5 марта 2009 г.
«Лаборатория Касперского» опубликовала итоговый годовой отчет «Kaspersky Security Bulletin 2008. Развитие угроз в 2008 году».Россия – «чемпион»
Из всех проблем наиболее значительными, затронувшими всю антивирусную индустрию и формировавшими общую ситуацию в сфере ИБ, стали проблемы распространения руткитов*, атаки на социальные сети, игровые вредоносные программы и ботнеты**. Последние стали основным источником распространения спама, DDoS-атак, рассылки новых вредоносных программ.
Самые эффективные и опасные вирусы, по данным «Лаборатории Касперского», создаются русскоязычными вирусописателями. Россия стала в 2008 г. и лидером по объему производства спама. Если в 2007 г. львиная доля спама поступала из США, то 2008-й вывел Россию (22%) в лидеры среди стран – источников спама в Рунете, сместив США (16%) на второе место.
2008 г. оказался годом ренессанса файловых вирусов. Добавив к своему традиционному функционалу – заражению файлов – функции кражи информации и, что наиболее важно, распространение на сменных накопителях, подобные вредоносные творения смогли за короткое время поразить компьютеры пользователей в большинстве стран мира.
Поскольку эти черви распространяются на «флэшках» оказались способны обойти традиционные средства защиты корпоративных сетей, основными элементами которых являются почтовый антивирус, межсетевой экран и антивирус на файл-сервере. Проникая на локальную станцию в обход средств контроля, такие черви стремительно распространялись по всей сети, копируя себя на все доступные сетевые ресурсы.
Киберпреступность взрослеет
Если в 2007 г. эксперты констатировали смерть «некоммерческого» вредоносного ПО, то 2008 г. ознаменован кончиной «эксклюзивных» вредоносных программ, создававшихся и использовавшихся одним – максимум двумя людьми.
Подавляющее большинство обнаруженных в 2008 г. троянцев и вирусов были разработаны для перепродажи их другим лицам. Активно использовались услуги по технической поддержке таких продаж, в том числе обходу антивирусных продуктов.
Киберпреступность начала приобретать четко выраженное «разделение труда», когда разные этапы создания, распространения и использования вредоносных программ осуществляются разными группами людей.
Совершенствуются и сами механизмы работы злоумышленников.
В 2009 г., по мнению экспертов «Лаборатории Касперского» получит распространение концепция функционирования гигантских распределенных систем-ботнетов, придуманная русскоязычными хакерами (Malware 2.5).
Данные технологии тесно связаны с областью распределенных вычислений и созданием систем, работающих с громадными объемами данных (архитектура HighLoad). Именно в области создания высокоустойчивых распределенных систем и ожидается повышенная конкуренция между киберпреступными группами.
Те злоумышленники, которые смогут создавать собственные системы, будут определять общий уровень угроз и связанных с ними проблем в будущем. На смену script-kiddies – отдельным хакерам, ищущим системы с конкретной уязвимостью, - придут серьезные специалисты, способные создавать и поддерживать концепцию Malware 2.5.
Кризис и киберпреступность
Во второй половине 2008 г. слово «кризис» можно было встретить в рекламе любых товаров и услуг. Большинство спам-писем, использующих кризисную тематику, не относилось к категории «личные финансы», в них не предлагались кредиты и способы быстрого заработка, а рекламировали различные антикризисные семинары.
Но теперь кризис стал реальностью и для киберпреступников. Рубрики спама, связанные с реальным сектором экономики, теряют вес. В то же время спамеры все чаще используют технологии, направленные на быстрое получение денег. Сюда относятся спам-мошенничество с использованием SMS, накачка трафика порносайтов и т. п.
Уменьшение доли спама, рекламирующего товары и услуги, говорит о том, что число заказов, поступающих спамерам от реального бизнеса, уменьшилось. Усиление спам-атак криминального характера наглядно свидетельствует о том, что начавшие терять деньги киберпреступники ищут новые источники доходов.
Поэтому в «Лаборатории Касперского» предполагают, что в 2009 г. спама меньше не станет, а объем спама криминального характера увеличится. Кроме того, для большого числа предпринимателей в условиях кризиса спам может стать единственно доступным способом рекламы.
Сам по себе спам может, как ни странно, служить одним из индикаторов состояния экономики. Если корреляция между структурой спама и макроэкономическими процессами окажется достаточно выраженной, об окончании кризиса мы сможем «узнать» и по спаму.
В сфере киберпреступности 2009 г. может стать годом роста конкуренции среди злоумышленников. С одной стороны этот «сектор» вступил в период насыщения: количество людей и группировок на этом рынке стало слишком велико, и между ними начинается серьезная конкуренция.
Одновременно с этим в 2009 г. ожидается увеличение числа киберпреступников из-за кризисного сокращения рабочих мест. Закрытие ИТ-проектов приведет к тому, что множество высококвалифицированных программистов либо останутся без работы, либо столкнутся со снижением уровня доходов.
Таких людей будут вовлекать в киберкриминальный бизнес, а некоторые из них сами обратят внимание на подобный способ заработка. Учитывая, что технический уровень «новобранцев» значительно превышает уровень большинства современных киберпреступников, они составят им серьезную конкуренцию.
В «Лаборатории Касперского» полагают, что для рядовых пользователей это означает возвращение опасности мировых вирусных эпидемий - выжить на конкурентном рынке киберпреступности можно единственным способом: как можно быстрее заразить как можно больше машин. А для этого злоумышленникам необходимо осуществлять регулярные атаки на миллионы компьютеров пользователей.
Казалось, что в 2008 г. наступил конец длительной эпохи глобальных эпидемий и отказ вирусописателей от практики создания червей, поражающих миллионы компьютеров по всему миру. Однако в текущем году ситуация может кардинально измениться – ряд серьезных инцидентов может превзойти по своим масштабам ситуацию 2006-2009 годов.
Еще одним из итогов усиления конкуренции киберпреступников на технологическом уровне и их активной борьбы за увеличение числа зараженных компьютеров станет смещение киберугроз в ранее малоохваченные области.
Дифференциация коснется всех без исключения платформ и операционных систем, отличных от Microsoft Windows, но в первую очередь Mac OS и мобильных платформ. Ранее эти платформы использовались в основном для экспериментов, однако сейчас их доля на рынке уже достаточно велика для того, чтобы заинтересовать злоумышленников.
В то же время на данных платформах остается нерешенным множество проблем с безопасностью, а пользователи этих платформ не готовы к атакам вредоносных программ.
Другое следствие кризиса - все формы мошенничества в Сети и фишинг будут только набирать обороты. Повлияют на рост числа мошеннических и фишинговых атак два фактора. Во-первых, в период кризиса, когда банки разоряются, меняют владельцев или испытывают трудности с выплатами, у мошенников появляется много новых возможностей для атак.
Во-вторых, технологическая сложность разработки, реализации и распространения современных вредоносных программ заставляет множество киберпреступников искать более простые и дешевые способы наживы. Фишинг может стать для них одним из наиболее привлекательных решений.
Осторожно - социальные сети!
Продолжающийся бум популярности социальных сетей и их активное использование в странах с большим количеством новых интернет-пользователей (Юго-Восточная Азия, Индия, Китай, Южная Америка, Турция, Северная Африка, бывший СССР) привели к тому, что атаки «на и через» социальные сети из единичных инцидентов стали обыденным и крайне опасным фактом.
По оценкам экспертов «Лаборатории Касперского», эффективность распространения вредоносного кода в социальных сетях составляет около 10%, что значительно превышает эффективность классического метода распространения вредоносных программ по электронной почте (менее 1%).
В 2008 г. социальные сети использовались и для сбора информации, а также для реализации множества мошеннических схем, в том числе фишинга (кражи паролей, номеров банковских карт и т.п.).
«Я бы предложил пользователям вообще отказаться от социальных сетей, – говорит Александр Гостев, руководитель центра глобальных исследований и анализа угроз “Лаборатории Касперского”. - Иначе придется жить со спамом, вирусами, мошенничествами. Технология движков социальных сетей такова, что защитить пользователей иногда практически невозможно».
* Утилиты, используемые хакерами для сокрытия своей вредоносной активности: установки шпионского ПО, кражи данных и т.д.
** Сети, состоящие из компьютеров с запущенными ботами — автономным вредоносным ПО, используются для нелегальной деятельности — рассылки спама, перебора паролей на удалённой системе и т.п.
Источник: Маринэ Восканян, CRN/RE