Эволюция тварей: ​рост числа ​троянцев во втором квартале

Бизнес

«Лаборатория Касперского» опубликовала ​ежеквартальное исследование вредоносных программ «Эволюция ИТ-угроз во втором квартале 2014 года«, в котором хватает угрожающей статистики. Большинство цифр не слишком радует: и обычные, и корпоративные пользователи подвергаются нападениям частым и сильным. Например, во 2 квартале 2014 года 927 568 компьютеров с продуктами «Лаборатории Касперского» были атакованы банковским вредоносным ПО, что является проблемой как для предприятий, так и для частных лиц. В общей сложности, получено 3 455 530 уведомлений о попытках заражения компьютеров финансовыми вредоносными программами.

Сам отчет довольно большой, поэтому мы лучше сосредоточимся на связанных с бизнесом моментах, таких как уже упоминавшаяся кампания Luuuk. Это была продолжительная атака на клиентов крупного европейского банка, приведшая к краже полумиллиона евро всего за одну неделю. В общей сложности специалисты «Лаборатории Касперского» выявили 190 жертв, в большинстве своем из Италии и Турции. Суммы, похищенные у каждой жертвы, колебались от €1700 до €39 000 и в целом составили €500 000. К сожалению, преступники, по-видимому, почувствовали, что привлекли внимание спецов по кибербезопасности, и скрылись, удалив все критичные компоненты с сервера, который они использовали в качестве «базы операций». Для анализа там осталось мало. По-видимому, мошенники использовали некий вариант банковского троянца, выполнявшего атаки типа Man-in-the-Browser, для того чтобы красть учетные данные потерпевших посредством вредоносной веб-инъекции. На основании информации некоторых лог-файлов было подмечено, что вредоносная программа воровала имена пользователей, пароли и разовые коды доступа (OTP) в реальном времени.

Географическое распределение атак "финансовых" зловредов во втором квартале 2014 года.

Географическое распределение атак «финансовых» зловредов во втором квартале 2014 года.

Во втором квартале была выявлена еще одна масштабная угроза — MiniDuke, APT-кампания начала 2013 года возобновилась, обрастя некоторыми серьезными и новыми дополнениями.

Мишенями новых операций MiniDuke (также известной также TinyBaron и CosmicDuke) стали правительственные учреждения, дипломатические миссии, энергетики, военные и операторы связи, а это значит, что коммерческие подрядчики основных игроков в этих областях, вероятно, под угрозой.

Необычно то, что список жертв еще включает тех, кто участвует в поставке и перепродаже незаконных веществ, в том числе стероидов и гормонов. Причина этого не ясна. Вполне возможно, что настраиваемый бэкдор доступен в качестве так называемой «легальной шпионской программы». Но это также может просто означать, что она доступна на черном рынке и была приобретена некими компаниями в фармацевтическом бизнесе для слежки друг за другом.

Кампания нацелена на страны всего мира, в том числе Австралию, Бельгию, Францию, Германию, Венгрию, Нидерланды, Испанию, Украину и США.

Масштабная мошенническая кампания была выявлена в связи с чемпионатом мира по футболу в Бразилии из-за того что бразильские преступники взялись за дело особо рьяно. Они организовывали атаки с доменов, зарегистрированных под именами известных местных брендов, в том числе платежных сервисов, банков и интернет-магазинов. Поддельные сайты мошенников были сработаны профессионально и снабжены даже хорошей имитацией подлинности в виде купленных сертификатов SSL у таких регистраторов, как Comodo, EssentialSSL, Старфилд, Register.com и других. Очевидно, что сайт с «легитимным» сертификатом SSL, скорее всего, способен обмануть даже сведущих в вопросах безопасности потребителей. И эти сайты действительно обвели нескольких людей вокруг пальца, подсадив им вредоносное ПО.

Они также рассылали письма с предложением бесплатных билетов на матчи чемпионата мира, но ссылка оттуда приводила к банковскому троянцу. Некоторые из этих сообщений электронной почты содержали личные данные, украденные из взломанной базы данных, чтобы добавить правдоподобности фальшивке.

Ситуация с безопасностью мобильных устройств тоже мрачная. Во втором квартале 2014 года были обнаружены:

  • 727 790 инсталляционных пакетов;
  • 65 118 новых вредоносных мобильных программ;
  • 2033 мобильных банковских троянца.

Только эти две тысячи мобильных банковских троянцев могут принести больше вреда, чем что-либо еще. Кроме того, это еще и наиболее быстро растущий тип вредоносных программ для мобильных устройств. По сравнению с прошлым кварталом специалисты «Лаборатории Касперского» зафиксировали прирост в 1,7 раза. С начала 2014 года количество банковских троянцев увеличилось почти в четыре раза, а в течение года (с июля 2012 г.) — в 14,5 раза. По-видимому, злоумышленники заинтересованы в «больших» деньгах и должны писать все более новые вредоносы из-за активных контрмер со стороны вендоров защитных решений.

Интересно отметить, что география заражений мобильными банковскими троянцами изменилась. Россия по-прежнему является популярной мишенью в мире, но теперь уже не Казахстан, а США занимают второе место. 91,7% всех атак банковских троянцев направлены на российских пользователей, в то время как на пользователей из США приходится 5,3% всех атак. Казахстан по этому показателю опустился на 7-е место.

Был также обнаружен первый мобильный шифратор-вымогатель. В середине мая на одном из форумов вирусописателей появилось предложение приобрести уникальный троянец-шифратор за $5000, работающий на ОС Android. Вскоре после этого мы обнаружили Trojan-Ransom.AndroidOS.Pletor.aуже в «дикой природе».

Он определенно имеет российское происхождение (или, по крайней мере, его авторы говорят по-русски) и ориентирован на российских пользователей. После запуска троянец использует алгоритм AES для шифрования содержимого карты памяти смартфона, в том числе медиафайлов и документов. За этим сразу Pletor отображает требование выкупа на экране. Для перевода денег пользователю предлагают кошельки QIWI, Visa, систему MoneXy или стандартное зачисление средств на номер телефона.

К концу второго квартала «Лаборатории Касперского» удалось идентифицировать более 47 версий троянца. Все они содержат ключ, необходимый для расшифровки всех файлов.

Для связи с киберпреступниками одна версия троянца использует сеть TOR, прочие — HTTP и SMS. Троянцы этой второй группы показывают пользователю видеоизображение его самого в окне с требованием выкупа деньги, транслируемом в режиме реального времени с использованием фронтальной камеры смартфона.

Это, безусловно, ориентированная на единичного пользователя вредоносная программа, однако, если учитывать склонность людей использовать свои мобильные устройства для хранения рабочих файлов, подобные зловреды могут нанести ущерб и бизнесу.

Другие связанные с бизнесом ключевые события второго квартала:

  • Уязвимость в OpenSSL #heartbleed, всерьез ударившая по бизнесу во всем мире.
  • Новый банковский троянец Pandemiya, крадущий платежную информацию.
  • Глобальная «Операция Товар«, начатая вендорами защитных программ и правоохранительными органами против пресловутого (или попросту ненавистного) ботнета GameOverZeuS, который был временно «обезглавлен». Тем не менее, ожидается, что он скоро опять заработает, поскольку его владельцы все еще на свободе, а инфраструктура (за исключением серверов управления) осталась нетронутой.

Полную версию отчета можно прочитать здесь.