2014
«Лаборатория Касперского» опубликовала ежеквартальное исследование вредоносных программ «Эволюция ИТ-угроз во втором квартале 2014 года«, в котором хватает угрожающей статистики. Большинство цифр не слишком радует: и обычные, и корпоративные пользователи подвергаются нападениям частым и сильным. Например, во 2 квартале 2014 года 927 568 компьютеров с продуктами «Лаборатории Касперского» были атакованы банковским вредоносным ПО, что является проблемой как для предприятий, так и для частных лиц. В общей сложности, получено 3 455 530 уведомлений о попытках заражения компьютеров финансовыми вредоносными программами.
Luuuk, MiniDuke, бразильские мошенники – второй квартал мало порадовал.
Tweet
Сам отчет довольно большой, поэтому мы лучше сосредоточимся на связанных с бизнесом моментах, таких как уже упоминавшаяся кампания Luuuk. Это была продолжительная атака на клиентов крупного европейского банка, приведшая к краже полумиллиона евро всего за одну неделю. В общей сложности специалисты «Лаборатории Касперского» выявили 190 жертв, в большинстве своем из Италии и Турции. Суммы, похищенные у каждой жертвы, колебались от €1700 до €39 000 и в целом составили €500 000. К сожалению, преступники, по-видимому, почувствовали, что привлекли внимание спецов по кибербезопасности, и скрылись, удалив все критичные компоненты с сервера, который они использовали в качестве «базы операций». Для анализа там осталось мало. По-видимому, мошенники использовали некий вариант банковского троянца, выполнявшего атаки типа Man-in-the-Browser, для того чтобы красть учетные данные потерпевших посредством вредоносной веб-инъекции. На основании информации некоторых лог-файлов было подмечено, что вредоносная программа воровала имена пользователей, пароли и разовые коды доступа (OTP) в реальном времени.
Географическое распределение атак «финансовых» зловредов во втором квартале 2014 года.
Во втором квартале была выявлена еще одна масштабная угроза — MiniDuke, APT-кампания начала 2013 года возобновилась, обрастя некоторыми серьезными и новыми дополнениями.
Мишенями новых операций MiniDuke (также известной также TinyBaron и CosmicDuke) стали правительственные учреждения, дипломатические миссии, энергетики, военные и операторы связи, а это значит, что коммерческие подрядчики основных игроков в этих областях, вероятно, под угрозой.
Необычно то, что список жертв еще включает тех, кто участвует в поставке и перепродаже незаконных веществ, в том числе стероидов и гормонов. Причина этого не ясна. Вполне возможно, что настраиваемый бэкдор доступен в качестве так называемой «легальной шпионской программы». Но это также может просто означать, что она доступна на черном рынке и была приобретена некими компаниями в фармацевтическом бизнесе для слежки друг за другом.
Кампания нацелена на страны всего мира, в том числе Австралию, Бельгию, Францию, Германию, Венгрию, Нидерланды, Испанию, Украину и США.
Масштабная мошенническая кампания была выявлена в связи с чемпионатом мира по футболу в Бразилии из-за того что бразильские преступники взялись за дело особо рьяно. Они организовывали атаки с доменов, зарегистрированных под именами известных местных брендов, в том числе платежных сервисов, банков и интернет-магазинов. Поддельные сайты мошенников были сработаны профессионально и снабжены даже хорошей имитацией подлинности в виде купленных сертификатов SSL у таких регистраторов, как Comodo, EssentialSSL, Старфилд, Register.com и других. Очевидно, что сайт с «легитимным» сертификатом SSL, скорее всего, способен обмануть даже сведущих в вопросах безопасности потребителей. И эти сайты действительно обвели нескольких людей вокруг пальца, подсадив им вредоносное ПО.
Они также рассылали письма с предложением бесплатных билетов на матчи чемпионата мира, но ссылка оттуда приводила к банковскому троянцу. Некоторые из этих сообщений электронной почты содержали личные данные, украденные из взломанной базы данных, чтобы добавить правдоподобности фальшивке.
Ситуация с безопасностью мобильных устройств тоже мрачная. Во втором квартале 2014 года были обнаружены:
- 727 790 инсталляционных пакетов;
- 65 118 новых вредоносных мобильных программ;
- 2033 мобильных банковских троянца.
Только эти две тысячи мобильных банковских троянцев могут принести больше вреда, чем что-либо еще. Кроме того, это еще и наиболее быстро растущий тип вредоносных программ для мобильных устройств. По сравнению с прошлым кварталом специалисты «Лаборатории Касперского» зафиксировали прирост в 1,7 раза. С начала 2014 года количество банковских троянцев увеличилось почти в четыре раза, а в течение года (с июля 2012 г.) — в 14,5 раза. По-видимому, злоумышленники заинтересованы в «больших» деньгах и должны писать все более новые вредоносы из-за активных контрмер со стороны вендоров защитных решений.
Банковские трояны плодятся как грибы после дождя.
Tweet
Интересно отметить, что география заражений мобильными банковскими троянцами изменилась. Россия по-прежнему является популярной мишенью в мире, но теперь уже не Казахстан, а США занимают второе место. 91,7% всех атак банковских троянцев направлены на российских пользователей, в то время как на пользователей из США приходится 5,3% всех атак. Казахстан по этому показателю опустился на 7-е место.
Был также обнаружен первый мобильный шифратор-вымогатель. В середине мая на одном из форумов вирусописателей появилось предложение приобрести уникальный троянец-шифратор за $5000, работающий на ОС Android. Вскоре после этого мы обнаружили Trojan-Ransom.AndroidOS.Pletor.aуже в «дикой природе».
Он определенно имеет российское происхождение (или, по крайней мере, его авторы говорят по-русски) и ориентирован на российских пользователей. После запуска троянец использует алгоритм AES для шифрования содержимого карты памяти смартфона, в том числе медиафайлов и документов. За этим сразу Pletor отображает требование выкупа на экране. Для перевода денег пользователю предлагают кошельки QIWI, Visa, систему MoneXy или стандартное зачисление средств на номер телефона.
К концу второго квартала «Лаборатории Касперского» удалось идентифицировать более 47 версий троянца. Все они содержат ключ, необходимый для расшифровки всех файлов.
Для связи с киберпреступниками одна версия троянца использует сеть TOR, прочие — HTTP и SMS. Троянцы этой второй группы показывают пользователю видеоизображение его самого в окне с требованием выкупа деньги, транслируемом в режиме реального времени с использованием фронтальной камеры смартфона.
Это, безусловно, ориентированная на единичного пользователя вредоносная программа, однако, если учитывать склонность людей использовать свои мобильные устройства для хранения рабочих файлов, подобные зловреды могут нанести ущерб и бизнесу.
Другие связанные с бизнесом ключевые события второго квартала:
- Уязвимость в OpenSSL #heartbleed, всерьез ударившая по бизнесу во всем мире.
- Новый банковский троянец Pandemiya, крадущий платежную информацию.
- Глобальная «Операция Товар«, начатая вендорами защитных программ и правоохранительными органами против пресловутого (или попросту ненавистного) ботнета GameOverZeuS, который был временно «обезглавлен». Тем не менее, ожидается, что он скоро опять заработает, поскольку его владельцы все еще на свободе, а инфраструктура (за исключением серверов управления) осталась нетронутой.
Полную версию отчета можно прочитать здесь.
