Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: II kwartał 2011

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab
  • Wnioski

    Przegląd

    W drugim kwartale 2011 roku pogłębiły się trendy, o których pisaliśmy we wcześniejszych raportach z cyklu “Ewolucja szkodliwego oprogramowania”; obejmują one wzrost liczby szkodliwych programów atakujących platformy mobilne oraz dystrybucję takich szkodników za pośrednictwem application store, jak również ataki ukierunkowane wymierzone przeciwko firmom oraz popularnym serwisom internetowym. Jednocześnie miało miejsce kilka niespodzianek, które zostaną omówione w dalszej części raportu.

    Fałszywe produkty antywirusowe: kolejna runda

    Powrót fałszywek

    W 2010 roku odnotowaliśmy spadek liczby graczy na rynku fałszywych programów anywirusowych, a tym samym programów wykorzystywanych do ich rozprzestrzeniania. Sytuacja ta utrzymywała się przez stosunkowo długi czas. Jednak w drugim kwartale 2011 roku liczba fałszywych programów antywirusowych wykrywanych na całym świecie przez Kaspersky Lab zaczęła wzrastać. Co więcej, liczba użytkowników, których komputery zablokowały próby instalacji fałszywych programów, zwiększyła się o 300% w ciągu zaledwie trzech miesięcy. Ta przybierająca fala fałszywych programów antywirusowych miała swój początek w marcu tego roku; liczba ataków ciągle rośnie.

     
    Liczba fałszywych programów antywirusowych wykrywanych każdego dnia (II kwartał 2011)

    W przeciwieństwie do 2009 roku, gdy szkodliwi użytkownicy próbowali infekować komputery na całym świecie fałszywymi szkodliwymi programami, dzisiejsi cyberprzestępcy skupili się na atakowaniu użytkowników w krajach rozwiniętych, takich jak Stany Zjednoczone, Wielka Brytania oraz Kanada.

     
    Ataki fałszywych szkodliwych programów według lokalizacji w II kwartale 2011 r.

    Trend ten ma to związek z ewolucją technologiczną tego typu szkodliwych programów.

    Ewolucja fałszywych programów antywirusowych: trojany atakujące Maki

    Pierwszy fałszywy program antywirusowy atakujący system Mac OS X pojawił się w 2008 roku, a potem długo nic – nie wykryto żadnego nowego szkodnika tego typu. Jednak w drugim kwartale 2011 roku analitycy szkodliwego oprogramowania niemal jednocześnie wykryli kilka takich „produktów” o nazwach takich jak: MacDefender, MacSecurity, MacProtector itd. Najwyraźniej zostały one wypuszczone przez te same osoby, chcące zarobić na nieświadomych użytkownikach Mac OS X.

    Cyberprzestępcy widocznie stwierdzili, że fałszywe programy antywirusowe stanowią klucz, który otworzy im drzwi do krystalizującego się rynku szkodliwego oprogramowania dla systemu OS X. Przy użyciu takich programów można stosunkowo łatwo naciągnąć niczego nieświadomych użytkowników.

    W celu skłonienia użytkowników do zainstalowania fałszywego programu antywirusowego oszuści wykorzystywali autentycznie wyglądające strony internetowe oferujące usługi skanowania komputera w celu wykrycia szkodliwego oprogramowania. Przy użyciu czarnego SEO odsyłacze do takich stron znalazły się wśród pierwszych wyników wyszukiwania w Google Grafice dla najpopularniejszych zapytań. Użytkownik, który chciał na przykład zobaczyć, jak wyglądają „zdjęcia martwego Osamy bin Ladena”, lądował na stronie oferującej przeskanowanie jego komputera. Po „fałszywym” skanowaniu program wyświetlał komunikat informujący o wykryciu dużej liczby zagrożeń i proponował zainstalowanie „darmowego” produktu antywirusowego. Jeżeli użytkownik wyraził zgodę na instalację, był proszony o podanie swojego hasła administratora. Po zainstalowaniu fałszywy program antywirusowy działał tak jak podobne mu programy atakujące Windowsa: “wykrywał” tysiące nieistniejących zagrożeń i oferował naprawienie komputera. Co ciekawe, liczba zagrożeń rzekomo wykrywanych przez takie fałszywe programy antywirusowe była kilkakrotnie większa niż rzeczywista liczba znanych szkodliwych programów stworzonych dla systemu Mac. Rzekome wyleczenie komputera wymagało zakupu pełnej wersji programu za cenę od 50 do 100 dolarów amerykańskich. Warto dodać, że płacąc za produkt przy użyciu karty kredytowej, użytkownicy niechcąco dostarczali cyberprzestępcom kompletny zestaw danych dotyczących swojej karty kredytowej.

    31 maja 2011 roku, miesiąc po wykryciu pierwszego nowego fałszywego programu antywirusowego dla Maca, Apple opublikował łatę bezpieczeństwa dla Xprotect - wbudowanego systemu bezpieczeństwa dla OS X. Nowa łata umożliwia automatyczne usuwanie fałszywych programów antywirusowych. Jednak już kilka godzin od jej udostępnienia szkodliwi użytkownicy wypuścili nową wersję swojego programu, której Xprotect nie potrafił wykryć przez następne 24 godzin. Pokonanie systemu ochrony w tak szybkim czasie było możliwe dzięki temu, że Xprotect wykorzystuje skaner sygnaturowy - niezbyt zaawansowaną technologicznie metodę wykrywania szkodliwych programów. To oznacza, że aby obejść zabezpieczenia, szkodliwi użytkownicy muszą tylko zmienić kilka bajtów w kodzie swojego programu. Niedługo po tym twórcy szkodnika dodali do procesu infekowania niewielkiego downloadera do swojego, aby móc jeszcze skuteczniej obchodzić Xprotect (produkty firmy Kaspersky Lab wykrywają go pod nazwą Trojan-Downloader.OSX.FavDonw). Dlaczego opisywany atak jest tak skuteczny? Ponieważ Xprotect skanuje tylko pliki, które zostały pobrane z Internetu za pośrednictwem przeglądarki, a zatem jeśli plik jest pobierany przez fałszywy program antywirusowy, nie jest poddawany skanowaniu. W rezultacie, szkodliwi użytkownicy mogą łatwo obejść wbudowaną ochronę – muszą jedynie regularnie aktualizować downloadera i od czasu do czasu wprowadzać niewielkie zmiany do głównego pliku. Co więcej, taki proces ataku nie wymaga od użytkowników wprowadzenia żadnych haseł podczas instalacji szkodliwego programu.

    Tak jak w przypadku fałszywych programów antywirusowych atakujących Windowsa, fałszywe antywirusy dla Mac OS-a są rozprzestrzeniane za pośrednictwem tzw. programu afiliowanego. Świadczy o tym ciąg znaków “affid” w plikach downloadera, który stanowi skrót od ‘affiliate ID’. Dzięki takiemu parametrowi właściciele programu afiliowanego wiedzą, któremu z partnerów należy się zapłata za zainstalowanie określonego szkodliwego programu.


    Fragment kodu downloadera fałszywego programu antywirusowego atakującego system OS X (Trojan-Downloader.OSX.FavDonw)

    Ponieważ najwięcej użytkowników systemu Mac OS X znajduje się w krajach rozwiniętych, cyberprzestępcy wiedzą, że jeżeli tam właśnie będą rozprzestrzeniali swoje fałszywe programy antywirusowe, mogą zmaksymalizować swoje dochody. Dlatego geograficzna dystrybucja fałszywych programów antywirusowych atakujących Mac OS X pokrywa się z geograficzną dystrybucją programów tego typu stworzonych dla Windowsa.

