Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: I kwartał 2012 r.

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab

I kwartał 2012 r. w liczbach

  • Według danych dostarczonych przez system KSN, w I kwartale 2012 r. produkty firmy Kaspersky Lab wykryły i zneutralizowały prawie 1 miliard szkodliwych obiektów. Jest to o 28 punktów procentowych więcej niż w poprzednim kwartale.
  • Próby penetracji szkodliwego oprogramowania za pośrednictwem internetu stanowiły 50% wszystkich ataków. To oznacza wzrost o 10 punktów procentowych w stosunku do poprzedniego kwartału.
  • Wykryto 95 080 549 adresów URL infekujących szkodliwym kodem, co stanowi wzrost o 61 punktów procentowych w porównaniu z IV kwartałem 2011 r.

Przegląd

Botnety

Obecnie botnety stanowią jedną z podstawowych technologii wykorzystywanych przez cyberprzestępców. Technologie te są rozwijane od kilku lat, a w wyniku ich ewolucji pojawiły się obecnie zdecentralizowane botnety i botnety zarządzane za pośrednictwem portali społecznościowych, przy czym główną metodę infekcji stanowią ataki drive-by download. Pod względem ewolucji botnetów rok 2011 okazał się stosunkowo spokojnym okresem - cyberprzestępcy nie wymyślili niczego radykalnie nowego. Wszystko jednak zmieniło się na początku 2012 r.

W I kwartale 2012 cyberprzestępcy po raz pierwszy stworzyli botnet przy użyciu „bezplikowego” bota. Eksperci ds. bezpieczeństwa wykryli mobilny botnet, który pod względem rozmiaru można porównać z typowymi botnetami opartymi na Windowsie, oraz botnet składający się z ponad pół miliona komputerów Apple działających pod kontrolą systemu Mac OSX.

Niewidzialny bot

W I kwartale 2012 r. odkryliśmy botnet stworzony przy użyciu nowej technologii: botmaster użył „bezplikowego” bota. Szkodnik ten należy do bardzo rzadkiej klasy szkodliwych programów, które istnieją jedynie w pamięci RAM komputera – bez zapisywania plików na dysku.

Problem ujawnił się w anomaliach występujących na zainfekowanych komputerach: po odwiedzeniu pewnych popularnych rosyjskich stron internetowych komputery te zaczęły wysyłać zapytania sieciowe do zasobów osób trzecich, po czym w niektórych przypadkach na ich dyskach twardych zaczęły pojawiać się zaszyfrowane pliki. Jednocześnie, na dyskach twardych nie pojawiły się żadne nowe pliki wykonywalne. Dalsza analiza pomogła zidentyfikować cały łańcuch biorący udział w infekowaniu komputerów i tworzeniu botnetu.

Na pierwszym etapie komputer był infekowany za pośrednictwem ataku drive-by wykorzystującego exploit Javy (luka CVE-2011-3544). Odsyłacz, który przekierowywał użytkowników na stronę internetową zawierającą exploita, został umieszczony w „zachęcie do przeczytania newsa” wyświetlanej na portalach informacyjnych, rozprzestrzenianej za pośrednictwem AdFox – rosyjskiej sieci dystrybucji banerów reklamowych.

Po skutecznym wykorzystaniu luki exploit wstrzykiwał szkodliwą bibliotekę DLL bezpośrednio do pamięci procesu Java zamiast pobierać szkodliwy plik na dysk twardy. Po uruchomieniu wstrzyknięty szkodliwy program działał „w imieniu” procesu Java, gromadząc informacje na temat stron odwiedzanych przez użytkownika. Jeżeli znalazły się wśród nich zasoby związane z bankowością, na komputerze użytkownika instalowany był trojan Lurk, który „poluje” na dane uwierzytelniające transakcje bankowości online.

Dzięki działaniom ekspertom z Kaspersky Lab, personelowi AdFox oraz badaczowi, który pragnie zachować anonimowość, udało się zahamować tę infekcję.

Mimo że szkodliwy proces pozostawał w pamięci RAM jedynie do czasu powtórnego uruchomienia systemu operacyjnego, infekcja rozprzestrzeniała się za pośrednictwem popularnych stron internetowych. Cyberprzestępcy potrafili infekować komputery każdego dnia, przez co utrzymali populację bota. Warto wspomnieć, że po powtórnym uruchomieniu systemu na dysku twardym komputera nie pozostały praktycznie żadne ślady infekcji czy gromadzenia danych.

W przypadku tego incydentu, w jednym niebezpiecznym szkodliwym programie połączono dwie znane technologie – wykorzystywanie luk w zabezpieczeniach oraz wstrzykiwanie do legalnego procesu bez zapisywania pliku na dysku twardym. Za każdym razem, gdy jest wykorzystywany „bezplikowy” bot, bardzo trudno jest zidentyfikować komputery, które tworzą botnet, ponieważ na dysku twardym nie pojawiają się żadne nowe pliki wykonywalne, a cyberprzestępcy wykonują wszystkie swoje działania „w imieniu” Javy, która jest legalnym procesem. Chociaż w przypadku tego i podobnych zagrożeń skuteczne okazuje się stosowanie łat, niestety problem polega na tym, że niektórzy użytkownicy nie łatają swoich systemów na czas. To oznacza, że w przyszłości możemy trafić na podobne szkodliwe oprogramowanie, jednak nie będzie ono już rozprzestrzeniane na masową skalę.

Mobilny botnet

W raporcie dotyczącym III kwartału 2011 r. wspominaliśmy, że platformą stanowiącą preferowany cel ataków twórców szkodliwego oprogramowania przeznaczonego dla urządzeń mobilnych jest Android OS. W I kwartale 2012 roku wykryliśmy ponad 5 000 (5 444) szkodliwych programów dla tej platformy. Całkowita liczba szkodliwych programów atakujących Androida zwiększyła się dziewięciokrotnie w ciągu ostatnich sześciu miesięcy.


Liczba modyfikacji szkodliwego oprogramowania dla systemu Android OS

Twórcy szkodliwego oprogramowania z Chin i Rosji wykazują największe zainteresowanie szkodnikami dla Androida. Chińscy twórcy zdołali stworzyć botnet złożony z 10 000-30 000 aktywnych urządzeń, a łączna liczba zainfekowanych smartfonów sięga setek tysięcy.

Botent został stworzony przy użyciu backdoora RootSmart, który posiada szeroką funkcjonalność związaną ze zdalnym kontrolowaniem telefonów i tabletów z Androidem. RootSmart jest rozprzestrzeniany przy użyciu sprawdzonej metody: twórcy tego szkodliwego oprogramowania przepakowali legalny program i wrzucili go na popularną w Chinach stronę internetową nieoficjalnego sklepu oferującego aplikacje dla Androida. W efekcie, osoby, które pobrały program mający im pomóc w ustawieniu telefonu, otrzymały również backdoora, za sprawą którego ich urządzenie stało się częścią botnetu.

Skala infekcji backdoorem RootSmart oznacza, że osoby atakujące zdołały wykorzystać botnet złożony z telefonów komórkowych do zarobienia pieniędzy. W tym celu wybrały najpopularniejszą metodę wykorzystywaną przez cyberprzestępców mobilnych: wysyłanie płatnych wiadomości SMS na numery o podwyższonej opłacie. Jednak jaki jest sens zdobywania pełnej kontroli nad urządzeniem, jeżeli główną funkcją bota jest wysyłanie wiadomości SMS na numery o podwyższonej opłacie? Odpowiedź jest prosta: pełna kontrola pozwala osobom atakującym ukrywać obecność szkodliwego oprogramowania na telefonie przez długi czas, dzięki czemu może on dłużej „wysysać” pieniądze z konta użytkownika.

Z historii pierwszego dużego botnetu złożonego z urządzeń mobilnych można wyciągnąć wiele cennych lekcji.

Po pierwsze, ponieważ aktualizacje dla mobilnych systemów operacyjnych nie są publikowane zbyt często, osoby atakujące mogą wykorzystywać te same exploity przez wiele miesięcy, ponieważ działają one na większości urządzeń.

Po drugie, instalowanie oprogramowania antywirusowego na urządzeniach mobilnych nie jest powszechną praktyką, dlatego wiele osób korzysta ze swoich urządzeń, nie podejrzewając nawet, że ich sprzęt jest od długiego czasu zainfekowany, a tym samym „został przekazany” do dyspozycji botmasterom.

Jak na razie te dwa czynniki nie zmieniły się znacząco i istnieje duże prawdopodobieństwo, że w tym roku usłyszymy o znacznie większych botnetach mobilnych niż RootSmart.

Botnet z składający się z komputerów Mac

Kolejnym botnetem, który zwrócił uwagę ekspertów w pierwszym kwartale, była sieć zombie zbudowana z komputerów działających pod kontrolą systemu Mac OS X.

Kaspersky Lab wykrywa trojana wykorzystywanego do budowy tego botnetu pod nazwą Trojan-Downloader.OSX.Flashfake. Opublikowaliśmy analizy tego szkodnika zarówno w zeszłym jak i tym roku.

Pierwsze wersje Flashfake’a pojawiły się zeszłej jesieni. Twórcy tego szkodliwego programu zadbali, aby jego obecność była trudniejsza do wykrycia (postarali się, aby trojan ten nie był instalowany na komputerach posiadających ochronę, zaprogramowali boty, aby wyłączały aktualizację wbudowanego systemu ochrony Mac OS X Xprotect). Później cyberprzestępcy eksperymentowali z nowymi sposobami kontrolowania botnetów. Na przykład, niektóre wersje Flashfake’a wykorzystywały konta na Twitterze, stworzone przez cyberprzestęców jako serwisy kontroli.

Głównym celem omawianego bota jest pobieranie i uruchamianie dodatkowych modułów bez wiedzy użytkownika. Osoby atakujące zarabiają pieniądze poprzez generowanie fałszywych wyników wyszukiwarek: celem dodatkowego modułu jest zamiana odsyłaczy w wynikach wyświetlanych przez popularne wyszukiwarki. Naturalnie osoby atakujące mogą wykorzystywać również inne moduły, np. w celu kradzieży danych z zainfekowanych komputerów.

W marcu 2012 r. Flashback zainfekował około 700 000 komputerów na całym świecie.

 enlarge.gif
Rozkład geograficzny komputerów zainfekowanych szkodnikiem Trojan-Downloader.OSX.FlashFake,
dane firmy Kaspersky Lab, I kwartał 2012 r.

Osoby atakujące wykorzystywały exploita Javy w celu dystrybucji wspomnianego wcześniej szkodliwego programu. Warto wspomnieć, że Oracle nie może automatycznie aktualizować Javy na komputerach z systemem Mac OS X. Użytkownicy muszą czekać na aktualizację od firmy Apple, co niekiedy trwa nawet kilka miesięcy. W efekcie, okres, w którym cyberprzestępcy mogą wykorzystywać exploita w celu infekowania Maków, jest znacznie dłuższy niż w przypadku systemu Windows. Apple opublikował łatę usuwającą lukę, która była wykorzystywana do rozprzestrzeniania Flashbacka na początku kwietnia, mimo że Oracle udostępnił swoją własną łatę jeszcze w lutym.

Liczba ataków na maszyny z systemem Mac OS X wykorzystujących luki zero-day z pewnością będzie wzrastać. Większość podatnych na ataki aplikacji, które stanowią popularny cel cyberprzestępców, charakteryzuje się wieloplatformowością, tzn. działają zarówno w systemie Windows jak i Mac OS X. Ułatwia to tworzenie exploitów dla systemu Mac OS X.

Rosnące zainteresowanie cyberprzestępców platformą Apple potwierdzają statystyki firmy Kaspersky Lab dotyczące wykrywania nowych wersji szkodliwego oprogramowania atakującego Mac OS X:


Liczba nowych sygnatur szkodliwego oprogramowania dla platformy Mac OS X dodawanych do baz antywirusowych firmy Kaspersky Lab

Głównym powodem wzrostu ilości szkodliwego oprogramowania atakującego system Mac OS X jest rosnąca popularność tej platformy wśród użytkowników. Chociaż liczba szkodliwych programów dla systemu Mac OS X jest obecnie znacznie niższa w porównaniu ze szkodliwym oprogramowaniem dla Windowsa, jest oczywiste, że cyberprzestępcy są poważnie zainteresowani platformą Mac. To oznacza, że użytkownicy powinni w większym stopniu przestrzegać podstawowych zasad bezpieczeństwa.

W analizowanym kwartale historia szkodliwego oprogramowania dla systemu Mac nie kończy się na masowych infekcjach. Wykryliśmy przypadki, w których szkodliwe oprogramowanie dla tej platformy było wykorzystywanego w atakach ukierunkowanych – jest to kolejny rodzaj ataków, które odgrywają znaczącą rolę w dzisiejszym ekosystemie cyberprzestępczym.

Ataki ukierunkowane

Niestety, liczba użytkowników padających ofiarą ataków ukierunkowanych nieustannie rośnie. Ponieważ firmy zaczęły poważnie traktować ten problem, cyberprzestępcy zmuszeni są opracowywać nowe wektory ataków.

‘Hello’.

Mac OS X + APT (zaawansowane ukierunkowane zagrożenie o długotrwałym działaniu)

Wielu użytkowników platformy Mac OS X nadal uważa ją za całkowicie bezpieczną, głównie dlatego że Apple przez wiele lat zapewniał ich o tym, że jego system jest znacznie bezpieczniejszy niż ten od Microsoftu. Jednak przeprowadzona niedawno analiza podważyła to twierdzenie. Istnieje znacząca liczba użytkowników Maków zarówno w środowiskach korporacyjnych jak i organizacjach państwowych. Każdego dnia pracują oni z ogromną liczbą istotnych dokumentów i w większości przypadków ich komputery nie są chronione przez żadne rozwiązanie antywirusowe.

Ukierunkowane ataki na organizacje powinny posłużyć jako sygnał ostrzegawczy dla takich użytkowników. Cyberprzestępcy będą próbowali uzyskiwać dostęp do tajnych dokumentów poprzez jednoczesne wykorzystywanie dwóch trojanów – jednego dla Maka, drugiego dla Windowsa. Na atakowany komputer ładowany jest odpowiedni szkodliwy program w zależności od tego, jaki system operacyjny jest wykorzystywany na maszynie. Zarówno szkodnik dla Maka jak i ten dla Windowsa otrzymują plecenia z tego samego serwera C&C.

Aby umożliwić przeniknięcie szkodliwego oprogramowania do systemu, wykorzystywany jest exploit dla luki CVE-2011-3544 w Javie. Metoda ta działa równie dobrze na platformie Mac OS X jak na Windowsie. W pierwszym kwartale odkryliśmy, że w wyniku takiego ataku systemy Mac OS X zostały zainfekowane programem Backdoor.OSX.Lasyr. Backdoor ten pozwala cyberprzestępcom uzyskać kontrolę nad zainfekowaną maszyną oraz dostęp do wszystkich informacji znajdujących się na komputerze. Szkodnik został wykryty w połowie marca 2012 r.

Nie jest to pierwszy przypadek ataków ukierunkowanych przeprowadzonych przy użyciu szkodliwego oprogramowania dla Maka w pierwszym kwartale 2012 r. Drugi incydent dotyczył backdoora dla systemu Mac OS X – był to Backdoor.OSX.MaControl. W celu przeprowadzenia początkowej infekcji również posłużono się exploitem, tym razem jednak wykorzystywał on lukę w pakiecie Microsoft Office, który jest popularny na wszystkich platformach. Metoda dostarczenia exploita była całkowicie konwencjonalna – wykorzystano wiadomość e-mail. Aby komputer pracownika został zainfekowany backdoorem, wystarczyło, że został otwarty dołączony do wiadomości plik .doc.

Szkodliwe oprogramowanie wykorzystywane do ataków ukierunkowanych na platformy Mac OS X nie jest trudne do stworzenia przez cyberprzestępców – świadczy o tym tempo pojawiania się takich programów. Fakt, że wielu użytkowników Maków nie przejmuje się zagrożeniami dla swoich komputerów, w połączeniu z brakiem rozwiązań antywirusowych na ich komputerach, sprawia, że Mac jest najsłabszym ogniwem w systemie bezpieczeństwa organizacji.

Powrót Duqu

Po czteromiesięcznej przerwie autorzy Duqu wrócili do pracy: w marcu na wolności został wykryty nowy sterownik, który był niemal identyczny z poprzednimi sterownikami Duqu. Wcześniejsze sterowniki zostały stworzone 3 listopada 2010 r. oraz 17 października 2011 r., podczas gdy najstarszy sterownik datuje się na 23 lutego 2012 r.

Funkcjonalność nowego sterownika jest zgodna z funkcjonalnością poprzednich wersji. Jego kod zawiera jedynie drobne modyfikacje, które zostały wprowadzone w celu uniemożliwienia wykrycia go przez programy antywirusowe. Główny moduł Duqu związany ze sterownikiem nie został wykryty.

Nasze założenie, że niełatwo jest zamknąć tak kosztowne projekty jak Duqu czy Stuxnet, okazało się słuszne. Cyberprzestępcy zrobili to co zawsze – zmodyfikowali kod, tak aby szkodnik mógł uniknąć wykrycia i kontynuował swoje ataki.

Z pomocą międzynarodowej społeczności programistów oraz naukowców udało nam się ustalić, że Szkielet Duqu został napisany w języku OO C. Takie podejście byłoby typowe dla przedstawicieli „starej szkoły” programistycznej pracujących nad poważnymi projektami, jednak prawie nigdy nie jest stosowane w przypadku współczesnych szkodliwych programów. Jest to kolejny dowód na to, że Duqu, wraz z Stuxnetem, jest unikatowym tworem, który wyróżnia się spośród innych szkodliwych programów.

Z powodu niewielkiej liczby ofiar na całym świecie (mniej niż 50) Duqu pozostaje najbardziej tajemniczym trojanem, który kiedykolwiek został wykryty. To, że jego ofiary znajdują się w Iranie, sugeruje, że autorzy tego szkodnika mają określony plan przeprowadzania długotrwałych ataków. Wyrafinowane i wielowarstwowe mechanizmy bezpieczeństwa tego trojana sugerują, że bardzo ważne jest to, aby projekt ten pozostał niezauważony. Nie jest wykluczone, że w przyszłości platforma Tilded będzie dalej rozwijana, przez co technologia służąca do maskowania i zaciemniania kodu stanie się jeszcze bardziej złożona.

