В первом квартале 2014 увеличилось разнообразие информационных угроз

В первом квартале 2014 увеличилось разнообразие информационных угроз

Александр Панасенко

Первый квартал 2014 года был богат на разнообразие новых угроз, среди которых специалисты «Лаборатории Касперского» обнаружили как глобальные операции кибершпионажа, так и новые приемы вирусописателей, нацеленные на массового пользователя. Так, за последние три месяца количество мобильных банковских троянцев увеличилось почти вдвое.

В сентябре прошлого года эксперты «Лаборатории Касперского» сообщили о таргетированной операции Icefog, которую злоумышленники прекратили сразу после разоблачения. Однако в первом квартале эксперты компании обнаружили следующее поколение бэкдоров Icefog – на этот раз Java-версию зловреда, получившую название Javafog. Жертвами нового метода атаки стали три организации, находящиеся в США, причем одной из них оказалась крупная международная нефтегазовая компания. Еще более важной находкой стало обнаружение масштабной кампании кибершпионажа «Маска», целями которой были государственные учреждения, посольства, исследовательские институты и другие компании в 31 стране мира.

В последние несколько месяцев отмечен резкий рост числа пользователей Tor – программы, обеспечивающей анонимную работу в Интернете. Tor не только стал решением для защиты от кражи персональных данных, но и снискал большую популярность среди киберпреступников, которым особенно выгодна анонимность. Например, в феврале эксперты «Лаборатории Касперского» обнаружили первый Android-троянец, который использует в качестве командного центра домен в псевдо-зоне .onion.

«Лаборатория Касперского» также продолжает следить за криптовалютой Bitcoin. Прогнозируя ее будущее в конце прошлого года, специалисты компании отметили, что атаки на биржи и пользователей Bitcoin станут одной из самых громких тем года – этот прогноз уже начинает сбываться. Так, в феврале злоумышленники взломали одну из торговых площадок и украли 770 тысяч Bitcoin, что эквивалентно примерно 350 миллионам долларов США. В стремлении увеличить нелегальные доходы злоумышленники также заражают компьютеры пользователей, чтобы за счет дополнительных ресурсов генерировать больше электронной валюты. По этому принципу действует, например, Trojan.Win32.Agent.aduro, троянец, который занимает 12-е место в рейтинге наиболее часто детектируемых объектов в Интернете по результатам первого квартала.

Что касается мобильных угроз, доля вредоносных программ, нацеленных на Android, составила более 99%. Всего за этот период было обнаружено 110 324 новых мобильных зловредов, а количество мобильных банковских троянцев увеличилось почти вдвое, с 1321 до 2503. Следует также отметить, что почти 89% атак с помощью подобных программ пришлись на российских пользователей. В целом же среди типов мобильных зловредов на первом месте оказались рекламные модули, транслирующие навязчивую рекламу, а долгое время лидирующие SMS-троянцы сместились на второе место – их доля уменьшилась с 34% до 22%.
Всего же по данным облачной инфраструктуры Kaspersky Security Network в первом квартале 2014 года продукты компании заблокировали 1,13 миллиарда атак на компьютеры и мобильные устройства пользователей, а также 353 миллиона онлайн-атак, 39% которых проводились с использованием вредоносных веб-ресурсов, расположенных в США и России.

«По итогам первых трех месяцев можно сказать, что наши прогнозы развития киберугроз на 2014 год начинают сбываться: ускоряются темпы развития киберугроз, в том числе мобильных, получают все большую популярность сервисы для анонимной работы в Сети, позволяющие скрыть свою частную жизнь от слежки, участились атаки на Bitcoin-пулы. Не обошлось в первом квартале и без громких кампаний кибершпионажа – помимо новой активности от знакомых по кампании IceFog хакеров исследовательский центр «Лаборатории Касперского» столкнулся с более сложной и опасной на данный момент кибероперацией «Маска». За ней последовало выявление очередной кампании кибершпионажа Turla, которую мы до сих пор исследуем – на наш взгляд, она сложнее, чем это представлено в материалах, опубликованных другими экспертами по IT-безопасности», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