    Kolejnym krokiem w ewolucji szkodliwych programów atakujących Mac OS X będzie prawdopodobnie wyłonienie się uniwersalnych downloaderów rootkitów dla platformy Mac, jak również trojanów, takich jak ZeuS i SpyEye, których celem jest kradzież informacji bankowych. Użytkownicy Maców powinni poważnie zastanowić się nad bezpieczeństwem swoich systemów i zainstalować rozwiązanie antywirusowe.

    Trojany mobilne: atak trwa

    Nowy nabytek w rodzinie DroidDream

    Pod koniec maja szkodliwe programy zdołały przeniknąć do oficjalnego sklepu Android Market. Podobnie jak w pierwszym kwartale 2011 roku, były to przeważnie przepakowane wersje legalnego oprogramowania, do którego zostały dodane moduły trojana. W sumie wykryto 34 szkodliwe pakiety. Trojan dołączony do pakietów to nowy wariant z rodziny DroidDream (Backdoor.AndroidOS.Rooter). Na potrzeby umieszczenia trojana w Android Markecie nieznacznie zmodyfikowano jego funkcje. Exploit, który pomaga trojanowi uzyskać prawa administratora – wcześniej charakterystyczna cecha tego konkretnego programu – został usunięty z pakietu, aby zostać później pobranym na zainfekowany telefon przez trojana.

    Backdoor KunFu

    Drugim głównym zagrożeniem stworzonym dla systemu operacyjnego Android, które znacznie ewoluowało w drugim kwartale 2011 roku, jest backdoor wykrywany przez produkty firmy Kaspersky Lab jako Backdoor.AndroidOS.KunFu. Szkodnik ten działa w tradycyjny sposób: łączy się z serwerem, którego nazwa jest zapisana w jego ciele. Po zainstalowaniu się przy użyciu znanego exploita “Rage against the cage” trojan uzyskuje prawa administratora. Następnie gromadzi informacje o zainfekowanym urządzeniu i wysyła je cyberprzestępcom, czekając na polecenia od serwera. Szkodnik ten, instalowany bez wiedzy użytkownika, pobiera zestawy aplikacji i odwiedza strony internetowe. Rozprzestrzenia się głównie przez nieoficjalne sklepy z aplikacjami, a jego podstawowym celem są chińscy użytkownicy – ustalono, że serwery kontroli wykorzystują usługi hostingu znajdujące się w Chinach.

    Autorowi tego szkodnika zależy na długiej żywotności trojana, dlatego zadaje sobie wiele trudu, aby nie dopuścić do wykrycia go przez produkty antywirusowe. W ciągu trzech miesięcy zidentyfikowano ponad 29 różnych jego wariantów. Co więcej, kod exploita wykorzystywany do zwiększenia praw szkodnika został zaszyfrowany za pomocą algorytmu DES. Najnowsze wersje trojana zostały zmienione po raz kolejny: rejestr zawierający kluczowe funkcje został przepisany z Javy na kod rodzimy w celu utrudnienia jego analizy.

    Niepokojące statystyki

    Statystyki firmy Kaspersky Lab pokazują, że liczba mobilnych zagrożeń stworzonych dla różnych platform mobilnych wzrasta wykładniczo.


    Liczba nowych sygnatur zagrożeń mobilnych stworzonych dla różnych platform, I i II kwartał 2011 r.

    Liczba wykrytych zagrożeń (szkodliwego oprogramowania dla telefonów oraz smartfonów klasy podstawowej) działających w środowisku J2ME wzrosła dwukrotnie w II kwartale 2011 roku, natomiast liczba wykrytych szkodliwych programów atakujących Androida – niemal trzykrotnie.

    Obecnie większość trojanów mobilnych wykorzystywanych do zarabiania pieniędzy wysyła wiadomości tekstowe na krótkie numery. W rezultacie z kont użytkowników znikają środki lub na urządzeniach zostają zaimplementowane subskrypcje do płatnych serwisów bez zgody użytkownika. W drugim przypadku, który jest bardziej rozpowszechniony w Azji, użytkownik otrzymuje od serwisu wiadomość tekstową zawierającą informacje o subskrypcji. Aby użytkownik nie zauważył niczego podejrzanego, trojan usuwa wiadomość o płatnym serwisie, jak tylko dojdzie. Dzięki temu szkodnik może działać na urządzeniu przez długi czas, zarabiając pieniądze na konto szkodliwego użytkownika.

    Niepokojący jest fakt, że szkodliwe programy przeznaczone dla urządzeń mobilnych są rozprzestrzeniane nie tylko za pośrednictwem różnych zasobów należących do osób trzecich, ale również oficjalnych sklepów z aplikacjami (app store). Nie ma wątpliwości, że Android Market musi zweryfikować swoją politykę dotyczącą publikowania aplikacji. Na razie jednak właściciele zarówno oficjalnych, jak i nieoficjalnych sklepów nie spieszą się ze zmianą reguł – ten brak działań działa w tym wypadku na korzyść szkodliwych użytkowników. Na takim gruncie liczba tych, którzy chcą zarobić kosztem przeciętnego użytkownika, będzie wzrastać, co z kolei wpłynie na liczbę oraz jakość zagrożeń. A zatem użytkownikowi pozostaje jedna opcja: jeżeli nie zrobił tego wcześniej, musi zainstalować produkt antywirusowy na urządzeniu mobilnym. W przeciwnym razie, zwiększy ryzyko, że nie będzie jedyną osobą wykorzystującą swój telefon.

    Zagrożona reputacja

    Drugi kwartał 2011 r. obfitował w jeszcze więcej ataków hakerskich na znane organizacje niż pierwszy. Na najnowszej liście ofiar znalazły się Sony, Honda, Fox News, Epsilon oraz Citibank. W większości przypadków naruszono ochronę prywatności danych klientów.

    Dane osobiste ogromnej liczby użytkowników to łakomy kąsek nie tylko dla określonych legalnych organizacji handlowych, ale również dla cyberprzestępców, którzy mogą wykorzystać je do przeprowadzania różnych, zwykle ukierunkowanych, ataków. Co więcej, z dostępnych nam informacji wynika, że hakerzy nie wykorzystali skradzionych danych do celów handlowych. Nie ma żadnego dowodu na to, że dane te zostały sprzedane na czarnym rynku lub zostały w jakikolwiek sposób wykorzystane przez cyberprzestępców. Takie zachowanie ze strony hakerów sugeruje, że ataki nie były motywowane chęcią szybkiego wzbogacenia się.

    Drugi kwartał tego roku zapadnie w pamięć wielu użytkownikom ze względu na jeden z największych wycieków danych osobowych, jaki nastąpił na skutek ataku hakerskiego na PlayStation Network oraz Sony Online Entertainment (obie należące do Sony). Według własnych szacunków Sony, szkodliwi użytkownicy zdobyli dane nawet 77 milionów użytkowników usług PSN oraz Quriocity (zobacz: republicans.energycommerce.house.gov [PDF 5,47 Мб]). Przez kilka tygodni usługi te były niedostępne na całym świecie, a równocześnie toczyło się dochodzenie w sprawie incydentów. Atak ten zniechęcił wielu klientów do Sony. Co więcej, gdy wznowiono działanie serwisów, klienci zostali poproszeni o przywrócenie swoich kont przy użyciu tych samych danych, które zostały potencjalnie skradzione w wyniku ataku. Na szczęście, żaden z użytkowników nie zgłosił żadnego incydentu podczas przywracania konta.

