Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spam w grudniu 2010 wg Kaspersky Lab

Tagi:

Maria Namiestnikowa
Ekspert z Kaspersky Lab

spam_report.png

Grudzień w liczbach

  • Ilość spamu w ruchu pocztowym zwiększyła się o 0,3 proc. w porównaniu z listopadem i wynosiła średnio 77,1%. Wiadomości phishingowe stanowiły 0,14 proc. całego ruchu pocztowego, co stanowi spadek o 0,26 proc. w stosunku do poprzedniego miesiąca.
  • Szkodliwe pliki zostały zidentyfikowane w 1,75 proc. wszystkich wiadomości e-mail, co stanowi wzrost o 0,15 proc. w porównaniu z listopadem.

Spam na świeczniku

Rosyjski spamer przed sądem

W grudniu znów było głośno o wojnie prawnej z botnetami – w Wisconsin (Stany Zjednoczone) wszczęto postępowanie sądowe w sprawie rosyjskiego obywatela Olega Nikolaenko podejrzanego o stworzenie i wykorzystywanie sieci zombie o nazwie Mega-D, znanej również jako Ozdok.

Botnet

Botnet Mega-D/Ozdok do niedawna był jednym z największych botnetów rozprzestrzeniających spam. Według niektórych szacunków, w szczytowym momencie sieć składała się z pół miliona zainfekowanych komputerów. Eksperci utrzymują, że w pewnych okresach komputery zombie z tej sieci mogły rozprzestrzeniać do 30-35% ogółu spamu. Wojna z tym monstrum rozpoczęła się w 2008 roku, jednak rezultaty ujrzeliśmy rok później, w listopadzie 2009 roku, gdy zamknięto liczne centra kontroli botnetu. Spowodowało to jedynie tymczasowy spadek aktywności sieci – na początku grudnia 2009 roku botnet znów działał pełną parą.

Zainfekowane maszyny botnetu były wykorzystywane do dystrybucji tzw. spamu partnerskiego (wykorzystującego programy partnerskie) zawierającego reklamy leków oraz podrabianych towarów znanych projektantów.

Zdradzony

Już w momencie zamknięcia centrów kontroli botnetu Mega-D/Ozdok, w listopadzie 2009 roku, Oleg Nikolaenko był głównym podejrzanym FBI. Federalne biuro otrzymało obciążające go informacje od jednego z jego “wspólników”, Jody Smitha, którego przesłuchiwało latem 2009 roku. W sierpniu tego samego roku Smith zaczął współpracować z organami ścigania.

Nikolaenko został aresztowany dopiero rok później, w listopadzie 2010 roku, podczas wizyty w salonie samochodowym w Las Vegas.

Postępowanie sądowe

Nikolaenko postawiono zarzut naruszenia amerykańskiej ustawy antyspamowej (ustawa CAN-SPAM z 2003 r.) i w przypadku uznania jego winny groziło mu do trzech lat pozbawienia wolności lub grzywna w wysokości 25 000 dolarów.

Nikolaenko utrzymuje, że nie zrobił nic złego. Jego prawnik próbował uzyskać dla niego zwolnienie za kaucją, jednak jego wniosek został odrzucony, ponieważ sąd miał podstawy sądzić, że oskarżony będzie próbował opuścić kraj. Kolejne przesłuchanie zostało wyznaczone na luty 2011 roku.

W czasie, gdy Nikolaenko przebywał w więzieniu, ilość spamu rozprzestrzenianego za pośrednictwem Mega-D nie przekraczała według niektórych ekspertów 5% całego ruchu spamowego.

Sprawa Olega Nikolaenko obnaża luki w rosyjskich ustawach antyspamowych: domniemany główny gracz na arenie spamowej musiał przyjechać do Stanów Zjednoczonych, aby w końcu mógł stanąć przed sądem.

WikiLeaks

Co robiono, aby materiały z wycieku dotarły do jak największej liczby osób

Bohaterem jednego z największych w ostatnim czasie międzynarodowych skandali stał się niespodziewanie WikiLeaks – portal specjalizujący się w publikowaniu danych, które wyciekły z organizacji rządowych różnych państw. Portal ten opublikował tysiące poufnych dokumentów, bardzo delikatnej natury, stworzonych przez polityków z całego świata. Naturalnie, WikiLeaks posiada zarówno zwolenników, jak i przeciwników. W grudniu ci pierwsi zaczęli aktywnie rozprzestrzeniać niektóre z głównych dokumentów uzyskanych na skutek wycieku.

Publikowali odsyłacze i fragmenty dokumentów z WikiLeaks, gdzie tylko mogli. W tym celu wykorzystywali również spam. W grudniu użytkownicy otrzymywali e-maile zawierające odsyłacze i prośby przekazania ich dalej dla dobra demokracji:

 new

Oprócz takich wiadomości trafiały do nas również fragmenty kompromitujących tekstów. Niestety nie sposób stwierdzić, w jakim stopniu te źródła są wiarygodne: równie dobrze mógł to być spam rozprzestrzeniany przez zwolenników WikiLeaks jak i fałszywe informacje pochodzące od przeciwników tego przedsięwzięcia.

WikiLeaks – gorący temat miesiąca

W grudniu WikiLeaks był tak popularnym tematem wśród spamerów, że nie dorównały mu nawet święta Bożego Narodzenia i Nowy Rok.

Wykorzystywanie aktualnych gorących tematów to typowy zabieg spamerów stosowany w celu przyciągnięcia uwagi odbiorów. Tematy różnią się – mogą to być wybryki celebrytów, wojny, wybory, święta itd. W grudniu najczęściej wykorzystywanym tematem są zwykle święta. Jednak w ostatnim miesiącu 2010 roku w rankingu najpopularniejszych tematów wśród spamerów znalazł się, oprócz Świąt i Nowego Roku, również WikiLeaks.

 new

Spamerzy umieścili nazwę WikiLeaks w tekście stanowiącym szum, którego celem było obejście filtrów antyspamowych. W większości były to cytaty pochodzące z materiałów opublikowanych na tym portalu lub informacje o nim samym. Interesujące jest to, że słowo WikiLeaks często pojawiało się w odsyłaczach – co stanowiło kolejną próbę obejścia filtrów.

Czas pokaże, czy osoby rozprzestrzeniające spam farmaceutyczny są zwolennikami czy przeciwnikami WikiLeaks; na razie wiemy tylko tyle, że wykorzystali popularność tego portalu do własnych celów.

Podsumowanie statystyk

Spam w ruchu pocztowym

Ilość spamu wykrytego w ruchu pocztowym zwiększyła się o 0,3 punktu procentowego i w grudniu 2010 roku wynosiła średnio 77,1 proc. Najmniejsza ilość (72 proc.) została odnotowana 6 grudnia, największa natomiast 12 grudnia (85,2 proc.).


Spam w ruchu pocztowym w grudniu 2010 roku

Źródła spamu

W grudniu największym źródłem spamu pozostały Indie, z których pochodziło 9,89 proc. całkowitej ilości spamu (-0,55 proc.).

 new
Źródła spamu w grudniu 2010 roku

Najistotniejsza zmiana na liście 20 największych dystrybutorów spamu dotyczyła Rosji i Wietnamu, które w listopadzie znalazły się odpowiednio na drugim i czwartym miejscu. W grudniu kraje te zamieniły się miejscami: ilość spamu rozprzestrzenianego z terytorium Rosji zwiększyła się o 2,9 punkty procentowe, natomiast udział Wietnamu w rozprzestrzenianym spamie zmniejszył się o 4,11 punktów procentowych.

