Zagrożenia internetowe I kw. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2010

Cyberprzestępcy infekowali komputery użytkowników za pomocą ataków drive-by download, zwabiając potencjalne ofiary na zainfekowane strony przy użyciu technik “czarnego SEO”, czyli metod pozwalających na manipulowanie wynikami wyszukiwania w Internecie. Użytkownicy mogli trafić na zainfekowaną stronę, jeżeli ich zapytanie wpisane w wyszukiwarkę dotyczyło gotowania. Warto zauważyć, że wszystkie strony wykorzystane do przeprowadzenia ataku znajdowały się na darmowych serwisach hostingowych, takich jak am.ae, cx.cc, gv.vg itd. Aby ukryć swoje zamiary, cyberprzestępcy zarejestrowali domeny z nazwami kojarzącymi się z jedzeniem, np. “delicate-grill.ae.am”, “generalcook.gv.vg”, “warmblueberry.cx.cc” oraz “full-bread.ae.am”.

Ofiary tego trojana są zlokalizowane głównie w Europie oraz byłych republik Związku Radzieckiego. Infekcje zostały odnotowane w Niemczech, Rosji, Polsce, Francji, Holandii, Kazachstanie, na Ukrainie i w wielu innych państwach. Cyberprzestępcy żądali od swoich ofiar zapłacenia okupu za pośrednictwem Ukash, systemu płatności elektronicznych dostępnego we wszystkich tych państwach.

Celem tego ataku, który trwał zaledwie kilka godzin, byli użytkownicy domowi. Bez wykorzystania współczesnych technologii antywirusowych nie da się w tak krótkim czasie stworzyć sygnatur i dostarczyć ich na maszyny użytkowników. Warto wspomnieć, że ochrona w postaci sygnatur UDS (Urgent Detection System) opartych na chmurze została szybko udostępniona użytkownikom produktów Kaspersky Lab.

Krótki okres dystrybucji oznacza, że autor (autorzy) GpCode’a nie mieli zamiaru infekować ogromnej liczby maszyn. Masowa infekcja zwróciłaby uwagę organów ścigania w różnych państwach oraz uruchomiłaby działania mające na celu zidentyfikowanie sprawcy (sprawców), co bez wątpienia byłoby bardzo niepożądane dla osób odpowiedzialnych za te ataki. To oznacza, że dalsze ataki trojana szyfrującego będą dotykały stosunkowo wąskiej grupy użytkowników.

Statystyki

Poniżej przedstawiamy analizę statystyk wygenerowanych przez różne moduły antywirusowe wchodzące w skład produktów firmy Kaspersky Lab, zainstalowanych na komputerach użytkowników na całym świecie. Wszystkie dane statystyczne zawarte w tym raporcie zostały uzyskane przy użyciu Kaspersky Security Network (KSN) za zgodą uczestników tej sieci. Globalny system wymiany informacji dotyczących aktywności szkodliwego oprogramowania obejmuje miliony użytkowników produktów Kaspersky Lab z 213 państw na całym świecie.

Zagrożenia online

Dane statystyczne zawarte w tej sekcji zostały dostarczone przez moduł ochrony WWW wchodzący w skład produktów firmy Kaspersky Lab, który chroni użytkowników przed pobraniem szkodliwego kodu z zainfekowanych stron internetowych. Zainfekowane strony obejmują strony specjalnie stworzone przez cyberprzestępców, strony zawierające treści tworzone przez użytkowników, takie jak fora, oraz zhakowane legalne strony.