Woja z cyberprzestępczością

Poza nowym szkodliwym oprogramowaniem i poważnymi atakami hakerskimi (o których wielokrotnie pisaliśmy) warto wspomnieć również o zakończonych sukcesem wspólnych akcjach firm antywirusowych i organów ścigania. Dzięki połączeniu sił udało się przejąć kontrolę nad botnetem Hlux (Kelihos), zdjąć centra zarządzania kilku botnetów ZeuSa i aresztować gang rosyjskich cyberprzestępców.

Hlux.b – rozbicie 2.0

Pod koniec marca 2012 r. Kaspersky Lab, we współpracy z CrowdStrike Intelligence Team, Dell SecureWorks oraz Honeynet Project, przejął kontrolę nad botnetem peer-to-peer o nazwie Hlux, który został oparty na drugim wariancie bota Hlux.b. W momencie działania botnet składał się z ponad 110 000 botów.

 enlarge.gif
Rozkład komputerów zainfekowanych botem Hlux.b (według Kaspersky Lab, I kwartał 2012 r.)

Jest to druga wersja bota Hlux.b, która została wykryta jesienią 2011 r., kilka tygodni po rozbiciu pierwszego botnetu Hlux. Wiosną 2012 r. bot zastępczy pojawił się znacznie szybciej: trzecia wersja bota - Hlux.c – została wykryta kilka dni po rozbiciu botnetu. Wszystkie nowe botnety modyfikowały sposób, w jaki ich boty komunikowały się ze sobą.

Pod względem dochodowości Hlux stanowi modelowy botnet dla cyberprzestępców. Kontrolujące go osoby biorą udział w praktycznie wszystkich rodzajach cyberprzestępczości: po załadowaniu różnych modułów bot potrafi rozprzestrzeniać spam, brać udział w atakach DDoS oraz kraść ważne informacje z komputerów. Osoby stojące za tym botnetem nie zrezygnują bez walki z tej „kury znoszącej złote jaja”. Dlatego dopóki cyberprzestępcy nie zostaną schwytani, po każdym przejęciu botnetu będą pojawiały się nowe wersje bota.

Czy przejmowanie kontroli nad botnetem jest efektywne? Z naszej perspektywy metoda ta jest warta stosowania. Najpierw, wyłączamy boty, które zostały już zainstalowane, zmniejszając tym samym liczbę aktywnie zainfekowanych komputerów. Następnie, utrudniamy życie cyberprzestępców, którzy muszą zmodyfikować swój kod i od nowa rozprzestrzeniać szkodliwe oprogramowanie, co jest kosztownym przedsięwzięciem. Możliwe są dalsze operacje przejmowania kontroli nad botnetem, chyba że do jego architektury zostaną wprowadzone poważne modyfikacje.

Aresztowanie cyberprzestępców w Rosji

Na przestrzeni ostatnich trzech lat w Rosji miał miejsce aktywny rozwój trojanów atakujących użytkowników systemów bankowości online.

 enlarge.gif
Wykryte szkodliwe programy stworzone w celu kradzieży danych z systemów bankowości online

W Europie i Brazylii cyberprzestępcy głównie wykorzystują trojany bankowe w celu przeprowadzania ataków na użytkowników indywidualnych. Cechą wyróżniającą cyberprzestępców w Rosji jest fakt, że aktywnie rozwijają oni szkodliwe oprogramowanie, którego celem jest kradzież środków z kont rosyjskich firm poprzez manipulowanie systemami bankowości internetowej na komputerach księgowych. Trojan-Spy.Win32.Carberp jest jednym z najlepiej znanych przykładów trojanów tego typu.

20 marca Departament Rosyjskiego Ministerstwa Spraw Wewnętrznych poinformował o aresztowaniu kilku członków gangu, który wykorzystywał przedsprzedażową wersję trojana Carberp w celu tworzenia botnetu. Aresztowano również kilku tzw. mułów – osoby, które pobierały skradzione pieniądze. Przypuszcza się, że podejrzane osoby ukradły ponad 2 miliony dolarów amerykańskich. Kradzież tak dużej kwoty wymagała zaangażowania ogromnej liczby zainfekowanych komputerów. Carberp był rozprzestrzeniany za pośrednictwem ataków drive-by: cyberprzestępcy umieścili odsyłacze do szkodliwych zasobów na stronach znanych rosyjskich organizacji, mediów oraz serwisów państwowych.

Informacja o aresztowaniu została dobrze przyjęta, szczególnie w Rosji, gdzie cyberprzestępcy rzadko idą za kratki. W większości przypadków, takie aresztowania skłaniają innych cyberprzestępców do czasowego ograniczenia swojej aktywności. Niestety, autorzy trojana Carberp pozostają na wolności, a szkodnik nadal jest oferowany na sprzedaż na wyspecjalizowanych forach i dystrybuowany za pośrednictwem zhakowanych stron internetowych. Mimo to mamy nadzieję, że autorzy Carberpa ostatecznie staną przed sądem.

Statystyki

W dalszej kolejności omówimy dane statystyczne wygenerowane przez różne składniki rozwiązania antywirusowego. Raport ten jest oparty na danych gromadzonych przez Kaspersky Security Network. Dane statystyczne zostały dostarczone przez tych użytkowników sieci KSN, którzy zgodzili się współdzielić informacje o zagrożeniach wykrywanych na ich komputerach. Miliony użytkowników produktów Kaspersky Lab w ponad 200 krajach uczestniczą w globalnej wymianie informacji na temat aktywności szkodliwego oprogramowania.

Zagrożenia w internecie

Dane statystyczne w tej sekcji opierają się na działaniu modułu ochrony WWW, który chroni użytkowników, jak tylko szkodliwy kod zostanie pobrany z zainfekowanej strony internetowej. Do infekcji może dojść na stronach, na których użytkownicy mają możliwość tworzenia własnych treści (np. na forach), a nawet na legalnych stronach, do których włamali się hakerzy.

Szkodliwe programy w internecie (ataki za pośrednictwem internetu)

W pierwszym kwartale 2012 r. zneutralizowano 481 411 722 ataków z zasobów sieciowych zlokalizowanych w różnych krajach. W incydentach tych wykryto 95 331 unikatowych modyfikacji szkodliwych i potencjalnie niechcianych programów.

