Триптих. Начало. Киберугрозы-2011 (часть 2)
Жертвы GpCode.
Конец квартала был ознаменован атакой новой модификации крайне опасного троянца-вымогателя GpCode, шифрующего данные на зараженном компьютере и требующего выкуп за расшифровку.
Новые модификации шифровальщика были впервые обнаруженные в самом конце 2010 года. В отличие от предыдущих модификаций, удалявших зашифрованные файлы, новые варианты GpCode перезаписывают файлы шифрованными данными. Если удаленные зашифрованные файлы можно восстановить с помощью специальных программ, то перезаписанные файлы, не зная закрытого ключа шифрования, восстановить невозможно. Ситуация еще больше осложняется тем, что обновленный GpCode для шифрования файлов использует криптостойкие алгоритмы AES c длиной ключа 256 бит и RSA с длиной ключа 1024 бит. На сегодняшний день расшифровка данных, зашифрованных с использованием этих алгоритмов, по открытому шифротексту (а это все, что остается на компьютере жертвы) в приемлемое время невозможна.
Для заражения компьютеров пользователей злоумышленники стали использовать drive-by загрузки. Чтобы заманить потенциальных жертв на зараженные сайты использовался пойзонинг поисковых запросов. Пользователь мог попасть на вредоносный сайт, если его запрос в поисковой системе был связан с кулинарией. Заметим, что все сайты, с которых велись атаки, были зарегистрированы на бесплатных хостингах am.ae, cx.cc, gv.vg и т.п. Для маскировки злоумышленники зарегистрировали и использовали в атаке подходящие к теме запроса доменные имена, такие как delicate-grill.ae.am, generalcook.gv.vg, warmblueberry.cx.cc, full-bread.ae.am.
Жертвами троянца в первую очередь стали жители Европы и постсоветской территории. Случаи заражения были зафиксированы в Германии, России, Польше, Франции, Нидерландах, Казахстане, на Украине и в ряде других стран. Выкуп за расшифровку данных злоумышленники требовали перевести через систему электронных денег Ukash, которая действует на территории всех этих стран.
Атака проводилась в течение всего нескольких часов и ее целью были домашние пользователи. Без применения современных техник противодействия зловредам за такой короткий промежуток времени невозможно создать сигнатуры и доставить их на компьютеры. Благо пользователи "Лаборатории Касперского" получили защиту очень оперативно в виде облачных UDS-сигнатур (Urgent Detection System).
Короткий период распространения зловреда означает, что автор троянца GpCode не стремился к массовому заражению компьютеров пользователей. Это можно объяснить тем, что массовое заражение компьютеров вызовет у правоохранительных органов разных стран повышенный интерес к персоне автора, что явно не входит в интересы злоумышленников. Поэтому дальнейшие атаки троянца-шифровальщика, скорее всего, тоже будут точечными.
Статистика.
Ниже мы рассмотрим статистику, полученную в результате работы различных компонентов защиты от вредоносных программ. Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (далее – KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов "Лаборатории Касперского" из 213 стран мира.
Угрозы в интернете.
Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.
Детектируемые объекты в интернете.
В первом квартале 2011 года было отражено 254 932 299 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.
ТОП-20 детектируемых объектов в интернете.
| Место | Название | % от всех атак* |
| 1 | Blocked | 66,16 |
| 2 | Trojan,Script,Iframer | 14,68 |
| 3 | Exploit.Script.Generic | 66,16 |
| 4 | Trojan.Win32.Generic | 9,59 |
| 5 | Trojan.Script.Generic | 8,91 |
| 6 | Trojan-Downloader.Script.Generic | 8,12 |
| 7 | AdWare.Win32.HotBar.dh | 3,40 |
| 8 | AdWare.Win32.FunWeb.gq | 3,26 |
| 9 | Trojan.HTML.Iframe.dl | 2,16 |
| 10 | Exploit.JS.Pdfka.ddt | 1,82 |
| 11 | Exploit.HTML.CVE-2010-1885.ad | 1,73 |
| 12 | Hoax.Win32.ArchSMS.pxm | 1,59 |
| 13 | Trojan.JS.Popupper.aw | 1,57 |
| 14 | Hoax.Win32.ArchSMS.heur | 1,57 |
| 15 | Trojan-Downloader.Win32.Generic | 1,56 |
| 16 | Trojan-Downloader.Java.OpenConnection.cx | 1,55 |
| 17 | Trojan-Downloader.Java.OpenConnection.cg | 1,33 |
| 18 | Exploit.HTML.CVE-2010-1885.aa | 1,33 |
| 19 | Trojan-Downloader.HTML.Agent.sl | 1,24 |
| 20 | Trojan-Downloader.Java.OpenConnection.cf | 1,15 |
Данная статистика представляет собой детектирующие вердикты модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.
