Данные из отчета Cyveillance за два первые месяца 2007 года указывают, что число атак фишеров на финансовые бренды США возросло на 50%, а количество вредоносных атак удвоилось. В период январь-февраль 2007 практически каждая крупная финансовая компания подверглась атаке фишеров. Зарегистрировано более миллиона WEB-страниц, зараженных различными видами malware. C декабря 2006 по февраль 2007 число детектируемых сайтов, содержащих вредоносные вложения, возрасло в 3 раза и достигло 60000/день.
71% европейских IT менеджеров озабочены уязвимостями их сетей, сопряженными с laptop и другими мобильными телекоммуникационными средствами. Но только 21% компаний имеют четкую политику и аппаратно-программные средства для обеспечения безопасности laptop, когда они находятся за пределами корпоративной сети.
Согласно исследованию Webroot software 81% средних коммерческих фирм оказались мишенями атак за последние 12 месяцев. Эти фирмы особенно чувствительны к таким атакам, так как они не могут содержать высококвалифированных специалистов по сетевой безопасности и им не по карману покупать комплексные программные продукты для защиты своих сетей. Статистика показывает, что такие фирмы тратят на выявление и удаление различных вредоносных кодов, а также на преодоление последствий атак до 500 часов в год. В результате 68% таких компаний вынуждены периодически сканировать все свои рабочие станции на предмет выявления наличия spyware. Представители этих фирм признают, что издержки на защиту сетей и компьютеров имеют тенденцию к быстрому увеличению.
По данным компании IPS (Information Protection and Control см. http://viewer.bitpipe.com/viewer/printDocument.do?accessId=6410422 " A Guide to Delivering Dynamic Protection in an Evolving Threat Environment") различные виды угроз распределены по уровню наносимого ущерба следующим образом:
Из этих данных видно, что весьма важно уделять внимание обучению персонала и не забывать об организационных мерах, понижающих вероятность краж корпоративной информации. Причем хакеры занимают в этом перечне скромное 7-е место (и это несмотря на их "героические" усилия и возрастающую численность). Следует также учесть, что для первых трех позиций имеет место падение числа инцидентов по годам, а для последующих, исключая пункт 7, рост.
По данным Gartner Inc. с первого квартала 2005 до середины 2007 число malware, распространяемых через WEB возросло на 540%. Исследование на Google в течение года показало, что 450000 WEB-серверов (~10% от числа проанализированных содержат malware, о которых пользователи даже не подозревают!).
Согласно данным CSI/FBI (Annual Computer Crime and Security Survey) 98% организаций используют Firewall, а 97% инвестируют средства в антивирусные программы. Несмотря на это, число вторжений и заражений стабильно растет. Число зараженных систем в 2005 году составляло около 20%, а в 2006 достигло 28%.
По данным MessageLabs (вторая половина 2007)
Стратегия создателей вирусов и червей в последнее время изменилась. Раньше они стремились к заражению как можно большего числа машин (некая форма самоутверждения). Теперь задача формулируется конкретно, например, заражение 20000 машин за определенный период времени в определенном географическом регионе с целью коммерческого их использования. Этому отчасти способствует "снижение бдительности", проявляющееся в последнее время. Люди ставят Firewall, антивирусную и анти-SPAM защиту и считают, что их машина или сеть в полной безопасности. Другим фактором является широкое внедрение технологии IM (Instant Messager). В какой-то мере все это является следствием того, что технология Интернет развивается слишком быстрыми темпами.
В первом полугодии 2007 года зарегистрировано 3273 уязвимости, что на 3,3% меньше, чем за тот же период 2006. Это произошло впервые за несколько лет. Большая часть этих уязвимостей обнаружено в продуктах Microsoft, Apple и Oracle. 51,6% этих уязвимостей может привести атакера к полному контролю над машиной. Первые три места по рассылке SPAM занимают США, Польша и Россия. На США приходится одна восьмая часть всего объема SPAM. США продолжают лидировать по числу WEB-адресов, рекламируемых через SPAM (одна треть общего числа). Впервые средний размер SPAM-сообщений сократился, что сопряжено с сокращением использования графических сообщений (см рис. 5).
Рис. 5. Эволюция средних длин SPAM-сообщений
Рис. 5a. Эволюция использовани графики в SPAM-сообщениях
Европа стала главным источником phishing-e-mail (Испании принадлежит 17,9; всех сообщения такого рода в мире. Примерно половина всех phishing WEB-сайтов приходится на США. Наиболее опасным malware на первую половину 2007 являются троянские кони (28% всех вредоносных кодов - 61161 разновидность). Из них наибольшее распространение получил Trojan.Win32.Agent (26573 вариантов - 47% всех троянских коней). Наиболее распространенным сетевым червем в первой половине 2007 оказался Worm.Win32.Mixor -12120 вариантов). Из них наиболее опасным признан W32.Mydoom.M@mm. Классическое разделение вредоносных кодов на вирусы, черви spyware, черные ходы и т.д. постепенно устаревает. На рис. 6 представлено распределение вредоносных кодов по категориям (первая половина 2007)
Всего в США из-за phishing-атак было потеряно 3,2 миллиарда долларов (данные Gartner Inc). В основном это были финансовые компании.
Рис. 6. Распределение malware по категориям
Рис. 6а. Эволюция распределения malware по категориям
Данные взяты из статьи в журнале PCWEEK лаб. Е. Касперского (автор статьи Владимир Митин). Из приведенных ниже рисунков видно, что число сигнатур, включаемых в антивирусные базы данных, растет, а количество глобальных эпидемий падает. Это лишний раз подтверждает тот факт, что на сцену выходят профессионалы, а сетевые хулиганы и мелкие мошенники становятся достоянием прошлого. Атаки все чаще имеют вполне определенную цель, а "стрельба по площадям" признается неэффективной и потенциально опасной. Приведенные ниже рисунки взяты из доклада Дэвида Эмма (лаб. Касперского в Англии).
Рост числа сигнатур в антивирусных базах данных
Данные взяты из статьи Е. Касперского, размещенной на сайте The Cybercrime Arms Race (www.bitpipe.com)
| Январь 2007 | Российские хакеры с помощью шведского посредника украли 800000 евро из шведского банка Nordea |
| Февраль 2007 | Бразильская полиция арестовала 41 хакера за использование троянского коня с целью кражи банковских аккоунтов и 4.74 млн. долларов |
| Февраль 2007 | В Турции арестованы семнадцать членов Интернет-банды, укравшей до 500.000 долларов. |
| Февраль 2007 | Арестован Ли Джун за использование вируса "Panda burning incense" для кражи имен игровых и IM-аккоунтов; считается, что он получил 13000 долларов за продажу malware. |
| Март 2007 | В Англии арестованы пять восточноевропейцев за мошенничество с кредитными картами. Предполагается, что они украли 1,7 млн. фунтов стерлингов. |
| Июнь 2007 | В Италии арестовано 150 киберпреступников. Утверждается, что они бомбили пользователей мошенническими почтовыми сообщениями и заработали около 1,25 млн. евро. |
| Июль 2007 | Русские киберворы украли 500 тыс. долларов из турецких банков, предположительно используя троянского коня. |
| Август 2007 | Украинец Максим Ястремский (по прозвищу Максик) задежен в Турции по обвинению в краже персональных данных и с их помощью присвоении 10 млн. долларов. |
| Сентябрь 2007 | В США Григорий Копилоф обвинен в использовании файлообменных программ Р2Р Limeware и Solseek для сбора персональных данных для мошеннических операций и присвоении тысяч долларов. |
| Октябрь 2007 | В США арестован Грег Кинг за участие в DDoS атаке Castle Cops в феврале 2007. Он получил максимальный срок заключения - 10 лет и 250000 долларов. |
| Ноябрь 2007 | ФБР арестовало восемь человек в ходе второй фазы антиботнет-инициативы, названной "Operation Bot Roast", которая, как утверждается, выявила экономический ущерб более 20 млн. долларов и более одного миллиона компьютеров-жертв. |
| Декабрь 2007 | Киберпреступники взломали компьютеры департамента энергетики США в Национальной лаборатории Оак Риджа (ORNL). По имеющимся данным атаке подверглись Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе. Были украдены более 12000 номеров социальногого страхования и дат рождения посетителей ONRL за период с 1999 до 2004. |
По данным ФБР за 2007 год ущерб от сетевых атак в США составил 67 миллиардов долларов (см. How to Win the Battle Against Spyware with Next Generation Technology). За первую половину 2007 года по сравнения с предыдущими шестью месяцами возросло в 5 раз число загрузок троянских коней (см. www.bitpipe.com). По опросу 479 корпораций США институтом Понемана 62% ИТ профессионалов ставят spyware на первое место из числа различных видов malware по ущербу, сопряженному с кражами персональных данных и различного типа критической информации (см. обзор Понемана).
Это лишь верхушка айсберга, так как многие организации и фирмы по разным причинам не сообщают о сетевых вторжениях. Ущерб имиджу фирмы многие считаю невосполнимым.
В настоящее время компания Symantec имеет датчики мониторинга угроз в 40000 узлах из 180 стран. Собраны сообщения от 120 миллионов клиентов, серверов и шлюзов, которые используют антивирусные продукты. База данных Symantec содержит описания 25000 уязвимостей, которые собирались более двадцати лет и сопряжены с 55000 технологиями 8000 производителей. (См. http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_internet_security_threat_report_xiii_04-2008.en-us.pdf.).
Ниже в таблице представлены достижения развитых стран за второе полугодие 2007 года в деле взлома и нанесения вреда ближним. Трудно представить, что отсутствие в таблице России свидетельствует о высоких моральных качествах наших хакеров.
| Место | Место ранее | Страна | Доля сейчас | Доля ранее | Bot-позиция | Место по серверам управления bot-сетями | По числу Physhing серверов | По число вредоносных кодов | По числу зомби, рассылающим SPAM | По числу источников атак |
| 1 | 1 | США | 31% | 30% | 1 | 1 | 1 | 1 | 1 | 1 |
| 2 | 2 | Китай | 7% | 10% | 3 | 5 | 2 | 2 | 4 | 2 |
| 3 | 3 | Германия | 7% | 7% | 2 | 2 | 3 | 7 | 2 | 3 |
| 4 | 4 | Англия | 4% | 4% | 9 | 6 | 7 | 3 | 12 | 5 |
| 5 | 5 | Испания | 4% | 3% | 4 | 19 | 15 | 9 | 9 | 4 |
| 6 | 5 | Франция | 4% | 4% | 8 | 13 | 6 | 11 | 7 | 6 |
| 7 | 6 | Канада | 3% | 4% | 13 | 3 | 5 | 4 | 35 | 7 |
| 8 | 8 | Италия | 3% | 3% | 5 | 10 | 11 | 10 | 6 | 8 |
| 9 | 12 | Бразилия | 3% | 2% | 6 | 7 | 13 | 21 | 3 | 9 |
| 10 | 9 | Ю.Корея | 2% | 3% | 15 | 4 | 9 | 14 | 13 | 10 |
Рис. 1. Уязвимости, которые могли привести к кражам индивидуальных данных
Рис. 2. Число активных bot-инфицированных компьютеров в день
Рис. 3. Число серверов управления Bot-сетями
Рис. 4. Время разработки patch для операционных систем
Рис. 5. Время разработки patch для операционных систем в зависимости от типа уязвимости
Рис. 6. Окно уязвимости для Web-браузеров
Окно уязвимости определяется временем с момента выявления и публикации вредоносного кода до написания поставщиком блокирующей поправки (patch) .
Рис. 7. Уязвимости Web-браузеров
Рис. 8. Угрозы новых вредоносных кодов
Рис. 9. Типы вредоносных кодов потенциальной инфекции
Рис. 10. Вредоносные коды, модифицирующие Web-страницы
Рис. 11. Использование автоматических программных средств при phishing
Рис. 12. Наиболее популярные категории spam