Top 20 szkodliwych programów w internecie

Pozycja Nazwa* % wszystkich ataków**
1 Malicious URL 84,3%
2 Trojan.Script.Iframer 4,8%
3 Trojan.Script.Generic 2,2%
4 Trojan-Downloader.Script.Generic 0,5%
5 Trojan.Win32.Generic 0,4%
6 Trojan.JS.Popupper.aw 0,2%
7 Trojan-Spy.JS.Agent.c 0,2%
8 Trojan-Downloader.JS.Agent.gmf 0,2%
9 Trojan-Downloader.Win32.Agent.gyai 0,2%
10 AdWare.Win32.Screensaver.e 0,1%
11 Trojan-Downloader.JS.Agent.gmr 0,1%
12 Trojan-Downloader.JS.JScript.ag 0,1%
13 Trojan-Downloader.MSIL.Small.eq 0,1%
14 Hoax.Win32.ArchSMS.gen 0,1%
15 Trojan-Downloader.JS.Agent.gnk 0,1%
16 Exploit.Script.Generic 0,1%
17 Packed.Win32.PasswordProtectedEXE.gen 0,1%
18 AdWare.Win32.Screensaver.i 0,1%
19 Trojan.JS.Redirector.ue 0,1%
20 AdWare.Win32.Shopper.lq 0,1%

*Statystyki te pokazują werdykty wykrycia szkodliwego oprogramowania wygenerowane przez moduł Ochrona WWW i dostarczone przez użytkowników produktów Kaspersky Lab, którzy zgodzili się udostępnić informacje o zagrożeniach wykrytych na ich komputerach.

**Całkowita liczba unikatowych incydentów zarejestrowanych przez moduł Ochrona WWW na komputerach użytkowników.

Pierwsze miejsca w rankingu okupują różne szkodliwe adresy URL (wcześniej wykrywaliśmy je jako Blocked), które już teraz znajdują się na naszej czarnej liście. W porównaniu z poprzednim kwartałem ich udział zmniejszył się o 2 punkty procentowe i wynosił 84% wszystkich wykrytych problemów. Ranking ten tworzą głównie strony internetowe, na które są przekierowywani użytkownicy. Użytkownicy zazwyczaj trafiają na takie strony ze zhakowanych legalnych zasobów z osadzonymi szkodliwymi skryptami (w wyniku tak zwanego ataku drive-by). Jednak, użytkownicy mogą klikać niebezpieczne odsyłacze sami z siebie, np. szukając pirackiego oprogramowania. Jednak obecnie głównym gwarantem udanego ataku sieciowego jest wykorzystywanie exploitów atakujących niezałatane oprogramowanie: znaczny odsetek wykrytych szkodliwych adresów URL pochodzi ze stron związanych z pakietami exploitów.

12 programów z rankingu Top 20 wykorzystuje luki w zabezpieczeniach oprogramowania i bierze udział w dostarczaniu szkodliwego oprogramowania na komputery użytkowników.

W pierwszym kwartale 2012 roku tylko trzem szkodliwym programom typu adware udało się zakwalifikować do listy Top 20. Zadanie takich programów jest proste: po tym, jak zostaną zainstalowane na komputerze (z reguły pod przykrywką pakietu rozszerzeń dla przeglądarki), wyświetlają reklamy. Ilość oprogramowania adware jest znacznie mniejsza niż w poprzednim kwartale, gdy oprogramowanie z tej kategorii stanowiło jedną trzecią pozycji na liście Top 20. Świadczy to o tym, że cyberprzestępcy po raz kolejny przerzucili się na bardziej szkodliwe i dochodowe kategorie szkodliwego oprogramowania.

Podatne na ataki aplikacje celem szkodliwych użytkowników

Ponieważ większość ataków przeprowadzanych za pośrednictwem internetu odbywa się przy użyciu exploitów wykorzystujących luki w zabezpieczeniach oprogramowania w celu złamania systemów bezpieczeństwa i wykonania szkodliwego kodu bez wiedzy użytkownika, warto zapytać, które programy są zazwyczaj atakowane przez exploity. W pierwszej kolejności zaleca się aktualizować te programy, a następnie ustawiać automatyczne aktualizacje w przyszłości.

 enlarge.gif
Aplikacje zawierające luki w zabezpieczeniach atakowane przez exploity online w pierwszym kwartale 2012 r.

Jak pokazuje diagram, celem 66% ataków wykorzystujących exploity są zaledwie dwa programy - Adobe Reader oraz Java.

Mniej więcej jeden na cztery ataki na Javę wykorzystuje lukę CVE-2011-3544, która w całym kwartale cieszyła się popularnością wśród cyberprzestępców: luka ta była wykorzystywana do rozprzestrzeniania bota Hlux, trojana Carberp oraz bota “bezplikowego”.

Państwa, w których występuje najwięcej szkodliwego oprogramowania w zasobach sieciowych

Aby określić geograficzne źródło ataku, nazwa domeny jest porównywana do rzeczywistego adresu IP, w którym zlokalizowana jest dana domena, a następnie określana jest geograficzna lokalizacja adresu IP (GEOIP).

W pierwszym kwartale 2012 r. 84% zasobów sieciowych wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania było skoncentrowanych w 10 państwach – co stanowi o 7 procent więcej niż w poprzednim kwartale.

 enlarge.gif
Państwa, w których znajdowało się najwięcej szkodliwego oprogramowania w zasobach sieciowych w pierwszym kwartale 2012 r.

Do rankingu Top 20 zaklasyfikowało się nowe państwo, ponieważ Kanada (z 0,9 proc.) wyparła Rumunię. W rankingu nadal prowadzą Stany Zjednoczone, Holandia oraz Rosja. Na przestrzeni ostatnich trzech miesięcy odsetek niebezpiecznych hostów zlokalizowanych w Wielkiej Brytanii zwiększył się o 4,6 punktu procentowego do 7%, w efekcie czego państwo to awansowało o dwa miejsca, z 8 na 6. Odsetki dla innych państw nie zmieniły się znacząco, wahając się w granicach 1 punktu procentowego.

Państwa, w których użytkownicy są najbardziej narażeni na ryzyko infekcji za pośrednictwem internetu

Aby określić ryzyko infekcji, na jakie narażone są komputery w danym kraju, obliczyliśmy częstotliwość, z jaką programy antywirusowe na komputerach użytkowników wykrywały zagrożenia dla każdego państwa w ostatnim kwartale.

 enlarge.gif
20 państw, w których użytkownicy są najbardziej narażeni na ryzyko infekcji za pośrednictwem internetu*

*Podczas obliczeń wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

**Odsetek unikatowych użytkowników w danym państwie, w którym znajdują się komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.

Około połowę pozycji na liście Top 20 stanowią byłe republiki radzieckie.

Zidentyfikowane państwa można podzielić na różne grupy ryzyka.

  1. Wysokie ryzyko. Przy ryzyku infekcji na poziomie 41-60% w grupie tej znajduje się 15 pierwszych państw z listy Top 20, w tym Rosja (58%), Ukraina (45,7%), Armenia (52,1%), Białoruś (49%), Kazachstan (51,5%) oraz Indie (43,3%).
  2. Umiarkowane ryzyko. 95 państw posiada ryzyko infekcji na poziomie 21-40%, w tym Włochy (38,9%), Turcja (36,8%), Stany Zjednoczone (31,9%), Brazylia (29,3%), Hiszpania (34,4%) oraz Francja (28,4%).
  3. Niskie ryzyko. Najbezpieczniejsza grupa w pierwszym kwartale 2012 r. składała się z 25 państw, które uzyskały wyniki na poziomie 11,9–20%.

Najniższe współczynniki infekcji za pośrednictwem internetu zostały odnotowane w Japonii (14,3%), Danii (15,2%), Tajwanie (15,2%), Luksemburgu (17,4%), na Słowacji (19,6%) i w Nowej Zelandii (20%).


Ryzyko infekcji online na całym świecie, I kwartał 2012 r.

W ciągu pierwszego kwartału średnio 28,8% komputerów połączonych z systemem KSN było przynajmniej jeden raz celem ataku podczas surfowania przez użytkownika po internecie. Dane te sugerują, że jeden na trzy komputery na świecie jest wystawiony na częste, aktywne zagrożenia. Jest jednak dobra wiadomość: odsetek komputerów, które musiały odpierać ataki, zmniejszył się o 3,2 punktu procentowego w porównaniu z poprzednim kwartałem.

Zagrożenia lokalne

Sekcja ta zawiera analizę statystyk opartych na danych dostarczonych przez skaner on-access oraz statystyk dotyczących skanowania różnych dysków, łącznie z nośnikami wymiennymi (skaner na żądanie).

Obiekty wykryte na komputerach użytkowników

W pierwszym kwartale 2012 r. nasze rozwiązania antywirusowe skutecznie zablokowały 966 981 163 prób lokalnych infekcji na komputerach użytkowników należących do sieci Kaspersky Security Network.

W sumie wykryto 481 592 unikatowych modyfikacji szkodliwego oprogramowania oraz potencjalnie niechcianych programów próbujących uruchomić się na komputerach użytkowników (skaner on-access).

Obiekty wykryte na komputerach użytkowników: Top 20

Pozycja Nazwa % użytkowników*
1 DangerousObject.Multi.Generic 35,56%
2 Trojan.Win32.Generic 31,49%
3 Trojan.Win32.Starter.yy 13,92%
4 Virus.Win32.Sality.bh 12,61%
5 Net-Worm.Win32.Kido.ih 10,79%
6 Virus.Win32.Sality.aa 9,32%
7 Trojan.Win32.AutoRun.gen 8,71%
8 Net-Worm.Win32.Kido.ir 8,63%
9 Hoax.Win32.ArchSMS.gen 8,60%
10 HiddenObject.Multi.Generic 6,58%
11 AdWare.Win32.InstallCore.gen 6,41%
12 Virus.Win32.Generic 6,18%
13 Virus.Win32.Nimnul.a 5,83%
14 Worm.Win32.Generic 5,52%
15 Trojan.WinLNK.Runner.bl 4,56%
16 Trojan.Script.Iframer 3,72%
17 Trojan-Dropper.VBS.Agent.bp 3,61%
18 Virus.Win32.Sality.ag 3,51%
19 Trojan.Script.Generic 3,38%
20 Packed.Win32.Krap.ar 3,26%

Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez moduły ochrony antywirusowej użytkowników produktów Kaspersky Lab, którzy zgodzili się informacje o zagrożeniach wykrytych na ich komputerach.
* Liczba indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył dane obiekty, jako odsetek wszystkich indywidualnych użytkowników produktów Kaspersky Lab, na których komputerach wykryto szkodliwy program.

Top 10 zagrożeń w internecie

Na szczycie rankingu znajduje się cały wachlarz szkodliwych programów wykrytych przy użyciu technologii „chmury” (35,56%). Technologie te wspierają antywirusowe bazy danych: jeżeli nie istnieje sygnatura ani dane heurystyczne umożliwiające wykrycie konkretnego szkodliwego oprogramowania, dane o tym zagrożeniu mogą być zawarte w znajdujących się w chmurze zasobach firmy antywirusowej. W tym przypadku wykryty obiekt jest oznaczony jako DangerousObject.Multi.Generic.

Na drugim miejscu znajduje się werdykt dostarczony przez moduł analizy heurystycznej podczas proaktywnego wykrywania szkodliwych programów - Trojan.Win32.Generic (31,49%).

Na piętnastym miejscu znajduje się Trojan.WinLNK.Runner.bl, który jest wykorzystywany do automatycznego uruchamiania i dystrybucji exploitów wykorzystujących skróty systemu Windows (pliki .lnk). Pierwsze programy tego typu pojawiły się po wykryciu Stuxneta i nadal są bardzo popularne wśród twórców szkodliwych programów.

Przez ostatni rok Kido trzymał się mocno trzeciego miejsca. W pierwszym kwartale tego roku miała miejsce interesująca zmiana: po raz pierwszy od czterech lat Net-Worm.Win32.Kido spadł o dwie pozycje i został wyprzedzony przez programy Virus.Win32.Sality oraz Trojan.Win32.Starter.yy. Świadczy to o tym, że główna metoda dystrybucji Kido – wykorzystywanie luki MS08-067 – traci swoją skuteczność, w miarę jak coraz więcej użytkowników komputerów na całym świecie aktualizuje swoje systemy.