В США вышел перечень правил для улучшения информационной безопасности

В США вышел перечень правил для улучшения информационной безопасности

12 февраля Национальный институт стандартов и технологий США опубликовал первую версию “Фреймворка по улучшению информационной безопасности на уровне критической инфраструктуры”. Подготовка документа проходила совместно с Министерством внутренней безопасности. На протяжении года эксперты составляли список правил и стандартов для обнаружения рисков, а также дальнейшей защиты и восстановления системы. Данная версия руководства представляет собой ряд отраслевых стандартов и примеров их эксплуатации, которые могут быть полезны компаниям для более качественного обеспечения информационной безопасности.

Документ фокусируется на использовании бизнес-драйверов для руководства деятельности в области кибербезопасности. При этом специалисты учитывали риски атак как часть процессов управления организациями. Руководство не содержит конкретных названий продуктов и компаний-разработчиков, а также состоит из трех основных частей: ядра (ряда детального руководства для развития программ); профилей (помогут обеспечить безопасность согласно требованиям компании); классов (дают возможность организациям оценивать уровень их систем безопасности и рисков).

Однако критики заявляют, что первая версия фреймворка не несет какой-либо пользы или ценности. Одним из недостатков документа, по их мнению, является то, что он лишь подтверждает уже существующие требования к информационной безопасности предприятий. К тому же, документ не является обязательным для исполнения.

Администрация президента США Барака Обамы отметила, что данное введение может совершить главный поворотный момент в сфере информационной безопасности.

Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

По данным Anti-Phishing Working Group (APWG) компании Websense, объем фишинга сократился на 1,12% по сравнению с прошлым годом и сейчас на фишинговые сообщения приходится не более 0,5% электронных писем. В 2013 г. существенно снизилось число крупных фишинговых атак, вероятно, за счет использования хакерами своих ресурсов для других видов деятельности, скажем DDoS.

В то же время фишинг становится более хитроумным и целевым, а это означает, что большая доля получателей открывает прикрепленные файлы или переходит по содержащимся в сообщениях ссылкам. Во многих случаях фишинговые сообщения рассылаются с легитимных доменов, что усложняет их детектирование с помощью репутационных технологий. Достаточно часто используются персонализованные сообщения, поддельные сообщения о невозможности доставки почты, приглашения присоединиться к соцсети LinkedIn, пр. До сих пор популярным у хакеров остается регистрирование поддельных доменов (название которых близко по написанию к доменам популярных брендов), которые затем используются для фишинга.

Лидером в рассылке фишинговых сообщений остается Китай, за ним следуют США, Германия, Великобритания, Канада, Россия, Франция, Гонконг, Нидерланды и Бразилия.

СОИБ: Первый зловред для Firefox OS

Первый зловред для Firefox OS

17-летний хакер Шантану Гауде (Shantanu Gawde) написал первую в мире вредоносную программу для Firefox OS.

Демонстрацию программы вундеркинд проведет на конференции The Ground Zero (G0S) 2013, которая состоится 7-10 ноября в Нью-Дели (Индия). Согласно анонсу, созданный PoC-код способен инфицировать смартфон ZTE One в удаленном режиме и получить доступ к нему с любого ботнета для следующих действий:

Команды на доступ к SD-карте
Копирование всех контактов
Загрузка и выгрузка фотографий, музыки и видео
Геолокация и отслеживание координат пользователя
Удаленное управление FM-радио с возможностью испугать человека

По словам Гауде, все это может привести к серьезным проблемам для пользователей Firefox OS, потому что не существует способа засечь подобную атаку или блокировать ее.

К презентации автор обещает живую демонстрацию эксплойта, а также попробует портировать Firefox OS на смартфон Nexus и поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

Кстати, разработчики приложений для Firefox OS могут претендовать на получение бесплатных смартфонов от Mozilla. Наверное, талантливому подростку можно выслать сразу два.

