Международная антивирусная компания ESET представила отчет о ключевых событиях 2013 года в сфере информационной безопасности.
Уходящий год запомнился целым рядом знаковых событий, одним из которых стала серия кибератак на ведущие СМИ и IT-корпорации, расположенные преимущественно в США — в разное время атакам подверглись издания New York Times, Wall Street Journal, Washington Post, а также Twitter, Facebook, Evernote, Apple и Microsoft. Эти атаки в той или иной степени привели к утечке персональных данных работников компаний и пользователей сервисов.
Так, итогом кибератаки на Adobe Systems стала компрометация десятков миллионов аккаунтов клиентов компании, а также утечка исходных кодов таких распространенных продуктов, как Adobe Acrobat, ColdFusion и Photoshop.
Впрочем, активность хакеров была направлена не только на IT-компании, но и на рядовых пользователей. Так, в феврале эксперты ESET обнаружили вредоносный код PokerAgent, который заражал игроков в Facebook-приложение Zynga Poker. Целью хакеров были личные данные пользователей, а также информация о привязанных к их аккаунтам банковских картах. Для получения искомых данных был создан ботнет из нескольких сотен зараженных устройств, выполнявших инструкции командного центра. В итоге PokerAgent похитил данные более 16 000 аккаунтов Facebook.
Еще одна примечательная вредоносная программа, угрожающая завсегдатаям социальных сетей, была направлена исключительно на российских пользователей — троян Win32/Bicololo.A распространялся с помощью фишинговых сообщений под видом ссылок на безобидные графические файлы. При активации подобной ссылки вместо изображения загружалось вредоносное ПО.
Попав на компьютер, Bicololo модифицировал системные файлы, чтобы при попытке пользователя зайти на сайт Вконтакте, Одноклассники или проверить почту на Mail.ru он бы вводил свои данные на фальшивой странице, принадлежащей злоумышленникам.
В 2013 году под ударом находились не только пользователи соцсетей, но и поклонники общения через интернет-мессенджеры. Так, обнаруженная экспертами ESET масштабная спам-кампания в Skype, Gtalk, QIP и ряде других мессенджеров подвергла опасности более полумиллиона пользователей во всем мире (включая 40 000 пользователей из России). При помощи фишинговых сообщений преступники заражали систему вредоносным ПО, получая доступ к персональным и аутентификационным данным жертв.
Другой крупной атакой стало распространение шпионского ПО среди польских пользователей. Аналитики вирусной лаборатории ESET в Кракове зафиксировали атаку на пользователей Skype, MSN Messenger, Jabber, GTalk, ICQ и др мессенджеров. Программа Spy.Agent собирала информацию о посещаемых сайтах, установленных приложениях, паролях к Wi-Fi, а также записывала вводимые с клавиатуры сообщения и даже прослушивала звонки.
Но действия киберпреступников не остались без ответа — так, благодаря активности компании Microsoft, в 2013 году был ликвидирован ботнет Citadel. При поддержке правоохранительных органов, провайдеров и спецслужб корпорация провела операцию по нарушению работы одного из крупнейших в мире ботнетов. Ущерб от его активности на тот момент превышал полмиллиарда долларов.
Кроме того, не повезло и Уильямсу Ульбрихту, основателю сайта для торговли запрещенными препаратами Silk Road — он был арестован в США. На другом конце света, в России, был задержан и «коллега» Ульбрихта — хакер, известный под ником Paunch. Он прославился как владелец известного набора взломщиков-эксплойтов Blackhole, который активно использовался киберпреступниками всего мира для скрытого проникновения в системы пользователей.
Тренд на анонимность киберпреступники подхватили еще в середине года — именно тогда экспертами ESET был обнаружен ботнет Atrax, технически самый сложный и интересный ботнет для анонимной сети TOR. Поскольку передача данных в этой сети — процесс небыстрый, то ботнет не использовался для кражи больших объемов данных. Вместо этого он собирал информацию, вводимую в формы авторизации на различных порталах, а также загружал на ПК дополнительные вредоносные файлы. Atrax попадает на ПК через специальную вредоносную страницу, замаскированную под сайт службы поддержки клиентов PayPal.
Обнаружить и уничтожить командный центр этого ботнета — непростая задача, поскольку в данном случае анонимность TOR защищает не пользователей, а самих киберпреступников. Можно предположить, что с ростом миграции в «скрытый интернет» мы увидим новые, технологически еще более совершенные угрозы для TOR.
Еще одной, пока сравнительно экзотичной разновидностью ботнетов, стали ботнеты для мобильных устройств. Впервые зафиксированные в 2012 году, сегодня большая часть вредоносных программ для Android содержит функционал по объединению зараженных смартфонов и планшетов в ботнеты.
Если говорить о мобильных угрозах в целом, то, по сравнению с аналогичным периодом прошлого года, количество новых семейств вредоносных программ для Android (которые по-прежнему составляют до 99% всех мобильных угроз) в 2013 году выросло на 43,6%, причем речь не только о росте активности известных угроз, но о появлении новых категорий ПО.
Загрузчик пытается загрузить из интернета файлы других вредоносных программ и установить их на устройство. Дроппер устанавливает другие угрозы на устройство при запуске; угрозы находятся в теле самого дроппера. Кликер предназначен для генерации трафика на сайты через искусственное увеличение количества кликов. Банковское вредоносное ПО специализируется на краже конфиденциальной информации пользователя, которая используется для проведения операций, связанных с онлайн-банкингом.
Одной из самых активных мобильных угроз стал SMS-троян, детектируемый продуктами ESET как TrojanSMS.Agent (его модификации демонстрируют особенно высокую активность в России и странах бывшего СССР). В 2011 году была обнаружена 31 модификация этой программы, а в 2013 году их зафиксировано уже 324. Такие трояны могут тайком от пользователя отправлять сообщения на платные номера, опустошая мобильный счет.
За последний год общее количество вредоносных программ для платформы Android выросло на 63%. Наибольшие темпы роста Android-угроз продемонстрировали Иран, Китай и Россия.
Аналогичные темпы роста сохранятся и в 2014 году; новые мобильные угрозы продемонстрируют не только количественный, но и качественный рост — в частности, будут все более активно использовать уязвимости мобильных платформ и их компонентов.
Активность вымогателей в 2013 году тоже демонстрировала значительный рост — так, эксперты ESET детектировали в России стремительный рост активности трояна-шифровальщика FileCoder, который требует выкуп за расшифровку личных файлов пользователя. По сравнению со средним уровнем, зафиксированным в первой половине 2013 года, активность FileCoder возросла более чем на 200%. По данным ESET, на российских пользователей пришлось более 44% обнаружений этой программы.
Другой распространенный в 2013 шифровальщик, CryptoLocker, в качестве психологической атаки использовал обратный отсчет — зараженному пользователю давалось всего 70 часов на то, чтобы заплатить выкуп и получить доступ к зашифрованным личным данным. В противном случае он прощался с ними навсегда.
Обнаруженный экспертами ESET троян Nymaim также может блокировать компьютер пользователя с целью получения выкупа. Раньше заражение этим ПО осуществлялось при помощи уже упомянутого комплекта эксплойтов BlackHole, однако позднее киберпреступники переориентировались на распространение через поиск Google. Кликнув на вредоносную ссылку в поисковой выдаче, пользователь вместо искомой информации инициировал загрузку вредоносного архива,
В 2014 году также не стоит ждать снижения активности вымогателей — в частности, появление новых модификаций подстегнет популярность виртуальной валюты Bitcoin. Благодаря ее анонимности и высокому курсу, киберпреступники все чаще будут требовать выкуп именно в биткоинах. Впрочем, некоторые киберпреступники решили не вымогать биткоины у пользователей, а красть их напрямую — так, на кражу электронной валюты теперь нацелена новая модификация известного банковского трояна Hesperbot, широко распространенного в Европе. Хищение реализуется через получение доступа к электронному кошельку, содержащему секретные ключи.
В 2013 году компания ESET провела ряд масштабных исследований среди российских и зарубежных пользователей. Вот их краткие итоги: 60% пользователей минимум однажды теряли доступ к аккаунтам в социальных сетях в результате хакерского взлома (25% были взломаны неоднократно); для 56% пользователей мобильных устройств самой ценной информацией остается список контактов; данными, необходимыми для совершения мобильных интернет-платежей дорожат 6% опрошенных; лишиться доступа к почте или допустить утечку конфиденциальной рабочей информации опасаются 5% и 4% соответственно; от мобильного спама страдают 76% пользователей; 11% пользователей получают рекламные звонки; 56% пользователей при поиске работы не скрывают компрометирующие данные в своих профилях в социальных сетях; 65% работодателей ищут в соцсетях кандидатов, приславших им резюме (подавляющее большинство учитывают полученную информацию, принимая решение относительно кандидата); 49% опрошенных активно общаются как минимум в двух социальных сетях (а 13% используют четыре и более сервиса); вопросами информационной безопасности в той или иной степени озабочены 86% пользователей; 64% респондентов осознают личную ответственность в вопросе защиты личных данных от хакерских атак и вредоносного ПО.