Большая часть (66,16%) детектируемых в интернете объектов является ссылками из черного списка. В этот список попадают адреса веб-сайтов с различным вредоносным контентом. Все такие сайты можно разделить две большие категории. Первая – это те сайты, где активно применяются методы социальной инженерии, для того чтобы вынудить пользователя собственноручно установить вредоносную программу. Во вторую категорию попадают сайты, при посещении которых загрузка и запуск зловреда происходят незаметно для пользователя с помощью техники drive-by-загрузки, основанной на использовании эксплойтов.
Места со 2-го по 6-е в рейтинге занимают различные эвристические вердикты. Чаще всего пользователи подвергались атакам скриптовых троянцев и эксплойтов. Большой процент атак троянца Trojan.Script.Iframer (2-е место в рейтинге), а также его аналога Trojan.HTML.Iframe.dl (9-е место) свидетельствует о том, что на многих легитимных сайтах присутствуют инъекции вредоносного кода в виде неотображаемых тегов iframe, которые используются в ходе drive-by-атак.
На 7-м и 8-м местах по частоте детектирования расположилось рекламное ПО HotBar.dh и FunWeb.gq, которое особенно активно распространяется в четырех странах: Соединенных Штатах (28% всех детектов HotBar.dh и FunWeb.gq), Китае (14%), Индии (6%) и Англии (4%).
В конце прошлого года троянцы семейства Trojan-Downloader.Java.OpenConnection пользовались особой популярностью у злоумышленников. В первом квартале 2011 года они оказались на последних местах в рейтинге. Троянцы используют уязвимость в Java Runtime Environment, которая позволяет злоумышленникам миновать среду виртуализации и вызвать системные функции Java. Уязвимым является ПО Java Runtime Environment до 18-го обновления 6-й версии. Так как для борьбы с эксплуатацией уязвимостей в интерпретируемых языках используется большое количество различных функций, атакам эксплойтов подвергаются не программы, написанные на этих языках, а сами виртуальные машины.
Примечательно, что сразу две позиции в рейтинге (12-е и 14-е места) занимают программы, детектируемые как Hoax.Win32.ArchSMS. Они представляют собой архивы, для распаковки которых требуется отправить SMS на платный номер. Львиная доля случаев обнаружения этой мошеннической программы приходится на Рунет.
Страны, на ресурсах которых размещены вредоносные программы.
Интернет-ресурсы, которые являются источниками вредоносных программ, имеются практически в каждой стране мира. В первом квартале 89% веб-ресурсов, используемых для распространения вредоносных программ, были обнаружены в 10 странах мира. Для определения географического источника атаки использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).
По-прежнему в рейтинге стран, на территории которых были обнаружены веб-ресурсы, используемые для распространения вредоносных программ, лидируют США. В этой стране большая часть вредоносного контента расположена на взломанных легитимных сайтах. За первые три месяца 2011 года доля вредоносных хостингов в США увеличилась на 1,7%.
Наиболее заметно количество вредоносных хостингов увеличилось в России (+3,5%) и Великобритании (+2%), которые занимают 2-е и 7-е места соответственно.
Продолжается начавшееся в 2010 году уменьшение количества вредоносных площадок в Китае. Доля веб-атак с территории этой страны по сравнению с четвертым кварталом 2010 года уменьшилась на 3,33%. Также уменьшается доля серверов с вредоносным контентом в Германии (-3,28%), где ведется серьезная борьба за чистоту интернета.
Страны, в которых пользователи подвергались наибольшему риску заражения через интернет.
Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, для каждой из стран мы подсчитали, насколько часто в течение квартала пользователи в этой стране сталкивались со срабатыванием веб-антивируса.
ТОП-10 стран, где пользователи подвергаются наибольшему риску заражения через интернет.
| Место | Страна* | % уникальных
пользователей** |
| 1 | Россия | 49,63 |
| 2 | Оман | 49,57 |
| 3 | Ирак | 45,65 |
| 4 | Беларусь | 43,84 |
| 5 | Армения | 42,42 |
| 6 | Азербайджан | 42,15 |
| 7 | Казахстан | 40,43 |
| 8 | Саудовская Аравия | 39,99 |
| 9 | Украина | 39,99 |
| 10 | Судан | 38,87 |
* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тыс.).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.
В первом квартале 2011 года наибольшему риску заражения были подвержены пользователи KSN в России и Омане. Практически каждый второй пользователь (49%) в этих странах на протяжении квартала подвергался хотя бы одной атаке через интернет. При этом характер угроз в этих двух странах совершенно разный: в Омане компьютеры заражаются прежде всего для увеличения размеров зомби-сетей, в то время как в России наряду с ботами активно распространяются и мошеннические программы.
Все страны можно разбить на несколько групп:
 Группа повышенного риска. В эту группу с результатом 41-60% вошли 7 стран мира: Россия, Оман, Ирак, Белоруссия, Армения, Азербайджан и Казахстан.
Группа риска. В эту группу с показателями 21-40% попали 87 стран.
Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2011 года вошли 33 страны с показателями 13-20%. Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, в Японии, Германии, Сербии, Чехии и Люксембурге.
Secure List (10.05.2011 в 12:36) | вверх страницы | к списку статей
|
|
