Центр вредоносной интернет-активности перемещается в Восточную Европу

Центр вредоносной интернет-активности перемещается в Восточную Европу

Group-IB совместно с сообществом HostExploit представляет очередной отчет Топ 50 «Самые плохие сети и хосты» по итогам I квартала 2012 года. Исследование показало, что самый опасный хост зарегистрирован в Польше, Литва продолжает лидировать по количеству серверов управления бот-сетями, а Россия вышла вперед в категории «Спам».



В I квартале 2012 года первую позицию в списке самых плохих хостов занял польский хостинг-провайдер AS16138 Interia.pl, который сместил бывшего лидера — AS47583 Hosting Media из Литвы — на второе место. Индекс HE «победителя» составил 251,64. Interia.pl занимает первое место из-за высокой концентрации зараженных сайтов, вредоносных программ и иных угроз, включая XSS-атаки и RFI.

Необходимо отметить, что за прошедший период резко ухудшили свое положение автономные системы, зарегистрированные в России. Если в последнем квартале 2011 года в первой десятке общего рейтинга они отсутствовали вообще, то сейчас представлены дважды: AS41947 Webalta расположилась на 4 месте, а AS31133 MegaFon — на 8. MegaFon так же занял целых четыре позиции в категории «Спам».

А вот хосты из США в отличие от предыдущих периодов показали рекордное улучшение: впервые в истории создания отчетов ни одна автономная система, зарегистрированная в Америке, не расположилась на первом месте в той или иной категории. Можно сказать, что итоги I квартала 2012 года показывают продолжающееся смещение центра вредоносной активности из США в Восточную Европу. «Выходцы» из этого региона не только удерживают первые два места в общем рейтинге, но и также еще лидируют в шести категориях из восьми возможных.

Этот тезис подтверждает и перечень в категории «Испортившиеся хосты». Самый «выдающийся» хост данного квартала — система из Румынии AS29568 Sysnet Secure, показавшая значительный рост вредоносного контента (1106,1%). Прежде находившийся в общем рейтинге за пределами четырехтысячной позиции Sysnet Secure перескочил на 10 место. Это перемещение произошло из-за увеличения количества серверов бот-сети Zeus, присутствующих в Sysnet, что к тому же совпало с резким ростом зарегистрированных там вредоносных сайтов.

Отдельно стоит похвалить систему из США AS25795 Arp Networks. Она оперативно учла замечания, опубликованные в январе, и незамедлительно приняла надлежащие меры по исправлению ситуации. Arp Networks из «Самого испортившегося» хоста прошлого отчета стал в I квартале 2012 года «Самым улучшившимся».

Нынешний отчет по итогам I квартала 2012 года был подготовлен на основании исследования 40 678 зарегистрированных автономных систем, что на 902 больше, чем было в конце IV квартала 2011.

Сообщество HostExploit занимается некоммерческими исследованиями вопросов информационной безопасности и противодействия киберпреступности. Отчеты по уровню содержания вредоносного контента в хостах выпускаются сообществом более двух лет и за это время стали надежным источником информации по данной проблематике. По итогам работы аналитиков составляется список Топ 50 наиболее опасных автономных систем (хостов и сетей), на базе которых было зафиксировано осуществление повышенной вредоносной деятельности. Все исследования проводятся при непосредственном участии специалистов Group-IB.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар запустила Solar DNS Radar для защиты от атак через DNS

Группа компаний «Солар» объявила о запуске сервиса Solar DNS Radar, который анализирует исходящий трафик и блокирует подключения к фишинговым доменам и серверам управления хакеров. По сути, это позволяет останавливать кибератаки ещё на раннем этапе — до того, как они успеют нанести ущерб.

По данным центра Solar 4RAYS, около 89% атак проходит именно через DNS-протокол — ту самую систему, которая сопоставляет адрес сайта с IP-адресом сервера.

Злоумышленники используют эту особенность, чтобы перенаправлять пользователей на поддельные сайты или поддерживать связь с вредоносами внутри инфраструктуры.

Solar DNS Radar в реальном времени фильтрует DNS-запросы, выявляет подозрительную активность и блокирует соединения с фишинговыми ресурсами, серверами управления (C2), доменами сгенерированными алгоритмами (DGA) и другими источниками, связанными с APT-группами. Кроме того, сервис можно использовать для ограничения доступа сотрудников к нежелательным сайтам.

В работе решения используются несколько подходов:

  • блокировка доступа к недавно зарегистрированным доменам (Zero Trust),
  • данные о киберугрозах из сервиса Solar TI Feeds,
  • аналитика сенсоров «Ростелекома» и телеметрия сервисов Solar JSOC,
  • результаты расследований Solar 4RAYS,
  • алгоритмы ИИ для точного распознавания атак и снижения ложных срабатываний.

Сервис доступен в трёх вариантах: как облачное решение (SaaS), как управляемый сервис с настройкой от специалистов «Солара» (MSS) или как локальная установка (on-prem) на стороне заказчика.

По словам разработчиков, Solar DNS Radar может быть полезен и небольшим компаниям, которые только начинают выстраивать процессы безопасности, и крупным организациям, которым важно разгрузить SOC и быстро закрыть «серые зоны» в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru