Вирусы становятся более сложными, мошенники – более изобретательными

17 февраль, 2010 - 19:07Елена Дериева

2009 г. стал очередной вехой в истории киберпреступности, а новые методы создания вредоносных программ и организации атак, вероятно, окажут заметное влияние на основные тенденции ближайших лет. Результатами собственных исследований в данной области поделилась «Лаборатория Касперского», которая, несмотря на сложное состояние мировой экономики, продолжает активную экспансию на глобальный рынок.

«Лаборатория Касперского», работающая на рынке антивирусных решений уже 12 лет, по результатам прошлого года стала крупнейшей антивирусной компанией в Европе и самой быстрорастущей в своем сегменте. К концу января 2010 г. численность персонала в ее офисах, расположенных по всему миру, составляла свыше 1700 человек, при этом около 35% из них занимались исследованием и разработкой. Компания является безусловным лидером в СНГ, входит в число ведущих на мировом потребительском рынке, ее технологии используют более ста мировых OEM-производителей.

Вирусы становятся более сложными, мошенники – более изобретательными

Подводя итоги минувшего года, Гарри Кондаков, управляющий директор в странах Восточной Европы, СНГ, Ближнего Востока и Африки, отметил, что в 2009 г. компания завершила процесс международной экспансии и теперь представлена на всех континентах. Хотя в большинстве регионов основной доход, как и ранее, ей дает розница, тем не менее за прошедший год удалось заметно расширить присутствие в корпоративном сегменте ЕЕМЕА.

Из регионов наиболее активно развивается американский рынок, где в 2009 г. продукты «Лаборатории Касперского» завоевали второе место по популярности в рознице, уступив пальму первенства лишь Symantec, аналогичное положение компания занимает и в рознице ключевых стран Европы (за исключением Германии, где она стала лидером), а скромные пока успехи на перспективных рынках Японии и Кореи маркетологи связывают скорее с консерватизмом последних. Большие надежды, несмотря на высокий (90%) уровень пиратства, подает китайский рынок, для которого компания не только выпускает решения под отдельным брендом, но и предлагает специальную ценовую политику. Кстати, именно в Китае сейчас располагается тестовая лаборатория, и, возможно, в скором времени здесь же будет проводиться первоначальный разбор вирусов местных писателей.

Согласно предварительным оценкам, в 2009 г. доля «Лаборатории Касперского» на глобальном рынке систем защиты составила около 6% (против 4% в 2008 г.), что позволило российскому разработчику выйти на четвертую позицию в рейтинге крупнейших поставщиков антивирусных систем. Впрочем, если бизнес-результаты года пока известны лишь частично и компания не спешит делиться цифрами со СМИ, то антивирусные эксперты итоги развития вредоносного ПО как в мировом масштабе, так и применительно к СНГ, уже подвели.

Время вирусописателей-любителей давно прошло, «бескорыстные» образцы вредоносного ПО практически перестали появляться еще в 2007–2008 гг., и основной угрозой стали «троянцы», занимающиеся кражей разного рода данных – от паролей и виртуальных ценностей участников онлайновых игр до персональной и банковской информации реальных людей. На смену резкому (в 10 раз) росту числа вредоносных программ, наблюдавшемуся в 2008 г., пришли относительная стабильность, глобальные эпидемии и новые схемы интернет-мошенничества.

Одной из причин снижения темпов появления угроз, по мнению экспертов, является рост конкуренции на рынке игрового ПО, согласованные действия игроков антивирусной индустрии, заметная активизация правоохранительных органов и телекоммуникационных компаний, в результате чего были закрыты UkrTeleGroup, RealHost и 3FN, способствующие киберкриминалу.

Вирусы становятся более сложными, мошенники – более изобретательными
Специалисты «Лаборатории Касперского» прогнозируют, что в ближайшее время мы столкнемся с качественно новым уровнем угроз и сложностью вредоносных программ. Поэтому усилия необходимо сосредоточить на создании максимально эффективных технологий защиты

В последние годы крупнейшим производителем вредоносного ПО стал Китай – только в 2009 г. из более чем 73 млн зафиксированных «Лабораторией Касперского» сетевых атак 52,7% были проведены с ресурсов, размещенных в этой стране. В пятерку лидеров вирусописания входят также США (доля зараженных серверов за минувший год выросла с 6,8 до 19%), Россия, Германия и Голландия.

В 2009 г. изменилось и преимущественное направление атак: основной мишенью киберпреступников по-прежнему остается Китай, правда, его доля сократилась на 7%. Другие лидеры прошлого года – Египет, Турция, Вьетнам – стали заметно менее интересны злоумышленникам, одновременно значительно выросло число атак на граждан США, Германии, Великобритании и России.

За прошедший год технологии вирусописателей серьезно усложнились. Руткиты не только получили широкое распространение, но и существенно продвинулись в своей эволюции. Среди них особенно выделяются такие угрозы, как Sinowal, TDSS и Clampi, а уровня глобальных эпидемий смогли достичь не только они, но и ряд других. Главной же эпидемией года стал «червь» Kido (Conficker), который сумел поразить более 7 млн ПК. Эта напасть оказалась настолько серьезной, что для противодействия ей впервые была создана специальная международная группа – Conficker Working Group – объединившая антивирусные компании, интернет-провайдеров, независимые исследовательские организации, учебные заведения и регулирующие органы.

Втрое выросло число атак, использующих технологию фоновых загрузок во время стандартных действий в Интернете. Крупнейшей эпидемией стали несколько волн Gumblar-атак (специализирующихся на краже паролей ftp), отличительными особенностями которых являются работа по замкнутому циклу и полная автоматизация процесса построения ботнетов.

Все более разнообразными становятся и мошеннические схемы: к традиционному и весьма распространенному фишингу добавились различные сайты, предлагающие платный доступ к «услугам». И в области SMS-мошенничества лидируют, как ни прискорбно, Россия и другие страны СНГ, в том числе Украина. Именно здесь поставлено на поток создание рассылок с предложением «узнать местоположение человека через GSM», «прочитать приватную переписку в социальных сетях», «собрать информацию» и т. д. Число подобных сервисов достигало нескольких сотен, а обеспечением их работы занимались десятки коллективов. К сожалению, такому положению дел в немалой степени способствует работа операторов, которая позволяет с легкостью и практически без документов регистрировать премиум-номера для SMS (стоимость которых может доходить до $10).

На протяжении минувшего года продолжала расти популярность псевдоантивирусов, причем для их распространения активно применяются не только другие вредоносные программы (например, Kido), но и реклама в Интернете. Не в последнюю очередь это связано с простотой их разработки, отлаженной системой эффективного распространения и высокими прибылями – по оценкам ФБР, за год на этом ПО киберпреступники заработали около 150 млн долл.

Долгое время пользователи не-Windows-платформ находились в относительной безопасности, но последний год показал, что такому положению дел скоро придет конец. В 2009 г. на вирусные угрозы внимание обратила даже Apple, ранее заявлявшая о неактуальности подобных проблем для своих платформ: в новую версию ОС уже добавлен некий аналог антивирусного сканера.

Уникальным событием стало обнаружение «троянской» программы Backdoor.Win32.Skimer, впервые нацеленной на банкоматы. С помощью специальной карточки доступа злоумышленник может снять все находящиеся в зараженном банкомате деньги или получить данные о кредитных картах пользователей, производивших через него транзакции. Этот «троянец», очевидно, написан человеком, хорошо знакомым с особенностями ПО банкоматов, а анализ его кода дает основание предположить, что предназначался он для России и Украины. Заразить банкоматы злоумышленник может либо при непосредственном доступе к его системе, либо через внутреннюю сеть банка – в любом случае без инсайдеров не обошлось.

По мнению специалистов «Лаборатории Касперского», в 2010 г. направление атак, вероятнее всего, сместится в сторону файлообменных и социальных сетей. В этом случае заражению в немалой степени способствуют и сами пользователи, на время загрузки файлов нередко отключающие надоедающие предупреждениями антивирусы, а также социальный фактор повышенного уровня доверия участников социальных сетей друг к другу. А вот волна ложных антивирусов, очевидно, пойдет на спад – уже сейчас заметна тенденция к перенасыщению рынка, да и правоохранительная система продемонстрировала намерение заметно усложнить подобый промысел.

Вирусы становятся более сложными, мошенники – более изобретательными

В области веб-сервисов хитовым объектом атак, по-видимому, станет Google Wave, причем схема скорее всего будет стандартной – от спама к фишингу и использованию уязвимостей для распространения вирусов. Интерес будет наблюдаться к сетевой Chrome OS, хотя в этом случае пик активности следует ожидать несколько позже.

Основными причинами эпидемий по-прежнему останутся уязвимости ОС и стороннего ПО. При этом вредоносные программы усложнятся – уже сейчас многие антивирусы не могут вылечить системы, пораженные руткитами, в дальнейшем ситуация, вероятно, еще ухудшится.

Нельзя не отметить еще одной тенденции: ботнеты позволяют создавать большие объемы целевого трафика, и если сейчас они борются друг с другом, то в ближайшем будущем, напротив, можно ожидать их кооперации с целью получения заработка их владельцами.

Что касается сегмента мобильных устройств, то в 2009 г. здесь произошли давно прогнозируемые события: для iPhone появились первые вредоносные программы («черви» Ike), для смартфонов с ОС Symbian S60 3rd edition – первые инциденты с подписанными вредоносными программами, а для Android – первая шпионская программа. В прошлом году активизировалось мошенничество через SMS и началась «монетизация» рынка мобильного вредоносного ПО. Всего за 2009 г. было обнаружено 39 новых семейств и 257 новых модификаций вирусов для мобильных платформ (конечно, это не сравнить с миллионами для ПК, но все же вдвое больше, чем годом ранее), в их числе вредоносное ПО, используемое для получения прибыли и способное устанавливать контакт с удаленными серверами. Таким образом киберпреступники смогут обновлять вредоносное ПО, строить ботнеты из мобильных устройств, да и просто внедрять SMS-«троянцев», отправляющих платные сообщения на премиум-номера.

Аналитики «Лаборатории Касперского» утверждают, что в сегменте мобильных платформ 2010 г. будет непростым. И если для iPhone группу риска составят преимущественно пользователи «разблокированных» устройств, то для Android можно ожидать ряда заметных вирусных инцидентов, чему поспособствуют отсутствие ограничений на установку ПО для данной платформы, растущая популярность устройств на ее основе в Китае и слабая технология контроля публикуемых приложений.

А вот в области спама ситуация достаточно спокойная. Мировые объемы незапрошенной корреспонденции выросли незначительно, всего на 3,1%, а средняя доля спама в почтовом трафике в 2009 г. составила 85,2%. Регионы, лидирующие в спам-рассылках, также прежние (США и Россия), но заметна миграция источников рассылки в азиатские и латиноамериканские страны, где стремительно растет число ПК и абонентов широкополосного Интернета, а уровень осведомленности об угрозах пока невысок.

Следует отметить, что с изменением экономической ситуации на протяжении года существенно варьировался тематический состав нежелательной почты – вплоть до мая снижалась доля сообщений, рекламирующих услуги среднего и малого бизнеса и рос (до 20%) объем рекламы самих спамеров. Впрочем, по мере стабилизации экономической ситуации доля последней стала снижаться, достигнув к началу осени докризисного уровня. В целом по оценкам экспертов доходы от спама в прошлом году упали на 10–15%.

Главной новинкой в области спамерских трюков можно считать использование сервиса YouTube, писем с MP3-вложениями и в какой-то мере – разного рода искривления строк в графическом спаме. Процент вредоносных вложений в почте составил около 0,85%, очень низкой была и доля фишинговых писем – 0,86%, что эксперты связывают с повышением осведомленности пользователей.

Зато настоящим «клондайком» для спамеров стали социальные сети. Здесь подделки под уведомления, фишинговые атаки и рассылка вирусов в подложных письмах стали просто бедствием. Например, на популярные в нашей стране «ВКонтакте» и «Одноклассники» приходится соответственно 23 и 21% спама, и такому положению способствует отсутствие противодействия со стороны владельцев социальных сетей. Скажем, в Twitter предварительная проверка ссылок дает возможность удерживать данный показатель на уровне 4%, а создание в MySpace специального подразделения по борьбе с нежелательными сообщениями позволило за 9 месяцев практически искоренить проблему.

2010 г. в спам-индустрии будет, по мнению аналитиков, относительно спокойным: объем нежелательной почты останется примерно на том же уровне, не исключено, что пойдет на спад SMS-мошенничество (особенно если им займутся правоохранительные органы), такие методы, как использование медиафайлов, вряд ли приживутся. Единственным исключением станут социальные сети – в них поток спама, вероятно, будет расти.