Обзор безопасности TrendLabsSM за 2013 г.

Вооруженные ограбления банков вышли из моды: в 2013 г. популярнее были цифровые методы кражи. Вместо обычных грабителей на сцену вышли киберпреступники, которые с помощью изощренных приемов похищают номера кредитных карт и банковских счетов, а также персональные данные физических лиц. В наши дни информация стала валютой. Человек, данные которого попадают к киберпреступникам, оказывается полностью в их власти и может потерять гораздо больше, чем он себе представляет.

В 2013 г. мы наблюдали, как совершенствуются известные угрозы. В течение года постоянно росло количество заражений банковскими вредоносными программами даже в странах, которыми киберпреступники раньше практически не интересовались. Октябрь 2013 г. принес пользователям новые беды в виде очередной волны программ-вымогателей, среди которых попадались и особо безжалостные, например CryptoLocker. Как мы и прогнозировали, в прошлом году киберпреступники сосредоточились на совершенствовании имеющегося арсенала вместо создания новых угроз.

Что касается мобильных устройств, уже в сентябре 2013 г. количество вредоносных и опасных мобильных приложений превысило миллион. Сейчас их уже около 1,4 млн, причем только за 2013 г. был обнаружен один миллион новых приложений.

В 2013 г. направленные атаки реже упоминались в прессе, тем не менее мы продолжали выявлять новые подобные инциденты по всему миру. Мы обнаружили атаки, нацеленные на конкретные страны, в числе которых оказались Бразилия, Франция и Германия.

Если говорить об уязвимостях, много проблем возникло после того, как компания Oracle прекратила поддержку Java™ 6, в результате чего устаревшие или неподдерживаемые версии программ стали представлять повышенную опасность.

В целом, хотя программы, угрожающие персональным данным, появились уже некоторое время назад, они не привлекали к себе так много внимания, как в 2013 г. Охота за личной информацией широко освещалась в СМИ в прошлом году, особенно в свете разоблачения Эдвардом Сноуденом тотальной слежки спецслужб за гражданами. Фактически каждый человек в 2013 г. столкнулся с одной из главных проблем сегодняшней «цифровой эры» — необходимостью защиты личной информации. В большинстве случаев есть два варианта решения этой проблемы: раскрывать меньше информации или использовать специальные продукты для обеспечения собственной безопасности.

ЗАГРУЗИТЬ PDF-ФАЙЛ




Компания Trend Micro Incorporated, мировой лидер в области обеспечения безопасности «облачных» сред, предлагает предприятиям и индивидуальным пользователям решения для защиты информации в Интернете и управления угрозами, способные сделать обмен данными абсолютно безопасным. Более 20 лет назад мы начали свою работу в области защиты серверов и стали первопроходцами в этой сфере. Сегодня мы предлагаем первоклассные клиентские, серверные и «облачные» решения для обеспечения безопасности, которые отвечают потребностям заказчиков и партнеров, оперативно предотвращают распространение новых угроз, а также защищают данные в физических, виртуальных и «облачных» средах. Наши передовые «облачные» технологии, продукты и службы для обеспечения безопасности, работающие на базе инфраструктуры Trend Micro® Smart Protection Network®, позволяют блокировать угрозы еще до того, как они проникнут в вашу сеть из Интернета. Поддержкой этих решений по всему миру занимаются более 1000 специалистов в области обнаружения угроз. Дополнительную информацию можно найти на веб-сайте www.trendmicro.com.ru.



© Trend Micro Incorporated, 2014.
Все права защищены.

12

Цифровая информация как источник наживы

Обзор безопасности TrendLabsSM за 2013 г.

Для всех нас информация представляет большую ценность. Мы стараемся хранить в секрете сведения, касающиеся нашей личной жизни и работы. Для сохранения спокойствия духа нам необходима уверенность в полной безопасности своей информации. При этом многие современные технологии, которые также очень важны в нашей жизни, способствуют разглашению личной информации. В результате каждому приходится делать нелегкий выбор между сохранением конфиденциальности и пользованием новыми благами цивилизации.

Но действительно ли использование технологических новинок сопряжено с риском для безопасности данных?

Посмотрите, как в 2013 г. киберпреступники с целью наживы похищали личные данные путем изучения общедоступных записей на страницах пользователей.

  • За один только 2013 г. было обнаружено более миллиона приложений для Android™, созданных с целью получения доступа к личным данным и незашифрованной информации на мобильных устройствах.
  • Излюбленными мишенями киберпреступников оставались государственные учреждения. Наряду с этим преступники занимались корпоративным шпионажем в энергетической, финансовой, оборонной, телекоммуникационной и других отраслях.
  • Сообщения о слежке со стороны госслужб вызвали беспокойство граждан по поводу собственной конфиденциальности.
  • Применяя приемы социальной инженерии, киберпреступники использовали в качестве приманок PS4™, Xbox® One, тайфун Хайян и праздник Хэллоуин, чтобы войти в доверие к своим жертвам и, таким образом, получить доступ к их персональным данным.

Дальше мы расскажем о том, как известные проблемы безопасности на фоне продолжающихся дискуссий о слежке со стороны государства разрушили уверенность в надежности хранения данных в Интернете.

ЗАГРУЗИТЬ PDF-ФАЙЛ

Интенсивность атак программ-вымогателей повышается, киберпреступники применяют все более разнообразные методы

В 2013 г. возросла активность атак вредоносных программ, направленных непосредственно на получение денег от жертв.

Например, появилась более опасная версия программы-вымогателя — CryptoLocker. CryptoLocker не просто блокировала компьютеры своих жертв, как поступают другие программы-вымогатели или «полицейские» трояны, но и шифровала файлы на зараженных машинах, так что решить проблему обычным удалением вредоносной программы уже не получалось. Жертвы CryptoLocker были вынуждены выкупать индивидуальный ключ за 300 долларов США, чтобы снова получить доступ к своим файлам. Злоумышленники принимали оплату даже в различных криптовалютах.

Исследования показали, что для организации своей деятельности киберпреступники предпочитали использовать глубинный веб. В этом сегменте Всемирной паутины злоумышленникам было легко сохранять анонимность, что затрудняло их поимку.

С помощью усовершенствованных инструментов и приемов, как мы и прогнозировали, преступники смогли получить доступ к персональным данным своих жертв — потенциальному источнику дополнительной наживы.


Модернизированные программы-вымогатели угрожают пользователям не только потерей доступа к файлам, но и утратой честно заработанных денег.

Объем банковских вредоносных программ в течение года удвоился

Всего за один год объем банковских вредоносных программ удвоился. В 2012 г. их насчитывалось около полумиллиона, а к концу 2013 г. — уже миллион.

Распространение таких программ стало общемировой тенденцией. В каждом квартале 2013 г. лидерами по числу жертв оказывались США, Бразилия и Япония.

Рост числа заражений связан с увеличением количества мобильных устройств и растущей популярностью интернет-банкинга, более быстрым доступом в Интернет и отсутствием привычки безопасного просмотра веб-страниц.

Бурное распространение и развитие вредоносных программ, которые рассчитаны на пользователей интернет-банкинга, свидетельствует о заинтересованности киберпреступников в создании угроз, направленных на похищение информации с целью наживы.

Жертвами банковских вредоносных программ стали японские пользователи, которые до 2013 г. не были излюбленной целью киберпреступников.

Набор Blackhole Exploit Kit уже не актуален, но множество альтернатив обеспечивают прежний объем спама

Всего год назад набор инструментов для взлома Blackhole Exploit Kit был весьма популярен, однако после ареста своего создателя, Paunch, постепенно ушел в небытие. Его следы практически исчезли к декабрю, и тогда же объемы спама постепенно стали возвращаться к обычным показателям.

С января по сентябрь 2013 г. количество спама в среднем держалось на уровне 6 млн экземпляров. После ареста хакера Paunch в октябре эта цифра снизилась до 5,9 млн, а к ноябрю — до 3,9 млн. Однако уже в декабре объемы снова возросли, достигнув отметки 4,1 млн экземпляров.

После исчезновения набора Blackhole Exploit Kit образовалась пустота, которую спамеры тут же поспешили заполнить. Cutwail и другие бот-сети, которые раньше использовались для рассылки вредоносных программ наподобие Blackhole Exploit Kit, теперь стали распространять CryptoLocker и UPATRE. Место Blackhole Exploit Kit заняли другие наборы для взлома, в частности Magnitude.

Кампании по рассылке спама, связанные с Blackhole Exploit Kit, чаще были направлены на банки и производителей ПО, чем на компании в других секторах.

Только за 2013 г. было обнаружено около миллиона вредоносных и опасных приложений для Android

В 2012 г. стало очевидно, что мобильные вирусы пришли всерьез и надолго, а в 2013 г. они уже стали доминировать среди вредоносных программ. Только за 2013 г. было обнаружено около миллиона вредоносных и опасных приложений для Android, а в итоге их общее количество достигло 1,4 млн экземпляров.

Интерес киберпреступников к распространению мобильных угроз привел к количественному и качественному росту подобных программ. Например, вредоносное ПО PERKEL, нацеленное на пользователей, которые совершают банковские операции с мобильных устройств, обладает усовершенствованными функциями для перехвата аутентификационных SMS-сообщений. Троян FAKEBANK похищает финансовые сведения, умело притворяясь легальным приложением для интернет-банкинга.

Наибольшей популярностью в прошедшем году пользовалось вредоносное ПО, эксплуатирующее платные услуги (53 %). Среди мобильных приложений также были широко распространены рекламные программы (31 %) и ПО для кражи данных (19 %).

Вредоносные и опасные приложения можно было найти как в официальном, так и в сторонних магазинах приложений для Android. Однако пользователям iOS также нельзя терять бдительность: исследователи из Технологического института Джорджии обнаружили способ обойти проверку приложений в App StoreSM, который в 2011 г. был использован скрытно действующим приложением Jekkyl. Этот троян делал iOS-устройства уязвимыми для удаленного доступа и выполнения вредоносных действий.

Мобильные устройства все чаще используются для хранения конфиденциальных данных, по которым легко установить личность, так что в текущем году киберпреступники разработают еще более сложные инструменты, нацеленные на завладение этой информацией.

Меньшее число атак на iOS-устройства может быть следствием более строгого процесса проверки приложений в магазине Apple, а также тем, что пользователей таких устройств гораздо меньше.

Пользователи устройств Android боролись с уязвимостями: исправления запаздывали

Во втором квартале 2013 г. в системе Android практически на всех устройствах была обнаружена уязвимость «мастер-ключа». Она позволяла киберпреступникам внедрять вредоносный код в уже установленные на устройстве официальные приложения.

В следующем квартале злоумышленники внедрили троянский модуль в популярное приложение для интернет-банкинга, предлагая загрузить обновление со сторонних сайтов. После установки такого «обновления» пользователь становился жертвой преступников.

Многие устройства Android также оказались заражены вредоносной программой OBAD, которая использовала критическую уязвимость в функциях администрирования.

Многие пользователи получили исправления не слишком скоро из-за усложненного процесса выпуска официальных обновлений Android. Прежде чем попасть на устройства конечных пользователей, обновления проходят долгий путь от производителей до поставщиков услуг.

Сложность процесса обновления Android может быть одной из причин уязвимости устройств с этой системой ко многим угрозам.

Направленные атаки не вызывали большой шумихи, однако происходили непрерывно

В 2012 г. в отношении направленных атак господствовало мнение, что их избежать невозможно. Эксперты призывали организации укреплять защиту, так как считали, что попытка проникновения рано или поздно произойдет.

К сожалению, в 2013 г. киберпреступники усовершенствовали свои методы выбора сетей и проникновения в них. После нескольких резонансных инцидентов потенциальные жертвы получили дополнительные побудительные мотивы для того, чтобы как можно быстрее защитить свои наиболее ценные активы:

  • Захват всего мультимедийного содержимого. В ходе кампании EvilGrab вредоносная программа за один раз перехватывала все звуковые файлы, фотографии и видео, а также учетные данные пользователей. Атаки были сосредоточены на Китае (36 %) и Японии (18 %), однако под удар попали органы власти и других азиатских, а также европейских стран.
  • Чем больше целей, тем больше успех. Кампания Safe была направлена на конкретные цели в сфере технологий, СМИ и научных кругах более чем в ста странах. Результат этой атаки, организованной с помощью всего двух командных серверов, инфраструктура которых в общей сложности насчитывала почти 12 тыс. уникальных IP-адресов, — в среднем 71 жертва в день.

