Основные уязвимости: расцвет "вымогателей"

Наиболее ярким трендом является эволюция и совершенствование программ-вымогателей. Современные образцы этого ПО — это не примитивные «винлокеры», относительно легко удаляемые из системы даже самим пользователем при наличии базовых компьютерных знаний, а мощные системы выборочного шифрования данных, которые научились, во-первых, скрывать свою активность, почти не расходуя процессорных ресурсов, а во-вторых, стали гораздо более наглыми.

Теперь, в частности, уже реализованы такие механизмы, как индивидуальное шифрование каждой жертвы (то есть, нельзя заплатить один раз, получить код и затем использовать его для восстановления данных всех жертв), увеличение суммы выкупа с течением времени, что вводит жертву в панику и заставляет действовать быстрее, а также уничтожение ключа шифрования через некоторое время, после чего данные теряются уже окончательно и навсегда.

Для расчетов почти всегда используется криптовалюта (Bitcoin), что обеспечивает преступникам полную анонимность, при этом они даже не всегда знают, кто их жертва. А из-за ошибок во вредоносном ПО данные не всегда расшифровываются даже после оплаты. И даже если данные расшифрованы, резидентный модуль при этом может оставаться в системе и впоследствии снова их зашифровать: преступники знают, что жертва готова платить и даже иногда делают «скидки постоянным клиентам».

В России средняя сумма выкупа составляет 5 тысяч рублей. Легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить за расшифровку данных делает программы-вымогатели наиболее доходным из киберпреступлений.

Сильно распространились услуги типа «вредоносная реклама как сервис», то есть, рекламодателям продается возможность принудительной демонстрации рекламы на компьютере пользователя, от которой он, в отличие от того же спама, не может «закрыться» и обязательно ее увидит. Соответственно, заказчики здесь те же, что и у спамеров.

В большинстве случаев атакующие используют здесь уязвимости Adobe Flash и Microsoft Silverlight: первый вообще установлен на большинстве компьютеров и при этом включен в браузере. В распространенном наборе Nuclear на долю Flash приходится 80% успешных попыток взлома. То есть, достаточно направить пользователя на нужную страницу тем или иным способом, или… просто прятать вредоносный код в баннерах баннерообменных сетей.

Тогда даже зайдя на приличный доверенный сайт, пользователь может загрузить вредоносный код на свой компьютер, заражение при этом происходит как бы в фоновом режиме. Последняя мода — шифрование такого трафика: за последние четыре месяца объем HTTPS - трафика, используемого средствами вставки рекламы, вырос на 300%. Шифрование трафика значительно усложняет детектирование вредоносной активности на уровне сети, что дает злоумышленникам больше времени для выполнения своих действий.

Наиболее популярными методами атак сегодня стали двоичные файлы Windows (и упакованные двоичные файлы), мошенничество с Facebook (взлом аккаунтов и рассылка спама друзьям), системы многократной переадресации на JavaScript, а также рекламное ПО для Android и трояны для Android.

Ситуация усугубляется отсутствием сетевой гигиены. Если мы возьмем браузеры, то последнюю или предпоследнюю версию Google Chrome, который поддерживает автоматические обновления, используют 75 — 80 % пользователей; на одной трети исследованных систем установлено ПО Java SE 6, которое компания Oracle давно уже вывела из эксплуатации (текущая версия — SE 10); не более 10 % пользователей Microsoft Office 2013 v.15x установили последнюю версию пакета исправлений.

Источник: "TelecomDaily"

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!