Trójka z pięciu największych grudniowych spamerów – mianowicie, Indie, Rosja oraz Wietnam – znalazła się wśród 10 państw, w których najczęściej wykrywano szkodliwe programy w listopadzie. To sugeruje, że cyberprzestępcy, którzy w listopadzie wysyłali szkodliwe oprogramowanie do tych państw, w grudniu wykorzystywali do dystrybucji spamu zainfekowane komputery.

Zmniejszyła się również ilość spamu pochodzącego z Wielkiej Brytanii, Francji oraz Niemiec.

Szkodliwe oprogramowanie w ruchu pocztowym

W grudniu szkodliwe pliki zostały zidentyfikowane w 1,75 proc. wszystkich wiadomości e-mail, co stanowi wzrost o 0,15 procent w porównaniu z poprzednim miesiącem.

 new
Państwa, w których ochrona poczty najczęściej wykrywała szkodliwe oprogramowanie w grudniu 2010 roku

Podobnie jak w listopadzie, najwięcej szkodliwych programów wykryto w ruchu pocztowym otrzymywanym przez użytkowników w Indiach, Rosji i Wietnamie. Państwa europejskie i Stany Zjednoczone, które przez ostatnich kilka miesięcy znajdowały się w czołówce rankingu, spadły w grudniu na dół listy Top 10. Wielka Brytania, która aż do października mieściła się w pierwszej trójce, spadła na dziesiąte miejsce – w kraju tym wykryto niecałe 3% wszystkich szkodliwych programów znalezionych globalnie w ruchu pocztowym. Jednocześnie, cyberprzestępcy wysyłali duże ilości szkodliwych wiadomości na Ukrainę.

Całkiem możliwe, że zmiany w rankingu spowodowało przenoszenie botnetów z Zachodu – gdzie aktywność antybotnetowa zagraża temu biznesowi – na Wschód, gdzie presja ze strony organów ścigania jest mniejsza.

 new
10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem ruchu pocztowego w grudniu 2010 roku

Czołową pozycję na grudniowej liście 10 szkodliwych programów najczęściej rozprzestrzenianych za pośrednictwem poczty elektronicznej utrzymał szkodnik o nazwie Trojan-Spy.HTMLFraud.gen. Program ten jest weteranem rankingu. Jego celem jest podstępne skłonienie użytkowników do ujawnienia poufnych lub finansowych danych. Trojan ten wykorzystuje tzw. technologię spoofingu i ma postać strony HTML przypominającej witrynę znanego banku lub systemu płatności elektronicznych, na której użytkownik jest proszony o podanie swojego loginu i hasła. Szkodnik ten był szczególnie popularny w grudniu, jako że koniec roku to okres, w którym w związku ze zbliżającymi się świętami nasze wydatki są zawsze większe. W grudniu przeciętny użytkownik spędza mnóstwo czasu na kupowaniu prezentów gwiazdkowych – często uzyskuje dostęp do swojego konta bankowego, przez co staje się łatwym celem różnej maści oszustów.

Większość pozostałych programów z grudniowego rankingu również regularnie pojawia się w tym zestawieniu.

W 2010 roku stałym bywalcem zestawienia 10 najczęściej rozprzestrzenianych szkodliwych programów w ruchu pocztowym był Email-Worm.Win32.Mydoom.m.

Jest to typowy robak pocztowy, który skanuje system w poszukiwaniu adresów e-mail, na które może wysłać swoją kopię, podszywając się pod wiadomość zawierającą fałszywe powiadomienie od systemu pocztowego o niedostarczeniu e-maili. W tym przypadku główną funkcją programu jest gromadzenie adresów e-mail. Sygnatura tego robaka została dodana do antywirusowych baz danych firmy Kaspersky Lab w 2004 roku.