Państwa o największym ryzyku lokalnej infekcji komputerów użytkowników

Dane te pokazują średni współczynnik infekcji komputerów PC w różnych państwach.

 enlarge.gif
Poziomy infekcji komputerów według państwa *

* Podczas obliczeń wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).
Odsetek wszystkich lokalnych zagrożeń dla komputerów użytkowników w porównaniu z wszystkimi unikatowymi użytkownikami produktów firmy Kaspersky Lab w danym państwie.

Średnio na 42,2% komputerów wszystkich uczestników sieci KSN na świecie został wykryty co najmniej jeden szkodliwy plik – albo na samym komputerze, albo na podłączonym do niego nośniku wymiennym.

Najbardziej niebezpiecznym środowiskiem komputerowym pozostaje Bangladesz: odsetek infekcji dla tego kraju nadal rośnie i wynosi obecnie 96,8%. Nasze produkty wykryły i zablokowały szkodliwe programy na niemal wszystkich komputerach naszych użytkowników w tym państwie.

Współczynniki lokalnych infekcji można przydzielić do oddzielnych kategorii. Kategorie te zwykle są bardziej stabilne niż kategorie zagrożeń sieciowych w każdym państwie.

  1. Maksymalny poziom lokalnych infekcji (ponad 60%): w kategorii tej znajdują się 23 państwa azjatyckie (Indie, Wietnam, Mongolia itd.), państwa Bliskiego Wschodu (Iran, Irak) oraz niektórych rejonów Afryki (Sudan, Angola, Nigeria, Kamerun).
  2. Wysoki poziom lokalnych infekcji (41-60%): 49 państw, w tym Egipt, Kazachstan, Rosja, Ekwador oraz Brazylia.
  3. Umiarkowany poziom lokalnych infekcji (21-40%): 41 państw, w tym Turcja, Meksyk, Izrael, Łotwa, Portugalia, Włochy, Stany Zjednoczone, Australia oraz Francja.
  4. Najniższy poziom lokalnych infekcji (20% lub mniej): 18 państw, w tym Kanada, Nowa Zelandia, Puerto Rico, 13 państw europejskich (w tym Norwegia, Finlandia, Holandia, Irlandia, Niemcy, Estonia) oraz Japonia i Hong Kong.


Ryzyko lokalnej infekcji komputera PC na całym świecie

10 państw, w których użytkownicy byli najmniej narażeni na ryzyko lokalnych infekcji za pośrednictwem internetu:

Pozycja Kraj % unikatowych użytkowników
1 Dania 10,1%
2 Szwajcaria 14,3%
3 Japonia 14,4%
4 Szwecja 15,3%
5 Niemcy 15,7%
6 Austria 16,2%
7 Nowa Zelandia 16,4%
8 Luksemburg 16,6%
9 Finlandia 16,9%
10 Hong Kong 17,6%

Luki w zabezpieczeniach

W pierwszym kwartale 2012 r. na komputerach użytkowników należących do sieci KSN wykryto w sumie 34 825 675 podatnych na ataki programów i plików – średnio 9 różnych luk w zabezpieczeniach na każdym zainfekowanym komputerze. 10 najczęściej wykrywanych luk w zabezpieczeniach przedstawia tabela poniżej.

Secunia ID - Unikatowy numer luki Nazwa luki i odsyłacz do jej opisu Na co luka pozwala cyberprzestępcy Odsetek użytkowników, u których wykryto lukę Data ostatniej zmiany Ranga
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika
Uzyskanie dostępu do poufnych danych
Manipulowanie danymi
Atak DoS
29,07% 10.04.2012 Wysoce krytyczna
2 SA 46113 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika
XSS
Obejście systemu bezpieczeństwa
22,13% 22.09.2011 Wysoce krytyczna
3 SA 48281 Adobe Flash Player Two Vulnerabilities Uzyskanie dostępu do systemu
Uzyskanie dostępu do poufnych danych
20,81% 10.04.2012 Wysoce krytyczna
4 SA 46512 Oracle Java SE Multiple Vulnerabilities Atak DoS
Uzyskanie dostępu do systemu
Uzyskanie dostępu do poufnych danych
Przechwytywanie sesji lub kanałów komunikacji
Manipulowanie danymi
Spoofing
19,31% 27.10.2011 Wysoce krytyczna
5 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika
Atak DoS
XSS
15,26% 13.07.2011 Wysoce krytyczna
6 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika 14,50% 11.01.2012 Ekstremalnie krytyczna
7 SA 46618 Apple QuickTime Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika
Uzyskiwanie dostępu do poufnych danych
XSS
12,15% 06.01.2012 Wysoce krytyczna
8 SA 46882 Winamp AVI / IT File Processing Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika 10,89% 29.12.2011 Wysoce krytyczna
9 SA 41917 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika
Uzyskiwanie dostępu do poufnych danych
Obejście systemu bezpieczeństwa
10,22% 28.10.2010 Ekstremalnie krytyczna
10 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie dowolnego kodu z lokalnymi przywilejami użytkownika 9,93% 15.02.2012 Wysoce krytyczna

*Odsetek wszystkich użytkowników, na komputerach których została wykryta co najmniej jedna luka

Luka w zabezpieczeniach Javy firmy Oracle została wykryta na jednej trzeciej wszystkich podatnych na ataki maszyn. Ponieważ luki w Javie służyły jako wektor niektórych najgłośniejszych infekcji, łącznie z botnetem Flashfake (składającym się z komputerów Mac) oraz rozprzestrzenianiem się bota „bezplikowego”, użytkownicy powinni jak najszybciej uaktualnić ten komponent. Jeżeli nie używasz wirtualnej maszyny Javy, dobrym pomysłem jest usunąć ją ze swojego komputera.

