Согласно статистике ProlexicTechnologies, в январе-марте 2013 года средняя мощность DDoS-атак повысилась на 718% и составила 48,25 Гб/с. Более того, эксперты отметили тенденцию к росту pps-показателя: в минувшем квартале он достиг 32,4 млн. пакетов в секунду. Этот показатель обычно не учитывается в статистических отчетах, однако атаки с высоким ppsнацелены, в первую очередь, на вывод из строя таких элементов инфраструктуры, как сетевые карты и граничные маршрутизаторы. Справиться с многомиллионным pps-потоком способны лишь самые дорогие устройства, порог остальных заведомо ниже.

Около 25% DDoS-атак, заблокированных Prolexic, составили инциденты мощностью менее 1 Гб/с, в 11% случаев этот показатель превысил 60 Гб/с. Самая мощная DDoS-атака была зафиксирована в марте — 130 Гб/с. Пытаясь противостоять атакам большой мощности, многие операторы сетей и интернет-провайдеры вынуждены зафильтровывать весь трафик на атакуемом IP-адресе, чтобы сохранить работоспособность остальных хостов в сети. Этот способ известен как nullrouting, или blackholing, и весьма неприятен для заблокированного клиента. Что касается, pps-показателя, в 22% случаев он превысил 20 млн., в 26% — опустился ниже 1 млн., что характерно для атак прикладного уровня. Самым «урожайным» месяцем оказался март, на который пришлось 44% квартальных DDoS‑атак.

По данным Prolexic, 76,54% DDoS‑атак были проведены с использованием протоколов 3-го и 4-го уровня, остальные — на прикладном уровне. Наибольшее распространение получили такие типы атак, как SYN flood (25,83%), HTTP GET flood (19,33%), UDP flood (16,32%) и ICMP flood (15,53%).   

Веб-сервис VirusTotal отныне будет проверять на зловредность не только документы и исполняемые файлы, но и сохраненные в формате PCAP сетевые пакеты.

PCAP-файлы создаются в процессе захвата трафика и содержат сетевые данные, которые впоследствии подвергаются анализу. Этот формат поддерживают многие сниферы, а также программы мониторинга и тестирования сети. Исследователи вредоносных объектов обычно используют PCAP для записи сетевой активности вредоносного кода, исполняемого в песочнице; попыток эксплуатации уязвимостей в браузере клиента-ловушки, для регистрации трафика на сетевых устройствах и в системах обнаружения вторжений (IDS), и т.п.

Ранее сервис уже неоднократно получал от пользователей PCAP-файлы на экспертизу, и специалисты VirusTotal рассчитывают, что нововведение поможет таким пользователям в их исследованиях. Анализ PCAP-файлов будет производиться в несколько этапов:

• проверка файла с помощью IDS — на данный момент Snort и Suricata;
• извлечение метаданных с помощью Wireshark;
• регистрация DNS-запросов;
• регистрация http-активности;
• извлечение файлов, передаваемых в сетевых потоках, с последующей их проверкой антивирусами из списка VirusTotal. Копии этих файлов будут предоставляться зарегистрированному пользователю, первым приславшему данный PCAP на проверку.

В Испании по запросу голландских властей задержан предполагаемый инициатор недавней DDoS-атаки на антиспамерскую организацию Spamhaus, создавшей большие проблемы в европейском сегменте интернета.

В пресс-релизе прокураторы Нидерландов задержанный значится как «35-летний голландец S.K.». Не исключено, что речь идет о Свене Камфёйсе (Sven Olaf Kamphuis), проживающем в Барселоне владельце голландской хостинг-компании Cyberbunker, чье имя часто фигурирует в черных списках от Spamhaus. Активисты вновь заклеймили Cyberbunker в минувшем марте, после чего на Spamhaus, ее хостера и канальных провайдеров обрушилась мощнейшая в истории DDoS-атака. Ответственность за нее взяла на себя оппозиционерская группа Stophaus, заявление которой озвучил в прессе Камфёйс.

На барселонской квартире задержанного проведен обыск, в ходе которого изъяты компьютерная техника и мобильные телефоны. Ожидается, что в скором времени «S.K.» будет препровожден в Нидерланды. В расследовании данного дела, помимо голландской полиции, принимают участие правоохранительные органы США и Великобритании.

Компания Trusteer, специализирующаяся в области корпоративной защиты, обнаружила новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный Torpig/Sinowal и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда всплывает на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США запущен судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно обжаловал решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

Из-за DDoS-атаки на государственный сервис многие голландцы не смогли воспользоваться гражданским ID для оплаты счетов и налоговых сборов.

23 и 24 апреля неизвестные злоумышленники атаковали DigiD – единую систему авторизации в инфраструктуре, обеспечивающей голландским гражданам доступ к государственным сервисам. Простой этого веб-портала обескуражил многих налогоплательщиков: все налоговые декларации в стране уже несколько лет принимаются лишь в электронной форме. По официальным данным, DigiDв настоящее время используют свыше 10 млн. голландцев (численность населения Нидерландов составляет 17 млн.) и более 500 правительственных структур.

Министерство внутренних дел Нидерландов заявило, что в ходе инцидента персональные данные пользователей не пострадали. Полиция и национальный центр кибербезопасности уже проводят расследование.

Апрель для голландцев стал урожайным на DDoS-атаки. В начале месяца варварскому нападению подверглись крупнейший банк Нидерландов ING, авиакомпания KLM и популярная платежная система iDeal. Их веб-сервисы были недоступны по нескольку часов, утечки пользовательских данных не зафиксировано.

Австралийская федеральная полиция обвинила сотрудника IT-компании в проведении хакерской атаки на правительственный сайт. По данным полиции, 24-летний житель Нового Южного Уэльса является самопровозглашенным главарем хактивистской группировки LulzSec. Занимая ответственный пост в компании, специализирующейся в области информационных технологий, он имел доступ к конфиденциальной информации ее клиентов, в том числе правительственных ведомств.

По факту взлома и дефейса сайта возбуждено уголовное дело. Австралийцу придется отвечать по статьям «несанкционированное изменение данных с целью нанесения вреда» и «несанкционированный доступ к защищенным данным либо внесение несанкционированных изменений». В Австралии максимальное наказание за эти правонарушения составляет 10 и 2 года лишения свободы соответственно. Подозреваемый пока отпущен под залог и предстанет перед судом в середине мая.

Судебные процессы в отношении участников LulzSec проходят также в США и Великобритании. Неделю назад в Лос-Анджелесе был оглашен приговор 25-летнему Коди Кретсингеру (Cody Andrew Kretsinger), атаковавшему веб-сайт Sony Pictures Entertainment весной 2011 года. Получив посредством SQL-инъекции доступ к инфраструктуре компании, хакер украл персональные данные десятков тысяч клиентов Sony, которые были впоследствии опубликованы в Сети. Взломщик осужден на 1 год с выплатой пострадавшей стороне компенсации в размере около 606 млн. долларов. Судьба автора последующего, октябрьского взлома сервисов Sony решится в мае.

В том же месяце завершится лондонский процесс о хакерских атаках LulzSec на медиасервисы Sony, 20th Century Fox, News International, а также сайты ЦРУ и британской спецслужбы SOCA. Четверо фигурантов данного дела уже сознались в своих преступлениях.

Из-за DDoS-атаки на DNS-серверы группы компаний Hosting Community (часть медиахолдинга РБК) многие сайты Рунета оказались недоступны для пользователей.

В понедельник, 22 апреля, был атакован российский регистратор доменных имен Ru-Center, на следующий день – крупнейший хостинг-провайдер «Хостинг-центр». Клиентская база обеих компаний совокупно составляет около 2,5 млн. веб-сайтов. Инцидент затронул большинство онлайн-сервисов крупных федеральных банков, новостные порталы и агентства, сайты многих туроператоров, почтовые службы. По некоторым оценкам, проблемы испытали до 60 % российских сетевых ресурсов.

23 апреля Ru-Center публично заявил о проблемах с доступом к своим DNS-серверам, пояснив, что затруднения связаны с текущей DDoS-атакой. Зарубежные канальные провайдеры начали фильтровать вредоносный трафик, блокируя его источники. По этой причине зарубежный NS-сервер Ru-Center практически недоступен из России, а два отечественных – из-за границы.  

В тот же день представитель Hosting Community признал, что нейтрализовать DDoS-атаку удалось лишь частично. Очевидно, ее мощность превышает пропускную способность каналов и NS-серверов, используемых хостинг-провайдерами, хотя конкретных цифр никто пока не называл. По данным Hosting Community, злоумышленники атакуют DNS-службы и других российских компаний.

Специалист по безопасности мобильного сервиса Lookout обнаружил представителей нового семейства Android-троянцев в 32 приложениях, выложенных четырьмя разными разработчиками на Google Play. Согласно статистике онлайн-магазина, зараженные продукты были скачаны от 2 до 9 млн. раз.

BadNews (дословно «плохие новости») маскируется под безобидный, хотя и несколько агрессивный SDK-пакет для рекламной сети. Чтобы обойти защиту Google Play, авторы зловреда создали подставную рекламную сеть, через которую осуществляется загрузка вредоносного кода на зараженные устройства. При запуске BadNews отсылает на командный сервер информацию о зараженном устройстве (номер телефона, IMEI), а затем обращается к нему раз в четыре часа для получения дальнейших инструкций. Функционал нового троянца позволяет ему отображать на экране поддельные сообщения от имени легальных веб-сервисов (Skype, ВКонтакте), провоцируя пользователя на установку других вредоносных программ. Так, при анализе одного из образцов BadNews исследователи обнаружили, что он продвигает хорошо известного троянца, отсылающего текстовые сообщения на российские премиум-номера. Анализ также показал, что новый зловред по коду схож со многими SMS троянцами восточноевропейского происхождения.

Согласно статистике ОАО «АльфаСтрахование», за прошедший год количество случаев незаконного снятия денежных средств со счетов россиян увеличилось в 2 раза. По итогам 2012 года доля таких страховых инцидентов возросла в 1,5 раза, составив 54,8% обращений.

В 2011 году самой частой причиной финансовых потерь для владельцев банковских счетов являлась утрата карты (потеря, хищение или повреждение) — 62,6% от общего количества страховых случаев. На долю несанкционированного вывода средств пришлось 36,8% обращений. В 2012 году эти позиции рейтинга рисков поменялись местами, доля страховых случаев, связанных с утерей пластиковой карты, снизилась до 43,3%. Риски, связанные с получением наличности в банкомате (ограбление в момент снятия денег или в течение 12 часов после снятия), увеличились почти в четыре раза — с 0,6 до 2,1%.

По размеру убытков, понесенных держателями банковских карт в результате страхового инцидента, мошеннические транзакции являются абсолютным лидером. В 2011 году на их долю пришлось 87,8% компенсаций, выплаченных компанией «АльфаСтрахование», в 2012 году — 90,7%. Выплаты по утрате банковской карты в 2011 году составили 11,8%, в 2012-м — 5,4%. Меньше прочих теряют клиенты банков, ограбленные у банкомата (0,4% и 3,9% соответственно).

По данным Института социологии РАН и Ассоциации российских банков (АРБ), пластиковыми картами уже пользуются 66,1% россиян, и этот показатель растет. Аналитики «АльфаСтрахование» относят к группе повышенного риска тех клиентов, которые часто проводят платежи с помощью карты, в том числе за границей и через интернет. Эксперты также отмечают, что процесс возврата утраченных денег может оказаться длительным и трудоемким, причем без гарантии положительного исхода.

Программист из Тольятти, писавший на заказ веб-инжекты для троянской программы-банкера Carberp, осужден условно.

Согласно материалам дела, Александр Пакичев, 1971 года рождения, публиковал в интернете объявления, предлагая свои услуги по созданию модификаций Carberp, ориентированных на конкретные банки. За полгода он продал более десятка таких программ, получая с заказчиков в среднем по 9 тыс. рублей (по другим данным, от 400 до 1500 долларов). После запуска на зараженной машине Carberp воровал персональные данные жертвы и ее идентификаторы к аккаунту в системе ДБО, а для обхода двухфакторной аутентификации троянец на лету изменял страницу регистрации (веб-инжектирование) и запрашивал у жертвы номер мобильного телефона. Украденная зловредом информация позволяла злоумышленникам клонировать SIM-карты в салонах сотовой связи и проводить мошеннические транзакции от имени своих жертв.