Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

08 февраля 2017
В результате тестирований подтверждена совместимость USB-токенов JaCarta WebPass и JaCarta U2F с облачной платформой …
06 февраля 2017
Вице-президент ПАО «Почта Банк» Андрей Фролов рассказывает о практическом опыте применения решений С‑Терра для …
19 января 2017
Acronis True Image 2017 New Generation - первое в отрасли решение, которое сочетает в себе защиту данных в реальном времени …
30 декабря 2016
В 2016 году пользователи ОС Android вновь столкнулись с большим числом угроз. На протяжении последних 12 месяцев …
29 декабря 2016
Без сомнения, 2016 год должен запомниться операторам персональных данных прежде всего яркостью реализации Федерального …
29 декабря 2016
При проведении работ по выявлению и анализу уязвимостей программного обеспечения и среды функционирования средства защиты …
20 декабря 2016
Чего ждать на пороге 2017 года? Какие коварные действия попадут на страницы СМИ всего мира? Смотрите прогноз безопасности от …
08 декабря 2016
азмах и глубина кибератак возрастет, и они будут затрагивать все новые области
Контур-Фокус – быстрая проверка контрагентов

Инфостенд

Информационные и справочные материалы
Тел.: +7 (495) 231-4831
Сайт: expo-itsecurity.ru
E-mail: info@infosecurity.ru
Контактная информация: О компании
Регионы работы: Москва
Статья

География киберпреступлений. Западная Европа и Северная Америка

География киберпреступлений. Западная Европа и Северная Америка

Интернет не знает границ, однако, как показывают наши данные, существует географическая специфика киберпреступлений. В разных частях мира отличаются вредоносные программы, приоритетные направления компьютерных атак и способы обогащения, которые используют киберпреступники. Связано это не только с тем, где физически находятся злоумышленники, но и с особенностью стран, в которых проживают их потенциальные жертвы. Определяющими факторами в данном случае являются уровень экономического развития, количество интернет-пользователей и уровень проникновения интернета в стране.

В этой статье мы расскажем о специфике деятельности киберпреступников в западных странах: США, Канаде и странах Западной Европы (Англия, Австрия, Бельгия, Дания, Франция, Германия, Голландия, Люксембург, Ирландия, Италия, Испания, Швейцария и Португалия).

Краткая справка

  • ВВП (по паритету покупательной способности, источник: cia.gov):
    • США — $14,66 трлн (2010 est.), 2-е место в мире;
    • Европейский Союз — $14,82 трлн (2010 est.), 1-е место.
  • Количество интернет-пользователей (источник: cia.gov):
    • США — 245 млн, 2-е место в мире;
    • Германия — 65,125 млн, 5-е место;
    • Великобритания — 51,444 млн, 7-е место;
    • Франция — 45,262 млн, 8-е место;
    • Италия — 29,235 млн, 13-е место.
  • Уровень проникновения интернета (источник: http://www.internetworldstats.com/):
    • Северная Америка — 78,3%, 1-е место в мире;
    • Европа в целом — 58,3%, 3-е место в мире.
  • Особенности использования интернета:
    • интернет есть везде: учебные заведения, государственные учреждения, дом, работа;
    • интернет всегда с пользователем: мобильный интернет дешев, очень распространены мобильные интернет-устройства — планшетники и смартфоны.
    • интернет широко используется для оплаты коммунальных услуг и покупки товаров, управления банковским счетом.
  • Процент пользователей, подвергающихся атакам через Web (H1 2012):
    • CША — 38,8%, 31-е место в мире;
    • Германия — 28,8%, 101-е место;
    • Великобритания — 36,8%, 42-е место;
    • Франция — 36,3%, 44-е место;
    • Италия — 43,5%, 18-е место;
    • Европейский союз — 32,1%.
  • Много пользователей Mac OS X, количество смартфонов под управлением Android OS неуклонно растет
  • Наиболее атакуемые операционные системы:
    • Windows,
    • Android,
    • Mac OS X.

Почти половина западных стран входит в ТОР 20 по количеству интернет-пользователей — и эти интернет-пользователи очень активны. Большинство считает интернет не только источником информации, но и простейшим способом коммуникации, и самой доступной площадкой для совершения покупок и оплаты услуг. К тому же жители западных стран хранят большую часть сбережений в банках и для проведения операций с банковским счетом очень активно используют онлайн-банкинг или мобильный банкинг.

В то же время компьютеры в этих странах хорошо защищены и, следовательно, труднодоступны для злоумышленников. Пользователи здесь имеют навыки и знания, во многих случаях достаточные для предотвращения заражения компьютера. В частности, установка антивирусного программного обеспечения для американца или жителя Западной Европы стала частью элементарной гигиены компьютера.

Быстрая миграция пользователей Западной Европы и Северной Америки на новые версии операционных систем усложняет киберпреступникам задачу обхода защиты. Так, в первом полугодии 2012 более половины компьютеров (62,4%) в рассматриваемых странах работали под Windows 7, однако если за 100% взять все страны мира, то это значение будет на 6% меньше.

От версии к версии операционной системы встроенные средства защиты становятся все совершеннее; в современных ОС используется ряд механизмов, противодействующих вредоносным программам: DEP, ASLR, возможность устанавливать драйверы только с цифровой подписью и многое другое. К тому же большинство установленных на компьютеры операционных систем — лицензионные, благодаря чему они автоматически получают обновления, нередко являющиеся исключительно важными для безопасности.

Особенности вредоносных программ

Защищенность компьютеров в западных странах заставляет злоумышленников создавать новые весьма хитрые технологии. И главной особенностью вредоносных программ, распространяемых вирусописателями в этих регионах, является их технологическая сложность. Именно на европейских и североамериканских пользователях обкатываются основные новинки киберпреступного мира: технологии заражения и сокрытия в системе вредоносного кода и механизмы «добывания» денег.

Основная цель киберзлоумышленников в этом регионе — деньги пользователей, а средство их получения — троянские программы.

Условно все троянские программы, распространяемые в западных странах, можно разделить на четыре группы.


Распределение троянских программ по типам. Западная Европа и Северная Америка, H1 2012

Первая и самая многочисленная группа — троянцы, доставляющие на компьютеры другие вредоносные программы. Многочисленность таких троянцев обусловлена тем, что эти программы вирусописатели часто модифицируют, чтобы избежать детектирования антивирусами. Вокруг целевой доставки вредоносных программ развернулся отдельный теневой бизнес.

Наибольший интерес для злоумышленников представляют программы второй группы, которые отслеживают действия пользователей и крадут важную информацию. Среди них наиболее опасны троянцы, нацеленные на информацию для доступа к системам онлайн-банкинга, такие как Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes и Backdoor.Win32.Sinowal. В случае успешной атаки, проведенной с помощью одной из этих вредоносных программ, злоумышленники получают доступ к чужому банковскому счету и могут распоряжаться деньгами по своему усмотрению.

Еще одна группа — троянцы, под тем или иным предлогом вымогающие у пользователей деньги. К ним относятся фальшивые антивирусы и программы-блокеры.

Многофункциональные троянцы выполняют две и более функций одновременно. Например, они крадут данные и загружают другие вредоносные программы.

Деньги

Основные способы наживыИспользуемые вредоносные программы (классификация «Лаборатории Касперского»)
Кража финансовой информации
(Получение доступа к учетным записям, связанным с финансами: интернет-банкингу, PayPal, Ebay)
Trojan-Banker, Trojan-Spy, Backdoor
Установка и продажа лжеантивирусовTrojan-FakeAV
Кража аккаунтов к платным сервисам, онлайн-играм и службам (Steam, WoW, Facebook, Skype и т.п.)Trojan-PSW, Trojan-GameThief, Trojan-Spy
Кража персональных данныхBackdoor, Trojan-Spy
Подмена результатов поиска, рекламы, накрутка кликовTrojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
ВымогательствоTrojan-Ransom

Рассмотрим подробнее, как киберпреступники наживаются за счет пользователей, чьи компьютеры или мобильные устройства они смогли заразить.

Кража финансовой информации

Активное использование интернет-банкинга делает пользователей США, Канады и Западной Европы прекрасной мишенью для злоумышленников. В этом регионе распространены самые известные троянцы, собирающие информацию финансового характера:

  • Sinowal (Mebroot) — бэкдор, занимающийся кражей финансовой информации. Для закрепления в системе заражает первую загрузочную запись жесткого диска.
  • Zbot (ZeuS) — универсальный троянец, нацеленный на аккаунты многих банков. Вирусописатели активно занимаются его разработкой на основе исходных кодов второй версии, которые были выложены в интернете.
  • SpyEye — универсальный троянец, нацеленный на аккаунты многих банков. Конкурент Zbot (ZeuS), но исходников в свободном доступе нет.

В первой половине 2012 года на США, Канаду и страны Западной Европы в совокупности пришлось 70% всех атак Backdoor.Win32.Sinowal (Mebroot), 41% всех атак Trojan-Spy.Win32.SpyEye и почти четверть отраженных атак Trojan-Spy.Win32.Zbot.

Помимо доступа к банковским аккаунтам пользователей, киберпреступники активно интересуются аккаунтами в платежной системе PayPal и интернет-магазине Ebay: на эти системы приходится соответственно 34% и 9% от всех фишинговых атак. В обеих этих системах аккаунты привязаны к карточкам, что дает возможность злоумышленникам опустошать счета. К тому же, помимо учетной записи, фишеры обычно стараются выманить и другие личные данные, например номер социального страхования, дату рождения и код безопасности cvv2 от кредитки.

Европейские и американские банки и платежные системы все больше внимания уделяют этой проблеме и предлагают различные способы усиления защиты: авторизацию с помощью токенов, одноразовые пароли, подтверждение транзакций через коды, посылаемые на телефоны, и т.п. Однако злоумышленники разрабатывают программы, способные обойти и эту защиту. Примером является семейство зловредов Zitmo, атакующих мобильные телефоны пользователей и умеющих обходить двухфакторную систему авторизации европейских банков. Эти мобильные зловреды работают в паре с компьютерным троянцем Zbot (ZeuS): сначала Zbot ворует с зараженного компьютера логин и пароль пользователя для входа в систему онлайн-банкинга, а затем в момент перевода денег в игру вступает его мобильный собрат Zitmo, который пересылает коды авторизации транзакций (TAN) злоумышленникам.

Официальные данные дают представление о том, насколько велики суммы, полученные злоумышленниками в результате кражи финансовой информации. Пойманные в 2010 году мошенники, использовавшие Trojan-Spy.Win32.Zbot, всего за три месяца смогли снять 9 миллионов долларов более чем с 600 счетов. Но это лишь доказанная сумма ущерба. К тому же этим промышляют сразу несколько группировок, а значит, совокупные доходы киберпреступников за соответствующий промежуток времени больше означенной суммы в десятки раз.

Кража персональных данных

Очень важным видом деятельности киберпреступников на территории Северной Америки и Западной Европы является кража персональных данных пользователей. На хакерских форумах можно найти объявления о продаже баз данных клиентов различных магазинов и сервисов. Причем предложений очень много, из-за чего цены достаточно низкие — всего лишь несколько центов (при оптовой покупке) за данные об одном человеке. Отметим, что наиболее частая причина попадания информации о тысячах пользователей различных сервисов в руки хакеров — уязвимости и ошибки в настройке серверов и баз данных.

Наиболее распространенными уязвимостями, приводящими к утечке информации, являются SQL-injection, ошибки, дающие возможность прямого доступа к объектам на веб-сервере, и ошибки в системах аутентификации. Однако помимо уязвимостей, во многих случаях злоумышленники используют и ошибки в конфигурации веб-приложений, такие как неудаленные аккаунты, созданные по умолчанию, открытый доступ к директориям на сервере, хранение паролей и ценной информации в незашифрованном виде, неправильно заполненный robots.txt и т.д.

