Зомбированные сети компьютеров снова активизировались

Зомбированные сети компьютеров снова активизировались

«Лаборатория Касперского» опубликовала отчет о деятельности спамеров во втором квартале 2011 года. Эксперты отмечают новый виток развития ботнетов после закрытия самых крупных из них и констатируют, что стран, не захваченных «ботоводами», попросту не осталось. В прошедшем квартале наибольшее количество срабатываний почтового антивируса вновь зафиксировано в России, а спамерам пришлись по душе «облачные» сервисы.



Доля спама в почтовом потоке во втором квартале в среднем составила 82,5%, что на 3,9% превышает показатель первого квартала, и на 0,3% – прошлого года. По оценке экспертов «Лаборатории Касперского», мощности зомби-сетей, закрытых в прошлом году и в начале текущего года, постепенно восстанавливаются, поскольку спамеры научились жить по новым правилам, сообщает информационная служба «Лаборатории Касперского».

Так, во втором квартале наблюдается рост количества, но не масштабов ботнетов: среди вновь организуемых ботсетей нет гигантов, ответственных за большую часть спама (как это было ранее с Cutwail или Rustock). По мнению, экспертов это может быть обусловлено двумя причинами: либо спамеры еще не успели организовать мощности, способные рассылать миллионы писем ежедневно; либо они сознательно не держат «все яйца в одной корзине», чтобы в случае закрытия одного ботнета можно было легко переключиться на другой. Это изменение привело к более равномерному распределению источников спама и их вклада в спам-трафик. «Зомби-машины, с которых рассылаются спамовые письма, находятся практически во всех странах мира, что говорит о завершении географической экспансии спамеров: территорий, не захваченных «ботоводами», попросту не осталось», – комментируют авторы отчета Дарья Гудкова и Мария Наместникова.

После закрытия гигантских ботнетов спам в разных частях мира стал существенно различаться. Так, ранее лидировавший спам медицинской направленности, по итогам квартала занял лишь восьмую строчку рейтинга (1,8% всего спама). Изменилось и соотношение языков в спам-почте: теперь подавляющее большинство спамовых писем в Рунете — на русском.
Во втором квартале 2011 наиболее активно спам рассылался из развивающихся стран: Индии (14,06%), Бразилии (8,94%) и Индонезии (5,86%). За три прошедших месяца доля Индии увеличилась почти на 5%. Такой рост можно объяснить наличием миллионов незащищенных необновляющихся машин, которые долгое время могут быть активны в зомби-сети. В то же время доля спама, рассылаемого из России, уменьшилась на 2,75% и составила 3,05%. Наша страна, находившаяся по итогам первого квартала на втором месте, во втором квартале оказалась на седьмой строчке рейтинга.

Наметившееся в первом квартале увеличение доли сообщений с вредоносными вложениями продолжалось и во втором. В среднем письма с вредоносными вложениями составили 3,86% всех сообщений, что на 0,81% больше показателей предыдущего квартала. Четыре из десяти наиболее часто детектируемых почтовым антивирусом «Лаборатории Касперского» программ — это почтовые черви. Помимо сбора электронных адресов и рассылки самого себя, функционал некоторых из них включает загрузку на компьютер пользователя других вредоносных программ. Наибольшее количество срабатываний почтового антивируса пришлось на Россию (12,5%), на втором месте — США (12,21%), на третьей строчке — Вьетнам, на долю которого пришлось 7,43%.

В прошедшем квартале эксперты «Лаборатории Касперского» наблюдали новый этап эволюции спама. Спамерам пришлись по душе «облачные» сервисы: часть их писем содержит ссылки на различные сервисы Google, в которых, в свою очередь, размещена ссылка на рекламный сайт или непосредственно фишинговая страница. Такой подход вызывает больше доверия у пользователя, так как страница находится на известном ресурсе – например, на GoogleDocs, а соединение происходит через поддерживающий шифрование протокол https.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Поправки об обязательном импортозамещении для КИИ не заработали

С 1 сентября объекты критической информационной инфраструктуры (КИИ) формально обязаны использовать только программное обеспечение из реестра отечественного. Однако для госорганов, а также компаний энергетического, финансового, транспортного и медицинского секторов пока мало что изменилось: сроки и порядок перехода до сих пор не закреплены на уровне правительства.

В этот день вступили в силу поправки к закону «О безопасности критической информационной инфраструктуры». Согласно новым требованиям, на объектах КИИ разрешено использование исключительно ПО из реестра Минцифры.

Кроме того, теперь порядок категорирования объектов КИИ определяет государство, а не сами организации.

Как сообщил РБК представитель Минцифры, сроки перехода будут зафиксированы в отдельном документе, который пока готовится: «По актуальному плану-графику соответствующий подзаконный акт должен быть принят не позднее 1 апреля 2026 года. В настоящий момент этот и другие документы готовятся министерством и будут опубликованы для общественного обсуждения в установленные сроки».

В ведомстве уточнили, что совместно с ФСТЭК продолжают работу над порядком категорирования объектов в отрасли связи. Кроме того, ещё не сформирован список типовых отраслевых объектов КИИ.

Схожая ситуация складывается и в финансовом секторе. Банк России только разрабатывает перечень типовых объектов КИИ для финансовой отрасли, критерии их отнесения к определённым категориям значимости, а также порядок и сроки перехода на отечественное ПО и программно-аппаратные комплексы. Дополнительно будет определён порядок мониторинга исполнения этих требований.

В Минэнерго работа продвинулась дальше. Там начали поэтапно заниматься импортозамещением ПО и программно-аппаратных комплексов ещё до принятия поправок. Проект постановления правительства с перечнем типовых объектов КИИ для энергетики и топливно-энергетического комплекса уже проходит согласование. В министерстве уверены, что к 1 января 2030 года удастся полностью перейти на использование доверенных программно-аппаратных комплексов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru