A
Anonymous
Kwiecień w liczbach
Poniższe statystyki zostały sporządzone w kwietniu na podstawie danych pochodzących z komputerów, na których zainstalowano produkty firmy Kaspersky Lab.
Zablokowano 221 305 841 ataków sieciowych;
Udaremniono 73 211 764 prób infekcji za pośrednictwem Internetu;
Na komputerach użytkowników wykryto i zneutralizowano 189 999 451 szkodliwych programów;
Zarejestrowano 86 630 158 werdyktów heurystycznych.
Atak DDoS na LiveJournal
Atak DDoS na LiveJournal.com, zapoczątkowany pod koniec marca, trwał do początku kwietnia i był dużym wydarzeniem medialnym w Rosji. Dzięki temu że monitorowaliśmy jeden z botnetów odpowiedzialnych za ten atak, odkryliśmy kilka szczegółów na jego temat.
Na początku każdy komputer w botnecie otrzymał polecenia atakowania jednego lub dwóch odsyłaczy dziennie. Jednak 4 kwietnia boty otrzymały listę 36 odsyłaczy, obejmującąZaloguj lub Zarejestruj się aby zobaczyć!orazZaloguj lub Zarejestruj się aby zobaczyć!. Pozostałe odsyłacze z listy prowadziły do popularnych stron w rosyjskojęzycznej blogosferze. W dniach 30 marca, 4 i 6 kwietnia strony te były niedostępne w różnym czasie. Ataki ustały po 6 kwietnia.
Monitorowany przez nas botnet opierał się na popularnym bocie Optima, który w pod koniec 2010 roku pojawił się w sprzedaży. Kilka czynników wskazuje na to, że wykorzystana do tych ataków sieć zombie składała się z dziesiątek tysięcy maszyn zainfekowanych botem Optima. Oprócz ataków DDoS funkcje tego bota obejmowały również pobieranie innych plików wykonywalnych na zainfekowane komputery oraz kradzież haseł do wielu popularnych gier.
Exploity wykorzystujące luki w PDF
Po raz kolejny odnotowaliśmy wzrost wykorzystywania exploitów wykorzystujących luki w produktach firmy Adobe. Jeden z takich exploitów - Exploit.JS.Pdfka.dmg – pojawił się na dziewiątym miejscu rankingu 20 najbardziej rozpowszechnionych szkodliwych programów wykrywanych w Internecie. Liczba użytkowników, którzy padli ofiarą ataków różnych wariantów Exploit.JS.Pdfka, kształtowała się w kwietniu na poziomie setek tysięcy. Poniższy wykres pokazuje, w jakich regionach ataki były najbardziej skoncentrowane.
W kwietniu exploity z rodziny Exploit.JS.Pdfka były najbardziej rozpowszechnione w Rosji (1 miejsce),
Stanach Zjednoczonych (2 miejsce) oraz Niemczech (3 miejsce)
Cyberprzestępcy po raz kolejny wykorzystywali taktykę polegającą na umieszczaniu szkodliwego skryptu na zhakowanych legalnych stronach. Jeżeli taka strona została odwiedzona przez osobę posiadającą oprogramowanie zawierające luki, szkodliwy skrypt niemal natychmiast wykorzystywał lukę, pobierając na komputer ofiary jeden lub więcej szkodliwych programów. Jest to klasyczny atak “drive-by download”.
W kwietniu Adobe usunął najnowszą serię luk wykrytych w Adobe Reader oraz Adobe Acrobat. Luki te zostały ocenione jako “krytyczne”. Wszystkim użytkownikom, którzy mają te aplikacje na swoich komputerach, zalecamy pobranie i zainstalowanie aktualizacji. Łaty dla różnych wersji produktów można pobrać tutaj:Zaloguj lub Zarejestruj się aby zobaczyć!.
Luka MS11-020
W tym samym miesiącu firma Microsoft opublikowała 17 biuletynów zawierających łaty na luki w różnych produktach z rodziny Windows. Wśród zidentyfikowanych 63 dziur znajdowała się krytyczna luka MS11-020. Luka ta została wykryta w serwerze SMB i umożliwiała zdalne wykonanie kodu przy użyciu specjalnie stworzonego pakietu wysłanego do podatnego na ataki systemu. Dziura ta stanowi poważne zagrożenie – w przeszłości wykrycie podobnych luk spowodowało pojawienie się robaków, takich jak Kido. Dlatego zalecamy użytkownikom, aby jak najszybciej uaktualnili swoje systemy.
Trojany SMS
W omawianym miesiącu trojany SMS nadal rozprzestrzeniały się w szybkim tempie, głównie w Rosji. Jednym ze sposobów propagacji takich trojanów jest spam SMS. W kwietniu otrzymywaliśmy regularne zgłoszenia o takich incydentach.
Zauważyliśmy podobieństwa między kilkoma z takich wysyłek spamu SMS:
wiadomości zostały wysłane w mniej więcej tym samym czasie (około godz. 14)
większość wiadomości miała następująca treść: “There’s an MMS for the subscriber . See:Zaloguj lub Zarejestruj się aby zobaczyć!имя_файла.jar”
zainfekowane odsyłacze wykorzystywały nazwy plików: YaZ.jar oraz 606.jar
Przykład spamowej wiadomości SMS
W czasie, gdy pojawiły się pierwsze spamowe wiadomości SMS, pliki, do których prowadziły odsyłacze, były już wykrywane przez Kaspersky Lab jako Trojan-SMS.J2ME.Smmer.f.
Kolejną ciekawostką jest to, że szkodliwe strony, do których prowadziły odsyłacze, wydają się być stworzone przy użyciu darmowego narzędzia online do tworzenia stron internetowych. Właściciel tego narzędzia oferuje również usługi hostingowe, które cyberprzestępcy wykorzystywali do utrzymywania swoich szkodliwych stron.
Zamknięcie botnetu Coreflood
Cały czas trwa kampania antybotnetowa. Po zamknięciu botnetu Rustock, o którym pisaliśmy w raporcie marcowym, przyszła kolej na zlikwidowanie centrów kontroli ogromnego botnetu o nazwie Coreflood. Większość z 2 milionów maszyn zombie, które tworzyły ten botnet, była zlokalizowana w Stanach Zjednoczonych.
Zamknięcie Coreflooda zostało zainicjowane przez amerykański departament sprawiedliwości, który otrzymał zgodę na przejęcie kontroli nad botnetem. Następnie do wszystkich botów w tej sieci wysłano polecenia, aby przestały działać.
Nie jest to pierwszy przypadek zlikwidowania botnetu na skutek interwencji władz. Innym przykładem może być zamknięcie botnetu Rustock - możliwe dzięki wspólnym działaniom firmy Microsoft oraz amerykańskich organów ścigania - czy zlikwidowanie botnetu Bredolab, którego właściciele zostali aresztowani przez holenderską policję.
Miejmy nadzieję, że to nie ostatni raz, gdy władze państwowe decydują się zainterweniować, aby pomóc w zamknięciu botnetów.
Atak hakerski na sieć PlayStation Network
Pod koniec kwietnia firma Sony poinformowała, że jej sieć PlayStation Network (PSN) padła ofiarą ataku hakerskiego. Firma potwierdziła, że niezidentyfikowany haker znalazł się w posiadaniu wszelkiego rodzaju danych dotyczących użytkowników, łącznie z nazwiskiem, adresem e-mail, adresem pocztowym, datą urodzenia, loginem oraz hasłem. Mimo braku dowodów Sony nie wyklucza, że osoba, która przeprowadziła atak, mogła przechwycić również dane dotyczące kart kredytowych.
Firma poinformowała, że prowadzi dochodzenie w sprawie tego incydentu we współpracy z organizacją, której nazwy nie ujawniła.
W sieci PSN zarejestrowanych jest około 75 milionów kont, dlatego incydent ten stanowi największy wyciek danych osobowych.
Użytkownikom PSN zalecamy, aby bacznie obserwowali operacje na swoich kontach bankowych i uważali na wszelkie oznaki oszustw. Ponadto, jeżeli mają to samo hasło do sieci PSN i innych zasobów, powinni natychmiast je zmienić. Należy również uważać na wszelkie e-maile rzekomo pochodzące od Sony lub powiązanych podmiotów, w których nadawcy żądają podania informacji osobistych.
2 maja firma Sony wydała oświadczenie, w którym poinformowała, że w wyniku ataku hakerskiego cyberprzestępcy uzyskali dostęp do danych osobistych (nazwisko, adres, e-mail, płeć, data urodzenia, numer telefonu, login oraz hasło) nie tylko graczy PSN, ale również użytkowników Sony Online Entertainment. Firma oświadczyła również, że hakerzy uzyskali dostęp do przestarzałej bazy z 2007 roku, zawierającej numery i daty wygaśnięcia 12 700 kart kredytowych i debetowych.
20 szkodliwych programów najczęściej wykrywanych na komputerach użytkowników
Pozycja Zmiana pozycji Nazwa Liczba ataków*
1 +2 AdWare.Win32.HotBar.dh 855 838
2 +4 Trojan.JS.Popupper.aw 622 035
3 Nowość AdWare.Win32.Zwangi.fip 356 671
4 Nowość AdWare.Win32.Agent.uxx 300 287
5 Nowość AdWare.Win32.Gaba.eng 254 277
6 Nowość AdWare.Win32.FunWeb.jp 200 347
7 Nowość AdWare.Win32.FunWeb.kd 170 909
8 Nowość AdWare.Win32.Zwangi.fmz 161 067
9 Nowość Exploit.JS.Pdfka.dmg 140 543
10 Nowość Trojan.JS.Redirector.oy 138 316
11 Nowość Trojan-Ransom.Win32.Digitala.bpk 133 301
12 Bez zmian Trojan.JS.Agent.uo 109 770
13 Bez zmian Trojan-Downloader.JS.Iframe.cdh 104 438
14 Nowość AdWare.Win32.Gaba.enc 96 553
15 -11 Trojan.HTML.Iframe.dl 95 299
16 -14 Hoax.Win32.ArchSMS.pxm 94 255
17 Nowość Trojan-Downloader.Win32.Zlob.aces 88 092
18 Nowość Trojan-Ransom.JS.SMSer.hi 83 885
19 Nowość Trojan.JS.Iframe.ku 77 796
20 Nowość AdWare.Win32.FunWeb.jt 65 895
* Całkowita liczba unikatowych incydentów wykrytych przez moduł Ochrona WWW na komputerach użytkowników
20 szkodliwych programów najczęściej wykrywanych na komputerach użytkowników
Pozycja Zmiana pozycji Nazwa Liczba unikatowych użytkowników*
1 Bez zmian Net-Worm.Win32.Kido.ir 428 587
2 +1 Net-Worm.Win32.Kido.ih 176 792
3 -1 Virus.Win32.Sality.aa 176 171
4 Powrót Virus.Win32.Virut.ce 130 140
5 Bez zmian Virus.Win32.Sality.bh 121 389
6 +3 Trojan.Win32.Starter.yy 113 815
7 -3 Hoax.Win32.ArchSMS.pxm 86 908
8 -2 HackTool.Win32.Kiser.zv 80 900
9 +5 Trojan-Downloader.Win32.Geral.cnh 79 573
10 +2 HackTool.Win32.Kiser.il 78 526
11 -4 Hoax.Win32.Screensaver.b 73 664
12 -1 Worm.Win32.FlyStudio.cu 71 405
13 -5 AdWare.Win32.HotBar.dh 68 923
14 -1 Trojan.JS.Agent.bhr 67 435
15 Nowość AdWare.Win32.FunWeb.kd 62 858
16 Nowość Virus.Win32.Sality.ag 55 573
17 +1 Trojan-Downloader.Win32.VB.eql 53 055
18 +1 Worm.Win32.Mabezat.b 52 385
19 -2 Trojan.Win32.AutoRun.azq 47 865
20 Nowość Virus.Win32.Nimnul.a 47 765
* Liczba unikatowych komputerów, na których wykryto szkodniki
Źródło:
Kaspersky Lab
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