Наиболее очевидный способ использования этих данных — персонализированные атаки на пользователей. Такие атаки имеют больше шансов на успех: рассылка вредоносных или фишинговых писем, нацеленная на аккаунты определенного банка, будет эффективна только в том случае, если сообщение попадет в почтовые ящики клиентов именно этого банка.

Кроме того, персональные данные пользователей нужны для доступа к различным финансовым сервисам, поэтому они пользуются особым спросом у злоумышленников, занимающихся аферами с системами интернет-банкинга и кардингом.

Распространение лжеантивирусов

Практически все лжеантивирусы имеют англоязычный интерфейс, их мишенью в первую очередь являются пользователи западных стран. Весь «бизнес» фальшивок построен на том, что пользователи хотят быть защищенными и готовы платить за защиту компьютера достаточно большие деньги.

Распространяются фальшивые антивирусы через киберпреступные партнерские программы.


Динамика детектирования фальшивых антивирусов в США, Канаде и странах Западной Европы. 2011-2012

На территории Европы и Америки фальшивые антивирусы стали активно распространяться в начале 2011 года, в марте появились даже лжеантивирусы для Mac OS X, которые распространялись также через партнерские программы.

В июне 2011 года число атак лжеантивирусов достигло максимума («Лабораторией Касперского» обнаружено более 900 000 фальшивок), а затем пошло на спад и стабилизировалось на уровне начала года. Это совпало с арестом Павла Врублевского. Тогда же правоохранительные органы задержали членов двух преступных группировок, распространявших фальшивые антивирусы. В свою очередь поисковые системы стали более активно удалять вредоносные ссылки из выдачи.

Хотя в декабре 2011 — январе 2012 года был отмечен еще один всплеск атак лжеантивирусов, в дальнейшем их количество вернулось на прежний уровень.

В настоящее время лжеантивирусы перестали приносить мошенникам сверхприбыль, но дают стабильный доход, который вполне устраивает многих «партнеров». Насколько прибыльный этот бизнес, можно судить из того, что пойманная в Латвии в июне 2011 года группа киберпреступников, промышлявшая лжеантивирусами, по оценкам полицейских, за три года своей деятельности смогла обмануть около 960 000 пользователей и нанесла убытки в размере72 миллионов долларов.

Подмена поисковой выдачи

Схема зарабатывания денег с использованием подмены выдачи или рекламы в поисковых системах в большинстве случаев также рассчитана именно на пользователей западных стран. По запросу пользователя в популярных поисковиках на первых местах в списке выдачи помещаются ссылки из рекламных сетей, а не реальные результаты поиска. Переходы по этим ссылкам оплачиваются рекламодателями, и доход от каждого клика идет киберпреступникам, которые подменили поисковую выдачу рекламными блоками.

 

Пример объявления на хакерском форуме о подмене выдачи для пользователей США, Канады, Великобритании и Австралии

Технически это реализуется с помощью троянских программ, которые изменяют настройки DNS-серверов/hosts-файлов таким образом, что все запросы пользователя в поисковых системах идут через серверы злоумышленников. На сервере происходит подмена ответа поисковой системы, в результате чего на страничке поисковой выдачи появляются ссылки, в которых заинтересованы злоумышленники.

Например, в конце 2011 года был обнаружен троянец Trojan-Downloader.OSX.Flashfake, который заражал компьютеры, работающие под управлением Mac OS X, и занимался подменой выдачи поисковых систем. Было выявлено более 700 000 зараженных машин, объединенных в ботнет, что составляет практически 1% пользователей Mac OS X. 84% всех зараженных компьютеров находились в Западной Европе и Северной Америке.


Trojan-Downloader.OSX.Flashfake TOP 10 стран, откуда были зафиксированы обращения зловреда к командным центрам

Еще одним примером троянца с таким функционалом может служить Backdoor.Win32.ZAccess(ZeroAccess), больший процент заражений которым приходится на США (27,7%) и Германию (11%).


