География киберпреступлений. Западная Европа и Северная Америка

Дата: 13.02.2013
Источник: Pcidss.ru
Автор: SecureList.Com


... популярны эксплойты к продуктам Adobe.

Обман поисковых систем
Второй распространенный прием — обман поисковых систем (Black Hat SEO). В результате применения этой технологии специально созданные сайты, содержащие вредоносный код, выводятся на первые строчки в поисковой выдаче.

Работники компаний, разрабатывающих поисковые машины, следят за тем, чтобы поиск был релевантным. Поэтому выводить вредоносные сайты в топ поисковой выдачи по запросам, задаваемым ежедневно, слишком хлопотно и, вероятно, неприбыльно. Злоумышленники нашли более эффективный способ: они оптимизируют свои сайты под запросы по горячим темам, т.е. под запросы, которые актуальны в краткий промежуток времени (например, кончина какого-либо известного лица или название нашумевшего фильма), и чистоту выдачи по которым не успевают проверить работники поисковых систем.

Спам
Спам в социальных сетях и твиттере — очень популярный у злоумышленников способ распространения вредоносных ссылок. В таком спаме тоже нередко используются горячие темы.

Недавно киберпреступники, атакующие пользователей западных стран, заново открыли для себя спам в электронной почте как способ доставки «опасных» грузов. В настоящее время почта в западных странах используется в основном для подтверждения регистрации в различных сервисах и коммуникации с банками, пенсионными фондами, магазинами, государственными организациями и так далее. Поэтому письма со зловредами злоумышленники маскируют под официальные уведомления от таких организаций. В первом полугодии 2012 среднемесячный процент сообщений с вредоносными вложениями от всех электронных сообщений колебался на уровне 2,8-4,3%, что значительно больше средних показателей последних трех лет.

Согласно нашей статистике, в первой половине 2012 года среди всех источников заражений доля электронной почты составила 2,5%. При этом учитывались только письма с вредоносными вложениями и скриптами (письма с опасными ссылками классифицируются как веб-атаки), и не учитывались письма, получаемые пользователями в почтовых веб-клиентах.

Инфраструктура злоумышленников
Киберпреступления невозможны без современной инфраструктуры: серверов управления, площадок распространения вредоносных программ, прокси-серверов, ботнетов. Все эти составляющие также имеют географическую специфику.

Вредоносные хостинги
В странах Западной Европы, США и в Канаде сильная законодательная база для борьбы с вредоносным контентом. Но как это ни парадоксально, в этих странах во втором полугодии 2012 года было расположено 69% всех вредоносных хостингов: то есть существенно больше половины вредоносных программ в интернете распространяется с серверов из этих регионов.

Этому есть свое объяснение. Во-первых, в западных странах сосредоточено подавляющее большинство дата-центров в мире, которые предоставляют отказоустойчивый хостинг. Многие проекты выбирают именно такие хостинг-площадки. Киберпреступники взламывают такие серверы и получают качественный хостинг. Еще одно важное преимущество использования этих серверов заключается в том, что в ходе атаки заражение компьютера пользователя происходит с легального сайта, и это существенно затрудняет защиту.

Во-вторых, отличить киберпреступный сервер от обычного провайдеру очень и очень непросто. Поэтому хакеры без особых проблем пользуются услугами легальных провайдеров. Хотя хостинг в западных странах недешевый, доходы киберпреступников позволяют им выбирать качественные хостинг-площадки.

Доменные зоны
Для распространения зловредов злоумышленникам нужны не только физические серверы, но и доменные имена сайтов. Наибольшей популярностью у них пользуются имена сайтов в доменных зонах net, com, info и org. На эти зоны приходится 44,5% отраженных атак с вредоносных сайтов на пользователей из Северной Америки и Западной Европы.

Однако существует и множество национальных доменных зон, которые активно используют киберпреступники.

Пользователи из США, Канады и Западной Европы активно перенаправляются для заражения на сайты в доменных зонах Индии (.in), России (.ru) и Кокосовых островов (co.сс). Причем доменная зона co.cc, где можно зарегистрировать домен бесплатно, настолько замусорена, что в 2011 Google принял решение не индексировать сайты в ней, однако бесплатные домены все равно привлекают злоумышленников.

На четвертом и пятом местах расположились сайты в доменных зонах Испании (.com.es) и Италии (.it). Доменная зона Черногории — .me — выглядит так же, как английское «я», поэтому содержит множество англоязычных сайтов, таких как love.me. Похожая ситуация и с доменной зоной Италии (.it): многие компании используют английское «it» как часть названия сайта (do.it, get.it и т.п.). Поэтому сайты, взломанные или созданные злоумышленниками в этих доменных зонах, нацелены как на местных, так и на англоязычных пользователей.

Доменные зоны Европейского Союза (.eu), Германии (.de) и США (.us) замыкают десятку наиболее часто используемых злоумышленниками национальных доменных зон для атак на жителей Западной Европы и Северной Америки.

Ботнеты
Еще одной важной частью киберпреступной инфраструктуры в этом регионе являются ботсети, работающие в связке с партнерскими программами.

Партнерки — это схема, используемая киберпреступниками, при которой существует четкое разделение труда: есть разработчики вредоносных программ и их заказчики, готовые платить деньги за распространение зловредов; есть исполнители, которые распространяют вредоносные программы за деньги; есть организаторы партнерки, которые создают площадку для взаимодействия всех перечисленных групп.

Многие ботнеты являются огромной инсталляционной базой для других вредоносных программ. Боты разрабатываются специально для загрузки на зараженные ими компьютеры других зловредов по заказу «клиентов». Они могут скрывать присутствие загруженных программ в системе и иметь различные дополнительные «фишки». Примером такого бота может служить нашумевший TDSS, доставляющий на зараженный компьютер банкеры, dns-чейнджеры, лжеантивирусы. В 2011 году 41,5% зараженных TDSS компьютеров было расположено на территории Северной Америки и Западной Европы.

Заказчик может выбрать конкретные страны, в которых он хочет распространять свою вредоносную программу. Кстати, на первом месте по стоимости (и очевидно по ценности для киберпреступников) — установка в Европе и США, где заражение 1000 машин стоит около $100-150. Для сравнения: заражение компьютеров пользователей в Азии стоит в 10 (!) раз дешевле.

Заключение
Большинство стран Северной Америки и Западной Европы занимает первые строчки в рейтингах проникновения интернета, в них практически все хранят свои деньги на банковских счетах и для оплаты товаров и услуг онлайн активно пользуются карточками, привязанными к этим счетам.

Киберпреступники наживаются на пользователях рассматриваемых регионов в первую очередь с помощью кражи финансовой информации, за счет обмана пользователей и вымогательства денег. В этом регионе расположено большое количество компьютеров, зараженных ботами, которые собирают финансовые данные, распространяют лжеантивирусы и подменяют трафик пользователей. Цифры лишь подтверждают это: более 70% атак ботов Sinowal, более 40% атак ботов SpyEyes, собирающих финансовую информацию, и 67% случаев обнаружения лжеантивирусов в первом полугодии 2012 года пришлось на пользователей именно этого региона.

Зато если смотреть на инфраструктуру злоумышленников, то мы четко видим, что ботнетов, делающих черновую работу, такую как рассылка спама, DDoS-атаки, сокрытие сайтов злоумышленников здесь не так и много. (Где расположена основная часть компьютеров, выполняющих все эти действия, мы расскажем в следующей статье.)

Внедрение новых версий операционных систем в этих странах происходит быстрее, чем в других регионах мира, на многих компьютерах установлены антивирусные программы, правоохранительные органы ведут активную борьбу с киберпреступниками. Однако повышенная, по сравнению с другими странами мира, сложность проникновения вредоносных программ на компьютеры не останавливает киберпреступников, и они создают и обкатывают более изощренные технологии. Наиболее сложные троянцы на сегодняшний день (если, конечно, не брать в расчет программы, созданные спецслужбами) функционируют на территории именно этого региона. Пользователи Mac OS X, увы, тоже оказались под ударом: во время эпидемии mac-троянца FlashFake более 80% заражений пришлось на компьютеры в США, Канаде и странах западной Европы.

В этих регионах злоумышленники используют взломанные сайты и надежные хостинги для организации командных серверов и распространения вредоносных программ. Почти 70% попыток загрузки зловредов происходит с серверов, физически расположенных на территории западных стран.

Наше исследование показало, что в западных странах интернет используется злоумышленниками как основной вектор атаки. 80% всех отмеченных в регионе атак были организованы через Web. В результате по итогам первого полугодия более 40% компьютеров пользователей в Италии и Испании подверглись риску заражения в ходе интернет-серфинга, в Англии — 37% , во Франции — 36%, в Германии — 29%. За океаном дела обстоят примерно также: в США — 39% пользователей KSN хоть раз подвергались атаке через интернет, в Канаде — 37%.

Если прогнозируемый экономический кризис все же случится, то он повлияет и на ситуацию с кибербезопасностью в рассмотренных странах. В результате количество атакуемых компьютеров может увеличиться, а вот их защищенность наоборот снизится, так как люди будут экономить на обновлении компьютеров и покупке новых версий программ.

В обозримом будущем рост популярности банковских услуг у...

Подробнее : http://www.pcidss.ru/articles/112.html

Добавить комментарий

Всего 0 комментариев