Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT – II kwartał 2014 r.

Tagi:

Q2 w liczbach

  • Według danych pochodzących z sieci KSN, w drugim kwartale 2014 roku produkty firmy Kaspersky Lab wykryły i zneutralizowały łącznie 995 534 410 zagrożeń.
  • Rozwiązania firmy Kaspersky Lab odparły 354 453 992 ataków pochodzących z zasobów online zlokalizowanych na całym świecie.  
  • Komponent ochrony przed zagrożeniami internetowymi wykrył 57 133 492 unikatowych szkodliwych obiektów: skryptów, stron internetowych, exploitów, plików wykonywalnych itd.
  • 145 386 473 niepowtarzalnych adresów URL zostało zidentyfikowanych jako szkodliwe przez komponent ochrony przed zagrożeniami internetowymi. 
  • 39% ataków sieciowych zneutralizowanych przez produkty firmy Kaspersky Lab zostało przeprowadzonych przy użyciu szkodliwych zasobów sieciowych zlokalizowanych w Stanach Zjednoczonych oraz Niemczech.  
  • Rozwiązania antywirusowe firmy Kaspersky Lab wykryły 528 799 591 ataków wirusowych na komputery użytkowników. W incydentach tych zidentyfikowano łącznie 114 984 065 unikatowych szkodliwych i potencjalnie niechcianych obiektów. 
  • W II kwartale 2014 roku szkodliwe oprogramowanie bankowe zaatakowało 927 568 komputerów, na których działały produkty firmy Kaspersky Lab.  
  • Otrzymano łącznie 3 455 530 powiadomień o próbach zainfekowania tych komputerów przy użyciu szkodliwego oprogramowania finansowego.

Przegląd

Ataki ukierunkowane i kampanie wykorzystujące szkodliwe oprogramowanie

'Ktoś zatruł studnię'

W kwietniu informowaliśmy o nowej luce zero-day we Flash Playerze, która według nas została wykorzystana w atakach przeprowadzanych ze zhakowanej syryjskiej strony internetowej. Strona (http://jpic.gov.sy), uruchomiona w 2011 roku przez Syryjskie Ministerstwo Sprawiedliwości, miała umożliwić obywatelom zgłaszanie naruszeń prawa i porządku publicznego. Uważamy, że atak ten był wymierzony w syryjskich dysydentów narzekających na rząd.

W połowie kwietnia przeanalizowaliśmy dwa nowe exploity SWF (oba wykrywane proaktywnie przez produkty firmy Kaspersky Lab), które nie wykorzystywały żadnych znanych nam wcześniej luk – luka została później potwierdzona przez firmę Adobe jako nowa luka zero-day (CVE-2014-0515). Znajdowały się one w komponencie Pixel Bender (który nie jest już wspierany przez firmę Adobe) służącym do przetwarzania obrazów i filmów. O ile pierwszy exploit jest dość standardowy i potrafił zainfekować praktycznie każdy niechroniony komputer, drugi działa jedynie na komputerach, w których są zainstalowane dodatki Adobe Flash Player 12 ActiveX oraz Cisco MeetingPlace Express. Autorzy tych exploitów mieli nadzieję, że deweloperzy nie znajdą luki w tym komponencie i exploit będzie aktywny przez dłuższy czas. To sugeruje, że osoby atakujące nie uderzały w swoje ofiary masowo.     

Wygląda na to, że ofiary były przekierowywane do exploitów przy użyciu ramki iframe lub skryptu w zhakowanej stronie. Do momentu opublikowania naszego wpisu na blogu dotyczącego tej luki zero-day odnotowaliśmy już ponad 30 ich wykryć na komputerach siedmiu różnych osób – wszystkie z nich znajdowały się w Syrii.     

Uważamy, że atak ten został dokładnie zaplanowany przez zaawansowanych cyberprzestępców, o czym świadczy wykorzystanie profesjonalnie stworzonych exploitów zero-day użytych do atakowania jednego zasobu.

Włoska (oraz turecka) robota

W czerwcu informowaliśmy o badaniu dotyczącym ataku na klientów dużego banku europejskiego, w wyniku którego w ciągu zaledwie jednego tygodnia skradziono pół miliona euro.

Na pierwsze ślady tej kampanii trafiliśmy w styczniu, gdy odkryliśmy podejrzany serwer zawierający logi dotyczące oszukańczych transakcji finansowych – w tym szczegóły dotyczące ofiar oraz skradzionych kwot. Dalsza analiza ujawniła kolejne informacje – wskazujące na atakowany bank, system słupów pieniężnych, szczegóły operacyjne dotyczące ataku oraz JavaScript związany z częścią command-and-control (C2) tej kampanii. Okazało się, że była to część infrastruktury trojana bankowego znajdująca się po stronie serwera. Nadaliśmy jej nazwę 'luuuk' od ścieżki w panelu administracyjnym wykorzystywanej w serwerze - '/server/adm/luuuk'.      

Celem kampanii byli klienci jednego banku. Chociaż nie mogliśmy dotrzeć do szkodliwego programu wykorzystywanego do infekowania ofiar, uważamy, że przestępcy wykorzystywali trojana bankowego, który wykonywał operacje 'Man-in-the-Browser' w celu kradzieży danych uwierzytelniających ofiar poprzez szkodliwe wstrzykiwanie sieciowe. Na podstawie informacji dostępnych w niektórych plikach dziennika wiemy, że szkodliwy program kradł w czasie rzeczywistym nazwy użytkowników, hasła oraz jednorazowe kody.                        

 Q2-2014-MW_Report_1_auto.jpg

Takie wstrzykiwania są powszechne we wszystkich wariantach Zeusa (Citadel, SpyEye, IceIX itd.). Nie zdołaliśmy zidentyfikować wektora infekcji, ale trojany bankowe wykorzystują szereg różnych metod w celu infekowania ofiar, w tym spam oraz ataki drive-by download. Po opublikowaniu naszego postu badacze z Fox-IT InTELL wysłali nam informacje potencjalnie związane z kampanią. Dane te wskazywały na to, że - tak jak podejrzewaliśmy na początku - serwer Luuuk może być powiązany z ZeusP2P (znanym również jako Murofet). Nie uzyskaliśmy jednak na to żadnego jednoznacznego dowodu, ponieważ w trakcie analizy nie znaleźliśmy wstrzykniętego kodu.         

Osoby atakujące wykorzystywały skradzione dane uwierzytelniające, aby sprawdzać saldo ofiary oraz automatycznie przeprowadzać szkodliwe transakcje, prawdopodobnie działając w tle legalnej sesji bankowej. Zgadza się to z jednym ze znalezionym przez nas szkodliwych artefaktów (serwer VNC) związanych ze szkodliwym serwerem wykorzystywanym przez osoby atakujące.     

Skradzione pieniądze były następnie automatycznie przelewane na założone wcześniej konta słupów pieniężnych. Ciekawie przedstawia się stosowana przez osoby atakujące klasyfikacja predefiniowanych słupów pieniężnych. Istniały cztery różne grupy słupów pieniężnych, wyróżnione na podstawie kwoty, jaką mogli przyjąć słupy w danej grupie – prawdopodobnie odzwierciedlała ona poziom zaufania między daną grupą a stojącymi za całą kampanią cyberprzestępcami.       

Łącznie zidentyfikowaliśmy 190 ofiar, z których większość znajdowała się we Włoszech i Turcji. Kwoty skradzione każdej z ofiar wahały się od 1 700 do 39 000 dolarów i wynosiły 500 000 dolarów.    

Osoby atakujące usunęły wszystkie wrażliwe komponenty 22 stycznia, dwa dni po rozpoczęciu naszego dochodzenia. Na podstawie przeprowadzanych transakcji uważamy, że było to spowodowane raczej zmianą infrastruktury niż całkowitym zamknięciem operacji. Z naszej analizy ataku wynika, że stojący za tą kampanią cyberprzestępcy są wysoce profesjonalni i bardzo aktywni. Okazali się również zapobiegliwi w kwestii bezpieczeństwa, zmieniając taktyki i usuwając ślady po wykryciu.         

Gdy po raz pierwszy zidentyfikowaliśmy serwer C2, poinformowaliśmy o sprawie właściwy bank oraz odpowiednie organy ścigania. Utrzymujemy kontakt z tymi agencjami i nadal badamy atak. 

“Legalne” oprogramowanie szpiegujące staje się mobilne

W czerwcu opublikowaliśmy wyniki naszego najnowszego badania dotyczącego „legalnego” oprogramowania o nazwie Remote Control System (RCS) opracowanego przez włoską firmę HackingTeam. Nie jest to pierwszy raz, gdy skoncentrowaliśmy się na oprogramowaniu tej firmy. Jednak od naszego poprzedniego artykułu na temat RCS wiele się zmieniło.  

Po pierwsze, odkryliśmy funkcję, która może być wykorzystana do identyfikowania serwerów command-and-control (C2). Gdy do serwera RCS zostanie wysłane specjalne żądanie, w odpowiedzi wyświetlany jest następujący komunikat o błędzie:  

Q2-2014-MW_Report_2_auto.jpg 

Przy użyciu tej metody zdołaliśmy przeskanować całą przestrzeń IPv4, co pozwoliło nam znaleźć wszystkie adresy IP serwerów C2 RCS na całym świecie. Łącznie znaleźliśmy ich 326, z czego większość była zlokalizowana w Stanach Zjednoczonych, Kazachstanie i Ekwadorze. Kilka adresów IP zostało zidentyfikowanych na podstawie informacji WHOIS jako powiązanych z kręgami rządowymi. Naturalnie, nie możemy mieć pewności, czy serwery zlokalizowane w danym państwie są wykorzystywane przez organy ścigania akurat w tym państwie, tak jednak podpowiada zdrowy rozsądek: w ten sposób można uniknąć problemów prawnych związanych z przekraczaniem granic oraz ryzyka związanego z przechwyceniem serwerów przez innych.            

Po drugie, wykryliśmy wiele modułów mobilnego szkodliwego oprogramowania dla systemu Android, iOS, Windows Mobile oraz BlackBerry stworzonych przez HackingTeam. Wszystkie są kontrolowane przy użyciu tego samego rodzaju konfiguracji – co świadczy o tym, że programy te są powiązane ze sobą i należą do tej samej rodziny produktów. Naturalnie, interesowały nas szczególnie te związane z systemem Android i iOS ze względu na popularność tych platform.   

Moduły te są instalowane przy użyciu infektorów – specjalnych plików wykonywalnych dla systemu Windows lub Mac OS, które zostały uruchomione na zainfekowanych już komputerach. Moduł iOS obsługuje tylko urządzenia, które złamano przy użyciu metody jailbreak. Ogranicza to jego możliwość rozprzestrzeniania się, jednak wykorzystywana przez RCS metoda infekcji oznacza, że osoba atakująca może uruchomić narzędzie do jailbreakingu (takie jak Evasi0n) z zainfekowanego komputera, z którym połączony jest telefon – pod warunkiem że urządzenie nie jest zablokowane.    

Moduł iOS pozwala osobie atakującej uzyskać dostęp do danych znajdujących się na urządzeniu (w tym poczty e-mail, kontaktów, historii połączeń, przechowywanych stron internetowych), aby ukradkowo włączyć mikrofon i wykonywać regularne zdjęcia. Daje to pełną kontrolę nad całym środowiskiem w i wokół komputera ofiary.    

Moduł dla Androida jest chroniony przez narzędzie do optymalizacji/zaciemniania DexGuard, dlatego trudno było go przeanalizować. Zdołaliśmy jednak ustalić, że odpowiada funkcjonalnością modułowi dla iOS, a ponadto oferuje wsparcie w przechwytywaniu informacji z następujących aplikacji: 'com.tencent.mm', 'com.google.android.gm', 'android.calendar', 'com.facebook', 'jp.naver.line.android' oraz 'com.google.android.talk'.        

Te nowe dane pokazują, jak wyrafinowane są tego rodzaju narzędzia do monitoringu. Polityka firmy Kaspersky Lab wobec takich narzędzi jest jasna. Dążymy do wykrywania i unieszkodliwiania każdego ataku szkodliwego oprogramowania, niezależnie od jego pochodzenia czy celu. Dla nas nie istnieje coś takiego jak „dobre” czy „złe” szkodliwe oprogramowanie; już wcześniej publikowaliśmy publiczne ostrzeżenia dotyczące zagrożeń związanych z tak zwanym „legalnym” oprogramowaniem szpiegującym. Ważne jest, aby takie narzędzia do monitoringu nie dostały się w niepowołane ręce – to dlatego branża bezpieczeństwa IT nie może robić wyjątków, jeśli chodzi o wykrywanie szkodliwego oprogramowania.       

MiniDuke reaktywowany

Na początku 2014 roku miała miejsce reaktywacja MiniDuke’a, czyli długotrwałej kampanii ukierunkowanej, która została zapoczątkowana w 2013 roku. Pierwsza kampania wyróżniała się z kilku względów. Po pierwsze, zawierała specjalnie stworzonego backdoora, który został napisany w Assemblerze, czyli języku programowania starej szkoły. Atak był zarządzany przy użyciu nietypowej infrastruktury kontroli (C2): wykorzystywał wiele metod przekazywania poleceń, w tym konta na Twitterze. Deweloperzy przesyłali swoje uaktualnione pliki wykonywalne ukryte wewnątrz plików GIF.        

Cele nowej operacji MiniDuke (znanej również pod nazwą TinyBaron oraz CosmicDuke) obejmują kręgi rządowe, dyplomatyczne, branżę energetyczną, sektor wojskowy oraz operatorów telekomunikacji. Nietypowo, lista ofiar obejmuje również te z wiązane z handlem nielegalnymi substancjami, w tym steroidami i hormonami. Przyczyna tego stanu rzeczy nie jest jasna. Możliwe, że ten specjalnie stworzony backdoor jest dostępny jako tzw. „legalne oprogramowanie spyware”. Możliwe jednak, że jest dostępne na czarnym rynku i zostało zakupione przez konkurencyjne firmy z branży farmaceutycznej w celu szpiegowania siebie nawzajem.    

Kampania uderza w niektóre państwa na świecie, w tym Australię, Belgię, Francję, Niemcy, Węgry, Holandię, Hiszpanie, Ukrainę oraz Stany Zjednoczone.  

Jeden z przeanalizowanych przez nas serwerów zawierał długą listę ofiar pochodzącą z kwietnia 2012 roku. Na serwerze znajdowało się 265 różnych identyfikatorów, przypisanych ofiarom z 139 unikatowych adresów IP: rozkład geograficzny ofiar obejmuje takie państwa jak Gruzja, Rosja, Stany Zjednoczone, Wielka Brytania, Kazachstan, Indie, Białoruś, Cypr, Ukraina oraz Litwa.   

Z naszej analizy wynika, że osoby atakujące rozszerzyły swój obszar działania, skanując zakresy adresów IP oraz serwery w Azerbejdżanie, na Ukrainie i w Grecji. 

Szkodliwe oprogramowanie podszywa się pod popularne aplikacje, które mają uruchamiać się w tle – w tym informacje o plikach, ikonki, a nawet rozmiar plików. Sam backdoor został skompilowany przy użyciu 'BotGenStudio', specjalnie stworzonej platformy, która pozwala osobom atakującym włączać i wyłączać komponenty podczas budowy bota. Komponenty szkodliwego oprogramowania można skategoryzować według ich funkcji.   

(1) Wytrwałość. Szkodliwe oprogramowanie może uruchomić się za pośrednictwem usługi Harmonogram zadań systemu Windows w określonym czasie lub w momencie aktywacji wygaszacza ekranu.

(2) Rekonesans. Szkodliwe oprogramowanie nie tylko kradnie pliki o określonych rozszerzeniach, ale również przechwytuje hasła, historię, informacje sieciowe, książki adresowe, informacje wyświetlane na ekranie (zrzuty ekranu są wykonywane co pięć minut) oraz inne poufne dane.  

Każdej ofierze jest przydzielany niepowtarzalny identyfikator, co pozwala wypchnąć określone uaktualnienia do konkretnej ofiary. Szkodliwe oprogramowanie jest chronione przy użyciu specjalnie zaciemnionego loadera, który pochłania mnóstwo zasobów procesora przez trzy do pięciu minut, zanim wykona swoją funkcję szkodliwą. To utrudnia jego analizę. Jednocześnie ogranicza dostępne zasoby, których oprogramowanie bezpieczeństwa potrzebuje w celu emulacji wykonania szkodliwego oprogramowania. Oprócz własnego mechanizmu zaciemniania szkodliwe oprogramowanie wykorzystuje w znacznym stopniu szyfrowanie i kompresję w oparciu o algorytmy RC4 i LZRW. Są one zaimplementowane nieco inaczej w stosunku do wersji standardowych – uważamy, że zostało to zrobione celowo w celu wprowadzenia użytkowników w błąd.        

Jedna z bardziej zaawansowanych pod względem technicznym części szkodliwego oprogramowania ma związek z przechowywaniem danych. Wewnętrzna konfiguracja szkodliwego programu jest zaszyfrowana, skompresowana i posiada złożoną strukturę podobną do rejestru, z różnymi typami rekordów, w tym ciągów, liczb całkowitych oraz wewnętrznych odwołań.  

(3) Wykradanie. Szkodliwe oprogramowanie wykorzystuje kilka metod w celu przesyłania skradzionych danych, w tym przesyłanie za pośrednictwem FTP oraz trzy rodzaje komunikacji opartej na HTTP. Po przesłaniu pliku na serwer C2 zostanie on rozbity na niewielkie fragmenty (o rozmiarze około 3KB), które zostaną skompresowane, zaszyfrowane oraz umieszczone w kontenerze, który będzie wysłany na serwer. W przypadku dużego pliku, może on zostać umieszczony w kilkuset różnych kontenerach, z których wszystkie zostaną przesłane niezależnie. Te fragmenty danych mogą zostać przeanalizowane, odszyfrowane, rozpakowane, wyodrębnione oraz poddane dezasemblacji po stronie osoby atakującej. Chociaż metoda ta może pociągać koszty, warstwy dodatkowego przetwarzania powodują, że niewielu badaczy dociera do pierwotnych danych, a ponadto zapewnia większą odporność na błędy sieciowe.              

Jak w przypadku każdego długotrwałego ataku ukierunkowanego, atrybucja jest praktycznie niemożliwa. Chociaż osoby atakujące w wielu miejscach posługują się językiem angielskim, pewne czynniki wskazują na to, że nie jest to ich rodzimy język. Znaleźliśmy ciągi w bloku pamięci dołączonym do komponentu szkodliwego oprogramowania wykorzystywanego zapewniania pozostania w systemie, które sugerują, że osoby atakujące mogą mieć rosyjskie pochodzenie. To samo dotyczyło wykorzystania strony kodowej 1251 w powłoce sieciowej wykorzystywanej przez osoby atakujące w celu zhakowania hostów C2 – jest ona powszechnie wykorzystywana w przypadku znaków cyrylicy. Ta sama powłoka została zidentyfikowana w operacjach przeprowadzanych w ramach innej długotrwałej kampanii ukierunkowanej - Turla, Snake lub Uroburos).    

Oszuści internetowi wykorzystują mistrzostwa świata w piłce nożnej

Oszuści nieustannie poszukują możliwości zarobienia pieniędzy, żerując na głośnych wydarzeniach sportowych, a mistrzostwa świata w piłce nożnej nie są tu wyjątkiem. Przed rozgrywkami zwracaliśmy uwagę na różne sposoby wykorzystywane przez oszustów próbujących wykorzystać niczego niepodejrzewających fanów piłki nożnej przyjeżdżających do Brazylii na to największe święto kibiców piłki nożnej.     

Jednym z oczywistych sposobów zarobienia pieniędzy przez oszustów są ataki phishingowe. Dość powszechną praktyką stosowaną przez phisherów jest włamywanie się na legalną witrynę i umieszczanie tam swojej strony. Jednak brazylijscy phisherzy poszli o krok dalej, przeprowadzając ataki, które są bardzo trudne do zauważenia przez zwykłych użytkowników. Zarejestrowali domeny przy użyciu nazw znanych marek lokalnych – w tym firm kredytowych, banków oraz sklepów internetowych. To jednak nie wszystko. Strony nie tylko cechował profesjonalny sposób zaprojektowania, phisherzy nadali im jeszcze większy pozór autentyczności, kupując Certyfikaty SSL w centrach certyfikacji, takich jak Comodo, EssentialSSL, Starfield, Register.com oraz innych. Strona z „legalnym” certyfikatem SSL może zmylić nawet klientów, którzy są świadomi kwestii bezpieczeństwa.          

 Q2-2014-MW_Report_3_auto.jpg

Oszuści wykorzystują łatwość zakupu certyfikatów, aby rozprzestrzeniać szkodliwe oprogramowanie z podpisem cyfrowym. Zaczynają od wysłania wiadomości oferujących bilety na mecze piłki nożnej zwierające odsyłacz prowadzący do trojana bankowego:      

Q2-2014-MW_Report_4.jpg 

Niektóre z tych e-maili zawierają dane osobowe, ukradzione ze zhakowanej bazy danych, co sprawia, że oszukańcza oferta wygląda na bardziej wiarygodną.

Jednak brazylijscy cyberprzestępcy nie ograniczają swoich działań jedynie do phishingu. Pisaliśmy już o tym, jak wykorzystywali szkodliwe oprogramowanie zainstalowane na urządzeniach w punktach sprzedaży (Point-of-Sale) oraz PIN Padach w celu przechwytywania danych dotyczących kart kredytowych. Urządzenia te są podłączone do komputera za pośrednictwem portu USB lub szeregowego, aby komunikować się z oprogramowaniem do elektronicznego transferu środków (EFT). Wykorzystywane trojany infekują komputer i przechwytują dane przesyłane za pośrednictwem tych portów. Takie PIN Pady są wyposażone w funkcje bezpieczeństwa, które sprawiają, że klucze bezpieczeństwa zostaną skasowane, w razie gdyby ktoś próbował majstrować przy urządzeniu. Od razu po wprowadzeniu PIN zostaje zaszyfrowany – zwykle przy użyciu potrójnego szyfrowania DES. Jednak na starych urządzeniach dane Ścieżki 1 (numer karty kredytowej, data wygaśnięcia, kod usługi i CVV) oraz publiczne dane CHIP nie są szyfrowane, ale wysyłane w czystym tekście do komputera za pośrednictwem portu USB lub portu szeregowego. A zatem cyberprzestępcy mają wszystko, czego potrzebują, aby sklonować kartę.

Cyberprzestępcy wykorzystują również to, że ludzie chcą mieć łączność w dowolnym miejscu, w którym się znajdują – aby udostępniać innym swoje zdjęcia, aktualizować profile na portalach społecznościowych, być na bieżąco z najnowszymi wiadomościami czy zlokalizować najlepsze miejsca, w których można zjeść, zrobić zakupy czy przenocować. Niestety, opłaty za roaming mobilny mogą być dość wysokie, dlatego ludzie często szukają najbliższego punktu dostępowego Wi-Fi. Jak pisaliśmy w naszym raporcie dotyczącym Wi-Fi w Brazylii, jest to ryzykowne. Dane przesyłane za pośrednictwem otwartych sieci Wi-Fi mogą zostać przechwycone. A zatem, takie dane jak hasła, PIN-y oraz inne poufne informacje mogą zostać łatwo skradzione. Ponadto, cyberprzestępcy instalują również fałszywe punkty dostępowe, które są skonfigurowane w taki sposób, aby przekierowywać cały ruch przez hosta, który może zostać wykorzystany do kontrolowania go – a nawet działać jako urządzenie 'man-in-the-middle', które potrafi przechwytywać i odczytywać zaszyfrowany ruch.   

Nasz raport zwracał również uwagę na zagrożenia związane z ładowaniem urządzenia mobilnego za pomocą portu USB zainstalowanego w miejscu publicznym. „Złośliwe” ładowarki AC/DC mogą naładować akumulator twojego urządzenia, ale mogą również potajemnie ukraść z niego dane – a nawet zainstalować szkodliwe oprogramowanie.

 Q2-2014-MW_Report_5_sm.jpg

Jest również inny sposób, jaki oszuści mogą wykorzystać, aby ukraść użytkownikom pieniądze, nawet jeśli ci nie szukają biletów na mecze rozgrywane w ramach mistrzostw świata w piłce nożnej. Może się zdarzyć, że kibice futbolu, którzy chcą obejrzeć mecz, nie będą mogli zasiąść przed swoim telewizorem w czasie, gdy będzie relacjonowany. Zaczną więc szukać możliwości obejrzenia transmisji na żywo online. Niestety, poszukiwanie takich transmisji w internecie może okazać się bardzo kosztowne lub zakończyć się infekcją komputera. Wynika to z tego, że niektóre z reklam, na które można trafić podczas takich poszukiwań, prowadzą do oszukańczej lub szkodliwej zawartości. W momencie odwiedzenia strony internetowej użytkownik zostaje poproszony o pobranie specjalnej wtyczki umożliwiającej obejrzenie transmisji online. W rzeczywistości jednak kryje się pod nią program adware, który nie dość, że nie umożliwia obejrzenia upragnionego meczu, ale dodatkowo powoduje drenaż zasobów komputera użytkownika. Oprogramowanie adware balansuje na cienkiej granicy pomiędzy oprogramowaniem cyberprzestępczym a legalnym. Nie dziwi zatem fakt, że nasze statystyki pokazują nieustanne wykrywanie tego rodzaju oprogramowania.              

Q2-2014-MW_Report_6.jpg 

Zapłać podatek – ale wystrzegaj się phisherów

Phisherzy nie tylko próbują wykorzystać głośne wydarzenia sportowe. Swoje kampanie opierają również na bardziej przyziemnych aspektach życia. W maju wiele osób z Kolumbii otrzymało wiadomość e-mail, w której zostały oskarżone o unikanie płacenia podatków oraz oszustwo. Aby komunikat był bardziej kategoryczny, cyberprzestępcy twierdzili, że jest to trzecie powiadomienie w tej sprawie. E-mail zawierał odsyłacz, który prowadził do zainfekowanego dokumentu Word. Microsoft Office blokuje osadzone makra, dlatego osoby atakujące załączyły instrukcje podpowiadające, w jaki sposób ofiara powinna włączyć makra.      

Q2-2014-MW_Report_7.jpg 

Jeśli ofiara kliknie dokument, na jej komputer zostanie pobrany kolejny szkodliwy plik ze zhakowanego serwera w Ekwadorze. Jego celem jest kradzież haseł do gier online, systemu PayPal, systemów współdzielenia plików, portali społecznościowych (w tym Facebooka i Twittera), kont bankowości online i innych.     

Taktyka zastraszania w ogólności, oraz fałszywe powiadomienia od urzędów podatkowych w szczególności – to powszechne metody wykorzystywane przez phisherów na całym świecie. 

W kwietniu opublikowaliśmy dogłębną analizę dotyczącą cyberprzestępczości finansowej w oparciu o dane pochodzące z sieci Kaspersky Security Network. 

Historie związane ze szkodliwym oprogramowaniem: wcześniejsze ładowanie się – wykorzystywanie bootkitów przez cyberprzestępców

Podczas rozwijania kodu jednym z głównych celów twórców szkodliwego oprogramowania jest sprawienie, aby szkodliwa zawartość została załadowana możliwie najwcześniej w procesie rozruchu. Pozwala to uzyskać możliwie maksymalną kontrolę nad systemem. Bootkity stanowią najbardziej zaawansowaną technologię w tej dziedzinie, pozwalając, aby szkodliwy kod został uruchomiony, zanim jeszcze załaduje się system operacyjny. Technologia ta została zaimplementowana w wielu szkodliwych programach. Znanym przykładem jest XPAJ oraz TDSS, ale technologia ta została również wykorzystana w kampaniach ataków ukierunkowanych, takich jak The Mask.     

Bootkity ewoluowały na przestrzeni lat: kiedyś programy typu proof-of-concept, dziś rozprzestrzeniane są masowo. Obecnie stanowią oprogramowanie open-source dzięki opublikowaniu kodu źródłowego trojana bankowego Carberp – bootkit Cidox był wykorzystywany do ochrony Carberpa, a jego kod źródłowy został opublikowany wraz z kodem Carberpa.  

Ewolucję bootkitów bez wątpienia należy rozpatrywać w ogólnym kontekście rywalizacji między twórcami szkodliwego oprogramowania oraz badaczami zajmującymi się zwalczaniem szkodliwego oprogramowania. Podczas gdy ci pierwsi ciągle szukają nowych sposobów na uniknięcie wykrycia, my nieustannie badamy sposoby zwiększenia skuteczności ochrony naszych klientów. W naszym raporcie rozważamy również, jakie są korzyści bezpieczeństwa oferowane przez system UEFI (Unified Extensible Firmware Interface) oraz w jaki sposób twórcy szkodliwego oprogramowania mogą próbować go sabotować.        

Bezpieczeństwo sieci oraz incydenty naruszenia bezpieczeństwa danych: Windows XP nie jest już wspierany, ale nadal wykorzystywany

Wsparcie dla systemu Windows XP przestało być świadczone 8 kwietnia, co oznacza, że nie są już publikowane aktualizacje bezpieczeństwa, poprawki niezwiązane z bezpieczeństwem, darmowe lub płatne opcje pomocy technicznej czy aktualizacje treści technicznych online. Niestety, wiele osób nadal używa systemu Windows XP – z naszych danych obejmujących okres od 8 kwietnia 2014 r. wynika, że około 18 procent infekcji jest wykrywanych na maszynach działających pod kontrolą systemu Windows XP. W efekcie, teraz, gdy łaty bezpieczeństwa przestały wychodzić, wiele osób będzie podatnych na atak: każda wykryta od tego czasu luka stanowi lukę zero-day, tzn. taką, dla której nie zostanie udostępniona łata.      

Problem ten powiększy się, ponieważ twórcy aplikacji również przestaną rozwijać aktualizacje dla systemu Windows XP. Każda niezałatana aplikacja stanie się kolejnym potencjalnym punktem, który może zostać wykorzystany w celu włamania się do systemu, zwiększając możliwości przeprowadzania ataków. W rzeczywistości, proces ten został już zapoczątkowany: najnowsza wersja Javy nie obsługuje już systemu Windows XP.    

Przejście na nowszy system operacyjny może wydawać się prostą decyzją. Jednak mimo że Microsoft wielokrotnie zapowiadał zakończenie wsparcia, nietrudno dostrzec, dlaczego migracja do nowego systemu operacyjnego może być problematyczna dla niektórych firm. Oprócz kosztów związanych ze zmianą systemu może to również oznaczać konieczność inwestycji w nowy sprzęt, a nawet wymianę aplikacji rozwiniętej specjalnie dla danej firmy – takiej, która nie będzie działać na nowszym systemie operacyjnym. Nie dziwi zatem fakt, że niektóre organizacje płacą za dalsze wsparcie dla systemu XP.

A zatem, czy możesz być bezpieczny, jeśli od razu nie dokonasz migracji? Czy twoje oprogramowanie antywirusowe zabezpieczy cię?   

Z pewnością będzie zapewniało ochronę. Jednak będzie tak jedynie w przypadku, gdy przez „oprogramowanie antywirusowe” mamy na myśli wszechstronny produkt bezpieczeństwa internetowego, który wykorzystuje technologię proaktywną w celu zapewniania ochrony przed nowymi, nieznanymi zagrożeniami – w szczególności oferuje możliwość zapobiegania wykorzystywania exploitów. Podstawowy produkt antywirusowy, opierający się w głównej mierze na skanowaniu w poszukiwaniu nieznanego szkodliwego oprogramowania na podstawie sygnatur, nie wystarczy. Należy również pamiętać, że w przyszłości producenci rozwiązań bezpieczeństwa będą implementowali nowe technologie, które mogą nie być kompatybilne z systemem Windows XP.       

Twórcy szkodliwego oprogramowania z pewnością będą atakować system Windows XP, jeżeli spora liczba osób nadal będzie wykorzystywała go, ponieważ niezałatany system operacyjny zapewni im znacznie większe „okno możliwości”. Każdy komputer  w sieci pracujący pod kontrolą systemu Windows XP stanowi słaby punkt, który może zostać wykorzystany do ataku ukierunkowanego na firmę. Taki system, jeśli uda się do niego wniknąć, stanie się pomostem do szerszej sieci.      

Nie ma wątpliwości, że przejście na nowszy system operacyjny wiąże się z niedogodnością i kosztami zarówno dla osób fizycznych jak i przedsiębiorstw. Jednak potencjalne ryzyko związane z wykorzystywaniem coraz mniej bezpiecznego systemu operacyjnego prawdopodobnie przeważy szalę niedogodności i kosztów.   

Zagrożenia mobilne

Kwartał w liczbach

W drugim kwartale 2014 roku wykryliśmy następujące zagrożenia:

  • 727 790 pakietów instalacyjnych;
  • 65 118 nowych szkodliwych programów mobilnych;
  • 2 033 mobilnych trojanów bankowych.  

Łączna liczba wykrytych szkodliwych obiektów mobilnych była 1,7 razy niższa niż w pierwszym kwartale. Łączymy to z początkiem sezonu wakacyjnego. W czerwcu odnotowaliśmy mniejszą liczbę prób infekowania urządzeń mobilnych przy użyciu trojanów. 

Mobilne trojany bankowe

Chociaż łączna liczba zagrożeń zmniejszyła się w drugim kwartale, w okresie tym wykryliśmy 2033 mobilnych trojanów bankowych – 1,7 razy więcej niż w ostatnim kwartale. Od początku 2014 roku liczba trojanów bankowych wzrosła niemal czterokrotnie, a w ciągu roku (od lipca 2012 r.) – 14,5-krotne.  

Q2-2014-MW_Report_8_auto.jpg
Liczba wykrytych mobilnych trojanów bankowych, II kwartał 2014 r.

Wzrost ten odzwierciedla dwa czynniki:

  1. Zainteresowanie cyberprzestępców „dużymi” pieniędzmi;
  2. Aktywne środki zaradcze stosowane przez firmy antywirusowe.

Odnotowaliśmy zmianę geografii infekcji mobilnych trojanów bankowych:

Q2-2014-MW_Report_9_auto.jpg
Rozkład geograficzny infekcji mobilnych trojanów bankowych, II kwartał 2014

10 państw najczęściej atakowanych przez trojany bankowe:

Państwo

Liczba ataków

% wszystkich ataków

1

Rosja

13800

91,7%

2

Stany Zjednoczone

792

5,3%

3

Ukraina

136

0,9%

4

Włochy

83

0,6%

5

Białoruś

68

0,5%

6

Korea

30

0,2%

7

Kazachstan

25

0,2%

8

Chiny

19

0,1%

9

Wielka Brytania

17

0,1%

10

Niemcy

12

0,1%

Tak jak poprzednio, na pierwszym miejscu rankingu znajduje się Rosja, jednak druga pozycja należy do Stanów Zjednoczonych – oba państwa mają dużą przewagę w stosunku do innych. Kazachstan, który w pierwszym kwartale znalazł się na drugim miejscu, obecnie zajmuje siódmą pozycję.  

Nowości od twórców szkodliwego oprogramowania

Pierwszy mobilny moduł szyfrujący

W połowie maja na jednym z forów dotyczących tworzenia wirusów pojawiło się ogłoszenie oferujące sprzedaż unikatowego trojana szyfrującego za 5000 dolarów, działającego w systemie Android OS. 18 maja wykryliśmy pierwszy mobilny moduł szyfrujący na wolności. Szkodnik ten był wykrywany przez Kaspersky Lab jako Trojan-Ransom.AndroidOS.Pletor.a.  

Po uruchomieniu trojan wykorzystuje algorytm szyfrowania AES w celu zaszyfrowania zawartości karty pamięci smartfona, w tym plików i dokumentów. Natychmiast po rozpoczęciu szyfrowania Pletor wyświetla na ekranie żądanie okupu. Użytkownik może zapłacić przy użyciu systemu QIWI VISA WALLET, MoneXy lub standardowego przelewu na numer telefonu.  

Pod koniec drugiego kwartału zidentyfikowaliśmy ponad 47 wersji tego trojana. Wszystkie z nich zawierają klucz niezbędny do odszyfrowania wszystkich plików.

W celu komunikacji z cyberprzestępcami jedna z wersji trojana wykorzystuje sieć TOR, inne - HTTP oraz SMS. Trojany z tej grupy wyświetlały użytkownikowi obraz wideo pokazujący jego własną osobę w oknie zawierającym żądanie zapłaty, transmitowany w czasie rzeczywistym przy pomocy przedniej kamery w smartfonie.  

Q2-2014-MW_Report_10.jpg 

Zauważyliśmy, że twórcy tego szkodliwego oprogramowania stosują te same mechanizmy socjotechniki co twórcy pierwszych modułów szyfrujących dla systemu Windows: telefon został rzekomo zablokowany z powodu oglądania niedozwolonych treści pornograficznych, a wszystkie zdjęcia i filmy w urządzeniu zostały „przesłane w celu zbadania”. Ponadto, w przypadku niezapłacenia „kary”, szantażyści straszą, że wyślą wszystkie dane do „publicznych źródeł”.  

Pletor atakuje obywateli Rosji i Ukrainy. Komunikaty są w języku rosyjskim, natomiast okup jest żądany w rublach lub hrywnach (suma ta stanowi równowartość około 300 euro). Mimo to znaleźliśmy próbki tego szkodliwego oprogramowania w 13 krajach – w większości na terytorium byłego Związku Radzieckiego.

Ewolucja szkodników blokujących urządzenia

Pod względem techniki ataków istnieje wyraźna tendencja w kierunku rozwoju szkodników ransomware blokujących urządzenia. Również w tym przypadku cyberprzestępcy stosują metody zastraszania swoich ofiar wykorzystywane przez twórców szkodliwego oprogramowania dla systemu Windows. 

Pierwsza wersja mobilnego szkodnika o nazwie Svpeng, który posiada możliwości trojana wyłudzającego okup, została wykryta na początku 2014 roku. Trojan ten blokuje telefon, rzekomo z powodu oglądania przez jego właściciela pornografii dziecięcej. Aby odblokować urządzenie mobilne, należy spełnić żądania cyberprzestępców, którzy domagają się zapłaty kary w wysokości 500 dolarów. 

Na początku czerwca wykryliśmy nową wersję trojana Svpeng atakującego głównie użytkowników w Stanach Zjednoczonych. Jednak jego ofiary obejmowały również użytkowników z Wielkiej Brytanii, Szwajcarii, Niemiec, Indii oraz Rosji.

Ta wersja Svpenga całkowicie blokuje urządzenie mobilne, uniemożliwiając użytkownikowi nawet dostęp do czynności wyłącz/uruchom powtórnie urządzenie z menu. Smartfon można wyłączyć jedynie poprzez dłuższe przytrzymanie klawisza wyłączenia, jednak natychmiast po włączeniu urządzenia trojan uruchamia się ponownie. 

Jednocześnie, cyberprzestępcy wykorzystują sprawdzoną sztuczkę socjotechniczną. Po uruchomieniu trojan imituje skanowanie telefonu i rzekomo znajduje niedozwoloną zawartość. W celu przestraszenia użytkownika okno informujące o „znalezisku” zawiera logo FBI.

 Q2-2014-MW_Report_11.jpg

Trojan blokuje telefon i w zamian za odblokowanie go żąda zapłaty 200 dolarów. Twórcy tego trojana wykorzystują usługi MoneyPak w celu otrzymania pieniędzy. 

 Q2-2014-MW_Report_12.jpg

W oknie tym Svpeng pokazuje zdjęcie użytkownika zrobione przy pomocy przedniej kamery, co przypomina szkodnika Trojan-Ransom.AndroidOS.Pletor.a, o którym pisaliśmy wcześniej, z wyjątkiem tego, że Pletor przesyła obraz wideo.

Pod koniec drugiego kwartału zdołaliśmy zidentyfikować 64 wersje nowego Svpenga. Każda z nich zawierała wzmiankę klasy Cryptor, mimo że nie wykryliśmy wykorzystania tej klasy. Być może przestępcy zamierzają wykorzystać to szkodliwe oprogramowanie w przyszłości w celu szyfrowania danych użytkowników i żądania okupu w zamian za ich odszyfrowanie.   

Nie tylko Android

Podobnie jak miało to miejsce w przeszłości, głównym celem cyberprzestępców jest platforma Android. Celem ponad 99% nowych szkodników mobilnych jest Android.  

Nie znaczy to jednak, że można lekceważyć inne platformy mobilne. W drugim kwartale 2014 roku pojawiły się nowe obiekty szkodliwego oprogramowania stworzone dla platformy Apple iOS (jednak tylko dla urządzeń, które złamano metodą jailbreak). Oprócz szkodliwego oprogramowania cyberprzestępcy wykorzystują funkcje ochronne systemu iOS dla własnych, niecnych celów. Atak na identyfikator Apple umożliwił sprawcom całkowite zablokowanie urządzenia oraz żądanie pieniędzy od ofiary w zamian za przywrócenie jego funkcjonalności.     

Zdemaskowanie Hacking Team stanowiło smutny koniec dobrego początku, ponieważ okazało się, że ich arsenał zawierał moduły służące do atakowania urządzeń z systemem iOS złamanych metodą „jailbreak”.  

Również platforma Windows Phone nie została pominięta. W tym przypadku twórcy wirusów nie wymyślili żadnych innowacji technicznych, ich metoda polegała na umieszczaniu fałszywych aplikacji bez jakichkolwiek przydatnych funkcji w oficjalnym sklepie z płatnymi aplikacjami. Nie oszczędzono również naszej marki: oszuści wykorzystali również logo i znak handlowy Kaspersky Lab.    

W ten sposób ujawniono jednocześnie dwie luki w Windows Phone Store:

  1. Brak mechanizmów kontrolujących, czy marki są wykorzystywane w sposób właściwy;
  2. Brak mechanizmów kontroli funkcjonalności.

Fałszywe aplikacje od tych samych wydawców pojawiły się również w Google Play.

Zagrożenia mobilne: dane statystyczne

Łączna liczba wykrytych szkodliwych obiektów mobilnych była 1,7 razy niższa w porównaniu z pierwszym kwartałem: 727 790 pakietów instalacyjnych, 65 118 nowych mobilnych szkodliwych programów, 2033 mobilnych trojanów bankowych. Spadek aktywności spowodowany jest prawdopodobnie początkiem sezonu wakacyjnego.   

Rozkład zagrożeń mobilnych według rodzaju

Q2-2014-MW_Report_13_US.png
Rozkład zagrożeń mobilnych według rodzaju, II kwartał 2014 r.

W rankingu szkodliwych obiektów dla urządzeń mobilnych w drugim kwartale 2014 r. prowadziły potencjalnie niechciane aplikacje reklamujące (27%). Swoją pozycję utrzymały trojany SMS (22%). O ile odsetki tych dwóch rodzajów mobilnych zagrożeń pozostały mniej więcej na niezmienionym poziomie w badanym okresie, RiskTool awansował z piątego miejsca na trzecie, a udział tego szkodnika w ogóle wykrytych mobilnych szkodliwych programów zwiększył się z 8,6% do 18%. Są to legalne aplikacje, które stanowią potencjalne zagrożenie dla użytkownika – nieostrożne wykorzystanie ich przez użytkownika smartfona lub szkodliwego użytkownika mogłoby spowodować straty finansowe.         

TOP 20 szkodliwych programów mobilnych

Nazwa

% ataków*

1

Trojan-SMS.AndroidOS.Stealer.a

25,42%

2

RiskTool.AndroidOS.SMSreg.gc

6,37%

3

RiskTool.AndroidOS.SMSreg.hg

4,82%

4

Trojan-SMS.AndroidOS.FakeInst.a

4,57%

5

Trojan-SMS.AndroidOS.Agent.ao

3,39%

6

AdWare.AndroidOS.Viser.a

3,27%

7

Trojan-SMS.AndroidOS.Opfake.a

2,89%

8

Trojan-SMS.AndroidOS.Erop.a

2,76%

9

Trojan-SMS.AndroidOS.FakeInst.ff

2,76%

10

Trojan-SMS.AndroidOS.Agent.en

2,51%

11

Trojan-SMS.AndroidOS.Agent.ev

2,43%

12

RiskTool.AndroidOS.SMSreg.eh

2,41%

13

Trojan-SMS.AndroidOS.Opfake.bw

1,96%

14

Trojan-SMS.AndroidOS.Opfake.bo

1,53%

15

RiskTool.AndroidOS.MimobSMS.a

1,48%

16

Trojan-SMS.AndroidOS.Skanik.a

1,35%

17

Trojan-SMS.AndroidOS.Agent.mw

1,33%

18

RiskTool.AndroidOS.SMSreg.ey

1,31%

19

Trojan-SMS.AndroidOS.Agent.ks

1,24%

20

Trojan-SMS.AndroidOS.Agent.ay

1,21%

* Odsetek wszystkich ataków zarejestrowanych na urządzeniach mobilnych poszczególnych użytkowników.