СОИБ: Российский бизнес недооценивает новые киберугрозы

СОИБ рекомендует: Российский бизнес недооценивает новые киберугрозы

Александр Панасенко
Абсолютное большинство российских компаний недооценивают масштабы современных киберугроз. По данным «Лаборатории Касперского», ежедневно в Сети появляется около 200 тыс. новых образцов вредоносных программ. Как показало исследование, проведенное производителем защитных решений совместно с аналитической компанией B2B International*, близкую к этой цифре оценку дали лишь 4% респондентов, в то время как около 95% существенно ошиблись в оценке в меньшую сторону.

 

 

В этом отношении сотрудники российских компаний повторяют ошибку своих зарубежных коллег: лишь 6% участников глобального опроса верно определили среднестатистическое количество ежедневно появляющегося нового вредоносного кода. Любопытно, что среди российских IT-специалистов никто не переоценил угрозу, в то время как в других странах 4% опрошенных существенно завысили показатель.

СМБ-компании оценивают масштаб киберугроз более легкомысленно, чем крупный бизнес: в 33% небольших предприятий ошибочно полагают, что ежедневно появляется менее 1 000 образцов уникального вредоносного кода, и лишь 2% назвали правильный диапазон – от 100 000 до 250 000.

Адекватная оценка уровня угроз может оказать серьезное влияние на решения, которые компания принимает при выборе средств для защиты своей IT-инфраструктуры.

«Это тенденция высокого темпа роста новых угроз негативно сочетается с недостаточной защищенностью: так, многие небольшие компании до сих пор пользуются либо нелицензионным либо бесплатным защитным ПО, базы которого обновляются намного медленнее полноценных решений, – рассказывает Владимир Удалов, руководитель направления корпоративных продуктов в странах развивающихся рынков «Лаборатории Касперского». – Такой разрыв приводит, в том числе, к тому, что за год практически ни одной компании не удается избежать утечек данных из-за инцидентов информационной безопасности, что еще раз напоминает нам о необходимости базовой антивирусной защиты».

Для обеспечения безопасности IT-инфраструктуры (включая антивирусную защиту) «Лаборатория Касперского» предлагает линейку продуктов Kaspersky Security для бизнеса, который предназначен для защиты всех узлов сети. Используемые в продукте методы обнаружения на основе сигнатур, проактивные методы защиты на основе анализа поведения вредоносных программ, а также облачные технологии намного эффективнее обнаруживают вредоносные программы и защищают даже от новых и еще не известных угроз.

 

Трехглавый дракон киберпреступности

Трехглавый дракон киберпреступности

По данным Group-IB, объем рынка киберпреступности за 2012 год немного сократился, но цифры по-прежнему остаются впечатляющими – 1,9 млрд долл. При этом, как отметил генеральный директор компании Илья Сачков, общество и государство все еще недооценивают опасность преступлений в области высоких технологий, а также ущерб, который они наносят. Сачков сравнил российскую киберпреступность с трехглавым драконом, сила которого базируется на трех фактах: есть технические возможности украсть средства; нет проблем с их обналичиванием; существует высокая вероятность того, что киберпреступление либо останется безнаказанным, либо кара будет не слишком суровой. Причем с появлением виртуальной валюты (биткоинов) киберпреступники получили инструмент, позволивший им сформировать полноценную теневую экономику.

Счет на миллионы

По словам Никиты Кислицина, руководителя организационного и стратегического развития направления «Botnet-мониторинг», объем рынка интернет-мошенничества несколько снизился по сравнению с 2011 годом и составил 615 млн долл. (годом ранее было 697 млн долл.). При этом объем мошенничеств в системах интернет-банкинга составил 446 млн долл., доходы от фишинга – 57 млн долл., от хищения электронных денег – 23 млн долл.

Всего, по данным Group-IB, в 2012 году на территории РФ действовало 12 организованных преступных групп: восемь из них осуществляли хищения с банковских счетов юридических лиц и четыре «работали» с физическими лицами. При этом объем ущерба, наносимый компаниям, значительно превышал тот, что наносился частным клиентам банков. Так, по оценкам Group-IB, средняя сумма хищений у юридических лиц составила 1,641 млн руб., у физических лиц — 75 тыс. руб. При этом, отметил Кислицин, более половины похищенного — порядка 55% — хакеры были вынуждены тратить на обналичивание денежных средств через различных посредников.

В то же время, по словам Дмитрия Волкова, руководителя отдела расследований инцидентов информационной безопасности Group-IB, наметилась тенденция снижения количества хищений из систем дистанционного банковского обслуживания. В компании это связывают с ликвидацией ряда крупных преступных групп, активным внедрением банками новых систем защиты, в частности антифрод-решений, а также с составлением межбанковского списка дропов – лиц и организаций, причастных к обналичиванию похищенных денежных средств.

Однако преступники осваивают новые способы проникновения в банковские системы, в частности так называемые «автозаливы». В России данная техника начала активно использоваться в 2011 году и в настоящий момент достаточно быстро развивается. «Автозаливом» на сленге компьютерных преступников называется автоматическая отправка несанкционированных платежных поручений при входе пользователя в систему, подмена данных в выполняемых платежных поручениях и диалогах подтверждения платежей, а также коррекция страниц с историей переводов и доступного баланса с целью скрыть факт хищения. В качестве примера Волков привел вредоносную программу BIFIT_A, атаковавшую банковскую систему iBank 2, которая обслуживает более 1,5 млн пользователей российских и украинских банков.

Вход через смартфон

Для доступа к банковским счетам киберпреступники все активнее используют мобильные устройства. Если раньше основной «заработок» здесь складывался от отправки SMS на короткие номера, то теперь злоумышленники более заинтересованы в разнообразных троянских приложениях для входа в систему ДБО. Первый случай появления подложных банковских приложений, работающих в связке с известным троянцем Carberp, в магазине Google Play был зафиксирован в декабре 2012 года.

При росте использования SMS-кодов для авторизации в банковской системе растет и интерес киберпреступников к атакам на мобильные платформы, и в Group-IB прогнозируют значительный рост числа таких атак в ближайшем будущем. Так, по данным компании, сейчас на черном рынке активно продается универсальный банковский троянец Perkele для платформы Android, который «работает» с более чем 70 банками в 12 странах. Этот троянец уже заслужил «массу положительных отзывов» у киберпреступников, и к тому же имеет невысокую стоимость — 7 тыс. долл. за полный комплект.

Приказано уничтожить

В 2012 году был спланирован и успешно завершен ряд операций по пресечению деятельности киберпреступников. Одним из важнейших стало задержание восьми членов группы Carberp. Интересно, что это расследование стало первым в мировой практике, когда удалось установить всю преступную цепочку.

Также в прошлом году была пресечена деятельность группы под руководстом хакера с ником Germes, которая создала одну из крупнейших бот-сетей (на момент задержания организатора в ней насчитывалось около 6 млн зараженных компьютеров), а также киберпреступника, известного под кличкой Hameleon, специализирующегося на крупных клиентах банков. В результате своей деятельности хакеру удалось получить информацию о номерах счетов и их балансе, паспортных данных, адресах электронной почты и номерах телефонов более чем 5 тыс. клиентов различных российских банков.

Клиентам банков в Европе угрожает новый опасный троянец Hesperbot

Клиентам банков в Европе угрожает новый опасный троянец Hesperbot

Александр Панасенко

Антивирусная компания Eset сегодня сообщила об обнаружении нового изощренного банковского троянца, направленного на пользователей из Европы и Азии. Новый вредносный код обладает широкими возможностями в плане похищения средств пользователей и может распространяться по электронной почте, а также пытается инфициаровать устройства на базе Android, Symbian и BlackBerry.

Новый троянец получил название Hesperbot и впервые был обнаружен при помощи облачной сети Eset LiveGrid, которая обнаружила первый очаг заражения Hesperbot в Турции, где этот вредонос был найден на сотнях компьютеров. Позже признаки присутствия банковского троянца были зафиксированы в Чехии, Португалии и Великобритании. Несколько жертв банковского вредоноса уже заявили, что лишились средств на банковских счетах, пишет cybersecurity.ru.

В Eset говорят, что Hesperbot обладает встроенным кейлоггером, может делать тайные снимки экрана и имеет встроенный прокси-сервер, при помощи которого прячутся соединения зараженного компьютера с хакерским сервером.

«Наш анализ возможностей Hesperbot показывает, что его функционал очень похож на функционал троянцев Zeus и SpyEye, причем все три вредоносных кода имеют схожие цели. Но значительная разница в реализации методов и алгоритма указывает на то, что эти коды все-таки относятся к разным семействам», — говорит Роберт Липовски, антивирусный эксперт Eset.

По его словам, операторы Hesperbot пытаются самыми разными путями заполучить реквизиты для входа в системы онлайн-банкинга европейских и азиатских банков. Если же заполучить реквизиты не получается, то код пытается установить свой мобильный модуль для Android, Symbian или BlackBerry.

На Android приходится 79% мобильных атак

На Android приходится 79% мобильных атак

Кирилл Токарев

79% всех вредоносных программ на мобильных телефонах в 2012 году были замечены на устройствах под управлением Google Android. Об этом сообщает вебсайт Public Intelligence, ссылающийся на информационные сообщения от ФБР и Министерства национальной безопасности США. Эти послания предназначаются для американской полиции и медицинского персонала. Операционная система Nokia Symbian заняла второе место по количеству зарегистрированных вредоносных атак.

Android остается самой популярной мобильной системой в мире. Американские чиновники полагают, что распространенность ОС является главной причиной внимания хакеров к данной платформе. К тому же у Android открытый код, из-за чего подобраться к ней намного проще. Текстовые трояны отвечают за половину всех кибератак на Android. Кроме того взломщики часто используют специальные приложения, которые умеют отслеживать нажатия на клавиши пользователей, а также запускают поддельные вебсайты, напоминающие Google Play, для распространения вредоносных программ.

Исследователи уверяют, что 44% пользователей Android до сих пор используют старые версии систем 2.3.3-2.3.7 (Gingerbread), которые были выпущены в 2011 году. В них присутствует ряд уязвимостей, которые были закрыты в последующих релизах.

«Увеличение эксплуатации мобильных устройств федеральными работниками и представителями местных властей заставляет внимательней следить за мобильной безопасностью», – говорится в сообщении ФБР.

Устройства Apple остаются практически неуязвимыми для взломщиков: вредоносные программы встречаются на iOS-продуктах редко. Представители американской компании утверждают, что более чем 93% из огромной базы в 600 млн пользователей iPhone и iPad используют iOS 6 – самую современную версию ОС. Следующий вариант данной платформы будет представлен в сентябре.

В прошлом месяце компания Symantec сообщила об уязвимости, которая позволяла получить доступ к любому мобильному телефону на базе Android. К счастью, данную неполадку в итоге сумели закрыть.

Трафик Tor удвоился после PRISM

Трафик Tor удвоился после PRISM

После подключения к сети анонимайзеров Tor пользователи должны регулярно обновлять список работающих узлов, через которые пропускается трафик. Они отправляют запрос к одному из нескольких сотен зеркал со списком рилеев. По количеству таких запросов можно примерно оценить количество пользователей сети Tor.

Следующий график показывает количество запросов к спискам рилеев Tor.

Как видно, с мая 2013 года количество запросов было относительно стабильным и составляло около 50 000 в сутки, но в конце августа резко выросло до 120 000. Это довольно необъяснимое явление, причиной которого может быть разве что всплеск статей о Tor в связи с попытками общества понять, как предохраниться от тотальной слежки со стороны спецслужб. Для публики эта проблема стала актуальной после разглашения информации о программе PRISM и других методах слежки АНБ, в связи с разоблачениями бывшего сисадмина АНБ Эдварда Сноудена.

