Развитие информационных угроз во втором квартале 2014 года04.08.2014 15:06

Цифры квартала По данным KSN, во втором квартале 2014 года продукты «Лаборатории Касперского» заблокировали 995 534 410 вредоносных атак на компьютерах и мобильных устройствах пользователей. Решения «Лаборатории Касперского» отразили 354 453 992 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Нашим веб-антивирусом задетектировано 57 133 492 уникальных вредоносных объектов (скрипты, веб-страницы, эксплойты, исполняемые файлы и т.д.). Зафиксировано 145 386 473 уникальных URL, на которых происходило срабатывание веб-антивируса. 44% веб-атак, заблокированных нашими продуктами, проводились с использованием вредоносных веб-ресурсов, расположенных в США и Германии. Наши антивирусные решения обнаружили 528 799 591 вирусных атак на компьютеры пользователей. Всего в данных инцидентах было зафиксировано  114 984 065 уникальных вредоносных и потенциально нежелательных объектов. Во втором квартале 2014 года банковским вредоносным ПО были атакованы 927 568 компьютеров пользователей продуктов «Лаборатории Касперского». С атакованных компьютеров было получено 3 455 530 уведомлений о попытках заражения финансовыми зловредами. Обзор ситуации Целевые атаки и вредоносные кампании «Вода на водопое отравлена» В апреле мы сообщили о новой уязвимости нулевого дня в Flash Player, которая, как мы считаем, была использована в атаках типа watering-hole, проводившихся со взломанного сирийского сайта. Этот сайт (http://jpic.gov.sy), созданный в 2011 году по заказу Министерства юстиции Сирии, был предназначен для сбора жалоб граждан о нарушениях законности и правопорядка. По нашему мнению, конечной целью атаки были сирийские диссиденты, которые жаловались на государственные органы.

В середине апреля мы проанализировали два новые SWF-эксплойта (оба проактивно детектируются продуктами «Лаборатории Касперского»). Используемая ими уязвимость была на тот момент нам неизвестна. Позднее компания Adobe подтвердила, что это новая уязвимость нулевого дня (CVE-2014–0515). Уязвимым был компонент Pixel Bender (который на данный момент уже не поддерживается Adobe), применяемый при обработке изображений и видео. В то время как первый из двух эксплойтов вполне стандартен и позволяет заражать практически любые незащищенные компьютеры, второй работает только на машинах, на которых установлены расширения Adobe Flash Player 12 ActiveX и Cisco MeetingPlace Express. Авторы эксплойта рассчитывали на то, что разработчики не найдут уязвимость в данном компоненте, что позволило бы продлить период активности эксплойта. Это свидетельствует о том, что при планировании атак злоумышленники не рассчитывали на массового пользователя.

Вероятнее всего, жертвы перенаправлялись на ресурсы с эксплойтами с помощью плавающих фреймов или скриптов на взломанных сайтах. После публикации нашего постинга об этом эксплойте нулевого дня он был более 30 раз обнаружен на компьютерах семи разных людей, причем все они находились в Сирии.

По нашему мнению, эта атака была тщательно спланирована высокопрофессиональными киберпреступниками, о чем говорит, в частности, применение профессионально написанных эксплойтов нулевого дня для взлома одного конкретного ресурса.

Техническую информацию об эксплойтах можно найти здесь.

Итальянское (и турецкое) дело В июне мы писали о своем расследовании атаки на клиентов крупного европейского банка, в ходе которой злоумышленникам удалось всего за неделю украсть более полумиллиона евро.

Мы столкнулись с первыми признаками вредоносной кампании в январе 2014 года, когда обнаружили подозрительный сервер, содержащий журналы мошеннических финансовых операций. Журналы содержали, в частности, подробные сведения о жертвах и украденных суммах. В ходе дальнейшего анализа была получена дополнительная информация. В частности, удалось идентифицировать банк, против клиентов которого была направлена атака, разобраться в особенностях системы дропов (денежных мулов) и подробностях организации атаки, а также обнаружить код на JavaScript, связанный с инфраструктурой командного сервера. Стало понятно, что это серверная часть инфраструктуры, обслуживающей банковские троянские программы. Мы решили дать этому командному серверу имя luuuk по названию папки, в которой была размещена панель управления: /server/adm/luuuk/.

Вредоносная кампания проводилась против клиентов одного конкретного банка. Несмотря на то что нам не удалось получить вредоносный код, с помощью которого заражались компьютеры жертв, мы полагаем, что киберпреступники использовали банковскую троянскую программу, в которой был реализован метод кражи учетных данных пользователей с применением вредоносной веб-инъекции, известный как «Man-in-the-Browser». Информация, найденная в некоторых лог-файлах на сервере, свидетельствует о том, что вредоносная программа в режиме реального времени крала имена и пароли пользователей, а также одноразовые пароли, необходимые для проведения транзакций.

Q2-2014-MW_Report_1_sm.jpg

Подобные веб-инъекции часто применяются в разнообразных вариациях на тему Zeus (Citadel, SpyEye, IceIX и т. д.) В процессе расследования определить вектор заражения не представлялось возможным. Как известно, банковские троянцы используют для заражения жертв самые разные методы, в том числе рассылки спама и загрузку вредоносного ПО при посещении зараженных сайтов (drive-by загрузки). После публикации нашего постинга аналитики проекта Fox-IT InTELL прислали нам информацию, которая, возможно, связана с данной кампанией. Эти данные говорят о том, что сервер Luuuk, возможно, связан с вредоносной программой ZeusP2P (известной также как Murofet), о чем мы с самого начала подозревали. Однако окончательно доказать это не представляется возможным, поскольку в процессе анализа нам не удалось обнаружить на сервере внедряемый код.

Злоумышленники использовали краденые учетные данные для проверки баланса счета жертвы и автоматического проведения вредоносных транзакций. По всей видимости, вредоносное приложение работало в фоновом режиме одновременно с легитимной сессией онлайн-банкинга. Об этом свидетельствует, например, один из обнаруженных нами вредоносных объектов (VNC-сервер), связанных с вредоносным сервером и применявшихся злоумышленниками.

Краденые средства затем автоматически переводились на заранее подготовленные счета дропов (денежных мулов). Значительный интерес представляет разделение счетов, заранее подготовленных для дропов, на группы. Существовало четыре группы дропов: каждая из них определялась размером суммы, которую дропы, в нее входящие, могли получить на свой счет. По всей видимости, это деление отражает уровень доверия к дропам из каждой группы.

Всего мы выявили 190 жертв атаки, большинство которых находятся в Италии и Турции. Суммы, украденные у каждой из жертв, находились в пределах от 1700 до 39 000 евро — всего было украдено 500 000 евро.

Злоумышленники удалили все относящиеся к вредоносной деятельности компоненты 22 января — через два дня после начала нашего расследования. Те данные об осуществленных злоумышленниками транзакциях, которыми мы располагаем, позволяют нам считать, что это скорее обновление инфраструктуры, чем полное свертывание деятельности. Наш анализ вредоносной кампании показывает, что стоящие за ней киберпреступники высокопрофессиональны и очень активны. Кроме того, они, по-видимому, принимают превентивные меры для защиты своей деятельности, а будучи обнаруженными, меняют тактику и заметают следы.

После обнаружения командного сервера мы сообщили об этом подвергшемуся атаке банку и соответствующим правоохранительным органам. Мы продолжаем расследование атаки, работая в контакте с этими органами.

«Легальное» шпионское ПО: теперь и на мобильных устройствах В июне мы опубликовали результаты своего новейшего исследования, в рамках которого была проанализирована «легальная» шпионская программа Remote Control System (RCS), созданная итальянской компанией HackingTeam. С ПО, разработанным этой компанией, мы сталкиваемся уже не первый раз. Однако с момента публикации нашей предыдущей статьи об RCS произошли значительные события.

Во-первых, мы обнаружили характерный признак, по которому можно распознать командные серверы RCS. При отправке на сервер RCS специального запроса выдается следующее сообщение об ошибке:

Q2-2014-MW_Report_2_sm.jpg

С помощью этого метода нам удалось просканировать все пространство IPv4, что позволило определить IP-адреса командных серверов RCS по всему миру. Всего было обнаружено 326 командных серверов, причем большинство из них находится в США, Казахстане и Эквадоре. Список командных серверов можно увидеть здесь. На основе информации WHOIS для некоторых IP-адресов было установлено, что они имеют отношение к государственным организациям. Конечно, мы не можем быть уверены в том, что серверы, расположенные в определенной стране, используются спецслужбами той же страны, однако это имеет свой резон: так проще избежать юридических проблем с другими странами и изъятия серверов.

Во-вторых, мы обнаружили несколько мобильных вредоносных модулей для Android, iOS, Windows Mobile и BlackBerry, созданных HackingTeam. Все эти модули управляются конфигурационными файлами, имеющими одинаковый формат, — это с хорошей долей вероятности указывает на то, что они имеют отношение друг к другу и принадлежат к одному семейству. Ввиду популярности iOS и Android мы, естественно, обращали на эти платформы основное внимание при анализе мобильных модулей.

Вредоносные модули устанавливаются с помощью модулей заражения — специальных исполняемых файлов для Windows или Mac OS, работающих на уже зараженных компьютерах. Модуль для iOS может использоваться только на устройствах, подвергшихся джейлбрейкингу. Это ограничивает возможности распространения, однако метод заражения, применяемый RCS, позволяет злоумышленнику запустить утилиту для джейлбрейкинга (например, Evasi0n) через зараженный компьютер, к которому подключено устройство, — при условии, что устройство разблокировано.

Модуль для iOS обеспечивает злоумышленникам доступ к данным, хранящимся на устройстве (в частности, к электронной почте, контактам, истории звонков, и сохраненным в кэше веб-страницам), и дает возможность без ведома пользователя включать микрофон и регулярно делать снимки камерой устройства. Это позволяет полностью контролировать среду как на компьютере жертвы, так и вокруг него.

Модуль для Android защищен оптимизатором/обфускатором DexGuard, и потому его очень сложно анализировать. Однако мы обнаружили, что образец обладает всем функционалом вышеописанного модуля для iOS, а также поддерживает кражу информации из следующих приложений: «com.tencent.mm», «com.google.android.gm», «android.calendar», «com.facebook», «jp.naver.line.android» и «com.google.android.talk».

Полный список функций можно найти здесь.

Эти новые данные дают представление о том, насколько сложны подобные инструменты слежки. У «Лаборатории Касперского» однозначная позиция по отношению к подобным инструментам. Мы стремимся обнаружить и обезвредить любую вредоносную атаку, вне зависимости от ее источника и целей. Для нас не существует «правильного» и «неправильного» вредоносного ПО; в прошлом мы неоднократно публиковали предупреждения о рисках, связанных с так называемым «легальным» шпионским ПО. Критически важно, чтобы эти инструменты слежки не попали в плохие руки, — именно поэтому индустрия IT-безопасности не может делать исключений в том, что касается обнаружения вредоносных программ.

MiniDuke: перезагрузка Начало 2014 года ознаменовалось повторной активизацией MiniDuke — вредоносной кампании класса APT, которая впервые проводилась в начале 2013 года. Исходная кампания выделялась на фоне других атак по нескольким причинам. Она использовала нестандартный бэкдор, написанный на «старорежимном» языке ассемблера. Управление атакой осуществлялось через уникальную инфраструктуру, в которой использовались резервные каналы, в том числе учетные записи Twitter. Для скрытой передачи обновленных исполняемых файлов разработчики маскировали их под GIF-изображения.

Среди мишеней новой кампании MiniDuke (известной также под названиями TinyBaron и CosmicDuke) государственные органы, дипломатические учреждения, энергетические компании, военные, включая военных подрядчиков, и операторы связи. При этом, как ни странно, в число жертв также входят лица, причастные к торговле и перепродаже запрещенных препаратов, в том числе стероидов и гормонов. Причины этого неясны. Возможно, что нестандартный бэкдор предлагается в качестве так называемого «легального шпионского ПО». Не исключено также, что несколько игроков фармацевтического рынка приобрели программу на подпольном рынке для слежки друг за другом.

Жертвы кампании находятся в разных странах по всему миру, в том числе в Австралии, Бельгии, Венгрии, Германии, Испании, Нидерландах, США, на Украине и во Франции.

На одном из проанализированных нами серверов был найден длинный список жертв, датируемый апрелем 2012 года. На сервере было обнаружено 265 различных идентификаторов жертв, которым соответствуют 139 уникальных IP-адресов, географически относящихся к Грузии, России, США, Великобритании, Казахстану, Индии, Беларуси, Кипру, Украине и Литве.

Наш анализ показал, что атакующие стремились расширить географический охват своих операций и сканировали диапазоны IP-адресов и серверов в Азербайджане, Греции и на Украине.

Вредоносная программа подменяет популярные приложения, работающие в фоновом режиме, копируя у них описания файлов, пиктограммы и даже размеры файлов. Сам бэкдор скомпилирован с помощью «BotGenStudio» — настраиваемого фреймворка, позволяющего злоумышленникам включать и отключать компоненты при конструировании бота. Компоненты вредоносной программы можно классифицировать в соответствии с их функционалом:

(1) Устойчивость. Вредоносная программа может запускаться автоматически с помощью Планировщика заданий Windows в определенное время или при активации скринсейвера.

(2) Сбор данных. Вредоносная программа способна не только красть файлы с определенными расширениями, но и собирать на компьютерах жертв пароли, историю посещения сайтов, данные о сети, списки контактов, информацию, выводимую на экран (снимки экрана делаются каждые пять минут) и другие конфиденциальные данные.

Каждой жертве присваивается уникальный идентификатор, который позволяет отправлять индивидуально отобранные обновления. Вредоносная программа защищена при помощи специального обфусцированного загрузчика, который очень сильно загружает процессор на 3–5 минут непосредственно перед выполнением основного кода. Это не только затрудняет анализ троянца, но и приводит к потреблению значительных ресурсов эмуляторами, встроенными в защитные программы. Помимо собственного обфускатора, вредоносный код широко использует шифрование и сжатие, основанное на алгоритмах RC4 и LZRW соответственно. Реализация этих алгоритмов имеет незначительные отличия от стандартной версии — по нашему мнению, эти изменения были сделаны специально, чтобы ввести исследователей в заблуждение.

Одним из технически сложных компонентов вредоносной программы является хранилище данных. Внутренняя конфигурация троянца зашифрована, сжата и организована в сложную, подобную реестру структуру с разными типами записей, включая строковые, целочисленные и внутренние ссылки.

(3) Передача данных. Вредоносная программа использует несколько видов сетевых соединений для передачи данных, включая отправку данных на FTP и три различных способа передачи данных через HTTP. В процессе загрузки на командный сервер файл разбивается на маленькие (размером около 3 КБ) фрагменты. Эти фрагменты сжимаются, шифруются и помещаются в контейнер, который загружается на сервер. Большой файл может быть «разложен» на несколько сотен контейнеров, каждый из которых загружается на сервер независимо от других. По всей вероятности, эти фрагменты данных анализируются, расшифровываются, распаковываются и вновь собираются в файлы на стороне атакующих. Столь сложная система может выглядеть избыточной, однако все эти уровни дополнительной обработки гарантируют, что очень немногие исследователи смогут добраться до исходных данных. Кроме того, это повышает надежность системы и ее устойчивость к сетевым ошибкам.

Как и с любой другой атакой класса APT, атрибуция в данном случае практически невозможна. Несмотря на то что злоумышленники используют в нескольких местах английский язык, есть основания полагать, что этот язык для них неродной. В участке памяти, добавленном к вредоносному компоненту, отвечающему за устойчивость, мы нашли строки, указывающие на то, что родной язык злоумышленников, возможно, русский. Об этом же говорит и тот факт, что веб-шелл, примененный киберпреступниками для взлома веб-серверов с целью размещения на них командного сервера, использует кодовую страницу 1251. Эта кодовая страница обычно используется для отображения кириллических символов. Точно такой же веб-шелл мы уже встречали в атаках другой группы киберпреступников, известной как Turla, Snake или Uroburos).

Онлайн-мошенники: Кубок мира, он же полная чаша Мошенники всегда пристально следят за крупными спортивными событиями, на которых можно сделать деньги; мировой чемпионат по футболу не стал исключением. Перед чемпионатом мы уже рассказывали о том, как мошенники разными способами пытались нагреть руки на доверчивых футбольных фанатах, приезжающих в Бразилию на главное событие всего футбольного мира.

Один из очевидных способов заработать на мошенничестве — это проведение фишинговых атак. Часто фишеры прибегают к такому методу, как взлом легитимного веб-сайта и размещение на нем своей страницы. Однако бразильские киберпреступники пошли дальше и научились проводить атаки, которые обычным людям распознать очень сложно: они зарегистрировали домены под имена известных локальных брендов — компаний, выпускающих кредитные карты, банков, интернет-магазинов и т.д. Причем киберпреступники и на этом не остановились: веб-сайты были не только очень профессионально оформлены, но для большего эффекта подлинности были куплены SSL-сертификаты у соответствующих центров сертификации: Comodo, EssentialSSL, Starfield, Register.com и др. Понятно, что если на сайте есть «легитимный» SSL-сертификат, то на удочку, скорее всего, попадутся даже самые бдительные пользователи.

Q2-2014-MW_Report_3_sm.jpg

Киберпреступники воспользовались доступностью сертификатов, которыми можно подписывать вредоносные программы. Для начала злоумышленники рассылают сообщения, в которых предлагаются бесплатные билеты на Чемпионат мира; сообщения содержат ссылку, ведущую на банковский троянец:

Q2-2014-MW_Report_4.jpg

В некоторые из этих писем для достоверности вставляются личные данные из взломанной базы данных.

Надо сказать, что бразильские киберпреступники не ограничиваются одним фишингом. Ранее мы рассказывали о том, как они перехватывают данные кредитных карт, используя вредоносные программы, заражающие кассовые терминалы и устройства для ввода PID-кодов. Эти устройства подсоединяются к компьютеру через USB или последовательный порт и в процессе работы обмениваются данными с ПО для осуществления электронных платежей. Троянцы, используемые киберпреступниками, заражают компьютер и перехватывают данные, передаваемые через эти порты. Устройства для ввода PIN-кодов имеют специальные средства защиты, которые удаляют ключи безопасности в случае попыток вмешаться в работу устройства. PIN-код шифруется сразу после ввода, обычно шифром Triple DES. Однако на устройствах устаревшего образца данные первой дорожки (Track 1): номер кредитной карты, срок действия, код подтверждения и CVV-код, –, а также открытые данные, хранящиеся на чипе карты, не шифруются и передаются на компьютер через USB или последовательный порт в открытом виде. В этом случае в руки киберпреступников попадает все, что им нужно, чтобы создать клон карты.

Еще киберпреступники используют в своих интересах стремление пользователей оставаться на связи, где бы они ни находились: пользователи выходят в интернет, чтобы опубликовать фотографии, рассказать в соцсетях о происходящих событиях, узнать новости, найти информацию о ресторанах, магазинах и гостиницах. К сожалению, в роуминге мобильная связь обычно стоит очень дорого, и потому люди стремятся найти ближайшую точку доступа Wi-Fi. Как мы писали в отчете о Wi-Fi в Бразилии, такая практика опасна: данные, отправляемые и получаемые через открытые Wi-Fi сети, могут перехватываться, а пароли, PIN-коды и другие конфиденциальные данные легко могут быть украдены. В довершение всего, киберпреступники устанавливают фальшивые точки доступа, настроенные так, чтобы пропускать весь трафик через хост, который может использоваться для контроля потока данных и даже функционировать в качестве устройства-посредника, способного перехватывать и читать зашифрованный трафик (атака типа «man-in-the-middle»).

Кроме того, в нашем отчете говорилось о рисках, связанных с зарядкой мобильных устройств через USB-порты, установленные в публичных местах. Вредоносные зарядные станции вполне справятся с зарядкой аккумулятора вашего устройства, но при этом они могут незаметно скопировать данные с него или даже установить вредоносное ПО.

