Отчет Symantec об угрозах интернет-безопасности

Корпорация Symantec объявила о том, что в течение 2008 года активность вредоносных программ продолжала расти рекордными темпами и была нацелена главным образом на кражу конфиденциальной информации из компьютеров пользователей. Согласно выпущенному компанией тому XIV «Отчета об угрозах интернет-безопасности» (Internet Security Threat Report, Volume XIV - ISTR XIV), в 2008 году Symantec создала свыше 1,6 млн новых сигнатур вредоносных программ. Это превышает 60% от общего числа сигнатур вредоносных программ, созданных Symantec за всю свою историю – что свидетельствует о галопирующем росте объемов и распространении новых вредоносных программ. Эти сигнатуры помогли Symantec каждый месяц в продолжение 2008 года блокировать в среднем более 245 млн попыток атак со стороны вредоносных программ во всем мире.


Отчет об угрозах интернет-безопасности дает общее представление о картине безопасности в Интернете и составляется на основе данных, собранных миллионами интернет-датчиков, предоставленных исследователями и полученных в результате активного мониторинга хакерских коммуникаций. ISTR XIV охватывает период с января по декабрь 2008 года. 


В отчете отмечается, что главным источником новых инфекций в 2008 году оставался веб-серфинг и что для создания и распространения угроз злоумышленники все чаще опираются на специализированные наборы инструментов разработки вредоносных программ. Более того, 90% всех угроз, обнаруженных Symantec за отчетный период, пытались красть конфиденциальную информацию. Угрозы с возможностью регистрации нажатия клавиш – которые могут использоваться для кражи такой информации, как реквизиты онлайновых банковских счетов – составили 76% всех угроз для конфиденциальной информации, против 72% в 2007 году. 


Используя данные своего недавнего Отчета о теневой экономике (Symantec Report on the Underground Economy - RUE), Symantec обнаружила, что продолжает действовать хорошо организованный черный рынок краденых конфиденциальных данных, особенно номеров кредитных карт и банковских реквизитов. Этот черный рынок процветает; если на легитимном рынке цены на товары в связи с кризисом упали, то на черном рынке в 2008 году они оставались такими же, как в 2007. В отчете отмечается также, что авторы вредоносных программ стали более устойчивыми к попыткам пресечь их деятельность. Например, отключение двух бот-сетей, базирующихся в США, привело к значительному снижению активности бот-сетей в целом в период с сентября по ноябрь 2008 года; однако создатели этих бот-сетей нашли альтернативные веб-сайты для хостинга, и число инфекций, распространяемых бот-сетями, быстро вернулось к прежним уровням.


Общим источником уязвимостей в течение отчетного периода служили платформы веб-приложений. Эти готовые программные продукты предназначены для упрощения разработки новых веб-сайтов и широко применяются по всему интернету. Многие из этих платформ создавались без учета требований безопасности и имеют многочисленные пробелы в защите, что делает их уязвимыми к атакам. 63% всех уязвимостей, выявленных в 2008 году, влияют на веб-приложения, против 59% в 2007 году. Из 12 885 специфических уязвимостей типа межсайтового скриптинга, зарегистрированных в 2008 году, к моменту составления отчета были исправлены всего 3% (394). В отчете отмечается также, что веб-атаки исходили из всех стран, но главным образом из США (38%), Китая (13%) и Украины (12%). Шесть из 10 стран, откуда исходило большинство атак, находятся в регионе ЕМЕА (Европа, Ближний Восток и Африка) – на их долю пришлось 45% общемировых атак, больше, чем на долю любого другого региона. В их число попала и Россия, занявшая 7 место в мировом масштабе и 3 место по региону Европа, Ближний Восток и Африка (EMEA).


Отчет показал, что фишинг продолжает усиливаться. В 2008 году Symantec выявила 55 389 фишинговых веб-сайтов, что на 66% больше, чем в 2007 году, когда Symantec обнаружила 33 428 хостов фишинга. 76% всех фишинговых сайтов в 2008 году относились к сектору финансовых услуг, против 52% в 2007 году, 10% всех фишинговых сайтов в регионе EMEA располагались в России
Наконец, отчет показал, что объем спама продолжает расти. За прошлый год Symantec наблюдала общий рост уровня спама в интернете на 192%, с 119,6 млрд сообщений в 2007 году до 349,6 млрд в 2008. Примерно 90% всего спама в системах электронной почты в 2008 году распространяли бот-сети. Россия впервые заняла первое место по количеству спама, исходящего из сетей одной страны в регионе EMEA и второе место в обще зачете.

ДРУГИЕ ВЫВОДЫ

  • К концу 2008 года свыше 1 млн компьютеров были заражены червем Downadup (или Conficker); этот червь быстро распространяется по интернету благодаря нескольким изощренным механизмам размножения. За первый квартал 2009 года число заражений червем Downadup/Conficker в мире выросло более чем до 3 млн систем. 
  • По данным Symantec, в 2008 году вредоносные программы больше всего свирепствовали в регионе ЕМЕА. 
  • В 2008 году Symantec регистрировала в среднем свыше 75 тыс. активных компьютеров в составе бот-сетей в день, на 31% больше, чем в 2007 году. 


ЦИТАТЫ


«Количество вредоносных программ продолжает расти рекордными темпами, причем злоумышленники переходят от массового распространения небольшого количества угроз к микрораспространению миллионов разных угроз, — говорит вице-президент отделения Symantec Security Technology and Response Стивен Триллинг (Steve Trilling). — Киберпреступники извлекают выгоду из создания и распространения специализированных угроз, которые крадут конфиденциальную информацию, особенно банковские реквизиты и номера кредитных карт. И если в легальной экономике кризис, то теневая экономика продолжает неуклонно расти». 


«К сожалению, реальность такова, что ничего не подозревающий пользователь, посетивший взломанный веб-сайт, может подвергнуть свою финансовую информацию риску, — говорит исполнительный редактор “Отчета Symantec об угрозах интернет-безопасности XIV” Марк Фосси (Marc Fossi). — Владельцам компьютеров нужно быть чрезвычайно бдительными в отношении принимаемых мер безопасности». 


ПОЛЕЗНЫЕ ССЫЛКИ


Более подробные сведения об угрозах для современных пользователей интернета можно получить на следующих ресурсах - http://www.symantec.com/business/theme.jsp?themeid=threatreport:

  • Symantec Internet Security Threat Report
  • Symantec Report on the Underground Economy
  • Symantec Web-Based Attacks white paper


Система Symantec Global Intelligence Network


Symantec располагает самыми полными в мире источниками данных об интернет-угрозах в рамках своей системы Symantec Global Intelligence Network. Эта сеть собирает данные по безопасности по всему миру и служит аналитикам Symantec беспрецедентным источником информации для идентификации, анализа, создания средств защиты и выдачи обоснованных рекомендаций в отношении новых тенденций в области атак, деятельности вредоносных программ, фишинга и спама. Свыше 240 тыс. датчиков более чем в 200 странах наблюдают за атаками посредством сочетания продуктов и услуг Symantec с дополнительными сторонними источниками данных. 


Служба Symantec Security Technology and Response


Служба Symantec Internet Security Threat Report создана организацией Security Technology and Response (STAR). STAR, куда входит служба Security Response, это международная группа инженеров, аналитиков и исследователей в области безопасности, которые обеспечивают необходимую функциональность, информацию и сведения об угрозах для всех корпоративных и потребительских продуктов Symantec, предназначенных для обеспечения безопасности. STAR, центры реагирования которой расположены по всему миру, собирает сообщения о вредоносных программах, поступающие более чем от 130 млн подключенных к интернету систем, получают данные от 240 тыс. сетевых датчиков, расположенных более чем в 200 странах, и следят за более чем 32 тыс. уязвимостями в 72 тыс. технологий от 11 тыс. поставщиков. Группа использует эти обширные сведения для разработки и распространения самых действенных средств безопасности в мире. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ZuoRAT угоняет SOHO-роутеры в рамках шпионской кампании

Неизвестные злоумышленники внедряют троян ZuoRAT в офисные и домашние роутеры, чтобы проникнуть во внутренние сети организаций и скрытно шпионить, ведя перехват трафика и развернув бэкдоры. По данным Black Lotus Labs (исследовательское подразделение Lumen Technologies), киберкампания была запущена больше двух лет назад — когда из-за COVID-19 все перешли на удаленку.

Целевые атаки, по словам Black Lotus, проводятся в основном в Северной Америке и Западной Европе, на мушку взяты как минимум 80 компаний, а может, и гораздо больше. Вредонос обнаружен на роутерах SOHO-класса разного производства, в том числе ASUS, Cisco, DrayTek и NETGEAR; такие сетевые устройства обычно обходят вниманием и редко латают.

Доставка ZuoRAT (в виде MIPS-файла) осуществляется через эксплойт. Наличие подобного лазутчика позволяет провести разведку в локальной сети и пустить в ход простейший загрузчик, скомпилированный в C++. В результате на Windows-машинах жертвы может появиться бэкдор, способный выполнять произвольные команды, — Cobalt Strike, CBeacon или GoBeacon (два последних, со слов экспертов, — кастомные инструменты удаленного доступа).

 

Резидентный ZuoRAT собирает информацию о зараженном хосте и составе смежной LAN, о трафике, проходящем через роутер, а также может перехватывать DNS- и HTTP-запросы и выполнять перенаправление в сторонний домен на основе заданных правил. Анализ показал, что вредонос создан на основе кода Mirai, слитого в Сеть в 2016 году.

Кроме основных встроенных функций, исследователи насчитали около 2500 опциональных (подбор паролей, распознавание USB-устройств, инъекция кода, отслеживание TCP-соединений на портах 21 и 8443 и т. п.). За их выполнение отвечают дополнительные модули, загружаемые с C2.

Командная инфраструктура ZuoRAT разделена на уровни и тщательно скрывается. Эксплойт загружается с отдельного VPS-сервера, некоторые зараженные роутеры работают как прокси-серверы C2 и часто меняются.

 

Для маскировки злоумышленники также используют промежуточные серверы с безобидным контентом, и зараженные устройства к ним изредка подключаются без всякой видимой цели. Головные серверы, к которым обращаются резидентные ZuoRAT и бэкдоры, разделены; в последнем случае для нужд C2 используются платформы Tencent и Yuque (принадлежит Alibaba).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru