Pandalabs: Годовой отчет по вирусной активности


PandaLabs

Цифры 2012 года

Антивирусной лабораторией PandaLabs компании Panda Security был опубликован отчет о вирусной активности, включающий анализ мероприятий и происшествий в сфере IT-безопасности за прошедший 2012 год. Согласно отчету:

  • Проверенные компьютеры всего мира, содержавшие вредоносные программы - 31,98% от общего количества.
  • Общее количество всех образцов вредоносного ПО в базе данных PandaLabs - примерно 125 млн.
  • Новых вредоносных программ, созданные в 2012 году - минимум 27 млн.
  • Три четверти новых образцов вредоносных программ, созданных в 2012 году - трояны.


Данные цифры показывают возможности киберпреступников по автоматизации процесса создания новых вариантов вредоносных программ, а также свидетельствуют о том, что в среднем в сутки создавалось 74 тыс. новых угроз.


Вредоносные программы
В 2012 году среди вредоносного ПО абсолютными лидерами стали трояны. Они доминировали среди всех прочих угроз больше, чем когда-либо ранее.  Одна из причин такого роста троянских программ заключается в росте "популярности" наборов эксплойтов, таких как Black Hole, способных использовать различные системные уязвимости для автоматического заражения компьютеров без вмешательства пользователя.

  • Трояны - 76,56% (+3% по сравнению с 2011 годом);
  • Вирусы - 8%;
  • Черви - 6,44%.

Tipi vredonos infekcii v 2012
Типы вредоносных инфекций в 2012 году


Среди самых инфицированных стран лидируют:

  • Китай - 54,89% зараженных компьютеров;
  • Южная Корея - 54,15%;
  • Тайвань - 42,14%.


Доля зараженных компьютеров во всем мире значительно снизилась. Количество инфицированных компьютеров упало:

  • в Китае - с 56% в 2011 году до 54,89% в 2012 году;
  • в Тайване – с 52% до 42,14%.

Naibolee zarajennie infekciyami v stranah v 2012
Наиболее зараженные инфекциями страны в 2012 году


Страны с наименьшим уровнем заражения:

  • Швеция - 20,25% инфицированных ПК;
  • Швейцария - 20,35%;
  • Норвегия - 21,03%.

Naimenee zarajennie infekciyami strani v 2012
Наименее зараженные инфекциями страны в 2012 году


Угрозы для мобильных телефонов
Согласно источникам, компании Google удалось уменьшить объем загружаемых вредоносных программ на 40% благодаря анализу приложений добавляемых в каталог. Однако, несмотря и на эти усилия, кибер-преступники продолжают нацеливаться на платформу Android через приложения, не всегда доступные через Play Store. Примером может послужить BMASTER - троян с удаленным доступном (RAT) к платформе Android, который пытался выдать себя за вполне легитимное приложение.

Платформа Android подвержена гораздо большему числу угроз, чем ее главный конкуренты iPhone и iOS, т.к. данная платформа позволяет своим пользователям загружать приложения из любого места. Однако использование официального магазина Android еще не предоставляет полной гарантии безопасности, т.к. он также был атакован кибер-преступниками, которые заманивали пользователей устанавливать трояны под видом законных приложений. Нечто подобное также случилось и с Apple Арр Store, но в значительно меньшей степени, чем с Google Play Store.

Очень интересный случай произошел с браузером Opera Mini, который за последние несколько месяцев приобрел большую популярность в качестве альтернативного браузера для смартфонов на базе Android, в результате чего он все чаще стал подвергаться атакам со стороны киберпреступников для обмана пользователей. В рамках последнего нападения преступники предлагали пользователям браузер из магазина, который отличается от магазина Google Play. Тем не менее, при установке приложения действительно устанавливался актуальный браузер Opera, однако при этом устанавливался еще и троян, отправляющий SMS-сообщения на дорогостоящие номера.

Данный троян входил в комплект поставки легальной версии мобильного браузера Opera Mini. Это и помогало обмануть пользователей, не знавших о внештатной ситуации, т.к. могли спокойно использовать реальное программное обеспечение обычным способом.

Другая не менее интересная ситуация произошедшая в Китае. В этом случае был выпущен троян, способный приобретать с инфицированного устройства приложения. От действий данного трояна пострадали пользователи China Mobile, одного из крупнейших в мире оператора мобильной связи, у которого более 600 млн. пользователей. После заражения мобильный телефон начинал приобретать приложения из магазина China Mobile от имени пользователя. Троян был доставлен в девять неофициальных магазинов приложений.

На данный момент платформа Android подвержена самому большому количеству атак. С этим связано целый ряд причин:

  • Во-первых, Android позволяет пользователям получать свои приложения из любого места, откуда они захотят.

  • Во-вторых, киберпреступники никогда бы не остановили свой взор на данной платформе, если бы ею не пользовалось такое огромное количество пользователей (на конец года данной платформой уже пользовалось более 600 млн. пользователей, при этом ежедневно осуществляется свыше 1,3 млн. активаций).


Ransomware
Одной из главных угроз в 2012 году стала новая вредоносная эпидемия, заразившая сотни тысяч компьютеров во всем мире, используя методы запугивания и шантажа для вымогания денег у пользователей компьютеров.

В данном случае атаки были локализованы. Сообщения показывались на английском, немецком, испанском, датском и итальянском языках, в зависимости от страны, где происходила атака. Все атаки были нацелены на несколько европейских наций, и выглядели так, словно за ними скрывается одна и та же группировка кибер-преступников.

Как только компьютер был заражен, пользователю на всем рабочем столе показывалось следующее окно:

Lojnoe preduprejdenie pokazivaemoe troyanom
Ложное предупреждение, показываемое трояном

В сообщении пользователя информировали о том, что он получил доступ к незаконному материалу (детская порнография или др.) или отправлял спамовые сообщения с террористическими целями, поэтому его компьютер был заблокирован с целью предотвращения подобных действий в дальнейшем. Для разблокировки компьютера, пользователю необходимо заплатить штраф 100 евро.

Чтобы пользователь мог удалить трояна самостоятельно, для этого ему необходимо перезагрузить компьютер в безопасном режиме, после чего запустить проверку с помощью антивирусного решения, которое способно было бы его обнаружить. Например, DrWebCureIt!

Как же действовал данный вредонос. После заражения компьютера, вредоносная программа подключалась к определенным URL и, основываясь на IP-адресе жертвы, получала локализованную версию сообщения, которое должно было отобразиться на экране компьютера. Большинство сообщений выглядело так, словно они были отправлены от европейских органов власти (хотя были случаи, когда вредонос ориентировался на пользователей других стран, например, Канады).

Некоторые примеры подобных атак, осуществленных в первом квартале 2012 года представлены ниже

Lojnoe preduprejdenie pokaz troyanom na nemeckom yazike
Ложное предупреждение, показываемое на немецком языке


Lojnoe preduprejdenie pokaz troyanom na datskom yazike
Ложное предупреждение, показываемое на датском языке


Lojnoe preduprejdenie pokaz troyanom na italiyanskom yazike
Ложное предупреждение показываемое на итальянском языке


Целью данного вредоносного ПО, является запугивание пользователя, тем самым заставить его заплатить деньги. Новым, и самым изощренным методом запугивания пользователей данным трояном, стала возможность перехвата работы веб-камеры пользователя и дальнейшего транслирования изображения с нее. Искренне веря в происходящее, пользователи начинают паниковать, в результате чего они уже готовы заплатить "штраф", чтобы прекратить шпионаж за ними со стороны правоохранительных органов.

Izobrajenie ispolzuemoe virusom v kachestve zapugivaniya
Изображение, используемое "полицейским вирусом" в качестве запугивания


Социальные сети
Facebook продолжает свое царствование в качестве социальной сети номер один в мире, а потому является излюбленной мишенью кибер-преступников. В январе в данной сети был обнаружен червь, сумевший выкрасть регистрационные данные свыше 45 тыс. пользователей Facebook. Вероятно, что преступники использовали эти "инфицированные" аккаунты для отправки ссылок друзьям пользователей Facebook, распространяя компьютерного червя дальше.

В январе Facebook раскрыл полные имена и интернет-имена виновных в ботнете Koobface, досаждавшего сайт социальной сети на протяжении нескольких лет.

В этом году появилась новая афера с новостными сводками о Кэти Перри и Расселе Брэнде, которые были опубликованы на стенах сотен пользователей.

Vredonosnoe sms
Новостные сводки, опубликованные на стенах пользователей


Vredonosnii web-sait
Фишинговый веб-сайт

Все кнопки "Нравится", комментарии и прочие элементы, отображающиеся на странице, были ложными, т.к. "страница" сама по себе не существовала, она просто была изображением. При нажатии на кнопку Install Plugin, червь устанавливал плагин к браузеру, использующийся для публикации поста на страницах "друзей" жертвы. Для такого неадекватного браузера, как Internet Explorer (в силу отсутствия плагинов, способных выполнять подобную задачу), червь показывал страницу проверки возраста для доступа к приложению под названием "Х-Ray Scanner".

Verify Your Age

Страница очень похожая на страницу Facebook позволяла обмануть пользователей, полагавших, что они все еще находятся на сайте социальной сети. При нажатии жертвой на любую из ссылок, они перенаправлялись на страницу, где им предлагали ввести свой номер сотового телефона. После ввода номера, на телефон жертвы начинали поступать нежелательные дорогостоящие текстовые сообщения.

Одна из основных целей кибер-преступников при запуске атаки на сайты социальных сетей - это получить доступ к аккаунтам пользователей, чтобы выдать себя за них и получить доступ к персональным данным или информации, доступной другим пользователям.


Кибер-преступления
В рамках типичной фишинговой атаки преступники, как правило, крадут персональные данные пользователей, с целью воспользовавшись ими опустошить их банковские счета.

В 2012 году первое и главное киберпреступление состоялось в ЮАР, где хакеры украли свыше $6,7 млн. из южноафриканского банка Postbank. Ограбление произошло в течение трех дней - с 1 по 3 января. Хакеры, планировавшие атаку в течение нескольких месяцев, использовали украденные регистрационные данные кассира Postbank, чтобы перевести украденные деньги на различные банковские счета, открытые по всей стране.

В январе ФБР был закрыт популярный файлообменный веб-сайт Megaupload, обвинив его создателей в "нарушении авторских прав".

Отреагировавшая на эту новость хакерская группа Anonymous сразу же запустила DDoS-атаки на различные веб-сайты, включая сайты

  • Министерства юстиции США;
  • RIAA (Ассоциация звукозаписывающей индустрии в Америке);
  • Universal Music Group.


В январе после принятия таких спорных законов как SOPA и АСТА, хакерские группы запустили беспрецедентную серию атак на правительственные сайты и сайты компаний во всем мире. А в феврале они записали и опубликовали тайные переговоры между ФБР и Скотленд-Ярдом.

В феврале группа Anonymous опубликовала исходные коды программ PCAnywhere и Norton, похищенные еще в 2006 году.

В марте несколько предполагаемых членов группы LulzSec были арестованы в ходе полицейской операции, начатой в 2011 году. Обнаружилось, что Сабу, предполагаемый лидер Lulzsec, был тайно арестован ФБР и работал на правительство, помогая ему арестовать других членов хакерской группы.

Также в феврале стало известно, что злоумышленники похитили информацию миллионов пользователей YouPorn, одного из самых популярных в мире порносайтов. Похищенные данные были размещены на Pastebin, популярной "свалке" для киберпреступников, потенциально ставя под угрозу безопасность тысяч пользователей, которые повторно использовали пароли на различных сайтах.

Wikipedia также подвергся атаке. Это вынудило администрацию ресурса сделать заявление, с предупреждением своих пользователей о том, что если они видят рекламу при просмотре данного сайта, это означает, что их компьютер заражен. Злоумышленники использовали мошенническое дополнение к Google Chrome, вставляющее рекламу на сайт. Фонд, который стоит за Wikipedia, воспользовался случаем, чтобы напомнить всем пользователям, что Wikipedia финансируется за счет пожертвований, и они не публикуют рекламу на страницах своего сайта.

Это далеко не весь список атак, произошедших в 2012 году, а всего лишь наглядные примеры, демонстрирующие яркие примеры того, как развивается кибер-преступность и борьба с ней.


Кибер-войны
В 2012 году произошли некоторые знаменательные события на арене кибер-войн. Так 2 января были украдены тысячи номеров кредитных карт, принадлежащих гражданам Израиля. Вскоре началась война между хакерами Израиля и Саудовской Аравии. Арабские хакеры парализовали веб-сайты

  • фондовой биржи Тель-Авива;
  • авиакомпании Al EI Airlines;
  • нескольких крупных израильских банков.


В ответ израильские хакеры обрушили сайты

  • Саудовской фондовой биржи (Tadawul);
  • Биржи ценных бумаг Абу-Даби (ADX),

утверждая, что действуют от имени израильских вооруженных сил, и обещая наносить удары по веб-сайтам арабских стран, связанных с их экономикой, до тех пор, пока не будут прекращены атаки на израильские веб-сайты.

Дальше, еще интереснее. Тарик аль-Сувайдан, один из самых известных телевизионных проповедников в Кувейте, объявил кибер-войну против Израиля. Он использовал свой аккаунт в Twitter, чтобы призвать всех мусульманских хакеров объединиться против Израиля в святой войне против сионистского врага, что будет награждено Богом.

На Ближнем Востоке саудовскими хакерами были похищены тысячи электронных писем, принятых и отправленных сирийским Президентом Башаром аль- Асадом.

На Дальнем Востоке стало известно, что японское Министерство обороны поручило компании Fujitsu разработать вирусное кибер-оружие, способное отслеживать и отключать компьютеры, используемые в кибер-атаке против Японии.

В январе 2012 года китайские хакеры разработали трояна, ориентированного на считыватели смарт-карт, используемые Департаментом национальной безопасности США. Эти карты являются стандартным средством предоставления доступа к интрасетям, локальным сетям и офисам.

В Китае группе хакеров удалось проникнуть в корпоративную сеть Nortel, используя пароли, похищенные у семи топ-менеджеров компании Nortel, в том числе и у Генерального директора.

Американские кибер-эксперты взломали веб-страницы, посвященные Джихаду, и заменили материал, в котором сообщалось об убийстве американцев, статьей с информацией о мусульманских гражданских лицах, погибших в результате террористических ударов.

В Южной Корее спецслужбы обвинили Северную Корею в работе специального подразделения элитных хакеров, осуществляющих кражу военных секретов и нарушающих работу информационных систем Сеула.

Компьютерный вирус Flame был событием года без всяких сомнений. Flame - сложная вредоносная программа, использующаяся для сбора информации и шпионажа в странах Ближнего Востока.

Этот вредоносный код, создан правительством или спецслужбами, и очевидно, связан с печально известным вредоносным кодом Stuxnet - трояном, разработанным и запущенным правительствами США и Израиля с целью саботировать ядерную программу Ирана.

В этом году произошел ряд атак с целью кибершпионажа. Данные атаки были направлены на журналистов в различных частях света. Например, в Марокко группа независимых журналистов, получивших награду Google за свои усилия по освещению событий арабских революций весной этого года, была заражена трояном для систем Мас. А в Китае группа иностранных корреспондентов пострадала от двух вредоносных атак, произведенных по электронной почте за две недели до Съезда Коммунистической партии Китая.

В 2012 году также наблюдалось пару вредоносных атак на компании энергетического сектора, работающие на Ближнем Востоке. Нефтяная компания Саудовской Аравии Saudi Aramco пострадала от вредоносной инфекции, в результате чего она вынуждена была в качестве превентивной меры серьезно ограничить свое подключение к Интернету.

В дополнение к этому вирус инфицировал RasGas, компанию из Катара по добыче природного газа. Тем не менее, в результате этих инцидентов ни RasGas, ни Saudi Aramco не остановили свое производство.


Тенденции безопасности в 2013 году

Уязвимости
В 2013 году уязвимости в программном обеспечении станут основной целью для кибер-преступников. Это, несомненно, является предпочтительным и незаметным методом заражения взломанных систем, использующимся кибер-преступниками и спецслужбами во всех странах мира. В 2012 году мы наблюдали, как Java, установленная на сотнях миллионов устройств, была неоднократно взломана и использовалась для активного заражения миллионов пользователей. На втором месте - Adobe, а учитывая популярность его приложений (Acrobat Reader, Flash и т.д.) и его многочисленные недостатки безопасности, то можно сказать, что он является одним из любимых инструментов, как для массового заражения пользователей, так и для осуществления направленных атак.

Обновление приложений, являющееся важным фактором для защиты от этих типов атак, представляет собой очень сложный процесс в компаниях, когда обновление всех компьютеров должно быть скоординировано. В то же самое время, важно обеспечить, чтобы все приложения, используемые в компании, правильно работали. Это несколько замедляет процесс обновления, в результате чего появляется окно, использующееся для кражи информации в целом и запуска направленных атак для поиска конфиденциальной информации.


Социальные сети
Второй наиболее широко используемой техникой является социальная инженерия. Обман пользователей и вовлечение их в сотрудничество с целью заражения их компьютеров и кражи их данных является достаточно простой задачей, т.к. защитить пользователя от самого себя - очень тяжело. В связи с этим, предпочтительным местом охоты для обмана пользователей являются социальные сети - места, где сотни миллионов пользователей обмениваются информацией, и зачастую, персональными данными.


Вредоносные программы для мобильных устройств
Android стал доминирующей мобильной операционной системой. В сентябре 2012 года Google объявила о том, что достигла невероятной цифры в 500 млн. активаций Android. Хотя он в основном используется в смартфонах и планшетах, его гибкость и тот факт, что Вам не придется покупать лицензию для его использования, привело к тому, что на новых устройствах предпочитают использовать операционную систему Google. Его использование становится все более широко распространенным, что открывает перед кибер-преступниками целый мир новых возможностей.


Кибер-войны / Кибер-шпионаж
На протяжении 2012 года против определенных стран были проведены различные типы атак. Многие из этих атак осуществляются не национальными правительствами, а гражданами, зачастую считавшими, что должны защитить свой народ, атакуя своих соседей любыми доступными имеющимися средствами. Кроме того, правительства ведущих стран мира создают кибер-спецназы для подготовки обороны и нападения, а потому гонка кибер-вооружений будет только обостряться.


Рост числа вредоносного ПО
В течение последних двух десятилетий количество вредоносных программ растет просто драматически. Ежедневно появляются десятки тысяч новых образцов угроз.

Несмотря на то, что силы безопасности лучше подготовлены для борьбы с подобными типами преступлений, они по-прежнему сдерживаются отсутствием границ в Интернете. Полиция может действовать только в пределах своей юрисдикции, в то время как кибер-преступники могут начать атаку из страны А, похитить данные граждан из стран Б, отправить похищенную информацию на сервер, расположенный в стране В, хотя при этом они могут вообще проживать в стране Г. Все это может быть сделано в несколько кликов, в то время как координация сил безопасности в различных странах может занять несколько месяцев. Именно по этой причине кибер-преступники все еще проживают свой золотой век.


Вредоносные программы для Мас
Случаи, подобные Flashback, произошедшие в 2012 году, показали, что Мас также восприимчив к вредоносным атакам, и что существуют массовые инфекции, от которых могут пострадать сотни тысяч пользователей. Количество образцов вредоносных программ под Мас все еще ничтожно по сравнению с числом угроз для персональных компьютеров (ПК), однако эти угрозы будут неуклонно расти. Все большее число пользователей Мас, а также отсутствие у них осведомленности (из-за чрезмерной уверенности в безопасности системы) означает, что привлекательность данной платформы для кибер-преступников будет продолжать расти в следующем году.


Windows 8
Новейшая операционная система Microsoft вместе со всеми своими предшественниками будет также страдать от атак. Кибер-преступники не будут фокусироваться только на этой операционной системе, но они обязательно будут проверять, что их творения одинаково хорошо работают на всех версиях от Windows ХР до Windows 7 и Windows 8.

Одна из достопримечательностей Windows 8 в том, что она работает на компьютерах, планшетах и смартфонах. По этой причине, если можно разработать функциональные образцы вредоносных программ, позволяющие осуществлять кражу информации вне зависимости от типа используемого устройства, то можно увидеть отдельный тренд в разработке вредоносных программ под Windows 8, что может вывести атаки на новый уровень.


Заключение

2013 год будет представлять собой год, полный проблем в мире компьютерной безопасности.

Пользователям платформ Android придется столкнуться с растущим числом атак со стороны кибер-преступников, желающих похитить их личную информацию.

Кибер-шпионаж и кибер-войны также будут на подъеме, т.к. все большее количество стран создают свои собственные кибер-диверсионные группы. В связи с этим велика вероятность в осуществлении вредоносных атак на критически важные элементы инфраструктуры.

Компаниям придется ужесточить меры безопасности, чтобы не стать жертвой все большего числа кибер-атак, при этом особое внимание следует уделить защите сети от уязвимостей операционной системы и используемых приложений, не забывая о Java, представляющей собой самую большую угрозу в силу своих многочисленных недостатков в безопасности.