W naszym rankingu znajdują się dwie luki w Javie. Pierwsze pozycje zajmują produkty firmy Adobe, a luki te zostały zidentyfikowane między innymi w odtwarzaczu Flash i Shockwave oraz Readerze, popularnej aplikacji do czytania dokumentów PDF. Warto zauważyć, że na przestrzeni ostatnich kilku lat zostały stworzone dziesiątki exploitów dla takich programów, z których większość jest publicznie dostępnych. To dlatego bardzo istotne jest, aby użytkownicy łatali takie programy na czas.

 enlarge.gif
Producenci produktów z listy 10 najczęściej wykrywanych luk

Każda luka z listy Top 10 może zagrozić bezpieczeństwu komputera, ponieważ wszystkie z nich pozwalają cyberprzestępcom uzyskać pełną kontrolę nad systemem przy użyciu exploitów. Z 10 najczęściej wykorzystywanych luk cztery umożliwiają osobom atakującym uzyskanie dostępu do poufnych danych na komputerze, dwie natomiast pozwalają obejść systemy bezpieczeństwa oraz przeprowadzić ataki DoS na maszynę, na której zainstalowana jest dziurawa aplikacja. Trzy luki otwierają drogę atakom XSS. Lista Top 10 zawiera również luki w zabezpieczeniach, które pozwalają osobom atakującym manipulować danymi, uzyskiwać istotne informacje o systemie i wykonywać spoofing (tj. cyberprzestępca może podszyć się pod właściciela konta użytkownika na komputerze).

 enlarge.gif
Rozkład 10 najczęściej wykrywanych luk w zabezpieczeniach według typu systemu

Wnioski

Początek 2012 r. charakteryzował się zmianą jakościową w ekosystemie botnetów. Botmasterzy, którzy zaczęli odczuwać „natłok” w świecie Windowsa, aktywnie atakowali segment mobilny i Mac OS. Niestety niewielu użytkowników zdaje sobie sprawę, że ich smartfony to w pełni funkcjonalne komputery zawierające cenne dane, którymi mogą zainteresować się cyberprzestępcy. W przypadku użytkowników systemu Mac OS X, sytuacja jest bardziej skomplikowana: najpierw producent przez dłuższy czas utrzymywał, że nie istnieje szkodliwe oprogramowanie dla tego systemu, następnie twierdził, że Maki są bezpieczniejsze niż komputery PC.

Mobilne urządzenia oraz Maki są bardzo atrakcyjne dla cyberprzestępców. Oprócz ograniczonej konkurencji w tym segmencie duża część urządzeń mobilnych i Maków działa bez rozwiązania bezpieczeństwa. W pierwszym kwartale 2012 r. wykryto ponad 5 000 szkodliwych programów dla Androida – o jedną trzecią więcej niż w ostatnim kwartale. W tym samym okresie wykryto ponad 70 szkodliwych programów dla systemu Mac OS X, dwukrotnie więcej niż w IV kwartale 2011 r. W tym roku liczba zagrożeń atakujących urządzenia domowe z tych dwóch segmentów prawdopodobnie nadal będzie szybko rosnąć.

Jedną z najważniejszych nowości technologicznych analizowanego kwartału był atak bota „bezplikowego”, który wykonywał wszystkie swoje funkcje w pamięci RAM bez tworzenia jakichkolwiek plików na dysku twardym. To utrudniło wykrycie tego szkodliwego oprogramowania. Chociaż bot pozostawał na komputerze tylko do czasu powtórnego uruchomienia maszyny, fakt, że był on rozprzestrzeniany za pośrednictwem sieci banerów reklamowych wykorzystywanej przez popularne, legalne strony, sprawia, że kolejne infekcje, a tym samym duża liczba aktywnych botów, jest bardzo prawdopodobna. Kaspersky Lab podjął szybkie działanie we współpracy z właścicielem sieci banerów w celu opanowania tego ataku. Ponieważ atak ten nie jest możliwy bez użycia exploitów, tylko łatanie na czas w połączeniu z ochroną antywirusową może pomóc zabezpieczyć komputery przed tym zagrożeniem.

W świetle powyższych informacji bezpieczeństwo mobilnej platformy iOS pozostaje otwartą kwestią. Firma Apple egzekwuje polityki, które bardzo utrudniają rozprzestrzenianie szkodliwego kodu za pośrednictwem App Store. Z drugiej strony, twórcy nie mogą stworzyć rozwiązań, które zapewnią skuteczną ochronę przed potencjalnymi atakami. Jeżeli cyberprzestępcy zaatakują urządzenia mobilne w oparciu o wypróbowany scenariusz dla Windowsa, w którym ataki drive-by prowadzą do exploitów wykonujących losowy kod w systemie, użytkownicy sami będą musieli poradzić sobie ze szkodliwym oprogramowaniem na swoim urządzeniu. Wszystkie warunki techniczne dla tego scenariusza zostały obecnie spełnione.

W naszym przeglądzie ewolucji szkodliwego oprogramowania w 2011 r. pisaliśmy, że cyberprzestępcy będą szukali nowych sposobów przeprowadzania ataków ukierunkowanych. Niestety, przewidywania te szybko okazały się słuszne: w pierwszym kwartale 2012 r. zostało wykryte szkodliwe oprogramowanie dla systemu Mac OS X, które było wykorzystywane w atakach ukierunkowanych. Warto zauważyć, że na pierwszym etapie osoby atakujące wykorzystały exploita dla maszyny wirtualnej Javy, który może zostać zainstalowany na praktycznie każdej platformie. Wykryte szkodliwe oprogramowanie okazało się backdoorem, tj. programem, który umożliwiał osobom atakującym uzyskanie pełnego dostępu do zainfekowanych Maków. Korporacyjni użytkownicy Maków, którzy są przekonani, że ich komputery są „poza podejrzeniem” i dlatego nie posiadają żadnych rozwiązań bezpieczeństwa zainstalowanych na swoich komputerach, narażają na niebezpieczeństwo całą sieć korporacyjną. Istnieje duże prawdopodobieństwo, że w tym roku pojawi się więcej ataków ukierunkowanych na sieci korporacyjne przeprowadzanych za pośrednictwem systemu Mac OS X.

Wspólne działania organów ścigania i firm IT przynoszą efekty. W pierwszym kwartale w Stanach Zjednoczonych zostały zdjęte serwery kontroli kilku botnetów ZeuSa oraz przejęto kontrolę nad botnetem Hlux.b. Aresztowano kilka grup i osób indywidualnych, łącznie z autorami mobilnego szkodliwego oprogramowania Foncy we Francji, kilkoma grupami cyberprzestępców odpowiedzialnych za trojany bankowe Carberp w Rosji oraz niesławnym hakerem TinHole, jak również kilkoma hakerami z grupy Anonymous w Rumunii.

Sukcesy te powinny stanowić sygnał ostrzegawczy dla cyberprzestępców. Spodziewamy się, że w najbliższej przyszłości liczba ataków na użytkowników domowych stopniowo ustabilizuje się.

Źródło:
Kaspersky Lab