По данным очередного квартального отчета PandaLabs Quarterly Report. April-June 2012, чаще всего сегодня киберпреступники используют троянцев. Их объем составляет 79% от всех киберугроз. Эффективность действий вредоносного ПО доходит до 76%. На втором месте черви, отвечающие за 11% всех атак. При этом на них приходится почти 6% инфекций.

Эксперты делают вывод: массовые эпидемии, вызванные червями, остались в прошлом. Их место прочно заняли троянцы, в основном, ориентированные на кражу банковских данных, а также вирусы-полицейские.

По статистике PandaLabs, на первое место в рейтинге стран с наибольшим числом зараженных компьютеров во II квартале 2012 года вышла Южная Корея (57,3%). На втором месте – Китай (51,94%). От них заметно отстает Тайвань с 42,88% инфицированных машин. При этом для Гонконга данный показатель составляет всего лишь 23,36%. На другом конце рейтинга – Швейцария (18,4%) и Швеция (19,07%), единственные страны, которым удалось удержаться в пределах 20%.

Компания по компьютерной безопасности PandaLabs в своем отчете за II квартал 2012 года (PandaLabs Quarterly Report. April-June 2012) объявила о новом этапе эволюции вирусов-полицейских.

Действия вирусов из этой группы основаны на страхе пользователей перед правоохранительными органами. PandaLabs сообщает, что поддельные антивирусные программ (scareware) сменились на программы, требующие выкуп (ransomware). Злоумышленники рассылают письма, имитирующие официальные сообщения, в которых уведомляют пользователя о необходимости заплатить штраф за неправильную парковку, за нарушение авторских прав или неуплату налогов. При этом на компьютер устанавливается программа, которая требует с пользователя «выкуп». Эксперты считают, что функцию требования выкупа разработчики вредоносного ПО взяли у программы-шифровальщика GpCode.

Подобные программы с каждым годом усложняются. Если раньше, чтобы избавиться от вредоносного ПО, было достаточно ввести некий общий ключ, то теперь ключ стал уникальным для каждого зараженного компьютера. При отсутствии доступа к серверу, где находятся все ключи, отключить программу становится невозможно.

Специалисты PandaLabs сообщают об еще одной необычной версии вирусов-полицейских. Вредоносная программа перехватывает управление веб-камерой пользователя и выводит на экран его компьютера снимок небольшого формата, снабженный текстом «Live recording». После чего пользователю предлагается остановить наблюдение, якобы ведущееся за ними правоохранительными органами в режиме real-time. Естественно, что никакой записи не идет, но запаниковавшая жертва готова тут же оплатить «штраф», чтобы снять наблюдение.

Эксперты считают, что основными источниками вирусов-полицейских являются страны Восточной Европы и России, где они и были созданы. По их мнению, эпидемия вирусов-полицейских будет развиваться дальше.

Словенскому хакеру Матьясу Скорьянсу (Matjaž Škorjanc) предъявлено обвинение в создании международной группировки киберпреступников. Его задержание стало результатом совместных действий ФБР со словенскими и испанскими властями.

26-летний Матьяс Скорьянс (псевдоним Iserdo) считается создателем ботнета  Mariposa. В состав сети входило до 12,7 миллионов компьютеров. Причем их владельцами оказались чуть ли не половина компаний, входящих в список Fortune 1000 (в том числе и 40 крупных банков).

Охота за программистами Mariposa началась еще в 2009 году. В марте 2010 года в Испании удалось арестовать нескольких членов группы, управляющей ботнетом. Однако, как потом сообщили испанские власти, никто из арестованных не являлся разработчиком Mariposa, поскольку не обладал необходимыми навыками программирования.

По словам хакера, стоимость базовой версии кода ботнета составляла 500 долларов. Усовершенствованный вариант, предназначенный для сбора конфиденциальных данных, информации о кредитных картах и доступе к системам веб-банкинга, стоил несколько дороже – 1300 долларов.

По данным словенского информационного агентства STA, обвинения в отмывании денег также предъявлены бывшей подруге Скорьянса – Нуса Кох (Nuša Čoh).

http://www.v3.co.uk/v3-uk/news/2197171/slovenian-hacker-accused-of-masterminding-mariposa-botnet-in-court

Киберпреступники используют Олимпиаду как приманку

В период подготовки и проведения Олимпийских игр мировая киберпреступность использует олимпийскую тему в качестве приманки для невнимательных пользователей, сообщает в своем июльском отчете Symantec.

В Твиттере традиционные короткие ссылки (якобы на материалы спортивной тематики) могут привести на страницу, на которой, помимо информации о бизнес-стратегиях или советах на тему здоровья, пользователь рискует получить троянскую программу или фальшивый антивирус. Твиттер отслеживает подобные записи в течение нескольких часов, однако и за это время можно успеть попасть в ловушку.

Олимпиада-2012 еще не успела прославиться громкими антидопинговыми скандалами, поэтому злоумышленники лишь намекают на тайное знание о них. Пользователям, попавшимся на эту приманку, предлагается посмотреть видео. Но для этого надо установить новую версию Flash Player. Если жертва соглашается это сделать, то на компьютер к ней загружается троянец.

Пользователи мобильных устройств с операционной системой Android подвергаются риску заражения троянцем Android.Opfake. Причем «инфекцию» можно получить даже от легальных приложений. Так, отмечены случаи копирования приложений, посвященных наиболее популярным олимпийским видам спорта, заражения их троянцем и последующего распространения среди пользователей русифицированной версии Android. При установке такого приложения на телефон пользователь получает Premium SMS, в результате чего деньги с его счета переводятся на счет злоумышленников.

По данным Symantec, в июне незначительно увеличилась доля спама, содержащего вредоносное ПО или ссылки, ведущие на сайты-распространители опасных для пользователей программ. На начало августа одно из каждых 340,9 писем было инфицировано вредоносным ПО. Ссылку на опасный сайт несли в себе 26,5% писем.

Основной мишенью зараженных писем стали Нидерланды (каждое 82-е письмо). Для сравнения: в Японии одно такое письмо попадается на пачку из 20837 сообщений, а в США – на каждые 553 мейла. Главными источниками инфицированных рассылок по-прежнему остаются США (40%) и Великобритания (30,8%).

Основной мишенью киберпреступников являются крупные компании. Частота зараженных писем, отлавливаемых в системах крупных корпораций, в 2 раза превышает данный показатель для малого и среднего бизнеса.

На первом и втором местах хит-парада вредоносных программ июля – троянцы из семейства W32/Bredolab: W32/Bredolab.gen!eml.k (15,9%) и W32/Bredolab.gen!eml.j (9,19%). Частота встречаемости вирусов-полиморфов в прошлом месяце составила 21,7%.

Symantec отмечает, что в июле наблюдалось ежедневное увеличение объема нового шпионского и рекламного ПО. На первом месте по масштабу блокируемого трафика – рекламные баннеры и всплывающие окна (34,5%). На втором месте – социальные сети (20,2%, то есть блокируется доступ к каждому пятому сайту).

http://www.symanteccloud.com/mlireport/SYMCINT_2012_07_July.pdf

Эксперты Symantec в своем очередном августовском отчете [PDF 1,75 Мб] объявляют о возобновлении интереса хакеров к инфекциям MBR (Master Boot Record, основная загрузочная запись).

Операция по проверке загрузочного сектора жесткого диска проводится непосредственно сразу после включения компьютера. Инфицирование данной области позволяет перехватить управление компьютером. Поэтому изменение MBR столь привлекательно для создателей вредоносного ПО. При этом данная методика довольно сложна и требует высокой квалификации. Возможно, именно по этой причине не так много хакеров пользуются ей.

Прошлым летом появился троянец Backdoor.Tidserv, поражающий файлы системного реестра. Однако на тот момент еще нельзя было сказать, что MBR-инфекции пользуются большой популярностью среди кибер-мошенников. К августу этого года картина изменилась: на данный момент в активе хакеров уже есть Backdoor.Tidserv.M, Trojan.Smitnyl, Trojan.Fispboot, Trojan.Alworo и Trojan.Cidox. Это указывает на всплеск интереса к MBR, подобного которому не наблюдалось в предыдущие три года.

Современные загрузочные вирусы обладают большими возможностями, чем их предшественники десятилетней давности. Среди них появились вредоносные программы с принципиально новым подходом, такие, как Trojan.Cidox, который вместо MBR заражает область IPL (Initial Program Loader). По мнению экспертов, барьер для выхода загрузочных вирусов к настоящему моменту оказался занижен — их создателям даже не пришлось готовить рынок для появления данной разновидности вредоносного ПО.

22-летний житель Кливленда Питер Дэвид Гибсон (Peter David Gibson) был арестован лондонской полицией в связи с нашумевшими хакерскими атаками группы Anonymous.

Гибсону предъявлено обвинение в нарушении раздела 1(1) Уголовного кодекса 1977 года (Criminal Law Act, 1977): заговор с целью организации несанкционированного доступа к компьютеру с "намерением воспрепятствовать работе компьютера, или предотвратить, или затруднить доступ пользователя к программам или данным, хранящимся на компьютере, или помешать работе программ, или использованию данных".

7 сентября Гибсон предстанет перед судом магистратов Вестминстера и, скорее всего, будет отпущен на свободу под залог.

По подозрению в принадлежности к Anonymous с 13 июля также арестованы еще 16 человек. 14 из них подозреваются в проведении хакерской атаки на PayPal в декабре 2010 года, а еще двое задержаны за нападения на AT&T и Infraguard. Тогда же в отместку за арест своих членов Anonymous взломали сайт национальной полиции Испании. А в конце июля этого года был арестован еще один британец - 18-летний Джейк Дэвис (Jake Davis), известный также как «Topiary». Его обвиняют в принадлежности к группам LulzSec и Anonymous.

24 августа 2011 года во Франции вступило в силу постановление, посвященное регулированию электронных коммуникаций (Ordonnance n° 2011-1012 du 24 aout 2011 relative aux communications electroniques). Данное постановление приводит французский Закон о защите данных 1978 года, кодексы о почтовых и электронных коммуникациях и защите прав потребителей в соответствие с пересмотренной директивой ЕС 2002/58/ЕС ("директива об электронной конфиденциальности").

В частности, в рамках Закона о защите данных вводятся новые положения, которые налагают определенные обязательства на поставщиков электронных услуг связи в отношении безопасности личных данных пользователей. Под поставщиками электронных услуг связи понимаются интернет-провайдеры и операторы сотовой связи.

Нарушением безопасности данных, согласно новому закону, является любое нарушение правил безопасности, которое намеренно или случайно привело к уничтожению, утрате, изменению, раскрытию или предоставлению несанкционированного доступа к персональным данным, обрабатываемым в рамках предоставления электронных услуг связи населению. Если нечто подобное случилось, компания, предоставляющая электронные услуги связи, должна немедленно сообщить об этом во французскую службу защиты данных (CNIL). Если происходящее затронуло права абонентов на защиту персональных данных или право на неприкосновенность частной жизни, поставщик услуг обязан срочно оповестить об этом пострадавших. Впрочем, CNIL может разрешить компании не сообщать о случившемся пострадавшим, если будет решено, что защитные меры позволили избежать утечки данных.

Согласно новому закону, компании, работающие в телекоммуникационной отрасли, должны также предоставлять CNIL отчеты обо всех случаях нарушения безопасности персональных данных и мерах, предпринятых для устранения проблемы. Несоблюдение указанных положений, согласно новому закону, карается лишением свободы на срок до 5 лет и штрафом 300 тысяч евро.

Эксперты по сетевой безопасности сообщают о появлении в сети писем якобы от второй жены полковника Муаммара Каддафи — Сафии Фаркаш аль-Бараази.

Письма распространяются с адреса mrs.safiagadaffi2 AT gmail.com. К мейлу приаттачен документ Word, в котором пользователю в лучших традициях «нигерийских» писем предлагается поучаствовать в хранении 20 тонн золота. Чтобы помочь безутешной даме, чей супруг «сталкивается с некоторыми проблемами в Ливии», следует сообщить г-же Каддафи свои имя, возраст, адрес, род занятий и номер мобильного телефона.

Эксперты еще раз предупреждают об опасности запуска вложений от неизвестных отправителей и отмечают, что никто не будет предлагать деньги по электронной почте только потому, что их слишком много.

Беспечность интернет-пользователей при общении в социальных сетях значительно облегчает мошенникам процесс добывания конфиденциальных данных.

Согласно результатам опроса 2 тысяч британских пользователей, проведенного датской компанией BullGuard, примерно 42% обнародовали в интернете свою дату рождения, а 18% — и номер телефон. 35% пользователей Facebook и Twitter разместили в блогах имена своих домашних питомцев, 24% — имена детей, а 7% даже указали свой адрес.

"Хотя информация такого рода может показаться довольно безобидной для передачи ее другим людям, зачастую она используется для обеспечения безопасности доступа к платежам, требующим удостоверения личности по телефону", — отмечает эксперт BullGuard Клаус Вилламсен (Claus Villumsen). Он рекомендует пользователям подчистить свои профили в социальных сетях, оставив там только необходимые данные. "Информация о домашних животных, девичьей фамилии матери или дата рождения не должны фигурировать в интернете", — считает Вилламсен.

Еще один аспект создания "интернет-образа" пользователя — его хобби. Эксперты подчеркивают: не следует создавать пароли, так или иначе связанные с хобби и личными интересами. Мошенники могут использовать полученную из соцсетей информацию, чтобы попытаться угадать пароль.

В ходе общения в интернете 28% пользователей пользуется интерактивной услугой запоминания логинов и паролей, а 14% "запоминает" также данные доступа к платежным системам или интернет-банкингу. "Это удобно, но может обернуться катастрофой, если подобная информация попадет в чужие руки", — комментируют представители BullGuard.

11% опрошенных не боится хвастаться дорогостоящими товарами, которые они приобрели. При этом более трети пользователей Facebook и Twitter сообщают в профиле об отъезде в отпуск или путешествие. Полученных данных достаточно, чтобы организоваться старомодную, но эффективную кражу со взломом.