Доктор Веб: какими киберугрозами запомнился 2012 год

Игроки рынка решений в области обеспечения информационной безопасности продолжают подводить итоги завершившегося года. Свой обзор вирусной активности в 2012 году представила компания Доктор Веб. По данным экспертов, прошедший год запомнится крупнейшей в истории эпидемией троянской программы для устройств, работающих на Mac OS X. Кроме того, за прошедшие двенадцать месяцев значительно выросло количество разновидностей троянцев-энкодеров, а также число заражений этими вредоносными программами. Одна из крупнейших на сегодняшний день бот-сетей, состоящая из персональных компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысила рекордную отметку в 6 миллионов. Кроме того, значительно возросло разнообразие угроз для мобильной платформы Android.

Появление троянской программы Backdoor.Flashback.39, из-за которой разразилась эпидемия среди Apple-совместимых компьютеров, эксперты компании Доктор Веб называют одним из самых ярких событий 2012 года в сфере информационной безопасности. Впервые это вредоносное ПО было обнаружено специалистами компании Доктор Веб в конце марта 2012 года, а информационное сообщение о выявлении крупнейшего в истории ботнета, работающего под управлением Mac OS X, было опубликовано 4 апреля. Еще в конце марта в вирусную лабораторию стали поступать сообщения о распространении троянцев для Mac OS X с использованием уязвимости Java, именно тогда и возникло предположение о том, что Backdoor.Flashback.39 способен объединять «маки» в бот-сети. Уже в первые сутки стало понятно, что количество зараженных «маков» превысило 600 тысяч и продолжает стремительно расти. География распространения инфекции также была весьма обширной.

За последующие 10 дней размер бот-сети достиг максимальной отметки более 670 тысяч одновременно работающих инфицированных компьютеров и постепенно пошел на спад. В декабре 2012 года рост бот-сети Backdoor.Flashback.39 практически полностью остановился, однако окончательно она не побеждена — во всем мире еще насчитывается несколько десятков тысяч инфицированных «маков».

«Поскольку популярность системной платформы от Apple постепенно растет, а пользователи этой ОС не привыкли использовать антивирусное программное обеспечение, Mac OS X становится лакомым куском для многочисленных злоумышленников. Вряд ли среднестатистический правонарушитель пройдет мимо богато обставленной квартиры, хозяева которой по идеологическим соображениям не желают запирать входную дверь на замок», - отмечается в обзоре компании Доктор Веб.

Говоря о прогнозах на будущее и тенденциях, которые с определенной долей вероятности получат развитие в 2013 году, эксперты Доктор Веб говорят о том, что будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры.

Также среди значимых угроз 2012 года названо стремительное распространение файлового вируса Win32.Rmnet.12, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2011 года. За истекшие 12 месяцев этот зловред побил все мыслимые рекорды, образовав бот-сеть, состоящую из 6,5 миллионов инфицированных узлов. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Этот вирус заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей от популярных FTP-клиентов. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду и на уничтожение операционной системы.

Наибольшее распространение данный вирус получил в странах юго-восточной Азии, таких как Индонезия, Бангладеш, Вьетнам, Индия и Пакистан. Однако имеется значительное число инфицированных машин и в России.

Экспертами Доктор Веб ожидается, что в 2013 году в целом продолжится рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета). Возможно также и появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в ОС Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.

Активное распространения троянцев-энкодеров также названо одной из ярких тенденций 2012 года. По приблизительным подсчетам в прошлом году от действия этих вредоносных программ пострадали тысячи человек по всему земному шару.

Появление первых версий троянцев-кодировщиков было зафиксировано еще в 2009 году. Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, изображения и архивы, после чего шифруют их. За расшифровку файлов злоумышленники требуют заплатить определенную денежную сумму.

В течение длительного времени от действий троянцев-кодировщиков страдали в основном пользователи на территории России и стран бывшего СССР, однако весной 2012 года вредоносные программы семейства Trojan.Encoder вышли на зарубежные просторы. Одним из первых троянцев-вымогателей, ориентированных на западную аудиторию, стал Trojan.Encoder.94. Троянец имел англоязычный интерфейс, однако случаи заражения были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах.

К концу года ситуация с троянцами-шифровальщиками кардинально изменилась: если в 2011 году подобные вредоносные программы все еще были ориентированы в основном на русскоязычную аудиторию, то уже к декабрю 2012 года, по мнению аналитиков Доктор Веб, соотношение «российских» и «зарубежных» энкодеров составляло примерно 50/50. Основной всплеск распространения шифровальщиков, ориентированных на западный рынок, пришелся на апрель-май 2012 года, однако к осени их число несколько уменьшилось. Эксперты предполагают, что в наступающем году число энкодеров, направленных на зарубежных пользователей ПК, будет стремительно расти. В целом 2013 год можно будет, по всей видимости, назвать «годом энкодеров» — распространенность этой категории угроз вполне может принять масштабы эпидемии.

Аналитики Доктор Веб также отмечают, что в течение 2012 года появлялись новые модификации «винлоков». В частности, осенью 2012 года было зафиксировано распространение троянцев-блокировщиков, получивших общее наименование «мультилокеры». Такие троянцы не содержат каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы мультилокеры загружают с удаленного сервера. Соответственно, это позволяет злоумышленникам оперативно настраивать демонстрируемые на экране инфицированного компьютера текст, изображения, а также менять код разблокировки.

Запустившись на зараженном ПК, троянцы-мультилокеры блокируют возможность загрузки ряда приложений и системных утилит. Кроме того, некоторые модификации этих вредоносных программ способны перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. Специалистами компании Доктор Веб были зафиксированы случаи распространения подобных угроз в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии, США и нескольких других странах.

«Анализ троянцев-вымогателей, поступивших в течение года в вирусную лабораторию Доктор Веб, говорит о том, что вирусописатели понемногу отказываются от «винлоков» традиционной архитектуры, в то же время прослеживается тенденция к усложнению их конструкции и росту функциональных возможностей. Можно предположить, что подобные троянцы будут с определенной периодичностью появляться на свет и в следующем году, а ареал их распространения продолжит расширяться», - отмечается в обзоре компании Доктор Веб.

Говоря о прогнозах на 2013 год, специалисты отмечают, что в целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет ассортимент троянцев-шпионов.  Кроме того, возможно появление угроз, использующих для осуществления атак «облачные» сервисы и другие распределенные системы. Увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR. Прогнозируется также, что будет расти число и усложняться функционал банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры.

По данным специалистов Доктор Веб, продолжило неуклонно расти в 2012 году и число угроз, ориентированных на ОС Android. Наиболее распространенной и массированной угрозой по-прежнему остаются троянцы семейства Android.SmsSend, появившиеся еще в 2010 году. Основная функция этих вредоносных программ — отправка дорогостоящих SMS и подписка пользователей на различные контент-услуги.

Одной из наиболее заметных тенденций 2012 года стало существенное увеличение числа троянских программ-шпионов для ОС Android. Так, весьма показательным стало появление целого ряда троянцев, которые начиная с середины 2012 года, атаковали японских пользователей. Программы-шпионы предназначались для кражи персональной информации, такой как адреса электронной почты.

Были обнаружены и новые представители банковских троянцев, ориентированных на ОС Android (в частности, Android.SpyEye.2.origin, Android.Panda.2.origin и Android.FakeSber.1.origin). Последний особенно интересен тем, что предназначался для атаки на клиентов одного из крупнейших российских банков, в то время как другие вредоносные программы данного типа раньше представляли угрозу лишь для зарубежных пользователей.

«Это свидетельствует о том, что география применения таких вредоносных программ постепенно расширяется. Несмотря на то, что банковские троянцы для ОС Android все еще встречаются нечасто, они представляют серьезную опасность из-за точечного и хорошо спланированного характера атак. Появление первой подобной вредоносной программы в России может стать отправной точкой к увеличению инцидентов с их участием», - отмечено специалистами Доктор Веб.

Одной из наиболее опасных вредоносных программ для мобильных Android-устройств в 2012 году назван троянец Android.SmsSend.186.origin. От большинства других представителей этого семейства он отличался весьма продвинутыми методами сокрытия вредоносного функционала. Во-первых, при его распространении был использован дроппер, не требующий для работы никаких специальных разрешений. Во-вторых, после установки Android.SmsSend.186.origin заставлял пользователя предоставить ему права администратора мобильного устройства, а после их получения на некоторых версиях ОС Android его было очень сложно удалить. Эксперты отмечают, что в 2013 году с высокой долей вероятности появятся новые вредоносные программы, в той или иной степени противостоящие попыткам своего удаления, а также использующие различные техники для сокрытия своего присутствия в системе от пользователей.

В прошедшем году продолжил расширяться рынок коммерческого шпионского ПО: на протяжении всего года в вирусные базы Dr.Web вносились не только новые модификации известных приложений для кибершпионажа и мониторинга, но также целый ряд новых семейств. В 2013 году стоит ожидать увеличения количества подобных потенциально опасных программ, а также различных троянцев-шпионов. По словам аналитиков, весьма вероятной представляется угроза со стороны APT-кампаний (атак с перебором различных видов угроз и уязвимостей до получения результата), в которых будут использоваться Android-троянцы. В целом все большее число Android-угроз, так или иначе участвующих в краже конфиденциальной информации, применяется в узконаправленных атаках. Эта тенденция в ближайшем будущем сохранится.

В целом, специалисты Доктор Веб предсказывают в 2013 году значительное увеличение количества и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить от 50% до 100% от нынешнего числа известных угроз.

Еще интересное

Начал работу сервис Perma.cc, создающий «вечные» ссылки на публикации в интернете, которые могли «переехать» на другой адрес.

Современные автопроизводители прилагают максимум усилий для того, чтобы сделать средства передвижения не только быстрыми, но и комфортными. Так, многие компании оснащают свои машины «умными» инфосистемами, способными улучшить качество поездки. Однако именно это системы предоставляют злоумышленникам возможность осуществить взлом.

По словам техногиганта, брешь также затрагивает Word Viewer и Word Automation Services на Microsoft SharePoint Server.

Средняя сумма хищения с банковского счета юрлиц в прошлом году составила более 1,6 млрд руб, у физических лиц — 75 тыс. руб.
Фундаментальная проблема — нехватка специалистов со знаниями в сфере информационной безопасности. За 2003-2010 годы количество студентов на

В анонимном чате собеседник демонстрирует отличное знание хакерского жаргона? Будьте осторожны! Возможно, это талантливый сотрудник спецслужб, который выучил наизусть 83 страницы мануала.