Направленные атаки каждый раз были нацелены на ценную информацию и наносили учреждениям и предприятиям значительный финансовый и репутационный ущерб. В 2013 г. мы стали свидетелями серии тщательно подготовленных атак на разнообразные цели, причем о большинстве инцидентов не сообщалось, что вряд ли может утешить клиентов компаний, попавших под удар.

В 2013 г. преступники не выказывали предпочтения конкретным странам, но все же азиатские страны, такие как Япония и Тайвань, пострадали сильнее других.
Примечание: на карте показаны направленные атаки, обнаруженные нами в течение 2013 г.

Известные организации пострадали от утечки данных

В 2013 г. было зафиксировано несколько случаев утечки данных в крупных организациях. Создатели приложения для ведения заметок Evernote были вынуждены сбросить более 50 млн паролей после атаки, в результате которой злоумышленники похитили имена, адреса электронной почты и пароли пользователей. Сайту ежедневных распродаж LivingSocial пришлось пойти на те же меры после кражи имен, адресов электронной почты, дат рождения и паролей пользователей.

Ущерб для репутации и юридические осложнения — это только часть последствий, с которыми столкнулись пострадавшие компании. В 2013 г. стало очевидно, что для крупных компаний утечка данных и нарушение конфиденциальности означают значительные финансовые затраты в реальном мире.

Под угрозой находятся все организации, осуществляющие хранение данных — своих или чужих.

Кибератаки поставили под угрозу работу организаций в реальном мире

В 2013 г. было организовано несколько пробных атак, которые со все большей вероятностью могли привести к серьезным нарушениям деятельности попавших под удар организаций.

Например, атака на организации в Южной Корее, в числе которых оказались три крупных банка, полностью парализовала около 30 тыс. компьютеров, включая банкоматы. Эта массированная кибератака продемонстрировала риски, которым подвергаются критически важные системы в наш посткомпьютерный век, когда каналы автоматического обновления программ могут стать средством доставки вирусов, а мишенями киберпреступников оказываются решения для обеспечения безопасности.

Мы считаем, что в этом году под угрозой могут оказаться важные промышленные системы управления и технологии на базе радиочастотной связи, такие как системы автоматического распознавания (САР).

Такие угрозы пока не получили широкого распространения, однако рано или поздно злоумышленники начнут совершать атаки на эти системы с целью извлечения выгоды.

Пример компании Adobe, пострадавшей в 2013 г. от утечки данных, показывает, что ни одна организация, независимо от ее размера, не застрахована от кибератак.

Непрерывные атаки с использованием уязвимостей «нулевого дня» на устаревшие и неподдерживаемые версии программ

На всем протяжении 2013 г. мы были свидетелями атак, использующих уязвимости «нулевого дня» в программном обеспечении Java™ и Adobe®. Министерство внутренней безопасности США даже выпустило обращение с призывом воздержаться от использования Java до выхода соответствующего исправления.

Однако когда накал страстей спал, появились наборы инструментов для взлома уязвимостей в Java 6, так как незадолго до этого Oracle прекратила поддержку данной версии. Атаки не прекращались, и к третьему кварталу 2013 г. компания Oracle обнародовала сведения о 31 уязвимости в Java 6, для которых не планируется выпуск исправлений. С тех пор многочисленные пользователи Java этой версии постоянно находятся под угрозой.

Ожидается, что та же участь постигнет пользователей Windows® XP, когда в апреле Microsoft прекратит поддержку этой операционной системы.

Доказательством рисков, которым подвергаются устаревшие и неподдерживаемые версии ПО, служат следующие факты:

  • Атаки «нулевого дня» были нацелены на уязвимости в программах Adobe Flash® и Adobe Reader®. Обманутые пользователи загружали вложенные SWF- или PDF-файлы, содержащие вредоносный код.
  • Атакам «нулевого дня» также подверглись ранние версии популярного решения для хостинга, Plesk. Злоумышленники использовали эту уязвимость для атак на веб-серверы, работающие на версиях Plesk, поддержка которых уже была прекращена.
  • Преступники также использовали критическую уязвимость фреймворка Ruby on Rails™, в результате чего зараженные серверы, на которых не были применены исправления, становились частью крупной бот-сети Internet Relay Chat (IRC).

К сожалению, версии программного обеспечения, для которых отсутствуют исправления, до сих пор можно найти как на пользовательских, так и на корпоративных компьютерах. Использование таких программ практически равносильно добровольной передаче личных данных в руки киберпреступников.

В программах на платформе Java обнаруживались все новые и новые уязвимости, так что программное обеспечение Oracle является одним из наиболее уязвимых на сегодняшний день.

Слежка со стороны госслужб заставила задуматься о безопасности личных данных

Поступок бывшего сотрудника Агентства национальной безопасности США Эдварда Сноудена, раскрывшего информацию о тотальной слежке органов безопасности за гражданами, можно оценивать по-разному, однако одно можно сказать наверняка: общество с еще большим недоверием стало относиться к любым крупным организованным сообществам, преследующим собственные интересы.

Опасения за тайну личной жизни подкрепляются страхом слежки со стороны государства и известными рисками, которым подвергаются цифровые данные. Случай со Сноуденом продемонстрировал, как много информации можно получить от крупных организаций. Раньше стоило беспокоиться только о попадании личных данных в руки преступников. В 2013 г. стало очевидно, что подобная угроза может исходить также от крупных и, казалось бы, надежных организаций.

Фактически каждый человек в 2013 г. столкнулся с одной из главных проблем сегодняшней «цифровой эры» — необходимостью защиты личной информации. В большинстве случаев есть два варианта решения этой проблемы: раскрывать меньше информации или использовать специальные продукты для ее защиты.

Сохранение собственных секретов — важнейшая задача каждого.

Цифровой мир принес с собой угрозы, действующие через социальные сети, — «обычный бизнес» для киберпреступников

В 2013 г. злоумышленники не раз организовывали атаки в социальных сетях, сея хаос и разрушения в цифровом мире пользователей. В сервисе микроблогов Twitter продвигались хакерские инструменты для взлома учетных записей Facebook и Twitter. Пользователям Instagram предлагались способы бесплатного привлечения новых подписчиков. Мы также стали свидетелями нескольких мошеннических атак в Facebook, Tumblr, Pinterest и других социальных сетях.

Киберпреступники также не упустили шанса использовать в своих целях такие события, как выпуск технологических новинок PS4® и Xbox® One, тайфун Хайян, празднование Хэллоуина и т. п. Фишинговые почтовые сообщения остались в числе излюбленных способов хищения личных данных, например идентификаторов Apple ID, которые затем продавались на черном рынке.

Цифровой мир остается под угрозой все более совершенных и изощренных инструментов и методов атак. Злоумышленники по-прежнему будут нацелены на личную переписку пользователей и их общение в социальных сетях, поэтому необходимо сохранять бдительность и вовремя предотвращать хищение персональных данных и цифровой информации.

В 2013 г. злоумышленники не раз организовывали атаки в социальных сетях, сея хаос и разрушения в цифровом мире пользователей. В сервисе микроблогов Twitter продвигались хакерские инструменты для взлома учетных записей Facebook и Twitter. Пользователям Instagram предлагались способы бесплатного привлечения новых подписчиков. Имели место и другие мошеннические атаки в Facebook, Tumblr, Pinterest и прочих социальных сетях.

Киберпреступники также не упустили шанса использовать в своих целях такие события, как выпуск технологических новинок PS4® и Xbox® One, тайфун Хайян, празднование Хэллоуина и т. п. Фишинговые почтовые сообщения остались в числе излюбленных способов хищения личных данных, например идентификаторов Apple ID, которые затем продавались на черном рынке.

Цифровой мир остается под угрозой все более совершенных и изощренных инструментов и методов атак. Злоумышленники по-прежнему будут нацелены на личную переписку пользователей и их общение в социальных сетях, поэтому необходимо сохранять бдительность и вовремя предотвращать хищение персональных данных и цифровой информации.

Как и раньше, в качестве приманки для доверчивых пользователей киберпреступники снова использовали наиболее резонансные и популярные темы, события, кинофильмы, технические новинки и природные катаклизмы.