Распространение троянца Backdoor.Win32.ZAccess, июль 2012

Минюст США предъявил одной из киберпреступных группировок обвинения в создании мошеннической схемы с использованием подмены поисковой выдачи. Из официальной информации правоохранительных органов следует, что за 5 лет незаконной деятельности с использованием вредоносной программы Trojan.Win32.DnsChanger злоумышленники смогли получить порядка 14 миллионов долларов.

Вымогательство под прикрытием

Последнее время в западных странах стали активно использоваться такие мошеннические программы, как троянцы-вымогатели, которые еще недавно были почти неизвестны за пределами СНГ. Принцип их работы довольно прост: после заражения они блокируют доступ к компьютеру, изменяя системные настройки или открывая свое окно поверх всех остальных.

В СНГ чаще всего встречаются блокеры двух видов: порноблокеры, которые требуют заплатить деньги за то, чтобы закрылось блокирующее работу окно с картинками непристойного содержания, и программы, которые блокируют саму загрузку ОС под предлогом использования на компьютере нелицензионного ПО.

В Европе эти уловки вряд ли сработают. В случае вымогательства законопослушный гражданин обратится в полицию, да и программное обеспечение у него, вероятнее всего, лицензионное. Поэтому злоумышленники придумали другой прием: они блокируют компьютер и якобы от имени полиции требуют оплатить штраф за посещение сайтов, содержащих детскую порнографию или сцены насилия над детьми.


Пример окна, которое открывает троянец-вымогатель, атакующий британских пользователей

На сегодняшний день известно несколько версий таких троянцев, которые используют имена и символику полиции Германии, Франции, Англии, Швейцарии, Голландии, Финляндии и Испании. К сожалению, выяснить, кто является получателем денег, очень непросто, поскольку для их перевода используются платежные системы Ukash, Epay, PayPoint, и отследить транзакции не всегда возможно. Заметим, что впервые в такой схеме Ukash была использована для получения денег от жертв троянца-шифровальщика GpCode, созданного на территории бывшего СССР.

Особенности распространения вредоносных программ

Чтобы совершить запуск вредоносной программы, злоумышленникам нужно сначала доставить ее на компьютер пользователя. Основные каналы распространения вредоносного кода повсюду в мире — это интернет и переносные носители информации. Как показало наше исследование, программы, проникающие через съемные носители информации, и классические вирусы, инфицирующие файлы, в описываемых регионах практически не работают. Антивирусные программы, установленные на большинстве компьютеров, просто не дают червям и вирусам заразить достаточное количество компьютеров для формирования самоподдерживающего процесса инфицирования, и вскоре он сам собой затухает.

Ниже на диаграмме показаны пути проникновения вредоносных программ на компьютеры пользователей в западных странах.


Векторы атак в Западной Европе и Северной Америке*, H1 2012
*Процент пользователей ЛК, атакованных через определенный канал, от всех атакованных пользователей ЛК в регионе.

Для атак на европейских и американских пользователей значительно эффективнее интернет. По нашим данным, 80% всех атакованных компьютеров в первом полугодии 2012 подверглись риску заражения в процессе веб-серфинга.

Первые две строчки рейтинга занимают Италия и Испания, которые попадают в группу повышенного риска заражения при интернет-серфинге (страны, где атакованных пользователей больше 40%).


Риск заражения через интернет*
H1 2012 по странам Северная Америки и Западной Европы

* Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

Все остальные страны, за исключением Дании, относятся к группе риска с показателем 21-40%, при этом в Швейцарии, Германии, Австрии и Люксембурге процент атакованных пользователей не превышает 30%. Дания, замыкающая список, относится к самым безопасным при веб-серфинге странам с показателем менее 20%.