В следующей таблице указана десятка стран с самым большим количеством пользователей, которые подключаются напрямую. Указано среднее дневное количество пользователей с 01.06.2013 по 27.08.2013.

Страна Суточная аудитория
США 92399 (17,54 %)
Италия 47490 (9,02 %)
Германия 45789 (8,69 %)
Франция 35459 (6,73 %)
Испания 33596 (6,38 %)
Бразилия 17828 (3,38 %)
Россия 17033 (3,23 %)
Великобритания 16954 (3,22 %)
Украина 16120 (3,06 %)
Нидерланды 11469 (2,18 %)

Число угроз для мобильных устройств выросло на 30% за полгода

Число угроз для мобильных устройств выросло на 30% за полгода

Александр Панасенко

Лаборатория FortiGuard® Labs зафиксировала, что число угроз для мобильных устройств выросло за последние шесть месяцев на 30%. Эксперты FortiGuard ежедневно наблюдают за появлением более 1300 новых угроз. Было также зафиксировано более 300 уникальных типов угроз семейства Android и более 250 000 уникальных экземпляров вредоносных программ.

 

Рисунок 1. Показывает увеличение мобильных вредоносных программ с января по июль 2013.

 

 

BYOD или принеси с собой неприятность

Концепция «принеси своё устройство» (BYOD) имеет множество преимуществ для бизнеса, самые основные – увеличение эффективности в работе и производительности. В тоже время, одной из главных проблем, возникающих с использованием BYOD,  является угроза мобильных вредоносных программ, которые могут заразить как устройство самого пользователя, так и всю сеть предприятия.

« Ещё три года назад угрозы для мобильных устройств не вызывали особого беспокойства ни у пользователей, ни у профессионалов. Большинство угроз против смартфонов и планшетов представляли собой не более чем условно-бесплатные программы типа Cabir или мошеннические ПО для рассылки злоумышленных SMS-сообщений», — заявила Аксель Апвриль (Axelle Apvrille), старший исследователь антивирусных программ для мобильных устройств лаборатории FortiGuard Labs в компании Fortinet. «Однако с тех пор распространение портативных устройств значительно выросло, и киберпреступники не прочь заработать за счёт увеличивающего числа пользователей. Наше исследование ещё раз подтверждает тот факт, что в ближайшее время спад угроз для мобильных устройств наблюдаться не будет».

Всё началось с Symbian

В 2009 большинство угроз было направлено против операционной системы Symbian OS, так как iOS и Android тогда только появились на рынке. К тому же, большое число угроз создавалось в Восточной Европе и Китае, где операционная система Symbian была самой распространённой.

 

Рисунок 2. Показывает, какие государства распространили самое большое количество угроз в 2009.

 

 

Рисунок 3. Показывает, какие программные обеспечения чаще всего становились мишенью для угроз в 2009

 

 

2013 – крутой поворот в сфере угроз против мобильных устройств

В 2013 году ситуация с угрозами для мобильных устройств резко поменялась. Всемирное одобрение производителями операционной системы Google Android OS привело к массовому использованию смартфонов. Сегодня устройства Android доступны на всех рынках, их цена и функционал варьирует от очень недорогих моделей с простым набором функций, до ультрасовременных компьютерных монстров с высокими техническими характеристиками. Широко распространённые в интернете аппликации для расширения функционала, стали своеобразной платформой для киберпреступников.

Программы, требующие выкупа

В 2012 году эксперты FortiGuard предсказывали появление программ, требующих выкупа, для мобильных телефонов.

«Программы-вымогатели всегда приносили хороший доход киберпреступникам, поэтому их появление в сфере мобильных устройств вовсе неудивительно», — пояснил Ричард Хендерсон (Richard Henderson), аналитик по безопасности FortiGuard. «Фальшивая антивирусная программа для Android действует так же, как и подобная программа на ПК: она кажется безобидной, но, на самом деле, только и ждёт момента, чтобы проявить себя в своём настоящем свете: заблокировать телефон пользователя и потребовать оплаты за разблокировку. Пользователю остаётся или платить, или полностью стереть все данные с устройства».