było ponad 50% wszystkich komputerów. W znajdującym się na pierwszym miejscu Sudanie szkodliwe oprogramowanie zostało wykryte na dwóch na każde trzy komputery znajdujące się w sieci KSN. Państwo to zajmuje również 10 miejsce na liście krajów o największej liczbie komputerów zainfekowanych przez Internet.

 

Pod względem infekcji lokalnych, wszystkie państwa można pogrupować według ich współczynników infekcji.

 

Grupa maksymalnego ryzyka infekcji lokalnych obejmuje Sudan, Bangladesz oraz Irak, z których każde posiadało ponad 60% komputerów zainfekowanych lokalnie.

Grupa wysokiego ryzyka infekcji lokalnych, (41- 60%) składa się z 48 państw, łącznie z Indiami, Indonezją, Filipinami, Tajlandią, Rosją, Ukrainą oraz Kazachstanem.

Grupa średniego ryzyka infekcji (21- 40%) składa się z 55 państw, łącznie z Chinami, Brazylią, Ekwadorem, Argentyną, Turcją, Hiszpanią, Portugalią oraz Polski.

Grupa najniższego ryzyka składa się z 24 państw.

Najbezpieczniejsze państwa pod względem ryzyka lokalnych infekcji obejmują:

 

2iu6jxu.jpg

 

Co ciekawe, grupa 2 i 3 w większości składa się z państw rozwijających się, podczas gdy 4 grupę tworzą głównie państwa rozwinięte, takie jak Austria, Wielka Brytania, Niemcy, Stany Zjednoczone, Francja i Japonia.

 

Źródło: Kaspersky Lab

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...