Спамеры все еще находятся в зимней спячке

Спамеры все еще находятся в зимней спячке

По данным Symantec, в декабре уровень спама в почтовом трафике снизился до 67,7%, а в январе подрос до 69,0%. Тем не менее, спамеры пока не дотягивают до среднегодовой отметки. Основным источником мусорной почты остаются США, хотя по сравнению с ноябрем их вклад в спам-трафик сократился вдвое и в январе составил лишь 25,0%. Второе место заняла Индия с показателем 10,2%, третье ― Бразилия (5,8%). В пятерку лидеров также вошли Россия (5,6% и Великобритания (4,4%). Самые высокие уровни спама наблюдались в Саудовской Аравии (75,5%), Китае (75,0%) и Бразилии (73,1%), а в разделении по отраслям хозяйственной деятельности ― в сфере образования (71,0%).



В тематическом составе спама преобладала реклама фармацевтических препаратов, доля которой за 2 месяца выросла на 6,5 пунктов и в январе составила 38,0%. Еще заметней увеличилось количество рекламы поддельных предметов роскоши (27,5%), порноресурсов и сайтов знакомств (22,5%). В категории «Мошенничество» показатель уменьшился втрое и составил лишь 0,5%. 57,8% URL-спама содержало ссылки, привязанные к TLD-зоне .com, 9,4% ― к зоне .ru. Общий размер нелегитимных сообщений несколько увеличился ― в основном, за счет роста доли объемных писем (более 10 КБ), которая в январе составила 13,8%, передают securelist.

Как и следовало ожидать, в своих рассылках спамеры активно использовали праздничную тематику. Symantec насчитала свыше 10 тыс. уникальных доменов, которые те использовали в качестве редиректоров на интернет-аптеки, причем в имени каждого файла с php-скриптом, обнаруженного на взломанных сайтах, содержалось словосочетание «New Year» («Новый Год»). Спамерские URL, привязанные к этим редиректам, включали параметр friend_id, позволивший заключить, что целевой аудиторией фармаспама являлись участники социальных сетей. Эксперты отметили также появление «нигерийских» писем с doc-вложениями, использующих тему грядущей лондонской олимпиады.

Количество фишинговых посланий за 2 месяца незначительно увеличилось, их вклад в январский спам-трафик составил 0,27%. Общее число поддельных сайтов сократилось на 18,2%; сайтов, созданных автоматизированными средствами, ― на 41,4%. Доля последних в общем объеме сайтов-ловушек сейчас составляет 42,6%. Фишеры по-прежнему предпочитают использовать американский веб-хостинг, хотя с ноября их присутствие в США сократилось вдвое, до 25,9%. Больше прочих от фишинговых атак страдают банки (45,5% инцидентов) и предприятия электронной коммерции (44,0%).

Вклад вредоносных сообщений в спам-трафик за последний месяц сократился на 0,02 пункта и составил 0,33%. 29,0% писем, заблокированных почтовыми антивирусами Symantec, были снабжены ссылками. В 22% случаев целевым контентом являлся Bredolab, ZeuS или SpyEye.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В R-Vision SIEM 2.5 появился раздел «Покрытие MITRE ATT&CK»

Компания R-Vision выпустила версию R-Vision SIEM 2.5 — систему управления событиями информационной безопасности. Релиз отмечается нововведениями, направленными на улучшение аналитики, автоматизацию реагирования и повышение удобства работы SOC-команд.

Главное новшество — раздел «Покрытие MITRE ATT&CK», который показывает, какие техники и подтехники фреймворка уже покрываются существующими правилами детектирования.

Это помогает специалистам быстро понять, какие угрозы система распознаёт, а какие требуют доработки.

В R-Vision SIEM также появилась возможность управлять конечными устройствами напрямую — выполнять действия активного реагирования, например:

  • удалять подозрительные файлы;
  • изолировать заражённый узел;
  • останавливать процессы;
  • блокировать домены и IP-адреса через добавление записей в hosts (техника DNS Sinkholing).

Такие функции упрощают оперативное реагирование и позволяют аналитикам моментально пресекать угрозы без переключения между системами.

Обновление также затронуло пользовательский интерфейс и работу с событиями. Теперь можно:

  • добавлять события в «Избранное», чтобы собирать все ключевые артефакты расследования в одном месте;
  • сравнивать события построчно, чтобы видеть различия между текущим и эталонным инцидентом;
  • создавать виджеты прямо из поиска и сразу визуализировать результаты.

Кроме того, дашборды теперь поддерживают переменные — достаточно изменить одно значение, чтобы обновился весь отчёт, что заметно ускоряет анализ.

В новой версии реализована обновлённая модель событий, основанная на принципе «субъект–объект». Она делает данные более понятными и единообразными для аналитиков и инженеров. Появилась поддержка динамических полей с JSON-структурами, к которым можно обращаться напрямую через RQL-запросы.

Другие улучшения:

  • Поддержка сбора событий по FTP и SMB.
  • Аудит изменений активных списков, включая действия пользователей и правил корреляции.
  • Определение источников событий по маске, без привязки к конкретным точкам входа.

Как отмечают разработчики, новая версия делает SIEM более удобным инструментом для оперативного анализа и реагирования, когда аналитик может не только видеть картину событий, но и сразу действовать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru