В I кварталі 2016 року щодня ідентифікувалися 227 000 зразків шкідливих програм



PandaLabs, антивірусна лабораторія компанії Panda Security, виклала у своєму щоквартальному звіті основні події кібер-безпеки за перші три місяці 2016 року, показавши також статистику шкідливих програм і кібер-атак за вказаний період часу.

Рівень створення шкідливих програм продовжує бити всі рекорди, досягши позначки в 20 мільйонів нових зразків, які були ідентифіковані у PandaLabs протягом першого кварталу (в середньому — 227 000 зразків щодня).

Все більше і більше компаній потрапляють у пастки шифрувальників. У цьому звіті Ви дізнаєтеся всі новини, пов'язані з цими типами атак (включаючи атаки на Linux, Mac і навіть веб-сторінки). Ми покажемо, як можна врятувати кілька сотень мільйонів євро, а також проаналізуємо кібер-атаки на лікарні, які відбулися за останні кілька місяців.

Критичні інфраструктури — це дуже чутливі зони, на які зосереджують свою увагу кібер-злочинці. Одна з найбільших атак нещодавно сталася на Україні. Взимку хакери на кілька годин змогли віддалено вимкнути електропостачання приблизно 200 000 чоловік.

Атаки продовжують зростати і в іншому напрямку: смартфони. Крім цього, завдяки Інтернету речей ми дізналися, як можна атакувати такі, здавалося б, незвичні з точки зору атак об'єкти, як дверний дзвінок.

Квартал в цифрах
Ми почали цей рік з більш ніж 20 мільйонів нових зразків шкідливих програм, які були виявлені і нейтралізовані в PandaLabs — антивірусної лабораторії компанії Panda Security (в середньому — 227 000 зразків щодня). Це трохи більше, ніж було виявлено у першому кварталі 2015, коли щодня виявлялося приблизно 225 000 зразків.

З усіх зразків трояни є найбільш руйнівним типом шкідливих програм, залишаючись «лідером» протягом багатьох останніх років. Зверніть увагу, що кількість атак з допомогою шифрувальників, які також відносяться до даної категорії троянів, суттєво зросла.

Дані нижче показують розподіл шкідливих програм, створених у першому кварталі 2016 року, по типу загроз:


Трояни є найбільш популярним типом шкідливих програм, на частку яких припадає 66,81% від усіх створених в першому кварталі зразків, що вище показника попереднього року. На другому місці йдуть віруси (15,98%), далі — черв'яки (11 ,01%), потенційно небажані програми (4,22%) і шпигуни, рекламне ПО (1 ,98%).

Завдяки даним, наданим «Колективним розумом», ми можемо проаналізувати інфекції, викликані шкідливими програмами в усьому світі. Більшість інфекцій також викликані троянами (65,89%). Давайте подивимося, як інфекції розподілені по типу загроз:


Беручи до уваги зростання інфекцій з допомогою шифрувальників, трояни знову займають перше місце. Вони залишаються найпопулярнішим інструментом проведення кібер-злочинних атак, оскільки дозволяють хакерам заробляти гроші одночасно простим і безпечним способом. Потенційно небажані програми зайняли друге місце з чвертю інфекцій, залишивши далеко позаду шпигунів і рекламне ПО (4,01%), черви (3,03%) та віруси (1 ,95%). Агресивні техніки, що використовуються для розповсюдження шкідливих програм, що передбачають використання цілком легітимних програм потенційно небажаними програмами. Такий підхід дозволяє домогтися високих показників встановлення на комп'ютерах користувачів.

Якщо ми подивимося на загальну частку заражених комп'ютерів в 33,32%, то вона дещо вища, ніж в минулому році, за рахунок зростання числа атак із застосуванням шифрувальників та ПНП. Слід зазначити, що даний відсоток показує лише випадки «зустрічі» з шкідливими програмами, але це не означає, що комп'ютери в результаті були заражені.
Лідером серед найбільш заражених країн світу залишається Китай (51 ,35% комп'ютерів), далі йдуть Туреччина (48,02%) і Тайвань (41 ,24%).

10 країн з найбільшим рівнем зараження:


Азія і Латинська Америка — це регіони з найвищими рівнями інфекцій. Інші країни з рівнем зараження вище середньосвітового: Уругвай (33,98%), Чилі (33,88%), Колумбія (33,54%) та Іспанія (33,05%).

Аналізуючи менш заражені країни, ми можемо побачити, що практично всі вони розташовані в Європі. Як завжди скандинавські країни зайняли весь п'єдестал»: Швеція — лідер за показником 19,80%, а поруч Норвегія (20,23%) і Фінляндія (20,45%).

10 країн з найменшим рівнем зараження:


Інші країни, рівень забруднення яких нижче середньосвітового значення, але при цьому вони не потрапили в першу десятку: Австралія (26,79%), Франція (27,20%), Португалія (27,47%), Австрія (28,69%), Канада (30,30%), США (30,84%), Угорщина (31 ,32%), Італія (32,48%), Венесуела (32,89%) і Коста-Ріка (33,01%).

Погляд на квартал
Вивчаючи все, що відбулося за останні кілька місяців, ми вирішили ввести новий підрозділ, який буде присвячений тільки шифровальщикам. Так, ми вже розглядали ці атаки в наших звітах, але оскільки їх поширеність продовжує зростати (особливо в корпоративному секторі), ми вирішили виділити їх окремо.

Шифрувальники
Ми можемо припускати прибутковість подібних атак по тому, як вони атакують різні платформи: крім звичайних атак на Windows, ми також бачили нові і поліпшені варіанти Linux/Encoder, що використовують операційну систему з «пінгвіном». Не пошкодували навіть Apple: ми бачили шифрувальник під назвою KeRanger, який заражав користувачів Apple. Втім, ці атаки не тільки шифрують файли користувачів, на комп'ютерах, але вони також почали атакувати і веб-сайти, шифруючи їх вміст.

зокрема, ми спостерігали випадки, коли хакери проникали на сайти, створені з допомогою Wordpress, шифрували файли і міняли сторінки index.php або index.html, показуючи повідомлення, в якому говорилося про необхідність виплати викупу за відновлення сайту. Вони також включали чат для контакту безпосередньо з хакерами для «оформлення» платежу.


Удосконалюються техніки, а в деяких випадках вони стають дуже агресивними (як у випадку з Petya), коли замість зашифрованих документів загрози проникають безпосередньо в MBR комп'ютера, залишаючи його непридатним для використання до оплати викупу.

Також зросла зловживання системою PowerShell (як ми прогнозували в щорічному звіті PandaLabs за 2015 рік), встановленої за замовчуванням у Windows 10, яка все частіше використовується при атаках, коли необхідно уникнути виявлення з боку рішень безпеки, встановлених на ПК жертви.

Атаки на компанії стають все більш витонченими. Останнім часом ми стали свідками атак, коли після злому сервера компанії робляться дії і для зараження максимального числа ПК у корпоративній мережі з допомогою шифрувальників (так можна отримати більше грошей).

За останні місяці зріс рівень поширення шифрувальників, і ми навіть бачили випадки атаки на «топові» сайти (The New York Times, BBC, MSN, AOL і т. д.) для зараження відвідувачів.

Веб-сайти не зламуються: атаки здійснюються з допомогою показываемой на них реклами, керованої кібер — злочинцями і звертається до сервера з певним типом експлойтів (Angler і т. д.), щоб заражати користувачів, у яких не оновлені всі програми.

За результатами опитування, проведеного Cloud Security Alliance, деякі компанії готові платити до мільйона доларів за відновлення своїх даних. Хоча це може здатися перебільшенням, але слід мати на увазі, що деякі атаки не тільки шифрують корпоративну інформацію, але і копіюють її собі, в результаті чого навіть при наявності бекапів компанії змушені платити, щоб запобігти публікацію украденої інформації.

У січні The Economic Times в Індії повідомив, що три великих банки і одна фармацевтична компанія стали жертвами атаки шифрувальників.


Атака почалася зі злому IT-менеджерів з різних компаній, після чого заражалися ПК та інших співробітників, а викуп досягав 1 биткоина за кожен заражений ПК. Підсумковий викуп досяг декількох мільйонів доларів.
Один з секторів бізнесу, який цілеспрямовано страждає від подібних атак, — це лікарні. За останні місяці ми бачили кількаразове зростання атак на них. Нижче ми вкажемо найбільш шокуючі випадки.

Голлівудський пресвитарианский медичний центр в Лос-Анджелесі (США) заявив про «надзвичайний стан» і залишив своїх співробітників без доступу до пошти, медичних записів пацієнтів та інших систем. У результаті деякі пацієнти не отримували лікування, а частина з них були відправлені в інші лікарні.

Запитуваний викуп склав 3,7 млн. доларів. Директор лікарні домовився з хакерами і заплатив 17 000 доларів за відновлення зламаних файлів. MedStar Health змушений був відключити деякі свої системи в лікарнях Балтімора (США) з-за подібної атаки.

Methodist Hospital в Хендерсоні (штат Кентуккі, США) також став жертвою. І в цьому випадку вони заплатили 17 000 доларів (однак деякі джерела повідомили, що розмір викупу був набагато вище цієї суми).

Prime Healthcare Management, Inc. також став жертвою кібер-злочинців. У них було атаковано дві лікарні (Chino Valley Medical Center і Desert Valley Hospital). Але в цьому випадку компанія не платила викупу.

Але постраждали не тільки лікарні в США. В Європі ми спостерігали аналогічні випадки. Deutsche Welle повідомила, що кілька лікарень Німеччини були атаковані шифрувальниками (наприклад, Lukas Hospital в Нойс і Klinikum Arnsberg в Північному Рейні-Вестфалії). Ніхто з них не платив викуп.

Кібер-злочину
Neiman Marcus повідомив, що приблизно 5200 акаунтів його клієнтів були зламані хакерами. Мабуть, компанія не постраждала від крадіжки реєстраційних даних, але хакери використовували облікові записи, вкрадені з інших компаній, щоб перевірити, які з них будуть працювати в даному інтернет-магазині. Це нагадує нам про важливість двоетапної авторизації.

Мережа готелів Rosen Hotel & Resort була жертвою атаки з вересня до лютого 2014 2016. Вона попередила своїх клієнтів, що якщо в зазначений час вони використовували банківську картку у будь-якому з закладів мережі, то їх дані могли бути викрадені хакерами.


Чилійська група хактивістів вкрала 304 189 записів з бази даних CONADI, урядової установи з розвитку корінних народів. Хакери опублікували базу даних разом із повідомленням, яке виявило слабкість систем безпеки і зажадав відставки Президента Чилі.

Американський сервіс Verizon став жертвою атаки. Були вкрадені дані, що належали 1,5 милллионам їх клієнтів. За словами Брайна Кребса, який виявив даний інцидент, кібер-злочинці продали вкрадену інформацію приблизно за 100 000 доларів (вони також продавали її по частинах за 10 000 доларів).

Нова уразливість в OS X могла надати хакерам повний доступ. Уразливість могла пропускати Захист цілісності системи (SIP), вперше представлену в «El Capitan».

Коли ми говоримо про фішинг, ми зазвичай думаємо про типових листах, схожих на повідомлення нашого банку і намагаються обдурити нас для отримання наших реєстраційних даних. Однак є і більш складні і амбітні атаки, на зразок тієї, від якої постраждала компанія Mattel, виробник Barbie і Hot Wheels.


Виконавчий директор одержав повідомлення від новопризначеного генерального директора з проханням перевести три мільйони доларів на рахунок в Китай. Після проведення платежу (чому гендиректор був здивований, оскільки він не надсилав заявку), Mattel зв'язалася з владою США і своїм банком, але було занадто пізно, оскільки гроші вже були переведені.

Проте їм пощастило, т. к. в Китаї були офіційні свята, а тому було достатньо часу попередити влади Китаю. Вони заморозили рахунок і Mattel зумів отримати свої гроші назад.

Такий тип атаки став дуже популярним. Хакери видають себе за керівника компанії і запитують у «своїх» співробітників здійснення грошових переказів. Для обману використовується інформація, що публікується ними в соціальних мережах, що робить його більш правдоподібним.

Клініка 21st Century Oncology Holdings у Флориді (США), що спеціалізується на лікуванні раку, попередила в березні 2,2 мільйона своїх пацієнтів і співробітників, що їх персональні дані могли бути вкрадені.


Атака сталася в жовтні 2015 року, однак ФБР просила не розкривати цю інформацію до тих пір, поки йшло розслідування. Хакери змогли вкрасти персональні дані (ПІБ, номер соціальної страховки, діагноз, лікування, дані медичного страхування, дані про банківську карту тощо).

Багато хто пам'ятають відомий «поліцейський вірус», попередника сучасних шифрувальників, який видавав себе за місцеві правоохоронні органи і вимагав сплати штрафу в 100 євро. Одна з таких кібер-банд була спіймана іспанською поліцією, а в першому кварталі її члени були засуджені. Банда складалася з 12 осіб. Лідер банди Олександр Краснокутський засуджений до 6 років, його заступник Дмитро Ковальчук отримав три роки, брати Сергій та Іван Барковы отримали по два роки кожен. Інші члени банди отримали по 6 місяці тюремного ув'язнення.

Якщо Flash — це номер один серед плагінів браузерів для зараження нових жертв (більше дірок і більше атак), то Java йде поруч на другому місці. Але в цьому плані у нас є хороші новини: Компанія Oracle, розробник Java, оголосила про закриття продукту.

Нова і остання версія плагіна буде опублікована у вересні цього року. Основні виробники браузерів зупинили підтримку цих плагінів з-за безлічі проблем (переважно пов'язаних з безпекою). Деякі вже запланували припинити їх використання.

ФБР вдалося ідентифікувати 1500 осіб, що торгують дитячою порнографією.

В минулому році вони вилучили сервери Playpen — сайту з тіньового Інтернету, який був опублікований у серпні 2014 року і дозволяв користувачам завантажувати і завантажувати зображення з даної тематики. Цей сайт виріс до 225 000 зареєстрованих користувачів. Протягом двох тижнів ФБР, серед іншого, намагався з допомогою власних серверів та інструментів встановити IP-адресу відвідувачів сайту.

Якщо на нормальному сайті цілком просто встановити IP — адресу відвідувача, то в тіньовому Інтернеті таке завдання набагато складніше. Фактично, відвідувачі Playpen були зламані за допомогою вразливостей в деяких браузерах для тіньового Інтернету. Після того як Ви отримували доступ до комп'ютера, що відвідали даний сайт, утиліта збирала необхідну інформацію (IP-адреса, MAC-адресу, версію операційної системи, ім'я користувача тощо).

Говорячи про зломи з боку правоохоронних органів, в Німеччині Міністерство внутрішніх справ дозволило використання троянів для доступу до комп'ютерів і смартфонів підозрюваних. Троян був розроблений самими поліцейськими і дозволяв їм отримати доступ до комунікацій цих пристроїв.

Мобільні загрози
Ми поговоримо про уразливість в телефонах. Ми спостерігали уразливості, які впливають на ці пристрої з різних сторін: ЗА, встановлене виробником, процесор пристрою, операційна система…

SNAP — це назва вразливості для телефонів LG G3. проблема виникає із-за помилки в повідомному додатку Smart Notice LG, яке дозволяє виконувати будь-який тип JavaScript.

Дослідники з BugSec, що виявили цю уразливість, повідомили про неї в LG, яка швидко випустила оновлення для усунення інциденту.

Metaphor — це назва уразливості, надане компанією NorthBit. Дана уразливість дозволяє узламывать термінали Android всього за 10 секунд після відвідування веб-сайту, що містить шкідливий медіа-файл.

Багато технарі знають ім'я Snapdragon, який, можливо, є самим відомим процесором Qualcomm, що використовується на більш ніж 1 мільярд пристроїв (в основному, мобільних). Колеги з Trend Micro виявили в цих процесорах дві уразливості, які дозволяють хакеру отримати рутівський доступ до пристрою. Google випустив оновлення, яке вирішує дану проблему.

Apple був головним героєм за останні три місяці. По-перше, було опубліковано відкритий лист керівника компанії Тіма Кука з приводу конфіденційності користувачів після того, як ФБР запросило компанію надати їм секретний вхід для доступу до пристроїв iPhone в тих випадках, коли мова йде про національну безпеку. Але насправді все почалося з теракту в Сан-Бернардіно, коли ФБР вилучив iPhone, який належить одному з терористів, і хотів отримати доступ до повідомлень. Багато технологічні компанії підтримали лист Кука (Facebook, Google, Microsoft, Twitter, LinkedIn та інші.). В кінцевому підсумку ФБР зумів зламати термінал з допомогою сторонніх фахівців.

Інтернет речей
Як ми вже бачили в попередніх звітах, Інтернет речей має високі шанси стати жертвою атак. Деякі виробники в курсі даної проблеми. General Motors впровадила нову програму винагороди для хакерів, хто зможе знайти уразливості в їх машинах. Це цілком нормальна практика серед технологічних компаній (Microsoft, Google, Facebook і інші вже кілька років мають подібні програми), але це щось новеньке серед традиційних компаній, наприклад, автовиробників. Це чудово, що General Motors проявив таку ініціативу.

Японський автовиробник Nissan відключив програма, яка дозволяє власникам електрокарів Nissan LEAF управляти системою опалення та кондиціювання повітря.


Дослідник з Австралії виявив, що він може контролювати ці параметри в будь-якому Nissan LEAF, просто використовуючи VIN-номер.

Поступово ми вводимо нові «розумні» пристрої в наш дім. Компанія Ring має дверний дзвінок з камерою, датчиком руху і вбудованим Wi-Fi підключенням. Pen Test Partners Company, вивчаючи одне з таких пристроїв, виявила, що отримавши доступ до кнопки установки пристрою, можна отримати реєстраційні дані тієї Wi-Fi мережі, до якої він підключений. Виробник оперативно відреагував на це, випустивши нову прошивку, яка усуває цю проблему.

Кібер-війни
Російські дослідники з Industrial Controls Systems Supervisory Control and Data Acquisition (ICS / SCADA) опублікували список промислового устаткування, яке надходить з однаковими паролями за замовчуванням, щоб змусити виробників запровадити більш ефективний контроль безпеки. Список вже охрестили «SCADAPass», і він містить реєстраційні дані за замовчуванням більш ніж 100 продуктів від таких виробників як Allen-Bradley, Schneider Electric і Siemens.

Ці продукти в основному використовуються в критичних інфраструктурах. В кінці 2015 року на Україні була здійснена кібер-атака на інфраструктуру електропостачання. Приблизно 225 000 жителів деяких областей України залишилися без електрики (посередині зими!) в результаті цієї кібер-атаки. Дана атака була пов'язана з групою російських кібер-злочинців, відомої як «Sandworm».

Міністерство оборони США запустило спеціальну програму винагороди під назвою «Зламай Пентагон». Хакерам пропонується винагороду за те, що вони знайдуть уразливості в веб-додатках і мережах, пов'язаних з Пентагоном.


Кожен може стати жертвою крадіжки інформації, включаючи терористичні групи, подібні ИГИЛ. Дезертир прихопив «флешку» з дані про 22 000 членах ИГИЛ (перед вступом до ИГИЛ кандидати повинні заповнити анкету з усією цією інформацією).

Три групи латиноамериканських хакерів змогли зламати сервери, що належать армії Болівії, після чого завантажили і опублікували електронні листи. Вони зуміли легко отримати доступ до інформації за допомогою старої діри безпеки в сервісі VMWare Zimbra, яка не була закрита службами безпеки армії.
У березні розвідувальна служба Південної Кореї зізналася, що стала жертвою атаки, в якій були скомпрометовані мобільні телефони 40 агентів безпеки в країні, звинувативши в нападі Північну Корею. Через кілька днів уряд Північної Кореї повідомило про свою непричетність до цієї атаки.

Висновок
Як бачите, рік розпочався досить напружено. Ми будемо уважно стежити за розвитком шифрувальників, бо нам доведеться жити з ними ще довгий час. Крім цього, нам слід бути дуже уважними до Інтернету речей і численних проблем безпеки, оточуючим дані пристрої.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.