    Tego rodzaju serwisy oprócz danych osobowych użytkowników przechowują również dane dotyczące posiadaczy kart kredytowych wykorzystywane do płacenia za usługi. Po ataku na Sony na forach przestępczych rozgorzały dyskusję na temat pogłosek o potencjalnej kradzieży przez hakerów poufnych kodów CVV2, które są wymagane do przeprowadzania transakcji online. Jednak firma poinformowała, że hakerzy mogliby uzyskać tylko numery kart kredytowych i ich daty wygaśnięcia, a nie kody CVV2. Nie pojawiły się żadne doniesienia o sprzedaży lub wykorzystaniu takich danych.

    Tożsamość osób odpowiedzialnych za atak na Sony, czy też ich motywy, nie zostały jeszcze podane do wiadomości publicznej. To sugeruje, że głównym celem hakerów nie było szybkie wzbogacenie się, ale zaszkodzenie reputacji Sony Corporation. Na podstawie informacji, do których prowadzi podany niżej odsyłacz, po drugiej serii problemów z PSN brytyjscy producenci gier i konsol odnotowali wzrost liczby zwrotów i wymian produktów Sony. Dobrą reputację buduje się latami – wystarczy jednak kilka godzin, aby ją zniszczyć. (Zobacz: http://news.cnet.com/8301-13506_3-20062596-17.html.)

    Haktywiści

    Fala “haktywizmu” – włamywanie się do systemów lub paraliżowanie ich w ramach protestów przeciwko rządów oraz dużych korporacji – nadal rośnie. W pierwszym kwartale tego roku pojawiła się nowa grupa o nazwie LulzSec, która w ciągu 50 dni włamała się do wielu systemów i opublikowała informacje osobiste dziesiątek tysięcy użytkowników.

    Podobnie jak w przypadku znanej dzisiaj grupy Anonymous, LulzSec nie kieruje się żądzą zysków. Przedstawiciele tej grupy potwierdzili, że włamywali się do serwisów korporacyjnych „for the Lulz”. Co więcej, w przeciwieństwie do grupy Anonymous, LulzSec aktywniej wykorzystuje portale społecznościowe, łącznie z Twitterem w celu informowania świata o swoich działaniach.

    LulzSec włamał się do systemów znanych korporacji, takich jak Sony, EA, AOL, oraz agencji rządowych, łącznie z amerykańskim Senatem, CIA, SOCA UK oraz innymi. Zdobyte w wyniku tych ataków informacje grupa opublikowała na swojej stronie internetowej, a następnie udostępniła za pośrednictwem sieci torrentowej. W większości przypadków takie publikacje zawierały informacje osobiste.

    Pytanie brzmi: w jaki sposób grupa zdołała przeniknąć takie zabezpieczone systemy. Wiele ataków mogło zostać przeprowadzonych przy użyciu znanych mechanizmów automatycznego wyszukiwania luk, łącznie ze wstrzykiwaniem SQL. Po zdobyciu dostępu do danych przechowywanych na słabiej zabezpieczonych serwerach, takich jak login czy hash hasła, hakerzy mogli użyć je do kolejnych ataków hakerskich, ponieważ nawet osoby mające prawa administracyjne często wykorzystują to samo hasło do różnych usług.

    Z czasem ataki grupy LulzSec zaczęły nabierać zabarwień politycznych. LulzSec połączył siły z grupą Anonymous, aby przeprowadzić ataki na agencje rządowe oraz duże korporacje, a następnie opublikować wszystkie uzyskane poufne dane. W wyniku serii ataków określonych jako “AntiSec” hakerzy zdołali uzyskać między innymi dostęp do danych należących do policji stanu Arizona. Upubliczniona została korespondencja wychodząca z departamentu policji, jak również poufne dokumenty, informacje osobiste oraz hasła niektórych pracowników departamentu. Przedstawiciele ugrupowań hakerskich ogłosili, że przeprowadzili ten atak w ramach protestu przeciwko wprowadzeniu przez stan Arizona ostrzejszych przepisów imigracyjnych. W jednym z oświadczeniu napisali: „Atakujemy AZDPS, ponieważ jesteśmy przeciwko SB1070 oraz pro-rasistowskiego anty-emigracyjnego policyjnego stanu, jakim stała się Arizona”.

    Naturalnie, wszystkie te ataki zwróciły uwagę organów ścigania na całym świecie. W Hiszpanii aresztowano trzy osoby podejrzane o udział w atakach zorganizowanych przez Anonymous, natomiast w Turcji – kolejne 32 osoby. Pod koniec czerwca 2011 r. LulzSec poinformował o swoim rozwiązaniu. Jednym z powodów tej decyzji mogło być dochodzenie wszczęte w kilku państwach na świecie w celu zidentyfikowania i aresztowania członków grupy.

    Działania podejmowane przez tak zwanych haktywistów, których celem jest ujawnienie osobistych danych, są zasadniczo niemoralne i nieodpowiedzialne. Upublicznienie danych, które na pierwszy rzut oka wydają się nie mieć żadnego związku z pieniędzmi, może mieć nieprzewidziane i poważne skutki, również natury finansowej. Po pierwsze, wielu użytkowników – mimo ostrzeżeń profesjonalistów od bezpieczeństwa IT – stosuje to samo hasło w celu uzyskania dostępu do różnych serwisów, łącznie z bankowością online. Po drugie, opublikowane dane mogłyby zainteresować przestępców działających offline. Nota bene, członkowie tej grupy bardzo chcieli zachować swoją anonimowość. Na ironię zakrawa fakt, że osoby, które nie chcą zdradzić własnej tożsamości, dążą do ujawnienia poufnych informacji dotyczących innych osób.

    Ataki na organizacje rządowe będą nadal przeprowadzane, nawet po oficjalnym rozpadzie LulzSec. Administratorzy systemów w dużych firmach i organizacjach rządowych będą musieli zachować czujność i regularnie testować swoje systemy, w przeciwnym razie mogą paść ofiarą kolejnej fali „haktywizmu”.

    Cyberprzestępczość i prawo

    Zamknięcie botnetu Coreflood

    W kwietniu 2011 roku został zamknięty kolejny botnet - Coreflood. Na mocy nakazu sądowego Amerykański Departament Sprawiedliwości oraz FBI uzyskały dostęp do pięciu serwerów kontroli, co pozwoliło przejąć kontrolę nad tym botnetem. Botnet został stworzony przy użyciu programu Backdoor.Win32.Afcore i, według informacji FBI, w momencie zamknięcia składał się z 2 milionów komputerów zombie.

    Zamknięcie botnetu jest skomplikowanym procesem, nie tylko od strony technicznej, ale również z punktu widzenia prawa. Po przejęciu kontroli nad Corefloodem personel organów ścigania mógł jednym kliknięciem myszki usunąć wszystkie boty na zainfekowanych komputerach. Jednak tego rodzaju działanie mogłoby naruszyć prawo innych państw, ponieważ infekcja botem nie była ograniczona do Stanów Zjednoczonych. Dlatego najpierw ustalono lokalizacje zainfekowanych komputerów na podstawie ich adresów IP. Następnie amerykańskie organy ścigania uzyskały zgodę na usunięcie botów z organizacji, w których znajdowały się zainfekowane komputery, po czym poprosiły sądy o zgodę na zdalne usunięcie szkodników. Ostatecznie, botnet CoreFlood stracił większość ze swoich zasobów. Jednak, podobnie jak w przypadku Rustocka, jeżeli rzeczywiści właściciele botnetu nie zostaną wykryci, zawsze będzie istniała możliwość, że wrócą do swojego przestępczego procederu i stworzą nowy botnet.

    Zamknięcie zdecentralizowanych botnetów, takich jak Kido, Hlux i Palevo, może być jeszcze bardziej skomplikowane niż zamknięcie Coreflooda, Rustocka czy Bredolaba. Botnety te można zamknąć jedynie poprzez uruchomienie procedur przechwytywania kontroli nad botnetem. Zasadniczo, oznacza to modyfikację szkodliwych programów na komputerach użytkowników zlokalizowanych w różnych krajach na całym świecie. Obecnie jednak żadne prawo nie zezwala organom ścigania ani specjalistom od bezpieczeństwa na podejmowanie tego rodzaju niezbędnych działań.

    Mamy nadzieję, że organy ścigania nadal będą zamykać botnety i że właściwe władze z różnych państw będą mogły połączyć swoje zasoby w celu stworzenia niezbędnych warunków, aby uwolnić świat od szkodliwego oprogramowania.

    Legislacja w Japonii

    Jak pokazuje doświadczenie, najskuteczniejszym sposobem zwalczania przestępczości komputerowej jest aresztowanie twórców wirusów. 17 czerwca 2011 r. japoński parlament uchwalił ustawę wprowadzającą kary za tworzenie i przechowywanie szkodliwego oprogramowania.

    Przed uchwaleniem tej ustawy Japonia nie dysponowała środkami prawnymi umożliwiającymi ukaranie osób tworzących szkodliwe oprogramowanie. Twórców wirusów trzeba było oskarżać z „innych paragrafów”, takich jak naruszenie praw autorskich, piractwo czy zniszczenie własności itd.

    Zgodnie z nową ustawą, dostawcy usług internetowych będą mieli obowiązek przechowywania logów przez okres dwóch miesięcy oraz, na żądanie, przekazania ich organom ścigania.

    Wspomniana ustawa świadczy o tym, że w walce z cyberprzestępczością Japonia wykonała ważny krok naprzód.

    Wirtualna waluta, prawdziwe problemy

    W 2009 roku programista i matematyk Satosi Nakamoto rozpoczął interesujący projekt stworzenia kryptowaluty znanej jako bitcoin. Z koncepcją takiej waluty wiąże się kilka istotnych aspektów. Bitcoin nie jest powiązany z żadną centralną instytucją czy organem regulacyjnym, pieniądze są generowane na komputerach użytkowników, którzy uruchomili specjalny program, a wszystkie przelewy pieniędzy wewnątrz systemu bitcoin są anonimowe. Obecnie bitcoin jest wykorzystywany do płacenia za różne towary i usługi online. Istnieją giełdy, na których można wymienić e-walutę na realną walutę, taką jak dolar, funt, jen itd. Należy jednak pamiętać, że amatorami tej kryptowaluty są również cyberprzestępcy. Na przykład LulzSec przyjmował datki w bitcoinach, a niektóre fora cyberprzestępcze akceptują ją w ramach zapłaty za szkodliwe programy.

    Wirtualne portfele

    Rosnąca popularność bitcoin jest magnesem dla tych, którzy chcą się wzbogacić wykorzystując nielegalne sposoby. Zaszyfrowane portfele z pieniędzmi mogą być przechowywane na komputerach użytkowników, a dostęp do nich można uzyskać poprzez wprowadzenie właściwego hasła. Szkodliwi użytkownicy zwykle najpierw kradną portfele, a później próbują złamać hasła. Pod koniec czerwca specjaliści od bezpieczeństwa IT wykryli stosunkowo prostego trojana, który po uruchomieniu wysyłał portfele z bitcoinami do szkodliwych użytkowników. Niezależnie od tego, czy właściciel tego szkodnika zdołał włamać się do portfeli, trojan ten - jeżeli zostanie udoskonalony - może stanowić bardzo realne zagrożenie dla użytkowników kryptowaluty. Co więcej, biorąc pod uwagę tendencję do wykorzystywania botnetów do kradzieży wszelkiego rodzaju informacji z komputerów, funkcja ta może stać się komponentem szkodliwych programów służących do śledzenia aktywności komputerowej na atakowanych maszynach

    Załamanie się rynku bitcoinów

    W drugim kwartale 2011 r. na rynek bitcoinów spadł dotkliwy cios: kurs tej waluty znacznie spadł na jednej z najpopularniejszych giełd bitcoinów - Mt. Gox. W ciągu zaledwie kilku minut kurs wymiany spadł z $16 do zaledwie kilku centów. Przyczyną spadku była sprzedaż zhakowanego konta zawierającego ogromną ilość bitcoinów po bardzo niskiej cenie. Po zidentyfikowaniu gwałtownego spadku kursu administratorzy giełdy szybko podjęli decyzję o zawieszeniu handlu i wszystkie podejrzane transakcje zostały unieważnione.

     
    Załamanie się bitcoina 20 czerwca 2011 r.

    Później wyszło na jaw, że dostęp do kona uzyskano w wyniku wycieku bazy zawierającej loginy, adresy elektroniczne i hasła hash należące do użytkowników giełdy. Najwyraźniej, szkodliwy użytkownik zdobył dostęp do haseł i doprowadził do załamania się kursu wymiany bitcoina w nadziei na szybkie wzbogacenie się. Przed incydentem z Mt. Gox zidentyfikowano lukę typu Cross Site Request Forgery pozwalającą szkodliwym użytkownikom na wysłanie specjalistycznych zapytań, które wprowadzały użytkowników w błąd i zmuszały do udziału w transakcji bitcoinowej. Opisywane incydenty dowodzą, że podczas transakcji z udziałem wirtualnej gotówki należy zapewnić wysoki poziom bezpieczeństwa. Instytucje finansowe przykładają wielką wagę do bezpieczeństwa, a świat e-pieniędzy bez wątpienia powinien pójść w ich ślady.

    Bitcoin mining, rosyjski styl: Trojan.NSIS.Miner.a

    Obecnie z planowanych 21 milionów bitcoinów wygenerowano tylko 1 milion. Każdy może uczestniczyć w generowaniu tej waluty, tzw. „bitcoin mining” (wydobywaniu bitcoinów) i uzyskać wynagrodzenie w formie wygenerowanych bitcoinów.

    Jak pokazują fragmenty kodu poniżej, niektórzy rosyjsko-języczni cyberprzestępcy stwierdzili, że kradzież wirtualnych portfeli i łamanie ich haseł nie są opłacalne, natomiast zmuszenie nieświadomych użytkowników do udziału w bitcoin mining to coś nowego. Pod koniec czerwca Kaspersky Lab wykrył szkodliwy program, który składał się z legalnego programu przeznaczonego do bitcoin mining (bcm) i był kontrolowany przez moduł trojana. Po uruchomieniu trojana zainfekowany komputer rozpoczyna generowanie bitcoinów dla szkodliwych użytkowników. Trojan ten jest wykrywany w Rosji (37%), Indiach (12%), na Ukrainie (7%), w Kazachstanie (5%) oraz Wietnamie (3%). Na szczęście, oszustwo to zostało wykryte stosunkowo wcześnie i konto szkodliwego użytkownika w systemie bitcoin mining zostało najpierw zablokowane, a następnie usunięte.

     
    Fragment kodu trojana Trojan.NSIS.Miner.a wskazujący, gdzie należy przelać wygenerowane bitcoiny

    Warto zaznaczyć, że powodzenie całego systemu kryptowaluty bitcoin opiera się na zaufaniu użytkowników oraz braku “fałszywych” monet. Niestety, opisane wyżej incydenty pokazują, że szkodliwi użytkownicy próbują znaleźć lukę w systemach bezpieczeństwa rynku bitcoinów. Administratorzy giełdy bitcoinów muszą skupić swoje wysiłki na ochronie systemu oraz reputacji biznesowej, ponieważ jeżeli użytkownicy nie będą mieli zaufania do systemu bitcoin, całe przedsięwzięcie może upaść.

    Statystyki

    W dalszej części zajmiemy się analizą niektórych danych statystycznych dostarczonych przez różne moduły produktów antywirusowych firmy Kaspersky Lab zainstalowanych na komputerach użytkowników na całym świecie. Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane dzięki pomocy i za zgodą uczestników Kaspersky Security Network (KSN). Globalna wymiana informacji dotyczących aktywności szkodliwego oprogramowania obejmuje miliony użytkowników produktów firmy Kaspersky Lab z 213 krajów na całym świecie.

    Zagrożenia online

    Dane statystyczne zawarte w tej sekcji zostały zarejestrowane przez moduł Ochrona WWW wchodzący w skład produktów firmy Kaspersky Lab, który zapewnia ochronę przed pobieraniem szkodliwego kodu z zainfekowanych stron internetowych. Zainfekowane strony obejmują strony celowo stworzone przez cyberprzestępców, takie, których zawartość tworzą użytkownicy, np. fora, oraz legalne strony, które padły ofiarą włamań.

    Obiekty wykrywane w Internecie

    W drugim kwartale 2011 r. liczba zablokowanych ataków wynosiła 208 707 447 – ataki te były przeprowadzane z zasobów sieciowych zlokalizowanych w różnych państwach na świecie. W tego rodzaju incydentach wykryto w sumie 112 474 różnych szkodliwych i potencjalnie niechcianych programów.

    20 najbardziej rozpowszechnionych szkodliwych obiektów wykrytych w Internecie
    Pozycja Nazwa* Odsetek wszystkich ataków**
    1 Blocked 65,44%
    2 Exploit.Script.Generic 21,20%
    3 Trojan.Script.Iframer 15,13%
    4 Trojan.Win32.Generic 7,70%
    5 Trojan-Downloader.Script.Generic 7,66%
    6 Trojan.Script.Generic 7,57%
    7 AdWare.Win32.FunWeb.kd 4,37%
    8 AdWare.Win32.FunWeb.jp 3,08%
    9 Hoax.Win32.ArchSMS.heur 3,03%
    10 Trojan-Downloader.JS.Agent.fxq 2,51%
    11 Trojan.JS.Popupper.aw 2,18%
    12 Trojan.HTML.Iframe.dl 1,76%
    13 Trojan-Downloader.Win32.Generic 1,62%
    14 AdWare.Win32.HotBar.dh 1,49%
    15 Worm.Script.Generic 1,30%
    16 Exploit.JS.CVE-2010-1885.k 1,20%
    17 Hoax.Win32.ArchSMS.pxm 1,04%
    18 Trojan.JS.Redirector.pz 0,87%
    19 Trojan.JS.Agent.bun 0,85%
    20 Hoax.Win32.Screensaver.b 0,84%

    * Werdykty wydane przez moduł Ochrona WWW. Informacje są dostarczane przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje lokalne dane statystyczne.
    ** Odsetek wszystkich ataków internetowych wykrytych na komputerach unikatowych użytkowników.

    Najwyższe miejsce w rankingu zajmują różne szkodliwe adresy URL (65,44%), które znalazły się na naszej czarnej liście – adresy stron internetowych zawierających zestawy exploitów, boty, trojany szantażujące itd.

    Połowa szkodliwych ataków tworzących ranking Top20 jest wykorzystywana, w ten czy inny sposób, w atakach drive-by. Obejmują one downloadery skryptów, programy przekierowujące oraz exploity. Cyberprzestępcy coraz bardziej skupiają się na unikaniu różnych narzędzi, które analizują szkodliwy kod napisany w językach skryptowych, takich jak JS, VBS itd. Wykorzystują techniki, takie jak ukrywanie głównej funkcjonalności skryptu w takich fragmentach kodu HTML, w których analizatory najmniej się ich spodziewają. W efekcie, większość szkodliwego oprogramowania tworzonego w taki sposób jest wykrywana heurystycznie jako zagrożenia generyczne.

    Drugie miejsce w rankingu Top20 zajmuje werdykt Exploit.Script.Generic, który wyparł trojany downloadery od trzech lat zajmujące pierwsze lub drugie miejsce. Pod tą nazwą wykrywane są różne exploity skryptów, które stanowią jedną piątą wszystkich zarejestrowanych ataków online. Świadczy to o tym, że liczba ataków drive-by, które wykorzystują exploity, ciągle wzrasta, podczas gdy liczba ataków, które wymagają pobrania przez użytkowników i uruchomienia szkodliwych plików, spada.

    Sześć pozycji na 20 zajmują programy adware oraz hoax. Próbki z rodziny FunWeb (programy adware) uplasowały się na 7 i 8 miejscu, na podstawie częstotliwości wykrywania. Instalacja takich szkodników była najczęściej blokowana na komputerach w Stanach Zjednoczonych (25,2%) oraz Indiach (32,7%). Programy hoax, takie jak Hoax.Win32.ArchSMS, które stanowią płatne instalatory darmowych programów, zajmują dwa miejsca w rankingu: 17 i 20.

    Państwa hostujące szkodliwe oprogramowanie

    W drugim kwartale 2011 r. w 10 państwach znajdowało się 87% zasobów sieciowych wykorzystywanych do dystrybucji szkodliwego oprogramowania. Jest to o dwa punkty procentowe mniej niż w poprzednim kwartale. Geograficzna lokalizacja źródła każdego ataku została określona poprzez porównanie nazwy domeny z rzeczywistym adresem IP domeny oraz zidentyfikowanie lokalizacji geograficznej adresu IP (GEOIP).

     
    Rozkład państw pod względem zasobów internetowych hostujących szkodliwe oprogramowanie w II kwartale 2011 r.

    Rozwój legislacji oraz sukcesy w walce z cyberprzestępczością w Stanach Zjednoczonych i Europie Zachodniej mogą spowodować, że hosting stron wykorzystywanych do dystrybucji szkodliwego oprogramowania stopniowo przeniesie się z krajów rozwiniętych do rozwijających się. Na pierwszym miejscu pod względem spadku liczby stron hostujących szkodliwe oprogramowanie znajduje się Holandia: w porównaniu z poprzednim kwartałem udział tego państwa zmniejszył się o 4,3 punktów procentowych do 7,57%. Wysiłki holenderskiej policji, łącznie z działaniami nakierowanymi na zneutralizowanie botnetów, takich jak Bredolab czy Rustock, odstraszają cyberprzestępców od hostingu szkodliwego oprogramowania w tym państwie.

    Również Chiny odnotowały spadek liczby stron hostujących szkodliwe oprogramowanie: udział tego państwa zmniejszył się o dwa punkty procentowe i wynosił 5,6%. O ile dwa lata wcześniej chińskie strony hostingowe stanowiły główne źródło szkodliwego oprogramowania w Sieci, obecnie stopniowo zanikają z radaru antywirusowego.

    Państwa o największym ryzyku infekcji przez Internet

    Aby ocenić, na jakie ryzyko infekcji za pośrednictwem Sieci narażone są komputery użytkowników w różnych państwach na świecie, przeanalizowaliśmy, jak często moduły Ochrony WWW wykrywały szkodliwy program na maszynach użytkowników w każdym państwie.

    10 państw, w których użytkownicy są najbardziej narażeni na infekcję komputera za pośrednictwem Sieci
    Pozycja Państwo* % indywidualnych użytkowników**
    1 Oman 55,7%
    2 Federacja Rosyjska 49,5%
    3 Irak 46,4%
    4 Azerbejdżan 43,6%
    5 Armenia 43,6%
    6 Sudan 43,4%
    7 Arabia Saudyjska 42,6%
    8 Białoruś 41,8%
    9 USA 40,2%
    10 Kuwejt 40,2%

    *Państwa, w których liczba użytkowników produktów Kaspersky Lab znajduje się poniżej progu 10 tysięcy, nie zostały uwzględnione w kalkulacjach.
    **Liczba komputerów indywidualnych użytkowników, które zostały zaatakowane za pośrednictwem Sieci jako odsetek całkowitej liczby użytkowników produktów firmy Kaspersky Lab w tym kraju.

    Z wyjątkiem Stanów Zjednoczonych państwa znajdujące się w rankingu Top10 można podzielić na dwie odrębne kategorie. Pierwsza obejmuje byłe republiki Związku Radzieckiego. W państwach tych dominują różne programy oszukańcze, łącznie z takimi szkodnikami jak Hoax.Win32.ArchSMS, który wysyła wiadomości tekstowe na numery o podwyższonej opłacie, zarabiając pieniądze na konto cyberprzestępców.

    Druga kategoria obejmuje państwa z Bliskiego Wschodu, łącznie z Irakiem, Sudanem, Omanem, Arabią Saudyjską i Kuwejtem. Najwyższe ryzyko infekcji odnotowano w Omanie, gdzie w drugim kwartale została zaatakowana połowa wszystkich monitorowanych komputerów.

    W zależności od ryzyka infekcji, wszystkie państwa można podzielić na 3 grupy.

    1. Państwa wysokiego ryzyka. W grupie tej, w której poziom ryzyka wynosi od 41% do 60%, znajduje się 8 z 10 krajów uwzględnionych w rankingu: Oman, Rosja, Irak, Azerbejdżan, Armenia, Sudan, Arabia Saudyjska oraz Białoruś.
    2. Państwa średniego ryzyka. Grupa ta, w której poziom ryzyka mieści się w przedziale 21- 41%, składa się z 94 państw, wśród których znajdują się między innymi Stany Zjednoczone (40,2%), Chiny (34,8%), Wielka Brytania (34,6%), Brazylia (29,6%), Peru (28,4%), Hiszpania (27,4%), Włochy (26,5%), Francja (26,1%), Szwecja (25,3%) oraz Holandia (22,3%).
    3. Państwa, w których można bezpiecznie surfować. W drugim kwartale 2011 r. grupa ta składała się z 28 państw o poziomie ryzyka oscylującym między 11,4% a 21%, obejmujących Szwajcarię (20,9%), Polskę (20,2%), Singapur (19,6%) oraz Niemcy (19,1%).

     
    Ryzyko infekcji komputera podczas surfowania w Sieci według państwa

    Skład grupy wysokiego ryzyka uległ zmianom w porównaniu z pierwszym kwartałem 2011 r.: z grupy wypadł Kazachstan (-1 punkt procentowy), ale przybyła Arabia Saudyjska (+2,6 punktów procentowych).

    Warto zaznaczyć, że Stany Zjednoczone (40,2%) są o krok od znalezienia się w grupie państw wysokiego ryzyka. W dużej mierze jest to spowodowane wzrostem liczby wykrywanych fałszywych programów antywirusowych, o którym wspominaliśmy w pierwszej części raportu. Do ogólnego wzrostu liczby wykrywanych fałszywych programów antywirusowych przyczyniła się głównie ilość takich programów wykrytych w Stanach Zjednoczonych. Ponadto, cyberprzestępcy w Ameryce próbują zainfekować możliwie jak najwięcej komputerów klientami botów należących do sieci TDSS oraz Gbot. Strony internetowe wykorzystywane do dystrybucji fałszywych programów antywirusowych w tym regionie uplasowały się na drugim i szóstym miejscu na podstawie częstotliwości prób pobrania szkodliwego oprogramowania.

    Grupa średniego ryzyka liczyła o osiem państw więcej w porównaniu z pierwszym kwartałem. Zawiera reprezentantów wszystkich części świata.

    Grupa państw, w których można bezpiecznie surfować, zmniejszyła się o pięć krajów. Jednym z krajów, który ją opuścił, była Finlandia (22,1%), która przeszła do grupy średniego ryzyka.

    Najmniejszy odsetek użytkowników, którzy zostali zaatakowani podczas surfowania w Sieci, znajduje się w Japonii (13%), Tajwanie (13,7%), Republice Czeskiej (16,1%), Danii (16,2%), Luksemburgu (16,9%), Słowenii (17,8%) oraz Słowacji (18,3%).

    Zagrożenia lokalne

    Wszystkie dane statystyczne podane w tej sekcji zostały zarejestrowane przez skaner on-access wbudowany w produkty firmy Kaspersky Lab.

    Szkodliwe obiekty wykryte na komputerach użytkowników

    W drugim kwartale 2011 roku rozwiązania firmy Kaspersky Lab skutecznie zablokowały 413 694 165 prób lokalnych infekcji komputerów użytkowników podłączonych do sieci Kaspersky Security Network.

    Ogółem, zostały zgłoszone 462 754 incydenty związane ze szkodliwymi i potencjalnie niechcianymi programami. Liczba ta obejmuje, między innymi, obiekty, które wniknęły do komputerów ofiar za pośrednictwem sieci lokalnych lub przenośnych nośników pamięci, nie zaś przez Sieć, pocztę elektroniczną czy porty sieciowe.

    Jak widać, liczba unikatowych obiektów jest o trzy cyfry mniejsza niż liczba prób infekcji. To oznacza, że rozwój szkodliwego oprogramowania jest kontrolowany przez niewielką grupę osób.

    20 najczęściej wykrywanych szkodliwych obiektów na komputerach użytkowników
    Pozycja Nazwa* % indywidualnych użytkowników**
    1 DangerousObject.Multi.Generic 35,93%
    2 Trojan.Win32.Generic 23,02%
    3 Net-Worm.Win32.Kido.ir 13,48%
    4 Virus.Win32.Sality.aa 5,92%
    5 AdWare.Win32.FunWeb.kd 4,99%
    6 Net-Worm.Win32.Kido.ih 4,57%
    7 Virus.Win32.Sality.bh 4,44%
    8 Trojan.Win32.Starter.yy 4,43%
    9 Hoax.Win32.ArchSMS.heur 3,91%
    10 Worm.Win32.Generic 3,65%
    11 Trojan-Downloader.Win32.Geral.cnh 2,62%
    12 Virus.Win32.Sality.ag 2,45%
    13 HackTool.Win32.Kiser.zv 2,29%
    14 Hoax.Win32.ArchSMS.pxm 2,22%
    15 HackTool.Win32.Kiser.il 2,19%
    16 Worm.Win32.FlyStudio.cu 2,09%
    17 Trojan.JS.Agent.bhr 2,03%
    18 Virus.Win32.Nimnul.a 2,02%
    19 Hoax.Win32.Screensaver.b 1,95%
    20 Trojan-Downloader.Win32.VB.eql 1,81%

    *Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wydanych przez produkty firmy Kaspersky Lab wykorzystywane przez użytkowników, którzy zgodzili się udostępnić swoje dane statystyczne.
    **Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wydanych przez produkty firmy Kaspersky Lab wykorzystywane przez użytkowników, którzy zgodzili się udostępnić swoje dane statystyczne.

    Pierwsze miejsce w rankingu zajmują różne szkodliwe programy wykryte z pomocą technologii opartych na chmurze. Technologie te zaczynają działać, gdy szkodliwy program zacznie “krążyć” w Sieci, a antywirusowe bazy danych nie posiadają jeszcze sygnatur ani narzędzi heurystycznych do ich wykrywania; w tym momencie informacje o takim szkodniku mogą istnieć w chmurze. W takich wypadkach, szkodliwy program otrzymuje nazwę DangerousObject.Multi.Generic.

    10 z 20 najczęściej wykrywanych szkodliwych programów zawiera mechanizm samodzielnego rozprzestrzeniania się lub jest wykorzystywanych jako komponent w rozprzestrzenianiu robaków.

    W drugim kwartale 2011 roku gwałtownie zwiększyła się liczba infekcji wywołanych przez nowy szkodliwy program - Virus.Win32.Nimnul.a. Szkodnik ten rozprzestrzenia się przy pomocy dwóch metod: infekowania plików wykonywalnych lub za pośrednictwem przenośnych nośników pamięci przy użyciu funkcji autoodtwarzania. Jest dystrybuowany głównie w krajach azjatyckich, takich jak Indonezja (20,7%), Indie (20%) oraz Wietnam (16,6%), w których systemy operacyjne nie są regularnie łatane, a oprogramowanie antywirusowe jest instalowane o wiele rzadziej. Jego głównym składnikiem jest Backdoor.Win32.IRCNite.yb – backdoor, który łączy się ze zdalnym serwerem i dodaje komputer do sieci zombie.

    W rankingu znajdują się tylko dwie rodziny “zaraźliwego” szkodliwego oprogramowania - Sality oraz Nimnul. Rozwój tego typu szkodliwych programów jest czasochłonny i wymaga doskonałej znajomości systemów operacyjnych oraz formatów plików itd. Jednocześnie ich dystrybucja dość szybko zwraca uwagę producentów rozwiązań antywirusowych. W efekcie, infektory są obecnie wykorzystywane tylko przez garstkę twórców wirusów lub grupy przestępcze i w najbliższej przyszłości liczba „zaraźliwego” szkodliwego oprogramowania może zmniejszyć się jeszcze bardziej. Istnieje prawdopodobieństwo, że wykorzystywanie wyrafinowanych infektorów będzie ograniczone do ataków ukierunkowanych, w których ważna jest 100% skuteczność, a klienci są gotowi zapłacić za rozwój złożonego szkodliwego oprogramowania.

    Państwa, w których komputery użytkowników są najbardziej narażone na ryzyko lokalnej infekcji

    Obliczyliśmy odsetek użytkowników KSN w różnych państwach, na których komputerach zablokowano próby lokalnych infekcji. Pozwoliło to oszacować średni odsetek zainfekowanych komputerów w danym państwie.

    10 państw, w których zlokalizowanych jest najwięcej zainfekowanych komputerów
    Pozycja Państwo* % zainfekowanych komputerów indywidualnych użytkowników
    1 Bangladesz 63,6%
    2 Sudan 61,0%
    3 Irak 55,5%
    4 Nepal 55,0%
    5 Angola 54,4%
    6 Tanzania 52,6%
    7 Afganistan 52,1%
    8 Indie 51,7%
    9 Rwanda 51,6%
    10 Mongolia 51,1%

    *Państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest poniżej progu 10 tysięcy, nie zostały uwzględnione w kalkulacjach.
    **Liczba poszczególnych użytkowników, na których komputerach zablokowano lokalne zagrożenia, jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab w danym kraju.

    Jeżeli chodzi o różnice między II a I kwartałem 2011 roku w rankingu 10 krajów, w których komputery użytkowników są najbardziej narażone na lokalne infekcje, warto wspomnieć o jednej. W II kwartale w pierwszej dziesiątce znajdowały się Indie, gdzie co drugi komputer był narażony na lokalną infekcję przynajmniej jeden raz w ciągu ostatnich trzech miesięcy. W związku ze stałym wzrostem liczby komputerów w tym państwie od kilku lat Indie stają się coraz bardziej atrakcyjne dla cyberprzestępców. Innymi czynnikami, które przyciągają cyberprzestępców, jest niski ogólny poziom wiedzy komputerowej oraz rozpowszechnienie pirackich kopii, które nigdy nie są łatane. Jeżeli chodzi o rodzaje szkodliwego oprogramowania, które próbuje przeniknąć do maszyn użytkowników, celem większości z nich jest tworzenie botnetów. Istnieją liczne samodzielnie rozprzestrzeniające się szkodliwe programy, takie jak Virus.Win32.Sality, Virus.Win32.Nimnul oraz IM-Worm.Win32.Sohanad. Występuje też wiele wariantów automatycznie uruchamiających się robaków i trojanów. W pierwszym kwartale Microsoft opublikował łatę, która blokuje funkcję automatycznego odtwarzania na przenośnych nośnikach pamięci. Jednakże łata ta jest automatycznie instalowana tylko w systemach, które mają włączoną funkcję Windows Update, co w Indiach nie jest powszechną praktyką. Kontrolerzy botnetów najwyraźniej postrzegają Indie jako miejsce, w którym znajdują się miliony niechronionych i niezabezpieczonych komputerów, które mogą pozostać aktywne w sieciach zombie przez długi czas.

    Wszystkie państwa na świecie można podzielić na grupy na podstawie ich poziomu infekcji lokalnych:

    1. Maksymalny poziom infekcji lokalnych. W grupie tej, o poziomie infekcji przekraczającym 60%, znajduje się Bangladesz (63,6%) oraz Sudan (61%).
    2. Wysoki poziom infekcji lokalnych. Grupa ta, o poziomie infekcji 41-60%, liczy 36 państw, wśród których znajdują się między innymi Indie (51,7%), Indonezja (48,4%), Kazachstan (43,8%) oraz Rosja (42,2%).
    3. Minimalny poziom infekcji. Grupa ta składa się z 58 państw, o poziomie infekcji od 21% do 41%, i obejmuje Ukrainę (38,4%), Filipiny (37,1%), Tajlandię (35,7%), Chiny (35,3%), Turcję (32,9%), Ekwador (31,1%), Brazylię (30%) oraz Argentynę (27,3).
    4. Najniższy poziom infekcji: Grupa ta składa się z 34 państw na całym świecie.

     
    Ryzyko lokalnych infekcji komputerowych w różnych państwach

    W drugim kwartale 2011 r. liczba państw o najwyższym poziomie infekcji zmniejszyła się o 12, liczba państw o średnim poziomie infekcji zwiększyła się o 2, a liczba państw o najniższym poziomie infekcji wzrosła o 10.

    Kilka krajów europejskich przesunęło się do grupy o najniższym poziomie infekcji: Grecja (19,9%), Hiszpania (19,4%), Włochy (19,3%), Portugalia (18,6%), Słowacja (18,2%), Polska (18,1%), Słowenia (17,2%) oraz Francja (14,7%).

    Pięć państw, które są najbezpieczniejsze pod względem poziomu infekcji lokalnych:


    Pozycja Państwo % indywidualnych użytkowników
    1 Japonia 8,2%
    2 Niemcy 9,4%
    3 Dania 9,7%
    4 Luksemburg 10%
    5 Szwajcaria 10,3%

    Luki w zabezpieczeniach

    W drugim kwartale 2011 roku na komputerach użytkowników zostały wykryte 27 289 171 aplikacje i pliki podatne na ataki. Wykryliśmy średnio 12 różnych luk na każdym komputerze.

    Tabela poniżej pokazuje 10 najczęściej wykrywanych luk na komputerach użytkowników.


    Unikatowy
    identyfikator luki
    nadany przez
    firmę Secunia
    Nazwa luki
    i odsyłacz do
    jej opisu
    Korzyści, jakie
    mogą uzyskać
    cyberprzestępcy
    wykorzystujący lukę
    Odsetek użytkowników,
    u których wykryto lukę
    Data
    opublikowania
    Ważność
    1 SA 41340 Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. 40,78% 08.09.2010 Niezwykle krytyczna
    2 SA 43262 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. Ujawnienie poufnych informacji. Manipulowanie danymi. DoS (Denial of Service). Manipulation of data. DoS (Denial of Service) 31.,2% 09.02.2011 Wysoce krytyczna
    3 SA 44119 Adobe Flash Player SharedObject Type Confusion Vulnerability Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. 24,23% 12.04.2011 Niezwykle krytyczna
    4 SA 44590 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. 23,71% 13.05.2011 Wysoce krytyczna
    5 SA 41917 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. Ujawnienie poufnych informacji. Obejście systemów bezpieczeństwa. Bypass security systems. 21,62% 28.10.2010 Niezwykle krytyczna
    6 SA 44784 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. Ujawnienie poufnych informacji. Manipulowanie danymi. DoS (Denial of Service). 12,16% 08.06.2011 Wysoce krytyczna
    7 SA 43751 Adobe Flash Player / AIR AVM2 Instruction Sequence Handling Vulnerability Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. 9,4% 08.06.2011 Niezwykle krytyczna
    8 SA 44964 Adobe Flash Player Unspecified Memory Corruption Vulnerability Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. 9,05% 15.06.2011 Wysoce krytyczna
    9 SA 42112 Adobe Shockwave Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z przywilejami użytkownika lokalnego. 8,78% 03.11.2010 Wysoce krytyczna
    10 SA 44846 Adobe Flash Player Unspecified Cross-Site Scripting Vulnerability Cross-Site Scripting. 8,18% 06.06.2011 Mniej krytyczna

    Po raz pierwszy w swojej historii ranking zawiera produkty zaledwie dwóch firm: Adobe i Oracle (Java). Jak przypuszczaliśmy w poprzednim raporcie, produkty Microsoftu zniknęły z rankingu. Spowodowały to przede wszystkim usprawnienia w automatycznym mechanizmie aktualizacji systemu Windows oraz rosnący udział użytkowników, którzy instalują na swoich komputerach Windows 7.


    Twórcy produktów, w których najczęściej wykrywano luki

    Siedem na 10 najczęściej wykrywanych luk dotyczy tylko jednego produktu - Adobe Flash Player.

    Warto wspomnieć, że w pierwszej dziesiątce nie ma żadnych luk z lat 2007-2008. Siedem z dziesięciu luk zostało wykrytych w 2011 roku, pozostałe trzy w 2010 r. Przyczyną jest stopniowe zastępowanie Windowsa XP oraz Visty przez Windowsa 7 z ulepszonym systemem automatycznych aktualizacji.


    Rozkład 10 najczęściej wykrywanych luk według rodzaju wpływu na system

    Dziewięć na 10 luk pozwala osobie atakującej na uzyskanie pełnego dostępu do systemu, a cztery umożliwiają również dostęp do ważnych danych na podatnych na ataki komputerach.

    Wnioski

    W drugim kwartale 2011 r. rozpoczęła się nowa faza ewolucji fałszywych programów antywirusowych. Co istotne, zmiany dotyczyły zarówno liczby krążących programów jaki i ich jakości. Liczba prób instalacji fałszywych programów antywirusowych zablokowanych na komputerach, które należą do sieci KSN, zwiększyła się o 300%! Jeżeli wzrost ten utrzyma się, do końca trzeciego kwartału szkodliwe oprogramowanie tego typu może osiągnąć poziom z początku 2010 roku, w którym miał wartość szczytową. Jeżeli chodzi o jakość, pojawiły się fałszywe programy antywirusowe atakujące nową platformę - Mac OS X. Niestety, użytkownicy systemu Mac OS rzadko przejmują się bezpieczeństwem swoich komputerów, przez co są one bardzo atrakcyjne dla twórców szkodliwego oprogramowania. Fałszywe programy antywirusowe dla systemu Mac OS są rozprzestrzeniane za pośrednictwem programów afiliowanych (tzw. partnerskich). To oznacza, że platforma ta znalazła się w centrum zainteresowania profesjonalnych twórców szkodliwego oprogramowania i w najbliższej przyszłości należy spodziewać się bardziej wyrafinowanego i niebezpiecznego szkodliwego oprogramowania dla systemu Mac OS.

    W analizowanym okresie odnotowaliśmy również gwałtowny wzrost liczby szkodliwych programów dla platform mobilnych. Obecnie największym zainteresowaniem cyberprzestępców cieszą się dwie platformy: J2ME oraz Android. W porównaniu z pierwszym kwartałem liczba nowych wpisów do antywirusowych baz danych wykorzystywanych do wykrywania szkodliwego oprogramowania J2ME podwoiła się, z kolei liczba nowych wpisów dla szkodliwego oprogramowania atakującego Androida zwiększyła się trzykrotnie. Główna metoda „zarabiania pieniędzy” różni się od tej stosowanej przez szkodliwe oprogramowanie dla komputerów PC. Aby wyczyścić konta użytkowników telefonów komórkowych, cyberprzestępcy powszechnie wykorzystują numery SMS o podwyższonej opłacie oraz subskrypcje do płatnych serwisów. Twórcy szkodliwego oprogramowania bez wątpienia będą szukać innych różnorodnych i nielegalnych programów umożliwiających zarabianie pieniędzy, co oznacza, że niebawem pojawi się więcej newsów na „froncie mobilnym”, a tym samym wzrośnie zapotrzebowanie na produkty zapewniające ochronę urządzeniom mobilnym.

    Fala haktywizmu obejmuje coraz to nowe państwa na całym świecie. Siła haktywistów tkwi nie tyle w ich umiejętnościach ile w liczbie zaangażowanych hakerów: nie każda strona jest odporna na szeroki wachlarz wykorzystywanych metod hakerskich. Liczba haktywistów wzrasta, ponieważ Internet daje poczucie anonimowości i bezkarności. Dlatego organom ścigania uda się zmniejszyć liczbę anonimowych hakerów tylko wtedy, gdy wytropią i ukarzą tych, którzy uczestniczą w cyber-atakach. Rządy muszą dążyć nie tylko do schwytania hakerów, ale do zahamowania ruchu haktywistycznego. Wymaga to stosowania surowszych kar za przestępstwa komputerowe, łącznie z atakami DDoS, oraz zwiększenia międzynarodowej współpracy oraz wymiany informacji pomiędzy różnymi krajami podczas dochodzeń dotyczących haktywizmu.

    Google po raz trzeci próbuje wejść na rynek portali społecznościowych, tym razem jednak pokazuje, że nauczył się czegoś na swoich błędach. Projekt Google+, o którym już szeroko dyskutuje się w mediach, bez wątpienia przyciągnie zarówno cyberprzestępców, jak i cyber-wandali, którzy będą próbowali wykorzystać tą nową usługę do własnych celów. Ponadto, osoby, które lubią wyszukiwać luki w nowych produktach udostępnianych przez duże firmy, będą „lgnęły do Google+ jak ćmy do światła”. Z pewnością postanowią przetestować system bezpieczeństwa tego nowego portalu społecznościowego. Niestety, Facebook i Twitter już teraz stały się ulubionym sposobem rozprzestrzeniania szkodliwego oprogramowania przez cyberprzestępców i istnieje duże prawdopodobieństwo, że to samo spotka Google+.

    Źródło:
    Kaspersky Lab