W omawianym zestawieniu regularnie pojawiał się również program Email-Worm.Win32.NetSky.q. W sumie pięć na dziesięć najpopularniejszych szkodliwych programów rozprzestrzenianych w grudniu za pośrednictwem ruchu pocztowego należało do kategorii robak pocztowy. Zaliczają się do niej również programy Email-Worm.Win32.Agent.gnd oraz Email-Worm.Win32.Agent.gne. Jednak ich funkcjonalność jest bardziej złożona w porównaniu z wcześniej wspomnianymi robakami. Nie tylko gromadzą adresy e-mail i rozprzestrzeniają się za pośrednictwem ruchu pocztowego, ale również instalują inne szkodliwe programy, po tym jak przenikną do komputera ofiary. Szkodniki te to w większości trojany downloadery, które natychmiast próbują uzyskać dostęp do zasobów internetowych w celu pobrania innych szkodliwych programów.

Spam według kategorii

W grudniu popularność kategorii spamowych odzwierciedlała trendy ustanowione jesienią.

Nadal obserwowaliśmy spadek popularności Viagry: udział spamu farmaceutycznego zmniejszyła się o 0,9 punktu procentowego w porównaniu z poprzednim miesiącem i wynosił średnio 28,6 proc. Odejście przez spamerów od spamu farmaceutycznego wpłynęło również na ilość otrzymywanego spamu z pozostałych kategorii, podobnie jak aktywność organów ścigania dotycząca botnetów rozsyłających tego typu spam.

 new
Spam według kategorii w okresie listopad – grudzień 2010 rok

Najwyższy punkt na wykresie powyżej odzwierciedla popularność programu partnerskiego oferującego podrabiane towary znanych projektantów. Najwyraźniej spamerzy doszli do wniosku, że podróbki drogich zegarków i toreb to doskonały pomysł na prezent gwiazdkowy.

Spamerzy aktywnie wykorzystywali temat świąt. W pierwszym tygodniu grudnia udział wiadomości e-mail, które nawiązywały do Bożego Narodzenia i Nowego Roku, przekroczył 6 proc. i stale rósł. W ostatnim miesiącu 2010 roku spam świąteczny stanowił średnio 20-25 proc. całkowitej ilości spamu.

Wnioski

W podsumowaniu chcielibyśmy przypomnieć wyniki zwieńczonej sukcesem kampanii antybotnetowej prowadzonej na Zachodzie. Ilość spamu rozprzestrzenianego z terytorium Stanów Zjednoczonych nie wróciła do wcześniejszego poziomu mimo obaw ekspertów podejrzewających tymczasowy spadek. Ilość spamu pochodzącego z Wielkiej Brytanii, Francji i Niemiec również zaczęła spadać. Na wzmiankę zasługują również procesy zachodzące w Europie Wschodniej i Azji. Państwa z tych regionów coraz częściej stają się celem szkodliwego spamu. Wygląda na to, że cyberprzestępcy próbują przenosić swoje sieci komputerów zombie do regionów, gdzie ściganie przestępców nie przynosi dużych efektów lub nie istnieje.

Zainteresowanie podrabianymi medykamentami ze strony zachodnich organów ścigania jak również sprawa Igora Gusjewa miały wyraźny wpływ na różne kategorie spamu: spamerzy nadal szukają programu partnerskiego, który jest tak dochodowy jak wcześniej spam farmaceutyczny. Spamerzy aktywnie reklamują własne usługi, co świadczy o tym, że ci, którzy zdecydowali się rozpocząć reklamowanie małych i średnich firm, nadal szukają klientów.

Jest mało prawdopodobne, że w styczniu sytuacja ustabilizuje się. Spam nadal będzie rozłożony na różne kategorie. W pierwszym miesiącu roku zwykle obserwujemy spadek wydatków konsumenckich, dlatego po zmniejszeniu się udziału spamu farmaceutycznego żaden pojedynczy program partnerski nie będzie w stanie sprostać finansowym wymogom spamerów. Pozostanie im tylko szukać innego obszaru działalności i zmodyfikować swoje taktyki.

Źródło:
Kaspersky Lab