Ewolucja złośliwego oprogramowania 2010

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Epidemie coraz bardziej złożonego szkodliwego oprogramowania (sprawdziło się)

W 2010 roku nie odnotowano żadnych epidemii porównywalnych do epidemii robaka Kido (Conficker) z 2009 roku pod względem prędkości rozprzestrzeniania się, liczby zainfekowanych użytkowników oraz wywołanego zainteresowania. Gdy jednak rozpatrzymy oddzielnie te trzy czynniki, okaże się, że w 2010 roku miały miejsce infekcje, które można sklasyfikować jako globalne epidemie.

Botnety Mariposa, ZeuS, Bredolab, TDSS, Koobface, Sinowal oraz Black Energy 2.0 przyciągnęły uwagę zarówno dziennikarzy jak i analityków w 2010 roku. Każdy atak obejmował miliony zainfekowanych komputerów zlokalizowanych na całym świecie. Co więcej, zagrożenia te zaliczają się do najbardziej zaawansowanych i wyrafinowanych szkodliwych programów, jakie kiedykolwiek zostały stworzone.

Szkodniki te rozprzestrzeniały się za pośrednictwem wszystkich istniejących wektorów infekcji, łącznie z pocztą e-mail. Stanowiły pionierów w sieciach P2P, a niektóre z nich były pierwszymi szkodnikami, które zainfekowały platformy 64-bitowe, z czego wiele wykorzystywało luki zero-day.

Kreatywność twórców szkodliwego oprogramowania osiągnęła wyżyny w przypadku prawdziwie rewolucyjnego robaka Stuxnet. Eksperci potrzebowali ponad trzech miesięcy, aby w pełni przeanalizować to zagrożenie jak również zrozumieć jego funkcjonalność i działanie poszczególnych komponentów. Stuxnet trafił do czołówek portali o tematyce cyberbezpieczeństwa w drugiej połowie 2010 roku, pozostawiając daleko w tyle wszystkie znane szkodliwe programy pod względem liczby wygenerowanych publikacji.

Obecnie możemy wyróżnić następujący trend - najbardziej rozpowszechnione szkodliwe programy są jednocześnie najbardziej wyrafinowane. To podnosi poprzeczkę dla producentów produktów bezpieczeństwa, którzy toczą wojnę technologiczną z cyberprzestępcami. Obecnie nie wystarczy już, że oprogramowanie potrafi zidentyfikować dziewięćdziesiąt dziewięć procent z milionów istniejących szkodliwych programów, jeśli pominie lub nie wyleczy jednego zagrożenia, które jest niezwykle wyrafinowane, a przez to szeroko rozpowszechnione.

Spadek liczby fałszywych programów antywirusowych (sprawdziło się)

Prognoza ta była dość kontrowersyjna – opinie w tej kwestii były podzielone, nawet wśród ekspertów z Kaspersky Lab. W grę wchodziło wiele dodatkowych czynników: to, czy właściciele i uczestnicy programów partnerskich poszukają innych metod zarabiania pieniędzy, jakie działania podejmą firmy antywirusowe oraz organy ścigania, jak również istnienie silnej konkurencji pomiędzy różnymi grupami cyberprzestępczymi zajmującymi się tworzeniem i rozprzestrzenianiem fałszywych programów antywirusowych.

Statystyki zgromadzone przez KSN wskazują na globalny spadek liczby fałszywych programów antywirusowych. Największa aktywność fałszywych programów antywirusowych, około 200 000 incydentów miesięcznie, przypadła na okres luty – marzec 2010 r., jednak pod koniec 2010 roku ich liczba zmniejszyła się czterokrotnie. Jednocześnie istniejące fałszywe programy antywirusowe dążą do zawężania stref swoich ataków do określonych regionów, a cyberprzestępcy przestają rozprzestrzeniać je w sposób przypadkowy i zamiast tego skupiają się na określonych krajach, takich jak Stany Zjednoczone, Francja, Niemcy czy Hiszpania.

Ataki na i za pośrednictwem Google Wave (nie sprawdziło się)

Rok temu przewidywaliśmy ataki na Google Wave i jego klientów. Jednak projekt ten został zarzucony przez Google mniej więcej w połowie 2010 roku, zanim zgromadził krytyczną masę użytkowników i zaczął działać na pełnych obrotach. Dlatego nasza prognoza nie miała szansy sprawdzić się.

Ataki na iPhone’a i urządzenia z Androidem (częściowo sprawdziło się)

W 2009 roku wykryto pierwsze szkodliwe oprogramowanie dla iPhone’a oraz program spyware dla Androida. Przypuszczaliśmy, że cyberprzestępcy w większym stopniu skupią się na tych dwóch platformach.

W 2010 roku nie miały miejsca żadne znaczące ataki szkodliwego oprogramowania na iPhone’a, porównywalne z incydentem wywołanym przez robaka Ike w 2009 roku. Powstało jednak kilka programów koncepcyjnych dla tej platformy, tj. demonstrujących techniki, które mogły być wykorzystane przez cyberprzestępców. Doskonałym przykładem takiej techniki był ‘SpyPhone’ - dzieło szwajcarskiego badacza. Program ten umożliwia nieautoryzowany dostęp do informacji o iPhonie użytkownika, jego lokalizacji, zainteresowaniach, przyjaciołach, preferowanych aktywnościach, hasłach oraz historii wyszukiwania. Dane te mogą następnie zostać wysłane do zdalnego serwera bez wiedzy oraz zgody użytkownika. Funkcja ta może być ukryta w z pozoru niewinnej aplikacji.

W przeszłości do grupy ryzyka należeli – według ekspertów - użytkownicy iPhonów, którzy dokonywali tzw. jailbreaka w celu zainstalowania aplikacji osób trzecich. Obecnie ryzykują nawet ci, którzy instalują aplikacje z oficjalnego sklepu Apple. W 2010 roku miało miejsce kilka incydentów dotyczących legalnych aplikacji firmy Apple – wykryto aplikacje dla iPhone’a, które ukradkiem gromadziły dane i wysyłały je producentom oprogramowania.