Для того чтобы добиться заражения компьютеров пользователей в процессе интернет-серфинга, злоумышленники используют ряд действенных приемов:

  • Заражение легальных сайтов
  • Обман поисковых систем
  • Вредоносный спам в социальных сетях и твиттере

Заражение легитимных веб-ресурсов

Заражение легальных сайтов — это одновременно и самый опасный для пользователей и самый эффективный для злоумышленников прием. Злоумышленники тем или иным путем получают доступ к популярному сайту и вносят в его код небольшие изменения. Когда браузер посетителя сайта перебирает все ссылки в коде страницы и загружает их содержимое, строка с внедренным вредоносным кодом перенаправляет браузер на специально подготовленный сайт с эксплойтом — вредоносной программой, использующей уязвимости в легитимном программном обеспечении для проникновения на компьютер. При этом для пользователя атака проходит незаметно — легитимный сайт выглядит и работает, как обычно.

В таких атаках обычно используются эксплойт-паки, которые сначала ведут автоматический поиск уязвимых программ, установленных на компьютере, а затем отправляют на компьютер соответствующий эксплойт. Таким образом для достижения успеха киберпреступникам достаточно найти на машине хотя бы одно популярное и необновленное приложение.

Популярные эксплойты постоянно сменяют друг друга: в конце 2011 любимой лазейкой хакеров вместо Adobe Acrobat Reader и FlashPlayer стала Java, на которую были нацелены 4 из 5 наиболее часто используемых эксплойтов, а уже в первой половине 2012 вновь стали популярны эксплойты к продуктам Adobe.

TOP 5 эксплойтов, нацеленных на североамериканских и европейских пользователей

H2 2011

 Название эксплойтаПроцент атакованных пользователейУязвимое приложение
1Exploit.Java.CVE-2010-4452.a20,60%Oracle Java (JRE)
2Exploit.JS.CVE-2010-4452.l3,40%Oracle Java (JRE)
3Exploit.JS.Pdfka.exr3,00%Adobe PDF Reader
4Exploit.JS.CVE-2010-4452.t2,90%Oracle Java (JRE)
5Exploit.Java.CVE-2010-0840.d2,60%Oracle Java (JRE)

H1 2012

 Название эксплойтаПроцент атакованных пользователейУязвимое приложение
1Exploit.JS.Pdfka.fhh20,10%Adobe PDF Reader
2Exploit.SWF.CVE-2011-0611.bt10,80%Adobe Flash Player
3Exploit.Java.CVE-2011-3544.ct6,90%Oracle Java (JRE)
4Exploit.JS.Agent.blb5,60%Oracle Java (JRE)
5Exploit.JS.Pdfka.fhp4,70%Adobe PDF Reader

Обман поисковых систем

Второй распространенный прием — обман поисковых систем (Black Hat SEO). В результате применения этой технологии специально созданные сайты, содержащие вредоносный код, выводятся на первые строчки в поисковой выдаче.

Работники компаний, разрабатывающих поисковые машины, следят за тем, чтобы поиск был релевантным. Поэтому выводить вредоносные сайты в топ поисковой выдачи по запросам, задаваемым ежедневно, слишком хлопотно и, вероятно, неприбыльно. Злоумышленники нашли более эффективный способ: они оптимизируют свои сайты под запросы по горячим темам, т.е. под запросы, которые актуальны в краткий промежуток времени (например, кончина какого-либо известного лица или название нашумевшего фильма), и чистоту выдачи по которым не успевают проверить работники поисковых систем.

Спам

Спам в социальных сетях и твиттере — очень популярный у злоумышленников способ распространения вредоносных ссылок. В таком спаме тоже нередко используются горячие темы.

Недавно киберпреступники, атакующие пользователей западных стран, заново открыли для себя спам в электронной почте как способ доставки «опасных» грузов. В настоящее время почта в западных странах используется в основном для подтверждения регистрации в различных сервисах и коммуникации с банками, пенсионными фондами, магазинами, государственными организациями и так далее. Поэтому письма со зловредами злоумышленники маскируют под официальные уведомления от таких организаций. В первом полугодии 2012 среднемесячный процент сообщений с вредоносными вложениями от всех электронных сообщений колебался на уровне 2,8-4,3%, что значительно больше средних показателей последних трех лет.

