Записи с меткой «уязвимость»

Встречаются русский, немец и поляк: особенности национальной киберохоты

Эксперты «Лаборатории Касперского» составили общую картину киберугроз для россиян, сравнив их с опасностями, подстерегающими пользователей в других странах — Германии, Польше, Китае и США. Данные для исследования были получены от пользователей, согласившихся отправлять статистику срабатывания защитных механизмов продуктов «Лаборатории Касперского» в облачный сервис Kaspersky Security Network.

Согласно полученным данным, российские пользователи «лидируют» по количеству срабатываний веб-антивируса — в среднем это происходит 37 раз за год. За ними следуют жители Германии и США (18 и 11 соответственно). Реже всего эти инциденты происходят у пользователей из Китая — 8 раз в год. Такую же диспозицию можно наблюдать в рейтинге пользователей, у которых веб-антивирус сработал как минимум один раз: Россия имеет самый высокий показатель — 54,5%, а Китай — самый низкий, 32%.

Сравнение статистики по компьютерным угрозам в различных странах

Отдельного внимания заслуживает специфика распространения программ-вымогателей, в том числе нашумевшего в этом году троянца Cryptolocker, искажающего данные на жестком диске пользователя с помощью криптографических преобразований, а затем требующего денежного перевода для их дешифрования. Cryptolocker получил наибольшее распространение в англоговорящих странах: так, в США зарегистрировано более 1200 заражений. В идущем с большим отставанием Китае количество жертв этого троянца на порядки ниже и измеряется несколькими десятками. В Германии, России и Польше число подобных инцидентов было минимально.

Также подтверждается наблюдаемая в течение многих месяцев тенденция расположения вредоносных серверов в США и России — 45% всех веб-атак в 2013 году, проводились с использованием вредоносных ресурсов, расположенных на территории этих стран. Германия в мировом рейтинге занимает 4 место c долей 12,5%. Интересно, что из первой десятки выбыл Китай, властям которого в последние годы удалось убрать из локального киберпространства множество вредоносных хостингов, а также ужесточить правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась: если в 2010 году Китай занимал 3 место, то по итогам 2013 года он опустился 21-ю позицию в рейтинге.

По риску локального заражения из 5 рассмотренных стран лидирует Китай с уровнем 47%. За ним следует Россия с долей 42% — обе страны относятся к группе с высоким уровнем заражения. Оставшаяся тройка отнесена к группе «среднего уровня» — США демонстрирует наименьший из 5 стран уровень риска 29%. Следует отметить, что уязвимости операционных систем зачастую являются причиной успешного проведения атак. При этом многие пользователи во всем мире по-прежнему предпочитают Windows XP, несмотря на сомнения многих экспертов в безопасности этой системы и объявление Microsoft о намерении завершить в апреле следующего года ее поддержку.

«Несмотря на различия показателей по количеству срабатываний антивируса и риску заражения в Интернете, способы проведения атак во всех странах схожи. В первую очередь, это атаки с использованием эксплойтов через уязвимости веб-браузеров и их плагинов: так, если пользователь попадает на скомпрометированный сайт, он может подвергнуться заражению при наличии устаревших программных компонент на своем компьютере, — комментирует руководитель группы исследования уязвимостей Вячеслав Закоржевский, «Лаборатория Касперского». — Понимая разнообразие возможных способов заражения, в своих продуктах мы предоставляем защиту от полного спектра актуальных угроз, обеспечивая безопасность по всем фронтам для всех устройств и операционных систем».

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.

Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$q5MUM-4FSs1LWtMhmlGMX4WlxHU5ytoD_yr_8rqaY0p$

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.

****

Служба новостей «Лаборатории Касперского»

Реклама

https://i2.wp.com/www.blackberrys.ru/upload/2011/02/KasperskyLab_logo10.jpg

новости от «Лаборатории Касперского»

«Лаборатория Касперского» третий раз подряд получает статус «Лидера» в Магическом квадранте компании Gartner в категории Endpoint Protection Platforms (решения для защиты конечных устройств)*. Этот факт, а также улучшение позиций компании в категории «стратегическое видение» (“completeness of vision”) подтверждают значимое положение «Лаборатории Касперского» на мировом рынке в качестве одного из ведущих производителей защитного ПО.

Магический квадрант аналитической компании Gartner строится на основе ежегодного исследования рынка защитного ПО для конечных устройств и комплексного анализа продуктов 18 различных вендоров, работающих в этом сегменте. Магический квадрант — один из наиболее авторитетных источников информации для компаний, желающих оценить производителей и решения в области корпоративной IT-безопасности. Данные из ежегодного отчета Gartner могут сыграть существенную роль при принятии организацией решения о покупке защитного ПО.

Аналитики Gartner оценивают вендоров по двум категориям: «стратегическое видение» (“completeness of vision”) и «эффективность реализации» (“ability to execute”). «Стратегическое видение» предусматривает 8 оценочных критериев: понимание рынка, маркетинговая стратегия, стратегия продаж, стратегия предложения, бизнес-модель, стратегия в индустрии, инновации и геостратегия. «Эффективность реализации» учитывает такие факторы, как общая рентабельность производителя, гибкость реагирования на требования рынка, бизнес-операции, осуществление продаж и ценообразование, реализация маркетинговой стратегии и взаимодействие с клиентами.

По итогам анализа вендоры-участники Магического квадранта Gartner попадают в одну из четырех групп: «Лидеры» (“Leaders”), «Претенденты» (“Challengers”), «Визионеры» (“Visionaries”) или «Нишевые игроки» (“Niche Players”). Статус «Лидера» свидетельствует о том, что производитель демонстрирует стабильный прогресс как в стратегии, так и в ее реализации. Более того, достижения такого вендора в защите от вредоносного ПО, сохранности данных и разработке инструментов для управления информационной безопасностью поднимают стандарты качества для других производителей и задают направление для развития всей индустрии.

«Создавая комплексные защитные решения для наших клиентов, мы стремимся сделать киберпространство безопасным. И статус «Лидера» в Магическом квадранте Gartner говорит о том, что мы на верном пути. Это достижение, которым мы гордимся, служит подтверждением того, что наша долгосрочная стратегия по инвестированию в технологии и экспертизу продолжает приносить свои плоды», — комментирует результаты аналитического отчета Gartner Николай Гребенников, директор по исследованиям и разработке «Лаборатории Касперского».

Флагманский продукт «Лаборатории Касперского» для защиты корпоративной сети — Kaspersky Security для бизнеса — получил высокую оценку со стороны клиентов и IT-лидеров как решение, которое не только быстро распознает угрозы и обеспечивает надежную защиту от них, но также содержит многочисленные инструменты для контроля за безопасностью корпоративной IT-инфраструктуры. Среди них — инструменты для выявления уязвимостей и управления обновлениями ПО, средства управления и контроля за приложениями, мобильными устройствами и функция шифрования дисков и файлов с интерфейсом аутентификации до загрузки операционной системы (preboot authentification).

С отчетом Gartner и Магическим квадрантом в категории Endpoint Protection Platforms можно ознакомиться на сайте аналитической компании: www.gartner.com/technology/reprints.do?id=1-1PJIOBM&ct=140114&st=sb.


*Gartner, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, John Girard, Neil MacDonald, January 8, 2014.


О Магическом квадранте Gartner

Данные, публикуемые компанией Gartner, не являются рекомендацией в отношении каких бы то ни было производителей, продуктов или услуг и не могут рассматриваться в качестве совета выбирать поставщиков с наибольшим рейтингом. Аналитические публикации Gartner основаны на мнениях экспертов компании и не могут считаться констатацией фактов. Gartner не дает никаких гарантий, выраженных в явной или подразумеваемой форме, в отношении публикуемых данных, в том числе гарантий коммерческого качества или пригодности для определенных целей.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса Endpoint Security*. Вот уже более шестнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.


*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenue by Vendor) за 2012 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2013-2017 гг. и доли вендоров в 2012 г.» (Worldwide Endpoint Security 2013—2017 Forecast and 2012 Vendor Shares), опубликованный в августе 2013 года (IDC #242618). В основу рейтинга легли данные о выручке от продаж решений класса Endpoint Security в 2012 году.

https://i1.wp.com/www.convex.ru/gallery/Kaspersky_RGB_POS.jpg

новости от «Лаборатории Касперского»

Экстенсивный рост количества электронных устройств, используемых в бизнес-целях, а также все возрастающая зависимость успешности различных организаций от надежной работы информационных систем создают идеальные условия для «процветания» киберпреступников. Создавая все больше вредоносных программ и совершенствуя методы проникновения в корпоративные сети, злоумышленники атакуют компании с целью кражи информации или денег, уничтожения важных данных или блокирования работы инфраструктуры, нанесения финансового или репутационного ущерба организации. О настойчивости, с которой действуют злоумышленники, свидетельствует, к примеру, тот факт*, что в 2013 году 95% российских компаний хотя бы один раз подвергались кибератаке, а 8% стали жертвами целевых атак.

По результатам исследования «Лаборатории Касперского», основными объектами таргетированных атак в 2013 году стали предприятия нефтяной индустрии, телекоммуникационные компании, научно-исследовательские центры, организации, ведущие свою деятельность в аэрокосмической, судостроительной и других отраслях, связанных с разработкой высоких технологий. Однако при массовом распространении вредоносных программ жертвой киберпреступников может стать абсолютно любая компания вне зависимости от масштабов и сферы деятельности.

В 2013 году одним из самых популярных у злоумышленников методов проникновения в корпоративную сеть стала рассылка сотрудникам атакуемой компании электронных писем с вредоносными вложениями. Чаще всего в подобные письма вложен документ в привычных для офисных работников форматах Word, Excel или PDF. Действуя таким образом, киберпреступники эксплуатируют не только вредоносные программы как таковые, но и слабости человеческой натуры: любопытство, невнимательность, доверчивость и т.п. Именно так, например, был успешно разослан хитрый шпион Miniduke, обнаруженный «Лабораторией Касперского» в феврале этого года.

Из вредоносных же программ, используемых в атаках на компании, злоумышленники нередко предпочитают эксплойты — программы, загружающие на компьютер жертвы вредоносный функционал через открытые уязвимости в легитимном ПО. В 2013 году рекордное число брешей было замечено в популярной программе Oracle Java — по данным «Лаборатории Касперского», из всех зафиксированных попыток эксплуатации уязвимостей 90,52% пришлось именно на уязвимости в Java.

Другим популярным орудием киберпреступников являются программы-вымогатели. По сути, эти зловреды представляют собой DOS-атаки на отдельно взятый компьютер, а их цель — блокировка доступа к файловой системе или шифрование данных на жестком диске. Дальнейшими действиями злоумышленников в такой ситуации обычно является шантаж и вымогание денег за восстановление доступа к данным. Популярность этого вида вредоносных программ в атаках на российские организации довольно высока: по данным «Лаборатории Касперского», в уходящем году жертвой каждой пятой атаки с использованием программ-вымогателей стала именно российская компания.

Наконец, мобильные устройства, используемые в корпоративной сети, также все чаще начинают попадать в поле зрения злоумышленников. Нередко смартфоны и планшеты становятся самостоятельной целью в кибератаках, поскольку объем и ценность хранимых на них данных постоянно возрастает. Внимательное отношение к этому виду устройств со стороны киберпреступников демонстрирует хотя бы тот факт, что организаторы масштабной шпионской кампании «Красный октябрь» разработали специальные модули, которые определяли тип мобильной операционной системы на зараженном устройстве и отправляли полученную информацию на сервер управления.

«Сегодня под угрозой кибератаки и связанной с ней потери данных оказывается буквально каждая компания. Даже маленькие и, на первый взгляд, незаметные организации могут стать мишенью злоумышленников если и не в качестве финальной цели, то в качестве способа подобраться к более крупным компаниям, с которыми они взаимодействуют. При этом ущерб от такой атаки, как финансовый, так и репутационный, для бизнеса любого размера может быть очень существенным, — поясняет Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». — Киберпреступники постоянно совершенствуют свои инструменты и техники и используют целый ряд программ деструктивного действия: от шифровальщиков и «стирателей», распространяющихся как болезнь в корпоративной среде, до целой армии послушных компьютеров-зомби, поглощающих все свободные ресурсы корпоративных сетей. Безопасность инфраструктуры компании и ее бизнеса в таких условиях может обеспечить лишь комплексное защитное решение».

Подробнее об актуальных угрозах для бизнеса и тенденциях, отмеченных аналитиками в 2013 году, читайте в отчете «Лаборатории Касперского» на сайте www.securelist.com/ru/analysis/208050824/Kaspersky_Security_Bulletin_2013_Korporativnye_ugrozy. По ссылке также доступен видео-комментарий главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева.


*Данные получены в результате исследования, проведенного «Лабораторией Касперского» совместно с аналитической компанией B2B International в 2013 году. В исследовании приняли участие более 2895 IT-специалистов из 24 стран мира, включая Россию.

Viruslist.com — Дайджест аналитики

Posted: Ноябрь 15, 2013 in Антивирус, Вконтакте, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, город, закон, компьютеры, лечение, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Securelist - Всё об интернет-безопасности

https://i0.wp.com/www.3dnews.ru/assets/external/illustrations/2013/05/13/645213/kaspersky_logo.jpg

14 ноя 2013: Развитие информационных угроз в третьем квартале 2013 года

По данным KSN, в третьем квартале 2013 года продукты «Лаборатории
Касперского» обнаружили и обезвредили 978 628 817вредоносных
объектов.

http://www.securelist.com/ru/analysis/208050818/Razvitie_informatsionnykh_ugroz_v_tretem_kvartale_2013_goda

*****

7 ноя 2013: Спам в третьем квартале 2013

Доля спама по сравнению со вторым кварталом 2013 года уменьшилась на
2,4% и составила 68,3% почтового трафика.

http://www.securelist.com/ru/analysis/208050817/Spam_v_tretem_kvartale_2013

*****

30 окт 2013: Отчет «Лаборатории Касперского»: Java под ударом — эволюция эксплойтов в 2012-2013 гг.

Даже оперативно выпущенные обновления, которые закрывают уязвимости,
пока не в состоянии решить проблему атак с помощью Java-эксплойтов.

http://www.securelist.com/ru/analysis/208050816/Otchet_Laboratorii_Kasperskogo_Java_pod_udarom_evolyutsiya_eksploytov_v_2012_2013_gg

*****

24 окт 2013: Спам в сентябре 2013

После наступления в сентябре первых осенних холодов нами было
зафиксировано огромное количество рассылок с самыми разнообразными
предложениями по сокращению затрат на электроэнергию и по сохранению
тепла в жилых помещениях.

http://www.securelist.com/ru/analysis/208050815/Spam_v_sentyabre_2013

*****

15 окт 2013: PAC — файл автоконфигурации проблем

Хотя PAC — это полезная функциональность, факты злоупотребления ею
известны с 2005 г. Киберпреступники улучшили и усовершенствовали
технологию таких злоупотреблений.

http://www.securelist.com/ru/analysis/208050814/PAC_fayl_avtokonfiguratsii_problem

*****

 

Dr.Web

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает об активном распространении вредоносных программ семейства Trojan.Hiloti, предназначенных для подмены поисковой выдачи. Злоумышленники организовали специальную партнерскую программу с целью увеличения количества установок вредоносного ПО, и используют в своих целях набор эксплойтов, при помощи которых троянские программы загружаются на компьютеры потенциальных жертв.

Термин «подмена выдачи» хорошо известен специалистам по информационной безопасности, а также многим пользователям Интернета, ставшим жертвами злоумышленников. Данную функцию реализует множество вредоносных программ: установившись на компьютере жертвы, такие троянцы отслеживают активность веб-браузеров, и при обращении пользователя к ресурсам поисковых систем вместо результатов поиска выдают пользователю ссылки на различные, в том числе мошеннические, сайты. К указанной категории относятся и троянцы семейства Trojan.Hiloti, отдельные представители которого получили распространение еще в 2010 году. На сегодняшний день в вирусных базах Dr.Web имеется более 80 записей, соответствующих различным версиям этой угрозы. Появление новых модификаций Trojan.Hiloti специалисты связывают с организацией партнерской программы Podmena-2014, к которой злоумышленники пытаются привлечь распространителей вредоносного ПО.

Вирусописатели предлагают владельцам сайтов разместить на своих площадках специальный сценарий, который с определенным интервалом загружает с сервера злоумышленников исполняемый файл вредоносной программы Trojan.Hiloti. Вместе с установщиком самого троянца распространяется модуль руткита, позволяющий скрывать работу вредоносной программы в инфицированной операционной системе. С целью усложнить детектирование Trojan.Hiloti исполняемый файл троянца автоматически переупаковывается на сервере злоумышленников через определенные промежутки времени.

Загрузка троянца на компьютеры потенциальных жертв осуществляется с использованием уязвимостей CVE-2012-4969, CVE-2013-2472, CVE-2013-2465 и CVE-2013-2551, а также методов социальной инженерии.

screenshot

1 — Заказчик заключает с партнерской программой соглашение о продвижении ссылок. 2 — Партнерская программа передает вредоносное ПО распространителям, которые размещают его на сайтах. 3 — При посещении сайтов распространителей вредоносного ПО инфицируется компьютер жертвы. 4 — При обращении к ресурсам поисковых систем жертва переходит по ссылкам, демонстрируемым в окне бразуера вредоносным ПО, информация об этом передается партнерской программе. 5 — Заказчик оплачивает партнерской программе переходы по ссылкам. 6 — Часть этих средств поступает распространителям вредоносного ПО.

Злоумышленники предлагают распространителям достаточно простую схему работы: те способствуют установке Trojan.Hiloti на компьютеры пользователей, разместив определенный код на принадлежащих им интернет-ресурсах, после чего при попытке жертвы выполнить какой-либо запрос на поисковом сайте троянец будет демонстрировать в окне браузера оплаченные рекламодателями ссылки вместо ожидаемой поисковой выдачи. В некоторых случаях переход пользователя по подобным ссылкам приводит к загрузке различных нежелательных приложений, таких как поддельные антивирусы, требующие оплаты за «лечение» компьютера. Распространители же получают процент от дохода, полученного злоумышленниками в рамках данной партнерской программы.

Несмотря на все ухищрения вирусописателей, троянцы семейства Trojan.Hiloti детектируются антивирусом Dr.Web, поэтому пользователи, установившие на своих компьютерах антивирусное ПО, разработанное компанией «Доктор Веб», защищены от этой угрозы. Вместе с тем, пользователям рекомендуется быть бдительными, не сохранять на диск и не запускать исполняемые файлы, загружаемые с подозрительных сайтов, а также вовремя устанавливать обновления операционной системы и прикладного ПО.

Источник

Kaspersky.com — Вирусные новости — Опасная пропорция: 3/4 российских пользователей и их финансовые операции в Сети под угрозой

Posted: Октябрь 19, 2013 in Антивирус, Касперский, Личность, Новости, антивирусы, атака, вирусы, компьютеры, лечение, люди, поиск, пользователи, программы, софт, срочно, техника, угрозы, человечество
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Опасная пропорция: 3/4 российских пользователей и их финансовые операции в Сети под угрозой

Почти 3/4 российских пользователей сталкивались с финансовыми угрозами в
Интернете — это выяснилось в результате опроса
(http://media.kaspersky.com/ru/documents/B2C_Summary_2013_rus.pdf)*,
проведенного аналитической компанией B2B International и
«Лабораторией Касперского» летом 2013 года. Всевозможные
онлайн-сервисы, связанные с денежными транзакциями (интернет-банкинг,
платежные системы, онлайн-магазины), приобретают все большую
популярность у пользователей. Эта тенденция не осталась без внимания
злоумышленников.

По данным исследования, каждый десятый российский пользователь получал
по электронной почте фальшивые сообщения от банков. 17% пользователей
сообщили, что сталкивались с подозрительными сообщениями от имени
администраций онлайн-магазинов или социальных сетей. Еще 11%
подтвердили, что при совершении финансовых операций в Интернете они
автоматически перенаправлялись на подозрительный сайт, где им
предлагалось ввести данные платежной карты. А около 9% пользователей
даже вводили финансовую информацию на сайтах, в легитимности которых у
них были сомнения.

Фальшивые антивирусы, которые сообщают о заражении компьютера и
настойчиво рекомендуют приобрести защиту, стали в России самой
популярной схемой выманивания денег у интернет-юзеров. Ее действие
испытали на себе целых 56% опрошенных, что значительно выше, чем в
среднем по миру и в большинстве исследуемых регионов. Хотя опытный и
внимательный пользователь, вероятно, сможет распознать значительную
часть финансовых мошенничеств, реализованных с помощью фишинга, подобные
атаки часто заканчиваются успехом: около 8% российских пользователей
сообщили, что потеряли деньги, попавшись на удочку преступников. И в
России этот показатель в два раза выше общемирового.

«Финансовые операции в Интернете пользуются все большей
популярностью, что, естественно, вызывает высокий интерес со стороны
киберпреступников, которые изобретают все новые методы отъема денег у
пользователей, — рассказывает Сергей Голованов, ведущий
антивирусный эксперт «Лаборатории Касперского». — Одну
из самых серьезных угроз, вне зависимости от платформы устройства, с
которого пользователь совершает интернет-платежи, представляет
финансовый фишинг. Его целью является хищение таких персональных данных,
как номера платежных карт, логины и пароли для доступа в системы
онлайн-банкинга и подтверждения операций. Защититься от такой угрозы
простому пользователю можно с помощью специальных технологий,
присутствующих, например, в модуле «Безопасные платежи».

Функция «Безопасные платежи» входит в состав универсального
защитного решения для платформ Windows, Mac и Android Kaspersky Internet
Security для всех устройств
(http://www.kaspersky.ru/multi-device-security). Продвинутая технология,
разработанная специалистами «Лаборатории Касперского»,
представляет собой сочетание различных специализированных защитных
механизмов и активируется автоматически, как только пользователь
пытается перейти на сайт системы интернет-банкинга, платежной системы
или интернет-магазина. Функция обеспечивает надежную защиту денег
пользователя от абсолютного большинства финансовых кибератак.

В частности, новейшие антифишинговые технологии распознают и блокируют
фальшивые страницы сайтов, через которые пользователю предлагается
совершить финансовые операции. Подтверждение доверенности соединения
между банком и компьютером пользователя осуществляется за счет проверки
подлинности сертификатов безопасности сайта банка или платежной системы.
В свою очередь, особый «безопасный режим» для популярных
интернет-браузеров защитит от атак, применяющих исполнение вредоносного
кода в браузере. Функции «Виртуальная клавиатура» и
«Безопасная клавиатура» обеспечат надежную защиту данных,
которые пользователь вводит на сайте своего банка. Кроме того,
встроенная в «Безопасные платежи» система проверки
безопасности приложений, установленных на компьютере, предупредит
пользователя о наличии у него программ, уязвимости в которых
злоумышленники могут использовать для заражения ПК.

В совокупности эти технологии обеспечивают комплексную защиту от
финансовых угроз и дают пользователям возможность работать с сервисами
онлайн-банкинга, платежными системами и интернет-магазинами без риска
потерять деньги. * Исследование проведено аналитическим агентством B2B
International специально для «Лаборатории Касперского» летом
2013 года. В ходе исследования было опрошено 8605 респондентов в
возрасте 16+, проживающих в странах Латинской и Северной Америки,
Ближнего Востока, Азии, Африки, Европы и России в частности.

Бизнес без защиты: 26% российских компаний не используют антивирус

The World Leader in Information Security Software, Providing Cutting AntiVirus Computer Protection Against All Major Cyber Threats, Viruses, Hackers and Spam. The Kaspersky Lab Global Network Consists of 8 Regional Offices and Technology Channel Partners In Over 50 Countries Worldwide. Kaspersky Labs, Protecting PCs, PDAs, and Networks since 1997, Based In Moscow Russia.
Всего 74% российских компаний применяют антивирусные решения для защиты
от вредоносного ПО. Как показало исследование
(http://www.kaspersky.ru/business-security/2013-global-corporate-it-security-survey?icid=b2b_bnr_hp_itsecurity),
проведенное «Лабораторией Касперского» совместно с
аналитической компанией B2B International*, антивирусная защита —
наиболее распространенная мера для обеспечения информационной
безопасности IT-инфраструктуры в корпоративном секторе. Вместе с тем,
26% компаний по-прежнему не используют этот вид базовой защиты. Для
сравнения, в прошлом году этот показатель составлял 30%.

Исследование показывает, что на фоне взрывного роста киберугроз, от
которых компании защищаются простыми антивирусами, российский бизнес
начинает все чаще использовать комплексные инструменты защиты. Во многом
по этой причине на 7% увеличилось применение средств шифрования данных
на съемных носителях (24%). Кроме того, компании стали охотнее
разграничивать политики безопасности для съемных устройств. Возросло и
разграничение уровня доступа к различным участкам IT-инфраструктуры
(49%). Примечательно, что компании малого и среднего бизнеса уделяют
большее внимание контролю съемных устройств (35%) и контролю приложений
(31%).

Несмотря на постоянное обнаружение новых уязвимостей в ПО российские
компании все еще не уделяют должного внимания регулярному обновлению
программного обеспечения. Более того, количество организаций,
занимающихся установкой исправлений (патчей), снизилось по сравнению с
прошлым годом, и составило всего лишь 59%.

Компании стали предпринимать дополнительные меры безопасности, которые в
прошлом году либо применялись нечасто, либо вовсе не использовались. К
таким мерам относятся: контроль съемных устройств, контроль приложений,
шифрование файлов и папок, а также антивирусная защита мобильных
устройств. (http://www.kaspersky.ru/images/news/grafik2.png)Применяемые российскими компаниями
методы защиты

«Российские компании все больше внимания уделяют защите от
киберугроз. Многие, на собственном опыте убедившись в высокой стоимости
одного инцидента информационной безопасности, переориентируются на
комплексную превентивную защиту, — комментирует Владимир Удалов,
руководитель направления корпоративных продуктов в странах развивающихся
рынков «Лаборатории Касперского». — В силу некоторой
инертности корпоративного сектора процесс идет медленнее в сравнении с
ростом количества угроз. Так, антивирусами стали пользоваться на 4%
больше компаний, чем в прошлом году. А количество детектируемых
ежедневно новых образцов вредоносных программ стало в два раза больше
200 000 образцов в день».

Для обеспечения безопасности IT-инфраструктуры «Лаборатория
Касперского» предлагает линейку продуктов Kaspersky Security для
бизнеса (http://www.kaspersky.ru/business-security), которая
предназначена для комплексной защиты всех узлов сети. Используемые в
продукте сочетание различных методов обнаружения угроз, таких как
сигнатурный анализ, проактивные методы защиты на основе анализа
поведения вредоносных программ, а также облачные технологии, позволяет
эффективнее обнаруживать вредоносное ПО и обеспечивает защиту даже от
новых и еще не известных угроз.

Подробнее ознакомиться с результатами исследования «Информационная
безопасность бизнеса» можно по ссылке:
http://www.kaspersky.ru/business-security/2013-global-corporate-it-security-survey?icid=b2b_bnr_hp_itsecurity
(http://www.kaspersky.ru/business-security/2013-global-corporate-it-security-survey?icid=b2b_bnr_hp_itsecurity).

*Исследование «Информационная безопасность бизнеса»,
проведенное «Лабораторией Касперского» и B2B International в
2013 году. В исследовании приняли участие более 2895 IT-специалистов из
24 стран мира, включая Россию.

Хорошо забытое старое: многие крупные компании подвержены прошлогодним угрозам

Эксперты «Лаборатории Касперского» и частной
компании-аудитора Outpost24 осуществили проверку ряда европейских
организаций с целью выявления незакрытых уязвимостей для оценки общего
уровня IT-безопасности. Как показали результаты анализа, несмотря на
рост числа атак «нулевого дня» злоумышленники до сих пор
широко используют известные уязвимости. Это объяснимо: в среднем
компаниям требуется 60-70 дней для закрытия «бреши» в защите
— достаточно длительный срок, чтобы атакующие смогли ею
воспользоваться. Также исследование показало, что киберпреступникам
необязательно взламывать саму систему безопасности — достаточно
сосредоточиться на управляющих ею сотрудниках.

Как правило, в компаниях выделяется срок в 3 месяца для устранения
серьезных уязвимостей. Однако, по данным Outpost24, 77% угроз, которые
не были обезврежены в положенное время, присутствовали в сети целый год
после их обнаружения. Команда «Лаборатории Касперского» и
Outpost24 в своем совместном исследовании столкнулась с уязвимостями
2010-го года, а также системами, которые были открыты ряду угроз в
течение последних 3 лет. Такое положение особенно критично, учитывая
простоту использования старых уязвимостей и масштаб возможных
последствий. Стоит отметить, что были выявлены некоторые корпоративные
системы, о защите которых не заботились в течение десятка лет, несмотря
на то, что руководство выделяло денежные средства на услуги мониторинга
безопасности.

По завершении сбора информации с командой Outpost24, эксперт
«Лаборатории Касперского» Дэвид Джэкоби решил провести
дополнительный эксперимент с целью выяснить, насколько легко подключить
USB-носитель к компьютерам в государственных учреждениях, отелях и
частных компаниях. Одетый в деловой костюм Дэвид просил секретарей 11
организаций распечатать свое резюме в формате PDF со своей флешки для
встречи, назначенной в совершенно другом месте. В выборку попали отели
из разных сетей, государственные учреждения и пара крупных частных
компаний. В 2 из 3 отелей отказались подсоединить USB-носитель. В
частных компаниях также ответили отказом, тогда как в 4 из 6
государственных организаций согласились помочь. При этом в 2 случаях
подключить USB-устройство оказалось невозможно, но служащий предложил
переслать данные по электронной почте, предоставляя тем самым широкие
возможности использования уязвимостей в программах, работающих с
форматом PDF.

«Результаты проведенного нами аудита безопасности актуальны для
компаний всех стран, так как везде существует временной промежуток между
обнаружением уязвимости и ее устранением. Эксперимент с USB-носителем
— еще один повод задуматься всем тем, кто ищет защиту от
«угроз будущего». Он показал, что бессмысленно гнаться за
одними только технологиями без обучения сотрудников. Что удивительно, в
отелях и частных компаниях гораздо лучше осведомлены об угрозах, нежели
в государственных учреждениях — это серьезная проблема,
открывающая доступ к персональным данным граждан», —
прокомментировал Дэвид Джэкоби, эксперт «Лаборатории
Касперского».

С полным отчетом по результатам исследования можно ознакомиться по
ссылке:
www.securelist.com/ru/blog/207768946/Breshi_v_bezopasnosti_novyy_vzglyad_na_starye_uyazvimosti.

Возвращение NetTraveler

Эксперты «Лаборатории Касперского» сообщают о новой волне
кампании кибершпионажа NetTraveler (также известной, как Travnet,
Netfile или Red Star APT), поразившей ранее сотни государственных и

частных организаций в более чем 40 странах мира. Среди выявленных целей
операции NetTraveler были правительственные учреждения, посольства,
политические активисты, военные организации, нефтегазовые компании,
научно-исследовательские центры и университеты, многие из которых
располагались на территории России.

Сразу же после огласки «Лабораторией Касперского» в июне
2013 года действий группы, стоящей за NetTraveler, злоумышленники
отключили свои командные центры и перенесли их на новые серверы в Китае,
Гонконге и Тайване. При этом, как показал анализ текущей ситуации,
киберпреступники продолжили беспрепятственно совершать атаки.

В течение последних нескольких дней были зафиксированы целевые
фишинговые рассылки уйгурским активистам. Использованная
злоумышленниками Java-уязвимость оказалась более эффективной для
заражения компьютеров жертв, так как была закрыта Oracle лишь в июне
этого года, а значит, все еще широко распространена среди пользователей.
Предыдущая серия атак осуществлялась через уязвимости Microsoft Office
(CVE-2012-0158), «заплатки» для которых были выпущены
компанией Microsoft еще в апреле.

В дополнение к фишинговым рассылкам, группа злоумышленников теперь также
применяет технику «Watering Hole», заключающуюся в
веб-перенаправлениях и принудительной загрузке файлов со специально
подготовленных доменов, заражая тем самым посетителей веб-сайтов. За
прошедший месяц специалисты «Лаборатории Касперского»
перехватили и заблокировали ряд таких попыток заражения со стороны
домена wetstock[dot]org, который уже был связан с
кампанией NetTravaler ранее. Перенаправления происходили с различных
уйгурских сайтов, которые были предварительно взломаны и заражены
атакующими.

Эксперты «Лаборатории Касперского» полагают, что
злоумышленники могут использовать и другие средства для достижения своих
целей, поэтому выработали ряд рекомендаций, как оградить себя от
подобных атак:
* Обновите Java до самой актуальной версии. Если вы не
пользуйтесь Java, деинсталлируйте это приложение;
* Установите самые
свежие обновления Microsoft Windows и Microsoft Office;
* Обновите все
стороннее программное обеспечение, например Adobe Reader;

* Используйте безопасный интернет-браузер, например Google Chrome,
цикл разработки и обновления которого быстрее, чем у штатного
Windows-браузера Internet Explorer;
* Не спешите переходить по ссылкам
и открывать вложения в письмах от неизвестных лиц.

«К счастью, на данный момент мы не обнаружили случаев
использования уязвимостей нулевого дня хакерами, стоящими за
NetTraveler. В этом случае даже постоянное применение обновлений не
может гарантировать полной защищенности, однако ее можно обеспечить
такими технологиями как «Запрет по умолчанию» и
«Автоматическая защита от эксплойтов», которые входят в
состав современных защитных решений», — прокомментировал Костин
Раю, руководитель центра глобальных исследований и анализа угроз
«Лаборатории Касперского».

Более подробная информация о расследовании операции NetTraveler доступна
на
www.securelist.com/ru/blog/207768921/NetTraveler_vozvrashchaetsya_kiberprestupniki_ispolzuyut_novye_priemy_CVE_2013_2465.

Развитие информационных угроз в первом квартале 2013 года

Posted: Июнь 16, 2013 in Антивирус, Вконтакте, Касперский, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Цифры квартала

  • По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.
  • Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.
  • 40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.
  • Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Обзор ситуации

Первый квартал 2013 года оказался весьма богат на различные инциденты в области информационной безопасности. В рамках данного отчета мы расскажем о наиболее значимых из этих инцидентов.

Кибершпионаж и кибероружие

Red October

В самом начале 2013 года «Лаборатория Касперского» опубликовала большой отчет с результатами исследования глобальной операции по кибершпионажу, получившей название Red October. Целями этой атаки стали различные государственные структуры, дипломатические организации и компании в разных странах мира. Анализ файлов и восстановление схемы атаки заняли не один месяц, но в результате этого трудоемкого исследования нам удалось выявить немало любопытных фактов.

Атакующие были активны на протяжении последних пяти лет. Используемая ими многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации. Для контроля и управления зараженными системами они создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах. Инфраструктура серверов управления представляет собой цепочку прокси-серверов.

Помимо традиционных целей атак (рабочие станции) Red October способен воровать данные с мобильных устройств; собирать информацию с сетевого оборудования; осуществлять сбор файлов с USB-дисков; красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

В феврале компания FireEye опубликовала анализ новой вредоносной программы, проникавшей в систему с использованием 0-day уязвимости в Adobe Reader (CVE-2013-0640). Эксплуатирующий эту уязвимость эксплойт стал первым эксплойтом, способным обходить «песочницу» Acrobat Reader. Он загружал бэкдор, основным назначением которого была кража информации с зараженной системы. После получения образцов данного вредоносного ПО для анализа, мы назвали зловред «ItaDuke».

Через некоторое время мы обнаружили еще несколько похожих инцидентов, в которых использовалась та же уязвимость, однако зловреды были уже другими. Используемая злоумышленниками вредоносная программа получила имя «MiniDuke». Расследование этих инцидентов было проведено совместно с венгерской компанией CrySys Lab. Среди жертв MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, исследовательский фонд в Венгрии, а также исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США. Всего нам удалось обнаружить 59 жертв в 23 странах мира.

Одной из самых любопытных характеристик атак MiniDuke стало сочетание зловреда, код которого был написан с использованием нетривиального и сложного подхода «старой школы», и относительно новых, но уже зарекомендовавших себя технологий эксплуатации уязвимостей в Adobe Reader.

Атакующие рассылали вредоносные PDF-документы с эксплойтами для 9-й, 10-й и 11-й версий Adobe Reader. Документы содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. В случае удачной отработки эксплойта, на компьютер жертвы попадал уникальный для каждой системы бэкдор размером всего 20 Кб, написанный на Assembler.

В этой атаке злоумышленники использовали Twitter: для получения адреса C&C-сервера и последующей загрузки новых вредоносных модулей бэкдор искал специальные твиты от заранее созданных аккаунтов. Как только заражённая система устанавливала соединение с сервером управления, она начинала получать зашифрованные модули (бэкдоры) в составе GIF-файлов. Эти модули обладали достаточно тривиальным функционалом: копирование, перемещение и удаление файлов, создание директорий, загрузка новых вредоносных программ.

APT1

В феврале компания Mandiant опубликовала большой PDF-отчет об атаках некой группы китайских хакеров, получившей название APT1. Термин APT (Advanced Persistent Threat по-прежнему у всех на слуху. Иногда им характеризуют угрозы или атаки, которые «продвинутыми» можно назвать с очень большой натяжкой. Однако в случае атак группы APT1 данное определение более чем уместно — развернутая китайскими хакерами кампания была весьма масштабной и серьезной.

В начале отчета Mandiant заявляет, что APT1 предположительно является одним из подразделений армии КНР. Компания даже приводит возможный физический адрес подразделения, строит предположения о его численности и используемой инфраструктуре. Mandiant предполагает, что группа APT1 действует с 2006 года и за 6 лет ей удалось украсть терабайты данных, как минимум, из 141 организации. Пострадавшие организации расположены, по большей части, в англоязычных странах. Безусловно, такой масштаб атак невозможен без ощутимой поддержки сотен человек и развитой современной инфраструктуры.

Далеко не в первый раз на разных уровнях появляются обвинения Китая в осуществлении кибератак на государственные органы и организации разных стран мира. Нет ничего удивительного в том, что китайское правительство в достаточно резкой форме отвергло все предположения компании Mandiant.

Отметим, что до настоящего времени еще ни одна страна не взяла на себя ответственность за какую-либо шпионскую кибератаку или не призналась под давлением общественности и весомых доказательств в осуществлении кибершпионажа.

TeamSpy

В марте 2013 года была опубликована информация об очередной сложной атаке, целями которой стали политики самого высокого уровня и борцы за права человека в странах СНГ и Восточной Европы. Операция получила название «TeamSpy», так как для контроля компьютеров жертв атакующая сторона использовала программу TeamViewer, предназначенную для удаленного администрирования. Основной целью атакующих был сбор информации на компьютере пользователя, начиная от снятия скриншотов и заканчивая копированием файлов с расширением .pgp, в том числе паролей и ключей шифрования.

Хотя используемый в ходе операции TeamSpy набор инструментов, да и в целом сама операция, выглядят менее изощренными и профессиональными по сравнению с вышеупомянутой операцией Red October, атаки TeamSpy были небезуспешны.

Stuxnet 0.5

Инциденты, исследование которых занимает несколько месяцев упорного труда, в антивирусной индустрии происходят не так часто. И еще реже случаются события, интерес к которым не утихает и по прошествии почти трех лет — такие, как обнаружение Stuxnet. Несмотря на то, что этот червь исследовали многие антивирусные компании, по-прежнему остается немало модулей, которые изучены слабо или не исследованы вовсе. Не стоит также забывать о том, что у Stuxnet было несколько версий, самая ранняя из которых появилась в 2009 году. Эксперты не раз высказывали предположение о том, что существовали (или существуют) более ранние версии червя, однако до определенного времени доказательств этого ни у кого не было.

Но в итоге эти предположения подтвердились. В конце февраля компания Symantec опубликовала исследование новой «старой» версии червя: Stuxnet 0.5. Эта версия оказалась наиболее ранней из известных модификаций Stuxnet: она была активна между 2007 и 2009 годами. Помимо этого, данная версия обладает очень любопытными характеристиками:

  • Во-первых, она была создана на той же платформе, что и Flame — но не на Tilded, как последующие модификации Stuxnet.
  • Во-вторых, червь распространялся с помощью заражения файлов, создаваемых с помощью ПО Simatic Step 7 и не содержал никаких эксплойтов для продуктов Microsoft.
  • В-третьих, Stuxnet 0.5 перестал распространяться после 4 июля 2009 года.
  • И, наконец, именно в Stuxnet 0.5 присутствует полноценная реализация работы с ПЛК Siemens 417 (в последующих версиях червя данный функционал не был полным).

Результаты исследования версии Stuxnet 0.5 дополнили информацию об этой вредоносной программе. Скорее всего, эта информация будет пополняться и в дальнейшем. То же самое можно сказать и об обнаруженных после Stuxnet образцах кибероружия или средств для кибершпионажа — мы знаем о них далеко не всё.

Целевые атаки

Атаки на тибетских и уйгурских активистов

В первом квартале 2013 года продолжились целевые атаки на тибетских и уйгурских активистов. Для достижения своих целей атакующие использовали все возможные средства — были атакованы пользователи Mac OS X, Windows и Android.

В январе-феврале мы обнаружили существенное увеличение числа целевых атак на уйгуров — пользователей Mac OS X. Все эти атаки использовали уязвимость CVE-2009-0563, которая была закрыта компанией Microsoft почти 4 года назад. Эксплойт к этой уязвимости рассылался в документах MS Office, которые легко распознать благодаря обозначенному в свойствах автору — «captain». В случае успешного исполнения эксплойт осуществляет загрузку бэкдора для Mac OS X в виде Mach-O файла. Это маленький бэкдор, который имеет очень ограниченные функциональные возможности: он устанавливает другой бэкдор и программу для кражи личных данных (контактов).

Атаки на тех же тибетских активистов были зафиксированы нами и в середине марта 2013 года. На этот раз атакующие использовали упомянутый выше эксплойт CVE-2013-0640 (ранее использованный в атаках ItaDuke) для обхода «песочницы» в Acrobat Reader X и заражения целевых компьютеров.

В конце марта 2013 года в данную волну попали также и пользователи Android-устройств. После взлома электронного ящика известного тибетского активиста, от его имени началась рассылка писем с вложениями в виде APK-файла, который оказался вредоносной программой для Android (продукты «Лаборатории Касперского» распознают ее как Backdoor.AndroidOS.Chuli.a). Зловред тайно сообщает на командный сервер об успешном заражении, а затем начинает собирать хранящуюся на устройстве информацию: контакты, журналы вызовов, SMS-сообщения, данные GPS, информацию об устройстве. Потом зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. Проведенное нами исследование командного сервера указывает как минимум на то, что атакующие говорят по-китайски.

Буквально через несколько дней после публикации результатов нашего расследования исследовательская организация The Citizen Lab опубликовала материалы своего исследования похожего инцидента. Целью атаки также были лица, так или иначе связанные с Тибетом и тибетскими активистами, а используемая вредоносная программа имела схожий функционал (кража персональной информации), но являлась зараженной версией мессенджера Kakao Talk.

Взломы корпоративных сетей

Первый квартал оказался, к сожалению, богатым на взломы корпоративной инфраструктуры и утечки паролей. Среди пострадавших компаний — Apple, Facebook, Twitter, Evernote и другие.

В начале февраля Twitter официально заявил, что злоумышленникам удалось украсть данные (в том числе, и хэши паролей) о 250 000 пользователей социальной сети. Через две недели сотрудники Facebook сообщили в блоге, что компьютеры нескольких сотрудников компании при посещении сайта для мобильных разработчиков были заражены с помощью эксплойтов. Компания заявляет, что это была не обычная атака, а именно целевая, и ее задачей являлось проникновение в корпоративную сеть Facebook. К счастью, по словам представителей компании, Facebook удалось избежать утечек какой-либо пользовательской информации.

Буквально через несколько дней корпорация Apple заявила, что на нескольких сотрудников компании была произведена точно такая же атака при посещении сайта для мобильных разработчиков. По информации Apple никаких утечек данных при этом не произошло.

А в начале марта компания Evernote заявила, что 50 млн. паролей будут сброшены для защиты данных пользователей. К такому решению Evernote подтолкнул взлом их внутренней сети и попытки злоумышленников получить доступ к хранящимся там данным.

В 2011 году мы стали свидетелями массовых взломов сетей различных компаний и массовых утечек пользовательских данных. Кому-то могло показаться, что подобные атаки сошли на нет, но это не так: злоумышленники по-прежнему заинтересованы во взломе крупных компаний и получении конфиденциальных (в том числе пользовательских) данных.

Мобильные зловреды

Отчет, посвященный развитию угроз для смартфонов, планшетов и прочих мобильных устройств в 2012 году, мы опубликовали в феврале 2013 года. По нашим данным, в 2012 году Android стал основной целью вирусописателей, а число угроз в течение года стремительно росло. Продолжился ли рост числа мобильных зловредов в первом квартале 2013 года? Да, безусловно.

Немного статистики

Январь, по традиции, стал месяцем затишья у мобильных вирусописателей — «всего лишь» 1263 новых вариантов зловредов. Но в течение двух последующих месяцев мы обнаружили более 20 тысяч новых образцов вредоносного ПО для мобильных устройств. В феврале было обнаружено 12 044 модификации мобильных зловредов; в марте — 9443. Для сравнения: за весь 2012 год нами было найдено 40 059 самплов вредоносных программ для мобильных устройств.

SMS-троянцы, занимающиеся несанкционированной отправкой SMS-сообщений на короткие платные номера, по-прежнему остаются наиболее распространенной категорией мобильного вредоносного ПО — на их долю приходится 63,6% от всех атак.

99,9% обнаруженных новых мобильных зловредов нацелены на Android.

По данным KSN TOP 20 популярных у злоумышленников мобильных вредоносных и потенциально нежелательных программ для Android выглядит следующим образом.

Место Название % от всех атак
1 Trojan-SMS.AndroidOS.FakeInst.a 29,45%
2 Trojan.AndroidOS.Plangton.a 18,78%
3 Trojan-SMS.AndroidOS.Opfake.a 12,23%
4 Trojan-SMS.AndroidOS.Opfake.bo 11,49%
5 Trojan-SMS.AndroidOS.Agent.a 3,43%
6 Trojan-SMS.AndroidOS.Agent.u 2,54%
7 RiskTool.AndroidOS.AveaSMS.a 1,79%
8 Monitor.AndroidOS.Walien.a 1,60%
9 Trojan-SMS.AndroidOS.FakeInst.ei 1,24%
10 Trojan-SMS.AndroidOS.Agent.aq 1,10%
11 Trojan-SMS.AndroidOS.Agent.ay 1,08%
12 Trojan.AndroidOS.Fakerun.a 0,78%
13 Monitor.AndroidOS.Trackplus.a 0,75%
14 Adware.AndroidOS.Copycat.a 0,69%
15 Trojan-Downloader.AndroidOS.Fav.a 0,66%
16 Trojan-SMS.AndroidOS.FakeInst.ee 0,55%
17 HackTool.AndroidOS.Penetho.a 0,54%
18 RiskTool.AndroidOS.SMSreg.b 0,52%
19 Trojan-SMS.AndroidOS.Agent.aa 0,48%
20 HackTool.AndroidOS.FaceNiff.a 0,43%

Первую строчку занимает Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Этот зловред нацелен в основном на русскоговорящих пользователей, пытающихся скачать с сомнительных сайтов какое-либо ПО для своих Android-устройств. Часто на таких сайтах под видом полезного софта злоумышленники распространяют вредоносные программы.

Второе место занимает рекламный троянец Trojan.AndroidOS.Plangton.a (18,78%). Основной ареал его распространения — европейские страны, где он используется разработчиками бесплатного ПО для монетизации продукта за счет показа рекламы.

Третью и четвертую позиции заняли SMS-троянцы из семейства Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) и Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Первые модификации зловредов семейства Opfake маскировались под новую версию популярного мобильного браузера Opera. Сегодня вредоносные программы из этого семейства выдают себя за различные новые версии популярного софта (Skype, Angry Birds и т.д.).

Инциденты

В мобильном сегменте среди наиболее интересных вирусных инцидентов в первом квартале 2013 года хотелось бы остановиться на двух:

  • новый зловред под названием Perkele или Perkel, охотящийся за mTAN,
  • ботнет MTK.

О еще одном важном инциденте — целевых атаках на пользователей Android — мы рассказали выше.

Perkel

В первой половине марта известный журналист Брайан Кребс (Brian Krebs) обнаружил на русскоязычных андерграундных форумах информацию о новом банковском троянце для мобильных устройств, якобы нацеленном на пользователей из 69 стран и уже заразившем немалое количество устройств по всему миру. Кребс предположил, что этот троянец создан русскоговорящими вирусописателями, поскольку набор инструментов для его создания распространяется через русскоязычные форумы.

Такие новости, безусловно, привлекают внимание и специалистов из антивирусных компаний, но до определенного момента самих образцов вредоносного ПО ни у кого не было.

Через несколько дней первые модификации Perkel были обнаружены. После проведенного нами анализа выяснилось, что в группе вредоносных программ, основной целью которых является кража содержащих mTAN банковских SMS, действительно произошло пополнение. Функционал Perkel обычен для программ этой группы, за двумя исключениями:

  1. Для коммуникаций с командным сервером и загрузки украденной информации (помимо SMS с mTAN зловред также собирает информацию о самом устройстве) Perkel, как правило, использует не SMS, а HTTP.
  2. Зловред способен самообновляться, загружая новую копию себя с удаленного сервера.

Ботнет MTK

В середине января появились сообщения о существовании миллионного ботнета, созданного на базе Android-устройств, принадлежащих, в основном, китайским пользователям. Оказалось, что за ботнет ответственна распространенная в Китае вредоносная программа («Лаборатория Касперского» детектирует ее как Trojan.AndroidOS.MTK). Распространяется она через неофициальные китайские магазины приложений в комплекте со взломанными популярными играми. Помимо кражи информации о смартфоне, пользовательских контактов и сообщений, зловреды данного семейства занимаются накруткой популярности различных приложений. Для этого троянцы осуществляют скрытую загрузку и установку приложений на мобильное устройство жертвы, а также ставят максимальную оценку этому ПО на сайте магазина. После этого они сообщают о проделанных действиях на удаленный сервер. Приложений для Android становится все больше, и зачастую им сложно завоевывать популярность у пользователей. Именно поэтому такие нелегальные способы накрутки становятся все более распространенными.

Отзыв сертификатов TurkTrust

В первом квартале 2013 года произошел очередной инцидент с корневыми сертификатами. Компании Microsoft, Mozilla и Google одновременно объявили об отзыве двух корневых сертификатов удостоверяющего центра TurkTrust из базы, поставляемой в составе их веб-браузеров.

Как оказалось, удостоверяющий центр TurkTrust еще в августе прошлого года выписал двум организациям вместо обычных SSL-сертификатов вторичные корневые сертификаты. Их можно использовать для создания SSL-сертификатов для любого веб-ресурса в интернете, причем браузеры посетителей ресурса будут воспринимать эти сертификаты как доверенные.

В декабре корпорация Google обнаружила, что один из выписанных от лица сервиса TurkTrust SSL- сертификатов для *.google.com был задействован в атаках типа «man-in-the middle» («человек посередине»). Естественно, факт атаки на сервисы Google не исключает того, что другие сертификаты, выписанные этим же путем, могли быть задействованы в атаках на сервисы других компаний.

Очередной серьезный инцидент, связанный с корневыми сертификатами и вопросами доверия к ним, показал, что проблема вредоносного использования легальных сертификатов по-прежнему актуальна. Но на данный момент вредоносное использование таких сертификатов выявляется уже после атаки, потому что эффективных способов предотвращать подобные инциденты пока нет.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

В первом квартале 2013 года решения «Лаборатории Касперского» отразили 821 379 647 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 91,44%
2 Trojan.Script.Generic 2,79%
3 AdWare.Win32.Bromngr.b 1,91%
4 Trojan.Script.Iframer 0,73%
5 Exploit.Script.Blocker 0,70%
6 Trojan.JS.Redirector.xa 0,33%
7 Hoax.SWF.FakeAntivirus.i 0,22%
8 Trojan.Win32.Generic 0,17%
9 AdWare.Win32.MegaSearch.am 0,13%
10 Trojan-Downloader.Win32.Generic 0,09%
11 Exploit.Script.Blocker.u 0,07%
12 AdWare.Win32.IBryte.heur 0,05%
13 Exploit.JS.Retkid.a 0,05%
14 Exploit.Script.Generic 0,05%
15 Hoax.HTML.FraudLoad.i 0,04%
16 Exploit.Win32.CVE-2011-3402.c 0,04%
17 Packed.Multi.MultiPacked.gen 0,04%
18 Trojan-Clicker.HTML.Agent.bt 0,04%
19 WebToolbar.Win32.BetterInstaller.gen 0,03%
20 Trojan.JS.Redirector.xb 0,03%

*Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
**Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в TOP 20 детектируемых объектов вновь заняли вредоносные ссылки из черного списка. По сравнению с четвертым кварталом 2012 года их доля выросла на 0,5%, и в итоге на такие ссылки приходится 91,4% всех срабатываний веб-антивируса. Также заметим, что использование средств KSN для доставки моментальных апдейтов на компьютеры пользователей через «облако» позволило нам заблокировать 6,6% вредоносных ссылок. Эти ссылки вели на недавно взломанные или созданные злоумышленниками сайты, на которые уже стали переходить пользователи.

По-прежнему в первой пятерке детектируемых объектов вердикты Trojan.Script.Generic (2-е место) и Trojan.Script.Iframer (4-е место). Эти вредоносные объекты блокируются при попытках осуществления drive-by атак, которые сегодня являются одним из наиболее распространенных методов заражения компьютеров пользователей.

Седьмое место занимает Hoax.SWF.FakeAntivirus.i. По сути, это фальшивый антивирус, который размещается на различных сайтах сомнительного содержания. При посещении таких сайтов в окне пользовательского браузера проигрывается флэш-анимация, имитирующая работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством опаснейших вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать ПО.

Уже несколько месяцев подряд в TOP 20 оказывается Hoax.HTML.FraudLoad.i — в первом квартале он занял 15-ое место. С этой угрозой сталкиваются в основном любители скачивать фильмы, сериалы и программное обеспечение с сомнительных ресурсов. Как Hoax.HTML.FraudLoad детектируются веб-страницы, на которых пользователи якобы могут скачать нужный контент, но для этого им необходимо предварительно отправить платное SMS-сообщение или ввести номер своего мобильного телефона для оформления платной подписки. Если пользователь выполняет указанные требования, то вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

На 16-е место попал эксплойт Exploit.Win32.CVE-2011-3402.c. Он эксплуатирует уязвимость в библиотеке win32k.sys (TrueType Font Parsing Vulnerability). Отметим, что эта же уязвимость использовалась для распространения червя Duqu.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

81% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. За последние полгода этот показатель уменьшился на 5% пунктов: на 3% в первом квартале 2013 года и на 2% — в четвертом квартале 2012 года.

 
Распределение по странам веб-ресурсов, на которых размещены
вредоносные программы, первый квартал 2013 г.

В рейтинге стран по количеству вредоносных хостингов Россия (19%, -6%) и США (25%, +3%) вновь поменялись местами — США вернули утраченную ранее первую позицию. Доли остальных стран по сравнению с четвертым кварталом практически не изменились.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса.

 
20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**, первый квартал 2013 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

По сравнению с четвертым кварталом 2012 года первая десятка стран, жители которых чаще других сталкиваются с вредоносными программами, практически не изменилась — она по-прежнему состоит из стран, ранее входивших в состав СССР. Россия (57%) занимает третье место в этом списке. Однако некоторые изменения произошли во второй десятке: в первом квартале 2013 года в рейтинг вошли Тунис (43,1%), Алжир (39%). Единственная западноевропейская страна, которая попала в TOP 20, — Италия (39,9%, 16-е место).

Все страны можно разбить на несколько групп.

  1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В первом квартале 2013 года в эту категорию стран с показателем 60,4% попал только Таджикистан.
  2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 13 стран из TOP 20 (столько же, сколько и в четвертом квартале 2012). За исключением Вьетнама, Туниса и Шри-Ланки, замыкающих список группы, в нее входят страны постсоветского пространства, в частности, Армения (59,5%), Россия (57%), Казахстан (56,8%) Азербайджан (56,7%), Белоруссия (49,9%) и Украина (49%).
  3. Группа риска. В эту группу с показателями 21-40% попали 102 страны, в том числе Италия (39,9%), Германия (36,6%), Франция (35,8%), Бельгия (33,8%), Судан (33,1%), Испания (32,5%), Катар (31,9%), США (31,6%), Ирландия (31,5%), Англия (30,2%), ОАЭ (28,7%) и Нидерланды (26,9%).
  4. Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2013 года вошли 28 стран с показателями 12,5-21%. Меньше всего (менее 20%) процент пользователей, атакованных при просмотре страниц в интернете, в африканских странах, где интернет слабо развит. Исключением являются Япония (15,6%) и Словакия (19,9%).


Риск заражения через интернет компьютеров пользователей в разных странах, первый квартал 2013 года

В среднем 39,1% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке во время серфинга в интернете. Отметим, что средняя доля атакованных машин по сравнению с четвертым кварталом 2012 года увеличилась на 1,5%.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В первом квартале 2013 года наши антивирусные решения успешно заблокировали 490 966 403 попыток локального заражения компьютеров пользователей, участвующих в Kaspersky Security Network.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 DangerousObject.Multi.Generic 18,51%
2 Trojan.Win32.Generic 16,04%
3 Trojan.Win32.AutoRun.gen 13,60%
4 Virus.Win32.Sality.gen 8,43%
5 Exploit.Win32.CVE-2010-2568.gen 6,93%
6 Trojan.Win32.Starter.yy 5,11%
7 Net-Worm.Win32.Kido.ih 3,46%
8 HiddenObject.Multi.Generic 3,25%
9 Trojan.Win32.Hosts2.gen 3,17%
10 Virus.Win32.Nimnul.a 3,13%
11 Virus.Win32.Generic 3,09%
12 Net-Worm.Win32.Kido.ir 2,85%
13 Trojan.Script.Generic 2,54%
14 AdWare.Win32.Bromngr.b 2,51%
15 Exploit.Java.CVE-2012-1723.gen 2,38%
16 Trojan.Win32.Starter.lgb 2,38%
17 Trojan-Downloader.Win32.Generic 2,13%
18 AdWare.Win32.Bromngr.h 2,11%
19 Hoax.Win32.ArchSMS.gen 2,09%
20 Trojan-Dropper.VBS.Agent.bp 1,97%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

В этом рейтинге, как и прежде, с большим отрывом лидируют три вердикта.

Вредоносные программы DangerousObject.Multi.Generic, обнаруженные с помощью «облачных» технологий, оказались в первом квартале 2013 года на 1-м месте с показателем 18,51% — это на 1,8% больше, чем в четвертом квартале 2012 года. «Облачные» технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке «Лаборатории Касперского» уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На втором месте Trojan.Win32.Generic (16%) — вердикт, выдаваемый эвристическим анализатором при проактивном детектирования множества вредоносных программ. На третьем — Trojan.Win32.AutoRun.gen (13,6%). Так детектируются вредоносные программы, использующие автозапуск.

Рекламные программы семейства AdWare.Win32.Bromngr дебютировали в рейтинге в 4-м квартале 2012 года на 8-м месте. В первом квартале 2013 года они заняли сразу две позиции в TOP 20 (14-е и 18-е места). Все модификации данных рекламных модулей представляют собой библиотеки DLL, которые являются надстройками к популярным браузерам (Internet Explorer, Mozilla Firefox, Google Chrome). Как и подавляющее большинство подобных программ, этот модуль изменяет поисковые настройки пользователя, стартовую страницу, а также периодически показывает во всплывающих окнах различную рекламу.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (31,4%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 0,8% меньше, чем в прошлом квартале.

 
TOP 20 стран* по уровню зараженности компьютеров**, первый квартал 2013 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже четыре квартала подряд первые двадцать позиций в этом рейтинге занимают страны Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — вновь уменьшилась, на этот раз на 11,8%, и составила 67,8%. (По итогам третьего квартала 2012 года этот показатель составлял 90,9%.)

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): по итогам первого квартала 2013 года данная группа теперь состоит всего лишь из двух стран: Бангладеш (67,8%) и Вьетнам (60,2%).
  2. Высокий уровень заражения (41-60%): 41 страна мира, в том числе Ирак (50,9%), Сирия (45,5%), Мьянма (44,5%), Ангола (42,3%) и Армения (41,4%).
  3. Средний уровень заражения (21-40%): 60 стран, в том числе Китай (37,6%), Катар (34,6%), Россия (34,3%) Украина (33,6%), Ливан (32,4%), Хорватия (26,1%), Испания (26%), Италия (23,8%), Франция (23,4%), Кипр (23,3%).
  4. Наименьший уровень заражения (до 21%): 31 страна, среди которых Бельгия (19,3%), США (19%), Великобритания (18,6%), Австралия (17,5%), Германия (17,7%), Эстония (17,8%), Нидерланды (16,2%), Швеция (14,6%), Дания (12,1%) и Япония (9,1%).


Риск локального заражения компьютеров в разных странах, первый квартал 2013 г.

В десятку самых безопасных по уровню локального заражения стран попали:

Япония 9,10%
Дания 12,10%
Финляндия 13,60%
Швеция 14,60%
Чехия 14,80%
Швейцария 15,10%
Ирландия 15,20%
Нидерланды 16,20%
Новая Зеландия 16,60%
Норвегия 16,80%

По сравнению с четвертым кварталом 2012 года в этом списке появилось две новых страны — Нидерланды и Норвегия, которые вытеснили Люксембург и Пуэрто-Рико.

Уязвимости

В первом квартале 2013 года на компьютерах пользователей KSN было обнаружено 30 901 713 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее распространенных уязвимостей представлены в таблице ниже.

Secunia ID Название Последствия эксплуатации Процент пользова-телей, у которых обнаружена уязвимость* Дата публикации Уровень опасности
1 SA 50949 Oracle Java Multiple Vulnerabilities DoS-атака Доступ к системе Раскрытие конфиденциальных данных Манипулирование данными 45,26% 17.10.2012 Highly Critical
2 SA 51771 Adobe Flash Player / AIR Integer Overflow Vulnerability Доступ к системе 22,77% 08.01.2013 Highly Critical
3 SA 51090 es Adobe Shockwave Player Multiple Vulnerabiliti Доступ к системе 18,19% 24.10.2012 Highly Critical
4 SA 51280 Oracle Java Two Code Execution Vulnerabilities Доступ к системе 17,15% 10.01.2013 Extremely Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Доступ к системе 16,32% 07.12.2011 Extremely Critical
6 SA 51692 VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities Доступ к системе 14,58% 28.12.2012 Highly Critical
7 SA 51226 Apple QuickTime Multiple Vulnerabilities Доступ к системе 14,16% 08.11.2012 Highly Critical
8 SA 43853 Google Picasa Insecure Library Loading Vulnerability Доступ к системе 12,85% 25.03.2011 Highly Critical
9 SA 46624 Winamp AVI / IT File Processing Vulnerabilities Доступ к системе 11,30% 03.08.2012 Highly Critical
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities «Доступ к системе Раскрытие конфиденциальных данных
Обход системы безопасности «
11,21% 28.10.2010 Extremely Critical

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Наиболее распространенным оказались уязвимости в Java, которые были обнаружены на 45,26% всех компьютеров. А замкнула рейтинг достаточно старая, но крайне опасная уязвимость в Adobe Flash Player. Хотя эта уязвимость была обнаружена еще в октябре 2010 года, мы до сих пор находим ее на 11,21% уязвимых компьютеров пользователей.

Первые пять позиций занимают уязвимости в продуктах Oracle и Adobe, и, как уже было сказано выше, за Adobe также последняя строчка рейтинга. Позиции с 6-й по 9-ю распределились между уязвимостями в популярных программных продуктах от разных компаний.


Производители продуктов с уязвимостями из TOP 10, первый квартал 2013 года

Эксплуатация любой уязвимости из TOP 10 фактически приводит к исполнению произвольного кода в системе.


Распределение уязвимостей из TOP 10 по типу воздействия на систему, первый квартал 2013 г.

Подобные уязвимости всегда пользуются популярностью у злоумышленников, и использующие их эксплойты стоят на «черном» рынке дороже большинства других.

Источник

Dr.Web

22 апреля 2013 года

Глядя на современную статистику распространения вредоносных программ, можно смело сказать, что троянцы-шифровальщики семейства Trojan.Encoder занимают в ней весьма высокие позиции. Компания «Доктор Веб» — российский разработчик средств защиты информации — предупреждает пользователей о массовом распространении двух новых модификаций этих троянцев – Trojan.Encoder.205 и Trojan.Encoder.215. Опасны они тем, что вымогают у пользователей тысячи долларов за расшифровку файлов. Специалисты «Доктор Веб» предлагают бесплатные рекомендации, которые помогут жертвам устранить последствия заражения этими вредоносными программи и расшифровать файлы.

Троянцы-шифровальщики за последние годы стали весьма распространенной категорией угроз. Во многом благодаря выгодной для злоумышленников модели монетизации, аналогичной той, что использовалась при массовом распространении Trojan.Winlock. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифруют их. Зашифровав файлы, энкодеры требуют у жертвы оплатить их расшифровку, при этом сумма «выкупа» может достигать нескольких тысяч долларов.

Троянец Trojan.Encoder.205 и его более поздняя модификация — Trojan.Encoder.215 – начали массово распространяться в конце марта — начале апреля 2013 года. Как правило, заражение происходит с использованием массовой рассылки сообщений электронной почты, содержащих эксплойт для одной из уязвимостей (CVE-2012-0158). С использованием этого эксплойта на компьютер жертвы проникает троянец-загрузчик, который, в свою очередь, скачивает и устанавливает энкодер. По данным на пятницу, 19 апреля 2013 года в службу технической поддержки компании «Доктор Веб» уже обратилось 105 пользователей, пострадавших от Trojan.Encoder.205, и 74 жертвы троянца Trojan.Encoder.215, при этом заявки продолжают поступать.

Зашифровав файлы на инфицированном компьютере, вредоносная программа демонстрирует на экране следующее сообщение, начинающееся с фразы «Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024» или «Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма. Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.», при этом жертве предлагается отправить письмо на адрес электронной почты muranchiki@yahoo.com, gdf@gdfsgd.com, specialmist@gmail.com или decrypfiles@yahoo.com.

В последнее время наблюдается распространение еще одной модификации данной угрозы, отличающейся от предшественниц другим текстом и адресом электронной почты (на 19 апреля служба технической поддержки «Доктор Веб» зафиксировала 58 обращений пользователей, пострадавших от этой угрозы).

Несмотря на заявления киберпреступников, обе модификации троянца используют довольно примитивный потоковый алгоритм шифрования, при этом из-за недостатков реализации троянца пользовательские данные порой не могут расшифровать даже сами злоумышленники. Вместе с тем, этот алгоритм без труда поддается расшифровке специалистами «Доктор Веб». Если вы стали жертвой указанных вредоносных программ, воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему;
  • не удаляйте никаких файлов на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб», создав тикет в категории «Запрос на лечение». Эта услуга бесплатна;
  • к тикету приложите зашифрованный троянцем файл;
  • дождитесь ответа вирусного аналитика. В связи с большим количеством запросов это может занять некоторое время.

12 уязвимостей в ПО приходится в среднем на одного пользователя

Эксперты «Лаборатории Касперского» проанализировали
программы, содержащие уязвимости,которые наиболее часто используют
злоумышленники для совершения атак на компьютеры. Согласно данным
опубликованного отчета, в среднем на одного пользователя приходится 12
уязвимостей в ПО. Всего же было обнаружено свыше 132 млн уязвимых
приложений. Эти и другие цифры и тенденции удалось выявить в ходе
исследования данных, полученных с 11 млн компьютеров, входящих в состав
облачной сети Kaspersky Security Network, в период с января по декабрь
2012 года.

За год было обнаружено 806 уникальных уязвимостей. Только 37 из них
найдены по меньшей мере на 10% компьютеров в течение как минимум одной
недели в период анализа. Это уязвимое ПО, способное привлечь внимание
злоумышленников.Данные 37 уязвимостей были обнаружены в 11 различных
группах программ. Наиболее уязвимыми продуктами являются Adobe
Shockwave/Flash Player, Apple iTunes/QuickTime и Oracle Java.
Распределение уязвимостей по группам ПО. (Для каждой группы ПО приведено
количество преобладающих уязвимостей, а также тот период, когда
уязвимости были обнаружены).

В ходе исследования стало понятно, что даже когда производитель ПО
прикладывает все усилия для обнаружения брешей в защите и своевременно
выпускает обновления, известная эксплуатируемая злоумышленниками
уязвимость на миллионах компьютеров может оставаться незакрытой в
течение нескольких месяцев после того, как была обнаружена и исправлена.
Существуют уязвимые программы, продолжающие оставаться на компьютерах и
через несколько лет после обнаружения и исправления.

«Самый тревожный вывод из этого исследования таков: пользователи
трех наиболее уязвимых программ (Java, Flash Player и Adobe Reader)
крайне неохотно переходят на новые, безопасные версии, —
комментирует эксперт «Лаборатории Касперского», руководитель
группы исследования уязвимостей Вячеслав Закоржевский. — При
дальнейшем изучении использования Oracle Java становится видно,
насколько серьезна ситуация: через семь недель после выпуска новой
версии обновление выполнили менее 30% пользователей, несмотря на
реальную угрозу кражи данных. Для достижения таких же показателей по
установке пользователями свежих обновлений наиболее популярных
веб-браузеров требуется всего 5-7 дней».

Чтобы пользователь мог свободно выбирать любую программу, требуется
соблюдение определенных мер предосторожности. «Лаборатория
Касперского» дает несколько рекомендаций:
* обновляйте
актуальность версий установленного ПО и удаляйте программы, которые не
используются. Особое внимание уделите программам Oracle Java, Adobe
Flash Player и Adobe Reader — уязвимости в этих программах
используются чаще всего;
* не стоит думать, что если используете
компьютер Apple, вы автоматически защищены от уязвимостей. К сожалению,
угрозы чаще всего работают на нескольких платформах сразу. К примеру,
небезызвестный ботнет Flashfake использовал уязвимость в Java. То же
касается и платформы Linux: хотя злоумышленники атакуют ее меньше, она
может стать точкой входа для целевой атаки на компанию;
* всегда
используйте защитное ПО: наличие самых свежих версий всех программ не
защищает вас от новейших эксплойтов, использующих уязвимости
«нулевого дня». «Лаборатория Касперского»
предлагает новую технологию, разработанную для обнаружения и
блокирования даже новых и неизвестных эксплойтов, получившую название
Automatic Exploit Prevention;
* используйте специальное ПО для
проверки установленных программ на предмет уязвимостей. Проще всего это
сделать при помощи полнофункционального комплекса, такого как Kaspersky
Internet Security.

С полной версией отчета «Оценка уровня опасности уязвимостей в
ПО» можно ознакомиться на www.securelist.com/ru.

Почти всем известно, что многочисленные хакеры спят и видят, как бы украсть ценные данные из корпоративных сетей.  Но хотя о способах проникновения в корпоративные сети написаны целые тома, мало кто уделяет столько же внимания способам, с помощью которых атакующие собирают и пересылают на свои компьютеры украденную информацию.

Как хакеры крадут ваши данные

Конечно, обычно хакеры используют вполне логичную схему. Первым делом атакующий получает доступ к одному из компьютеров компании с помощью фишингового письма, содержащего вредоносный документ PDF или Word, – пораженная машина станет плацдармом атакующих в корпоративной сети. Отсюда атакующий будет вести поиск других уязвимостей, чтобы прыгать из компьютера в компьютер в поисках ценных данных – таблиц, документов, финансовой информации и других нужных файлов.

Когда подобные данные найдены, наступает время «экспорта». Файлы должны быть где-то собраны, и обычно атакующий выбирает под склад один из пользовательских компьютеров в сети, а не сервер.  По словам Райана Казанцияна и Шона Койна (Ryan Kazanciyan, Sean Coyne) из компании Mandiant, специализирующейся на безопасности, подобная тактика хакера обусловлена привычками пользователей – они обычно не следят, сколько на их компьютере свободного места, в то время как системный администратор может заметить, что на одном из серверов неожиданно прибавилось данных.

Некоторые хакеры собирают все данные на «складской» машине, а потом скачивают их в один прием. Но чаще атакующие загружают информацию понемногу – даже несмотря на то, что риск обнаружения в таком случае выше. И хотя некоторые хакеры крадут только конкретные данные, многие другие воруют все, на что могут наложить лапу, – это характерный признак большой операции, в которой предусмотрены людские ресурсы для ручного разбора и анализа кучи награбленного в поисках ценностей.

Ключевая часть стратегии защиты – не устранение уязвимости, которой воспользовались атакующие, а проактивные действия по поиску слабых мест в своей защите и их устранение заранее, до того как «дырой» воспользовались. Нужно заботиться о том, чтобы сеть всегда была защищена на максимально возможном уровне, предотвращая угрозы до их возникновения.

«Трудно оценить последствия таких краж данных, поскольку ценность многих видов информации еще не осознается, – сказал Койн – Во многих случаях, над которыми мы работали, атакующие были внутри месяцами и годами. Если все усилия по информационной безопасности брошены на смягчение последствий после взлома, то эта работа практически бессмысленна»

ИСТОЧНИК