W rankingu TOP 20 wykrytych zagrożeń dominowały, podobnie jak wcześniej, trojany SMS. Szkodniki te zajmowały 15 miejsc.  

W drugim kwartale na tle zmniejszonej liczby ataków zauważyliśmy stały wzrost prób atakowania użytkowników przy użyciu trojana o nazwie Trojan-SMS.AndroidOS.Stealer.a. Szkodnik ten zajął pierwsze miejsce w rankingu, odpowiadając za ponad 25% wszystkich ataków.   

Osoby atakujące były szczególnie aktywne w kwietniu, gdy próby infekowania przy użyciu Stealera były niemal dwukrotnie częstsze niż w maju czy marcu. W czerwcu natomiast próby infekowania przy pomocy tego trojana były 7 razy częstsze niż w przypadku jego najbardziej bezpośredniego rywala. 

Geografia zagrożeń

Q2-2014-MW_Report_14_sm.jpg
Mapa prób infekcji przy użyciu mobilnego szkodliwego oprogramowania
(odsetek wszystkich ataków na unikatowych użytkowników)

W rozkładzie terytorialnym ataków nastąpiło kilka niewielkich zmian. W efekcie, na drugim miejscu znalazły się Niemcy, podczas gdy Indie, które uplasowały się na drugiej pozycji w pierwszym kwartale, całkowicie wypadły z rankingu TOP 10. Trzecie miejsce utrzymał Kazachstan, natomiast Ukraina spadła z czwartej pozycji na piątą, ustępując miejsca Polsce, która wspięła się z dziesiątego miejsca na czwarte.       

TOP 10 zaatakowanych państw:

Państwo

% ataków

1

Rosja

46,96%

2

Niemcy

6,08%

3

Kazachstan

5,41%

4

Polska

5,02%

5

Ukraina

3,72%

6

Malezja

2,89%

7

Wietnam

2,74%

8

Francja

2,32%

9

Hiszpania

2,28%

10

Meksyk

2,02%

Użytkownicy instalują wiele aplikacji na swoich urządzeniach mobilnych. Jednak odsetek szkodliwych aplikacji wśród aplikacji zainstalowanych przez użytkowników różni się w zależności od państwa.

TOP 10 państw według ryzyka infekcji:

Państwo*

% szkodliwych aplikacji

1

Wietnam

2,31%

2

Grecja

1,89%

3

Polska

1,89%

4

Kazachstan

1,73%

5

Uzbekistan

1,51%

6

Armenia

1,24%

7

Serbia

1,15%

8

Maroko

1,09%

9

Republika Czeska

1,03%

10

Rumunia

1,02%

*Wyłączyliśmy państwa, w których miało miejsce mniej niż 100 000 pobrań

Chociaż Rosja zajmuje pierwsze miejsce pod względem odnotowanej liczby ataków, nie jest to państwo, w którym istnieje największe ryzyko infekcji mobilnym szkodliwym oprogramowaniem. Pod tym względem prowadzi Wietnam: 2,31% wszystkich aplikacji, które użytkownicy próbowali zainstalować, było szkodliwych.   

Poniżej przedstawiamy dla porównania poziomy ryzyka infekcją dla kolejnych 15 państw z różnych regionów świata:

Państwo

% szkodliwych aplikacji

Chiny

0,94%

Francja

0,85%

Rosja

0,74%

Meksyk

0,58%

Hiszpania

0,55%

Indie

0,41%

Niemcy

0,19%

Wielka Brytania

0,18%

Argentyna

0,13%

Brazylia

0,12%

Włochy

0,11%

Stany Zjednoczone

0,09%

Peru

0,07%

Hong Kong

0,06%

Japonia

0,02%

We Francji 0,85% aplikacji, którymi byli zainteresowani użytkownicy, okazało się szkodliwymi. W Rosji odsetek ten wynosił 0,74%, w Niemczech – 0,19%, w Wielkiej Brytanii – 0,18%, w Stanach Zjednoczonych – 0,09%, z kolei w Japonii – jedynie 0,09%.        

Statystyki

Wszystkie dane statystyczne w tym raporcie zostały uzyskane przy pomocy systemu Kaspersky Security Network (KSN) w konsekwencji działania różnych komponentów ochrony antywirusowej. Informacje zostały zebrane od użytkowników systemu KSN, którzy zgodzili się udostępnić swoje dane. Miliony użytkowników produktów firmy Kaspersky Lab z 213 państw i terytoriów na całym świecie uczestniczy w globalnej wymianie informacji związanej ze szkodliwą aktywnością.    

Zagrożenia online w sektorze bankowym

Kluczowe wydarzenia w II kwartale

Jednym z największych wydarzeń w II kwartale było wykrycie luki OpenSSL umożliwiającej uzyskanie nieautoryzowanego dostępu do kluczy tajnych, nazw użytkownika i haseł jak również treści przesyłanych w postaci zaszyfrowanej.

Luka Heartbleed jest wykorzystywana w bibliotece kryptograficznej OpenSSL, stosowanej w różnego rodzaju oprogramowaniu, w tym bankowym. Oficjalna łata dla tej dziury pojawiła się po kilku godzinach, do tego doszła długa procedura instalacyjna, co doprowadziło do wycieku danych klientów dotyczących płatności oraz innych cennych informacji z różnych obszarów biznesu. Biorąc pod uwagę rozprzestrzenienie się tych informacji oraz dalsze wycieki możemy spodziewać się wzrostu liczby oszukańczych transakcji. Jest to kolejny sygnał ostrzegawczy, zwracający uwagę na konieczność zachowania najwyższego bezpieczeństwa przez organizacje finansowe i ich klientów jeśli chodzi o wszelkie dane płatnicze.      

W drugim kwartale 2014 roku pojawił się nowy trojan bankowy, Pandemiya, który stosuje powszechne metody wykorzystywane przez szkodliwe oprogramowanie, takie jak ataki wstrzykiwania sieciowego, w celu kradzieży informacji płatniczych.   

W II kwartale miała miejsce również operacja międzynarodowych organów ścigania przeprowadzona w celu przejęcia kontroli nad botnetem Gameover ZeuS. FBI umieściło twórcę trojana bankowego ZeuS na swojej międzynarodowej liście osób poszukiwanych.

Mistrzostwa świata w piłce nożnej 2014 w Brazylii naturalnie przyciągnęły uwagę oszustów. Z danych statystycznych dla tego kwartału wynika, że użytkownicy brazylijscy byli atakowani przez szkodliwe oprogramowanie bankowe częściej niż w innych państwach. Wykryto np. szkodliwą zawartość, która rozprzestrzeniała się pod maską reklam i wykorzystywała ekscytację związaną z tym największym wydarzeniem sportowym tego lata.   

Liczba komputerów zaatakowanych przez finansowe szkodliwe oprogramowanie

W badanym okresie rozwiązania firmy Kaspersky Lab zablokowały 927 568 ataków na komputery użytkowników, poprzez które próbowano uruchomić szkodliwe oprogramowanie potrafiące kraść pieniądze z kont bankowych online. Liczba ta wzrosła o 36,6% w porównaniu z kwietniem.  

Q2-2014-MW_Report_15_en_auto.png
Liczba komputerów zaatakowanych przez szkodliwe oprogramowanie finansowe, II kwartał 2014 r.

W II kwartale 2014 r. rozwiązania bezpieczeństwa firmy Kaspersky Lab zarejestrowały łącznie 3 455 530 powiadomień o szkodliwej aktywności programów stworzonych w celu kradzieży pieniędzy za pośrednictwem dostępu online do kont bankowych. 

Geografia ataków

Q2-2014-MW_Report_16_sm.jpg
Rozkład geograficzny ataków szkodliwego oprogramowania bankowego w II kwartale 2014 r.
(według liczby zaatakowanych użytkowników w danym państwie)

Top 20 państw według liczby zaatakowanych użytkowników:

Państwo

Liczba użytkowników

1

Brazylia

159 597

2

Rosja

50 003

3

Włochy

43 938

4

Niemcy

36 102

5

Stany Zjednoczone

34 539

6

Indie

27 447

7

Wielka Brytania

25 039

8

Austria

16 307

9

Wietnam

14 589

10

Algieria

9 337

Brazylia tradycyjnie znajduje się na pierwszym miejscu rankingu państw, w których użytkownicy są najczęściej atakowani przez szkodliwe oprogramowanie bankowe.

Państwo to często gości na szczycie tej listy, ponieważ finansowe szkodliwe oprogramowanie zawsze było tam powszechnie wykorzystywane przez przestępców. W II kwartale 2014 r. mistrzostwa świata w piłce nożnej stworzyły jeszcze więcej możliwości ataków: Brazylię odwiedziły tysiące kibiców, którzy podczas swojego pobytu korzystali z systemów bankowości online. Eksperci z Kaspersky Lab zbadali bezpieczeństwo sieci Wi-Fi i sporządzili listę zaleceń dla tych, którzy nie chcą ryzykować, że w Brazylii zostanie naruszone bezpieczeństwo ich danych wykorzystywanych podczas dokonywania płatności.       

Top 10 rodzin szkodliwego oprogramowania bankowego

Poniższa tabela zawiera programy, które były najczęściej wykorzystywane w II kwartale 2014 r. w celu przeprowadzania ataków na użytkowników bankowości online, i została stworzona na podstawie liczby zarejestrowanych prób infekcji:   

Werdykt*

Liczba użytkowników

Liczba powiadomień

1

Trojan-Spy.Win32.Zbot

559 988

2 353 816

2

Trojan-Banker.Win32.Lohmys

121 675

378 687

3

Trojan-Banker.Win32.ChePro

97 399

247 467

4

Trojan-Spy.Win32.Spyeyes

35 758

99 303

5

Trojan-Banker.Win32.Agent

31 234

64 496

6

Trojan-Banker.Win32.Banbra

21 604

60 380

7

Trojan-Banker.Win32.Banker

22 497

53 829

8

Trojan-Banker.Win32.Shiotob

13 786

49 274

9

Backdoor.Win32.Clampi

11 763

27 389

10

Backdoor.Win32.Shiz

6 485

17 268

Zeus (Trojan-Spy.Win32.Zbot) pozostał najszerzej rozprzestrzenionym trojanem bankowym. Według badania firmy Kaspersky Lab, program ten brał udział w 53% ataków wykorzystujących szkodliwe oprogramowanie, które dotknęły klientów bankowości online.   

Działanie dziewięciu na 10 przedstawionych w tabeli rodzin szkodliwego oprogramowania polega na wstrzykiwaniu losowego kodu HTML do strony internetowej wyświetlanej przez przeglądarkę oraz przechwytywaniu wszelkich danych płatności wprowadzanych przez użytkownika w oryginalnych lub wstawionych formularzach sieci Web. Oprócz wstrzykiwania sieciowego cztery na 10 szkodników wykorzystują również technologię keylogging (rejestrowanie wciskanych klawiszy), co sugeruje, że ta metoda kradzieży informacji jest nadal skuteczna podczas przeprowadzania ataków na klientów bankowości online.       

Zagrożenia finansowe nie ograniczają się do szkodliwego oprogramowania bankowego, które atakuje klientów bankowości online.

Q2-2014-MW_Report_17_en.png
Rozkład ataków, których celem są pieniądze użytkowników, według rodzaju, II kwartał 2014 r. 

Oprócz trojanów bankowych, które modyfikują strony HTML w przeglądarce, istnieją również inne metody kradzieży e-pieniędzy, takie jak np. kradzież portfela Bitcoin. Oszuści mogą również wykorzystywać zasoby komputerowe w celu generowania kryptowaluty: kopalnie Bitcoin stanowią 14% wszystkich ataków finansowych. Przestępcy wykorzystują również keyloggery w celu zbierania danych uwierzytelniających dostęp do systemów bankowości online i płatności, które pozwalają im dobrać się do kont bankowych.    

Oszuści wykorzystują podatne na ataki aplikacje

Poniższy ranking podatnych na ataki aplikacji został stworzony na podstawie informacji dotyczących exploitów zablokowanych przez nasze produkty. Exploity te zostały wykorzystane przez hakerów zarówno w atakach internetowych jak i w celu złamania zabezpieczeń aplikacji lokalnych, w tym tych zainstalowanych na urządzeniach mobilnych. 

Q2-2014-MW_Report_18.jpg
Rozkład exploitów wykorzystywanych przez oszustów według rodzaju zaatakowanej aplikacji, II kwartał 2014 r.

Spośród wszystkich zarejestrowanych prób wykorzystania luk w zabezpieczeniach 53% dotyczyło luk w przeglądarkach. Niemal każdy pakiet exploitów zawiera exploita dla Internet Explorera. 

Na drugim miejscu znalazły się exploity Javy. Luki w Javie są wykorzystywane w atakach drive-by przeprowadzanych za pośrednictwem internetu, a nowe exploity Javy wchodzą w skład wielu pakietów exploitów. W 2013 r. 90,5% wszystkich odnotowanych prób wykorzystania exploitów dotyczyło luk w Oracle Java. Na początku 2014 r. popularność exploitów Javy zaczęła spadać. W I kwartale tego roku celem 54% prób wykorzystywania luk w zabezpieczeniach była Java; w drugim kwartale odsetek ten wynosił zaledwie 29%. Ten spadek popularności może odzwierciedlać fakt, że od niemal roku nie została publicznie ujawniona żadna nowa luka w Javie.       

W dalszej kolejności znajdują się exploity dla Adobe Readera. Takie luki są również wykorzystywane w atakach drive-by za pośrednictwem internetu, a exploity PDF są elementem wielu pakietów exploitów.  

Q2-2014-MW_Report_19_US.png
Rozkład systemów Windows OS zainstalowanych na komputerach użytkowników według wersji, II kwartał 2014 r.

65,35% uczestników sieci KSN wykorzystuje różne wersje systemu Windows 7, podczas gdy 12,5% - Windows XP.

Zagrożenia online (ataki oparte na sieci)

Zaprezentowane w tej sekcji statystyki pochodzą z komponentów ochrony przed zagrożeniami internetowymi, które zabezpieczają użytkowników, gdy szkodliwy kod próbuje pobrać się ze szkodliwej/zainfekowanej strony. Szkodliwe strony są celowo tworzone przez szkodliwych użytkowników; wśród zainfekowanych stron znajdują się te zawierające treści tworzone przez użytkowników (na przykład fora) oraz legalne zasoby, które zostały zhakowane.  

Top 20 szkodliwych obiektów wykrywanych online

W drugim kwartale 2014 r. technologie ochrony przed zagrożeniami internetowymi firmy Kaspersky Lab wykryły 57 133 492 unikatowych szkodliwych obiektów: skryptów, stron internetowych, exploitów, plików wykonywalnych itd.  

Zidentyfikowaliśmy 20 najbardziej aktywnych szkodliwych programów wykorzystywanych do ataków online na użytkowników komputerów. Ta dwudziestka odpowiada za 97% wszystkich ataków przeprowadzonych za pośrednictwem internetu. 

Top 20 szkodliwych obiektów wykrytych online:

Nazwa*

% wszystkich ataków**

1

Malicious URL

72,94%

2

Trojan.Script.Generic

11,86%

3

Trojan-Downloader.Script.Generic

5,71%

4

Trojan.Script.Iframer

2,08%

5

Adware.Win32.Amonetize.heur

1,00%

6

AdWare.Script.Generic

0,88%

7

AdWare.Win32.Agent.aiyc

0,76%

8

AdWare.Win32.Yotoon.heur

0,25%

9

Trojan.Win32.AntiFW.b

0,23%

10

AdWare.Win32.Agent.allm

0,19%

11

AdWare.Win32.AirAdInstaller.aldw

0,17%

12

Trojan.Win32.Generic

0,15%

13

Trojan-Downloader.Win32.Generic

0,14%

14

Trojan.Win32.Vague.cg

0,11%

15

Trojan.Win32.Invader

0,11%

16

AdWare.Win32.BetterSurf.b

0,10%

17

AdWare.Win32.Lollipop.qp

0,08%

18

Exploit.Script.Blocker

0,08%

19

AdWare.Win32.Lollipop.agzn

0,08%

20

Trojan.JS.Small.aq

0,07%

* Statystyki te stanowią werdykty wykrywania pochodzące z modułu ochrony przed zagrożeniami internetowymi. Informacje zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy wyrazili zgodę na udostępnienie swoich danych lokalnych.   
** Odsetek wszystkich ataków sieciowych zarejestrowanych na komputerach unikatowych użytkowników.

Jak zwykle, ranking Top 20 w większości składa się z werdyktów przydzielanych obiektom wykorzystywanym w atakach typu drive-by oraz programom wyświetlającym reklamy (adware). Liczba miejsc zajmowanych przez werdykty adware zwiększyła się w drugim kwartale 2014 r. z dziewięciu do 11.

Werdykt Trojan.JS.Small.aq znajduje się na dwudziestym miejscu. Jest on przydzielany skryptowi, który szkodliwe rozszerzenie przeglądarki umieszcza w stronach internetowych określonych witryn w celu wyświetlania nachalnych reklam.   

Top 10 państw, w których w zasobach online znajduje się zaszyte szkodliwe oprogramowanie 

Poniższe dane statystyczne są oparte na fizycznej lokalizacji zasobów online, które zostały wykorzystane w atakach i zablokowane przez komponenty antywirusowe (strony internetowe zawierające przekierowywania do exploitów, strony zawierające exploity i inne szkodliwe programy, centra kontroli botnetów, itd.). Każdy unikatowy host może stać się źródłem jednego lub większej liczby ataków sieciowych.

W celu określenia źródła geograficznego ataków opartych na sieci zastosowano metodę, zgodnie z którą nazwy domen są dopasowywane do rzeczywistych adresów IT domen, a następnie zostaje określona lokalizacja geograficzna określonego adresu IP (GEOIP).   

W II kwartale 2014 r. rozwiązania firmy Kaspersky Lab zablokowały 354 453 992 ataków przeprowadzonych z zasobów sieciowych zlokalizowanych w różnych państwach na całym świecie. 88,3% zasobów online wykorzystywanych do rozprzestrzeniania szkodliwych programów jest zlokalizowanych w 10 państwach. Jest to o 4,9 punktu procentowego więcej niż w poprzednim kwartale.     

Q2-2014-MW_Report_20_US.png
Rozkład zasobów online, w których jest zaszyte szkodliwe oprogramowanie, II kwartał 2014 r.

Ranking Top 10 państw, w których w zasobach online jest zaszyte szkodliwe oprogramowanie, pozostał w większości niezmieniony w stosunku do poprzedniego kwartału, niemniej jednak w grupie tej odnotowano pewne przetasowania. Niemcy awansowały z czwartego miejsca na pierwsze: udział tego państwa zwiększył się o niemal 12 punktów procentowych. Rosja spadła z drugiej pozycji na czwartą, po tym jak jej udział zmniejszył się o 2,5 punktu procentowego. Kanada wspięła się z dziesiątego miejsca na piąte, zwiększając swój udział o 6,29 punktu procentowego.   

Państwa, w których użytkownicy są narażeni na największe ryzyko infekcji online 

Aby oszacować, w których państwach użytkownicy najczęściej napotykają cyberzagrożenia, obliczyliśmy, jak często użytkownicy rozwiązań firmy Kaspersky Lab otrzymywali werdykty wykrycia na swoich maszynach w poszczególnych państwach. Uzyskane dane określają ryzyko infekcji, na jakie są narażone komputery w różnych państwach na świecie, stanowiąc wskaźnik agresywności środowiska, w którym działają komputery w różnych państwach.   

Państwo*

% unikatowych użytkowników **

1

Rosja

46,53%

2

Kazachstan

45,35%

3

Armenia

42,26%

4

Ukraina

41,11%

5

Azerbejdżan

40,94%

6

Wietnam

39,59%

7

Białoruś

37,71%

8

Mołdawia

36,65%

9

Mongolia

33,86%

10

Kirgistan

33,71%

11

Algieria

32,62%

12

Tadżykistan

32,44%

13

Gruzja

31,38%

14

Chorwacja

29,46%

15

Turcja

29,31%

16

Uzbekistan

29,20%

17

Katar

28,76%

18

Tunezja

28,67%

19

Iran

28,35%

20

Hiszpania

28,05%

Dane te opierają się na werdyktach wykrywania pochodzących z modułu ochrony przed zagrożeniami internetowymi, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne. 
* Wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniejsza niż 10 000). 
** Unikatowi użytkownicy, których komputery stanowiły cel ataków sieciowych jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

W II kwartale 2014 r. Rosja zastąpiła Wietnam na pierwszym miejscu rankingu. Nowość w zestawieniu stanowiły Tunezja (18 miejsce) oraz Iran (19 miejsce). Z pierwszej 20 wypadły Litwa i Grecja.

Państwa o najbezpieczniejszym środowisku surfowania po internecie stanowią: Singapur (10,4%), Szwecja (12,8%), Japonia (13,3%), Finlandia (16,3%), Afryka Południowa (16,9%), Ekwador (17,1%), Norwegia (17,5%), Holandia (17,5%), Hong Kong (17,7%) oraz Argentyna (17,9%).

Q2-2014-MW_Report_21_sm.jpg 

Średnio, 29,5% komputerów podłączonych do internetu zostało poddanych co najmniej jednemu atakowi sieciowemu w ciągu minionych trzech miesięcy. 

Zagrożenia lokalne

Statystyki dotyczące infekcji lokalnych na komputerach użytkowników stanowią bardzo istotny wskaźnik. Dane te wskazują zagrożenia, które przeniknęły do systemu komputerowego w inny sposób niż za pośrednictwem internetu, poczty e-mail czy portów sieciowych.

Sekcja ta zawiera analizę danych statystycznych uzyskanych w oparciu o działanie rozwiązania antywirusowego, które skanuje pliki na dysku twardym w momencie stworzenia ich lub uzyskania do nich dostępu, oraz wyniki skanowania różnych przenośnych pamięci danych.

W II kwartale 2014 r. rozwiązania antywirusowe firmy Kaspersky Lab skutecznie zablokowały 528 799 591 szkodliwych ataków na komputery użytkowników. W incydentach tych wykryto łącznie 114 984 065 unikatowych szkodliwych i potencjalnie niechcianych obiektów.   

Top 20 szkodliwych obiektów wykrytych na komputerach użytkowników

Nazwa*

% unikatowych użytkowników **

1

DangerousObject.Multi.Generic

17,69%

2

Trojan.Win32.Generic

15,59%

3

AdWare.Win32.Agent.ahbx

14,81%

4

Adware.Win32.Amonetize.heur

13,31%

5

Trojan.Win32.AutoRun.gen

6,13%

6

Worm.VBS.Dinihou.r

5,95%

7

Virus.Win32.Sality.gen

4,94%

8

AdWare.Win32.BetterSurf.b

4,29%

9

AdWare.Win32.Yotoon.heur

4,01%

10

AdWare.Win32.Agent.aknu

3,64%

11

AdWare.Win32.Agent.aljb

3,57%

12

Worm.Win32.Debris.a

3,29%

13

AdWare.Win32.Skyli.a

2,90%

14

Trojan.Win32.Starter.lgb

2,74%

15

AdWare.Win32.Agent.heur

2,64%

16

AdWare.Win32.Agent.aljt

2,30%

17

Trojan.Win32.AntiFW.b

2,27%

18

AdWare.JS.MultiPlug.c

2,21%

19

Worm.Script.Generic

1,99%

20

Virus.Win32.Nimnul.a

1,89%

* Statystyki te zostały stworzone na podstawie werdyktów wykrywania szkodliwego oprogramowania wygenerowanych przez moduły skanowania podczas dostępu oraz na żądanie na komputerach użytkowników posiadających produkt firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.
**Odsetek indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył te obiekty, jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na których komputerach został wykryty szkodliwy program.

Ranking ten zwykle zawiera werdykty przydzielane programom adware, robakom rozprzestrzeniającym się na nośnikach wymiennych oraz wirusom. 

Odsetek wirusów w pierwszej dwudziestce nadal odnotowuje wolny ale stały spadek. W II kwartale 2014 roku wirusy były reprezentowane przez werdykty Virus.Win32.Sality.gen oraz Virus.Win32.Nimnul.a, których łączny udział wynosił 6,83%. W I kwartale 2014 r. odsetek ten wynosił 8%.  

Państwa, w których użytkownicy są narażeni na największe ryzyko infekcji lokalnej

Państwo

% unikatowych użytkowników*

1

Wietnam

58,42%

2

Mongolia

55,02%

3

Algieria

52,05%

4

Jemen

51,65%

5

Bangladesz

51,12%

6

Pakistan

50,69%

7

Nepal

50,36%

8

Afganistan

50,06%

9

Irak

49,92%

10

Egipt

49,59%

11

Tunezja

46,75%

12

Syria

46,29%

13

Arabia Saudyjska

46,01%

14

Etiopia

45,94%

15

Iran

45,40%

16

Laos

45,20%

17

Turcja

44,98%

18

Indie

44,73%

19

Kambodża

44,53%

20

Dżibuti

44,52%

Statystyki te opierają się na werdyktach wykrywania pochodzących z modułu ochrony przed szkodliwym oprogramowaniem, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne. Dane obejmują wykrycia szkodliwych programów zlokalizowanych na komputerach użytkowników lub nośnikach wymiennych podłączonych do komputerów, takich jak dyski flash, karty pamięci z telefonu lub aparatu fotograficznego lub zewnętrzne dyski twarde.
* Podczas obliczeń wykluczyliśmy państwa, w których znajduje się mniej niż 10 000 użytkowników produktów firmy Kaspersky Lab
** Odsetek unikatowych użytkowników w danym państwie, w którym komputery zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.

Pierwsza 20 w tej kategorii nadal zdominowana jest przez państwa z Afryki, Bliskiego Wschodu oraz Azji Południowo Wschodniej. Na pierwszym miejscu - podobnie jak w I kwartale 2014 r. - znalazł się Wietnam, podczas gdy Mongolia pozostała na drugiej pozycji. Nepal spadł na siódme miejsce. Nowość w rankingu stanowiły Arabia Saudyjska, Etiopia oraz Turcja. Z zestawienia Top 20 wypadło Maroko, Birma oraz Sudan.

 Q2-2014-MW_Report_22_sm.jpg

Najbezpieczniejsze kraje pod względem ryzyka infekcji lokalnej obejmują: Japonię (11%), Szwecję (13,8%), Danię (15,3%), Finlandię (16,4%), Singapur (16,8%), Holandię (17,1%), Republikę Czeską (18,3%), Norwegię (19,1%) oraz Hong Kong (19,2%).

Średnio 32,8% komputerów było narażonych na co najmniej jedno zagrożenie lokalne w minionym roku.