Ewolucja złośliwego oprogramowania I kw. 2015

Przeczytaj także: Ewolucja złośliwego oprogramowania I kw. 2014

I kwartał 2015 r. w liczbach

• Dane pochodzące z z systemu KSN wskazują, że w pierwszym kwartale 2015 r. produkty firmy Kaspersky Lab zdołały wykryć wykryły i zneutralizować ponad 2,2 mld szkodliwych ataków wycelowanych w komputery i urządzenia mobilne.
• Rozwiązaniom Kaspersky Lab udało się odeprzeć 469 220 213 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie.
• Technologie, których zadaniem jest ochrona przed zagrożeniami online, wykryły niemal 28,5 mln unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd.
• Te same technologie zidentyfikowały niemal 93,5 mln unikatowych adresów URL jako szkodliwych.
• 40% ataków, które udało się zneutralizować zostało przeprowadzonych przy użyciu szkodliwych zasobów online zlokalizowanych na terenie Rosji.
• Markowane przez Kaspersky Lab produkty antywirusowe wykryły ponad 253,5 mln unikatowych, szkodliwych i potencjalnie niechcianych obiektów.
• Produkty bezpieczeństwa mobilnego firmy Kaspersky Lab wykryły:
  • 147 835 pakietów instalacyjnych;
  • 103 072 nowych szkodliwych programów mobilnych;
  • 1 527 mobilnych trojanów bankowych.

Przegląd

Equation APT – najbardziej wyrafinowane ataki

Historia potężnego ugrupowania cyberszpiegowskiego Equation należy prawdopodobnie do najczęściej relacjonowanych w pierwszym kwartale. Ugrupowanie to od wielu lat współdziałało z innymi wpływowymi grupami, takimi jak Stuxnet czy Flame. Ataki przeprowadzone przez Equation można uznać za najbardziej wyrafinowane: jeden z modułów stworzonych przez to ugrupowanie może być wykorzystywany do modyfikowania oprogramowania firmware na dysku twardym. Od 2001 r. Equation zdołał zainfekować komputery tysięcy ofiar w Iranie, Rosji, Syrii, Afganistanie, Stanach Zjednoczonych oraz innych państwach. Ofiary wywodziły się z kręgów rządowych, instytucji dyplomatycznych, sektora telekomunikacyjnego, energetycznego itd.

Ugrupowanie to wykorzystuje szereg różnych szkodliwych programów – niektóre z nich są jeszcze bardziej wyrafinowane niż niesławna platforma Regin. Znane metody rozprzestrzeniania i infekcji obejmują wykorzystywanie robaka Fanny rozprzestrzeniającego się za pośrednictwem nośników USB (w jego arsenale znalazły się dwie luki zero-day, które zostały później wykorzystane w Stuxnecie), szkodliwe instalatory na płytach CD-ROM oraz exploity sieciowe.

Carbanak – najbardziej udana cyberkampania

Wiosną 2014 r. Kaspersky Lab uczestniczył w analizie kryminalistycznej, gdy okazało się, że bankomaty jednego z banków wypłacają pieniądze bez fizycznego kontaktu odbiorcy z maszyną. W ten sposób rozpoczęliśmy nasze dochodzenie dotyczące kampanii Carbanak oraz analizę tytułowego szkodliwego programu.

Carbanak to backdoor oparty na kodzie szkodnika Carberp. Został stworzony w celu szpiegowania, wydobywania danych oraz sprawowania zdalnej kontroli nad każdym zainfekowanym przez siebie komputerem. Po tym, jak osoby atakujące przeniknęły do sieci ofiary, przeprowadzały jej rozpoznanie pod kątem możliwości włamania się do systemów o krytycznym znaczeniu – systemów przetwarzania, księgowych oraz bankomatów.

Zidentyfikowaliśmy trzy metody przechwytywania pieniędzy:

1. za pośrednictwem bankomatów,
2. poprzez przelewanie pieniędzy na konta cyberprzestępców za pośrednictwem sieci SWIFT,
3. poprzez zmianę baz danych w celu stworzenia fałszywych kont, a następnie skorzystanie z usług słupów w celu pobrania pieniędzy.