Q2-2014-MW_Report_5_sm.jpg

Есть еще один способ, с помощью которого мошенники могут вытянуть деньги у обычных пользователей, даже если те не занимаются поиском билетов на чемпионат мира. Футбольных фанатов по всему миру огромное количество, и живут они все в разных часовых поясах. У некоторых не получается посмотреть матч по телевизору, попросту потому, что во время матча они находятся не дома, и зачастую они ищут онлайн-трансляцию матча в Сети. К сожалению, такой поиск прямых трансляций в интернете может стоить слишком дорого или привести к заражению вашего компьютера. Дело в том, что некоторые рекламные ссылки, которые вы найдете при поиске, ведут на мошеннические или вредоносные ресурсы. Попав на мошеннический веб-сайт, вы получите сообщение, что для просмотра онлайн-трансляции нужно установить специальный плагин. На самом деле это рекламная программа, которая ничего не показывает, но расходует значительную часть ресурсов вашего компьютера. Рекламное ПО находится на тонкой грани, разделяющей легитимное и вредоносное ПО. Не приходится удивляться, что обнаружение подобных программ учитывается в нашей статистике. Подробную информацию о программах этого типа можно найти здесь.

Q2-2014-MW_Report_6_sm.jpg

Заплати налоги –, но не попадись на удочку фишерам Фишеры используют в своих целях не только крупные спортивные состязания. Зачастую они проводят свои кампании, ориентируясь на более прозаические стороны жизни. В мае многие жители Колумбии получили электронное письмо с обвинениями в мошенничестве и уклонении от налогов. Чтобы придать сообщению убедительности, злоумышленники утверждали, что это уже третье уведомление на данную тему. Электронное письмо содержало ссылку на зараженный документ Word. Microsoft Office по умолчанию блокирует макрокоманды, внедренные в документы, поэтому киберпреступники приложили к письму инструкцию для получателей по разблокированию макросов.

Q2-2014-MW_Report_7.jpg

Кликнув по документу, жертва запустит загрузку на компьютер еще одного вредоносного файла со взломанного сервера, находящегося в Эквадоре. Это вредоносная программа, предназначенная для кражи паролей к учетным записям в онлайн-играх, PayPal, файлообменных сервисах, социальных сетях (в том числе Facebook и Twitter), системах онлайн-банкинга и т.д.

Попытки запугивания потенциальных жертв и в частности фальшивые письма, якобы отправленные налоговыми органами, — это приемы, широко используемые фишерами по всему миру.

В апреле мы опубликовали подробный отчет о финансовой киберпреступности, подготовленный на основе данных Kaspersky Security Network. Отчет по фишингу можно прочитать здесь.

Вредоносные программы: ранняя загрузка. Буткиты в арсенале киберпреступников При создании вредоносного кода одна из ключевых задач, которые ставят перед собой киберпреступники, — обеспечить как можно более раннюю загрузку вредоносного контента при загрузке операционной системы. Это позволяет получить максимально возможный контроль над системой. Буткиты — наиболее сложная и эффективная технология подобного рода, позволяющая запускать вредоносный код еще до загрузки операционной системы. Эта технология реализована в многочисленных вредоносных программах. Среди наиболее заметных примеров — XPAJ и TDSS, однако существует множество других вредоносных программ, использующих буткиты, в частности такие целевые атаки, как Mask.

За последние годы буткиты проделали путь от концептуальных разработок до массового распространения, как мы писали здесь. После публикации исходного кода банковской троянской программы Carberp буткиты, по сути, превратились в ПО с открытым исходным кодом: для защиты Carberp использовался буткит Cidox, и его исходный код был опубликован вместе с исходным кодом Carberp.

Очевидно, что историю развития буткитов следует рассматривать в общем контексте игры в кошки-мышки между создателями вредоносных программ и антивирусными экспертами. Они постоянно ищут новые способы избежать обнаружения — мы постоянно ищем способы повысить эффективность защиты наших пользователей. В упомянутом выше отчете также рассматриваются преимущества интерфейса UEFI (Unified Extensible Firmware Interface), а также возможные способы, с помощью которых авторы вредоносных программ могут пытаться обойти обеспечиваемые UEFI меры безопасности.

Безопасность в интернете и кража данных: Windows XP — без поддержки, но с пользователями Поддержка Windows XP прекращена 8 апреля. Для этой операционной системы больше не будут выпускаться обновления безопасности и не связанные с безопасностью исправления, не будут предлагаться услуги бесплатной или платной технической поддержки и обновления технического контента на сайтах компании. К сожалению, число пользователей Windows XP по-прежнему велико — по нашим данным за период после 8 апреля 2014 года, около 18 процентов всех случаев заражения приходится на компьютеры под управлением этой операционной системы. Это означает, что теперь, когда обновления безопасности больше не выпускаются, появилось большое число пользователей, уязвимых для атаки: по сути, каждая уязвимость, обнаруженная после этого дня, становится уязвимостью нулевого дня — такой, для которой даже теоретически не может быть выпущен патч.

Проблема осложняется еще и тем, что разработчики приложений также прекращают выпуск обновлений для Windows XP. Каждое не обновляемое приложение станет потенциальной точкой проникновения вредоносного кода в систему, расширяя возможности киберпреступников по проведению атак. Этот процесс уже начался: последняя версия Java не поддерживает Windows XP.

Переход на более новую операционную систему кажется на первый взгляд простым решением. Однако несмотря на то что Microsoft задолго предупредила о предстоящем прекращении поддержки, легко понять, почему для некоторых компаний переход на новую операционную систему сопряжен со значительными сложностями. В дополнение к расходам, непосредственно связанным со сменой операционной системы, зачастую необходимо потратиться на новое аппаратное обеспечение, а иногда и решить проблему замены специально разработанных для данной компании приложений, не совместимых с более поздними операционными системами. Поэтому нет ничего удивительного в том, что некоторые организации платят за продолжение поддержки Windows XP.

Если вы не готовы переходить на новую операционную систему прямо сейчас, сможете ли вы обеспечить свою безопасность? Защитит ли вас антивирусное решение?

Антивирусное решение, несомненно, способно обеспечить защиту. Однако это относится лишь к тем антивирусам, которые представляют собой полнофункциональные решения класса Internet Security, использующие технологии проактивной защиты от новых, еще неизвестных угроз — в частности, функционал, предотвращающий применение на компьютере эксплойтов. Базового антивирусного продукта, основанного прежде всего на сигнатурном обнаружении угроз, недостаточно. Но при этом следует понимать, что со временем защитные технологии, вновь создаваемые производителями антивирусных решений, могут оказаться несовместимыми с Windows XP.

В крайнем случае такой вариант можно рассматривать как временное решение, которое позволит вам не торопясь определиться со стратегией перехода на новую операционную систему. Вирусописатели, несомненно, будут ориентироваться на Windows XP, пока у этой системы будет оставаться значительное число пользователей, поскольку необновляемая операционная система будет давать им гораздо большее пространство для маневра. Подключенный к корпоративной сети компьютер под управлением Windows XP — это слабое звено, которым можно воспользоваться в ходе целевой атаки на компанию. В случае успешного взлома такой компьютер может затем быть использован злоумышленниками для заражения других машин сети.

Нет никаких сомнений в том, что переход на новую операционную систему — в равной степени неудобное и затратное дело и для домашних пользователей, и для компаний. Однако потенциальный риск, связанный с использованием все хуже защищенной операционной системы, вероятно, должен перевесить неудобство и расходы.

Мобильные угрозы Цифры квартала Во втором квартале 2014 года было обнаружено:

727 790 установочных пакетов; 65 118 новых мобильных вредоносных программ; 2 033 мобильных банковских троянцев. Суммарное количество обнаруженных мобильных вредоносных объектов в 1,7 раз меньше, чем в первом квартале. Мы связываем это с началом сезона отпусков. Так в июне было зафиксировано уменьшение попыток заражений мобильных устройств троянцами.

Мобильные банковские троянцы Хотя общее количество угроз во втором квартале уменьшилось, в отчетный период мы обнаружили 2 033 мобильных банковских троянцев — в 1,7 раз больше, чем в предыдущем квартале. С начала 2014 года численность банковских троянцев увеличилась почти в четыре раза, а за год (с июля 2013) — в 14,5 раз.

Q2-2014-MW_Report_8_sm.jpgКоличество обнаруженных мобильных банковских троянцев

Такой рост обусловлен двумя факторами:

интересом киберпреступников к «большим» деньгам; активным противодействием со стороны антивирусных компаний. Отметим, что поменялась география заражений мобильными банковскими троянцами:

Q2-2014-MW_Report_9_sm.jpgГеография мобильных банковских угроз во втором квартале 2014

Топ 10 стран, атакуемых банковскими троянцами:

  Страна Количество атак % от всех атак 1 Россия 13800 91,7% 2 США 792 5,3% 3 украина 136 0,9% 4 Италия 83 0,6% 5 Белоруссия 68 0,5% 6 Республика Корея 30 0,2% 7 Казахстан 25 0,2% 8 Китай 19 0,1% 9 Великобритания 17 0,1% 10 Германия 12 0,1% На первом месте в этом рейтинге, как и ранее, Россия, а вот на второе место со значительным отрывом от остальных стран вышли США. Казахстан, который в первом квартале занимал в этом рейтинге второе место, во втором квартале оказался на седьмом.

Новинки от вирусописателей Первый мобильный шифровальщик В середине мая на одном из форумов вирусописателей появилось объявление о продаже за $5000 уникального троянца-шифровальщика, работающего в ОС Android. 18 мая мы обнаружили первого мобильного шифровальщика в дикой природе (in the wild). Этот зловред детектируется «Лабораторией Касперского» как Trojan-Ransom.AndroidOS.Pletor.a.

После запуска троянец, используя алгоритм шифрования AES, шифрует содержимое карты памяти смартфона — медиафайлы и документы. Сразу после начала шифрования Pletor выводит на экран требование о выкупе. Для получения денег от пользователей используются системы QIWI VISA WALLET, MoneXy или обычный перевод денег на номер телефона.

На конец второго квартала нам удалось обнаружить более 47 версий троянца. Все они содержат ключ, зная который можно расшифровать все файлы.

Для коммуникации со злоумышленниками одни версии троянца используют сеть TOR, другие — HTTP и SMS. Троянцы из второй группы в окне с требованием денег показывают пользователю его видеоизображение, которое в режиме реального времени транслируется с помощью фронтальной камеры смартфона.

Q2-2014-MW_Report_10_sm.jpg

Отметим, что вирусописатели используют те же приемы социальной инженерии, что и создатели ранних версии шифровальщиков под Windows: телефон пользователя якобы блокирован за просмотр запрещенного порно-контента, а все фото и видеоматериалы со смартфона «переданы на рассмотрение». Кроме того, за неуплату «штрафа» вымогатели грозятся направить все данные «в публичные источники».

Pletor нацелен на граждан России и Украины — сообщения написаны на русском языке, а выкуп со своих жертв вымогатели требуют в рублях или гривнах (сумма соответствует приблизительно 300 евро). Однако мы обнаружили заражения этим зловредом в 13 странах — в основном, на территории бывшего СССР.

Эволюция блокировщиков С точки зрения техники атак наметилась явная тенденция развития вымогателей-блокировщиков. Киберпреступники и здесь перенимают методы запугивания своих жертв, которые использовались создателями Windows-зловредов.

Первая модификация мобильного зловреда Svpeng, обладающая возможностями троянца-вымогателя, была обнаружена в начале 2014 года. Троянец блокировал работу телефона якобы за просмотр его владельцем детской порнографии. За разблокировку мобильного устройства злоумышленники требовали уплатить «штраф» в размере 500 долларов.

В начале июня мы обнаружили новую модификацию Svpeng, нацеленную преимущественно на пользователей в США. Кроме того, зловред атаковал пользователей из Великобритании, Швейца

Полный текст статьи читайте на Лаборатория Касперского