Согласно нашей статистике, в первой половине 2012 года среди всех источников заражений доля электронной почты составила 2,5%. При этом учитывались только письма с вредоносными вложениями и скриптами (письма с опасными ссылками классифицируются как веб-атаки), и не учитывались письма, получаемые пользователями в почтовых веб-клиентах.

Инфраструктура злоумышленников

Киберпреступления невозможны без современной инфраструктуры: серверов управления, площадок распространения вредоносных программ, прокси-серверов, ботнетов. Все эти составляющие также имеют географическую специфику.

Вредоносные хостинги

В странах Западной Европы, США и в Канаде сильная законодательная база для борьбы с вредоносным контентом. Но как это ни парадоксально, в этих странах во втором полугодии 2012 года было расположено 69% всех вредоносных хостингов: то есть существенно больше половины вредоносных программ в интернете распространяется с серверов из этих регионов.


Распределение вредоносных хостингов по странам в 2010 – H1 2012 годах

Этому есть свое объяснение. Во-первых, в западных странах сосредоточено подавляющее большинство дата-центров в мире, которые предоставляют отказоустойчивый хостинг. Многие проекты выбирают именно такие хостинг-площадки. Киберпреступники взламывают такие серверы и получают качественный хостинг. Еще одно важное преимущество использования этих серверов заключается в том, что в ходе атаки заражение компьютера пользователя происходит с легального сайта, и это существенно затрудняет защиту.

Во-вторых, отличить киберпреступный сервер от обычного провайдеру очень и очень непросто. Поэтому хакеры без особых проблем пользуются услугами легальных провайдеров. Хотя хостинг в западных странах недешевый, доходы киберпреступников позволяют им выбирать качественные хостинг-площадки.

Доменные зоны

Для распространения зловредов злоумышленникам нужны не только физические серверы, но и доменные имена сайтов. Наибольшей популярностью у них пользуются имена сайтов в доменных зонах net, com, info и org. На эти зоны приходится 44,5% отраженных атак с вредоносных сайтов на пользователей из Северной Америки и Западной Европы.

Однако существует и множество национальных доменных зон, которые активно используют киберпреступники.


Top 15 национальных доменных зон, где расположены вредоносные сайты, 
с которых производились атаки на североамериканских и западноевропейских пользователей

Пользователи из США, Канады и Западной Европы активно перенаправляются для заражения на сайты в доменных зонах Индии (.in), России (.ru) и Кокосовых островов (co.сс). Причем доменная зона co.cc, где можно зарегистрировать домен бесплатно, настолько замусорена, что в 2011 Google принял решение не индексировать сайты в ней, однако бесплатные домены все равно привлекают злоумышленников.

На четвертом и пятом местах расположились сайты в доменных зонах Испании (.com.es) и Италии (.it). Доменная зона Черногории — .me — выглядит так же, как английское «я», поэтому содержит множество англоязычных сайтов, таких как love.me. Похожая ситуация и с доменной зоной Италии (.it): многие компании используют английское «it» как часть названия сайта (do.it, get.it и т.п.). Поэтому сайты, взломанные или созданные злоумышленниками в этих доменных зонах, нацелены как на местных, так и на англоязычных пользователей.

Доменные зоны Европейского Союза (.eu), Германии (.de) и США (.us) замыкают десятку наиболее часто используемых злоумышленниками национальных доменных зон для атак на жителей Западной Европы и Северной Америки.

Ботнеты

Еще одной важной частью киберпреступной инфраструктуры в этом регионе являются ботсети, работающие в связке с партнерскими программами.

Партнерки — это схема, используемая киберпреступниками, при которой существует четкое разделение труда: есть разработчики вредоносных программ и их заказчики, готовые платить деньги за распространение зловредов; есть исполнители, которые распространяют вредоносные программы за деньги; есть организаторы партнерки, которые создают площадку для взаимодействия всех перечисленных групп.

Многие ботнеты являются огромной инсталляционной базой для других вредоносных программ. Боты разрабатываются специально для загрузки на зараженные ими компьютеры других зловредов по заказу «клиентов». Они могут скрывать присутствие загруженных программ в системе и иметь различные дополнительные «фишки». Примером такого бота может служить нашумевший TDSS, доставляющий на зараженный компьютер банкеры, dns-чейнджеры, лжеантивирусы. В 2011 году 41,5% зараженных TDSS компьютеров было расположено на территории Северной Америки и Западной Европы.

Заказчик может выбрать конкретные страны, в которых он хочет распространять свою вредоносную программу. Кстати, на первом месте по стоимости (и очевидно по ценности для киберпреступников) — установка в Европе и США, где заражение 1000 машин стоит около $100-150. Для сравнения: заражение компьютеров пользователей в Азии стоит в 10 (!) раз дешевле.

Заключение

Большинство стран Северной Америки и Западной Европы занимает первые строчки в рейтингах проникновения интернета, в них практически все хранят свои деньги на банковских счетах и для оплаты товаров и услуг онлайн активно пользуются карточками, привязанными к этим счетам.

Киберпреступники наживаются на пользователях рассматриваемых регионов в первую очередь с помощью кражи финансовой информации, за счет обмана пользователей и вымогательства денег. В этом регионе расположено большое количество компьютеров, зараженных ботами, которые собирают финансовые данные, распространяют лжеантивирусы и подменяют трафик пользователей. Цифры лишь подтверждают это: более 70% атак ботов Sinowal, более 40% атак ботов SpyEyes, собирающих финансовую информацию, и 67% случаев обнаружения лжеантивирусов в первом полугодии 2012 года пришлось на пользователей именно этого региона.

Зато если смотреть на инфраструктуру злоумышленников, то мы четко видим, что ботнетов, делающих черновую работу, такую как рассылка спама, DDoS-атаки, сокрытие сайтов злоумышленников здесь не так и много. (Где расположена основная часть компьютеров, выполняющих все эти действия, мы расскажем в следующей статье.)

Внедрение новых версий операционных систем в этих странах происходит быстрее, чем в других регионах мира, на многих компьютерах установлены антивирусные программы, правоохранительные органы ведут активную борьбу с киберпреступниками. Однако повышенная, по сравнению с другими странами мира, сложность проникновения вредоносных программ на компьютеры не останавливает киберпреступников, и они создают и обкатывают более изощренные технологии. Наиболее сложные троянцы на сегодняшний день (если, конечно, не брать в расчет программы, созданные спецслужбами) функционируют на территории именно этого региона. Пользователи Mac OS X, увы, тоже оказались под ударом: во время эпидемии mac-троянца FlashFake более 80% заражений пришлось на компьютеры в США, Канаде и странах западной Европы.

В этих регионах злоумышленники используют взломанные сайты и надежные хостинги для организации командных серверов и распространения вредоносных программ. Почти 70% попыток загрузки зловредов происходит с серверов, физически расположенных на территории западных стран.

Наше исследование показало, что в западных странах интернет используется злоумышленниками как основной вектор атаки. 80% всех отмеченных в регионе атак были организованы через Web. В результате по итогам первого полугодия более 40% компьютеров пользователей в Италии и Испании подверглись риску заражения в ходе интернет-серфинга, в Англии — 37% , во Франции — 36%, в Германии — 29%. За океаном дела обстоят примерно также: в США — 39% пользователей KSN хоть раз подвергались атаке через интернет, в Канаде — 37%.

Если прогнозируемый экономический кризис все же случится, то он повлияет и на ситуацию с кибербезопасностью в рассмотренных странах. В результате количество атакуемых компьютеров может увеличиться, а вот их защищенность наоборот снизится, так как люди будут экономить на обновлении компьютеров и покупке новых версий программ.

В обозримом будущем рост популярности банковских услуг у владельцев смартфонов и планшетов в сочетании с тем, что большое количество мобильных устройств не имеет антивирусной защиты, сделает сферу мобильного банкинга новым вектором атак для злоумышленников. При этом очевидно, что наиболее вероятной целью атак станут устройства под управлением Android OS.

Источник: Securelis
Автор: Юрий Наместников


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс