За март в России было зафиксировано 85 853 567 попыток заражения компьютеров через сеть, ещё месяц назад показатель был на 15 миллионов меньше, отметили аналитики Лаборатории Касперского. Увеличилось и число разного рода сетевых атак. Их было зафиксировано за месяц 241 151 171. Но в мире этот процесс идет еще активнее, так что доля России в общем количестве угроз в марте даже снизилась на 0,61% и составила 10,68%, рассказывает директор Центра вирусных исследований и аналитики ESET Александр Матросов.
Снижению уровня киберпреступности не помогло даже закрытие ботнета Rustock. Эта сеть насчитывала несколько сотен тысяч зараженных компьютеров и использовалась для рассылки спама. «Rustock генерировал существенное количество спама, который применялся злоумышленниками не только для продвижения контрафактной продукции, например поддельных лекарств, но и в качестве ещё одного способа заражения компьютеров вредоносным ПО», — рассказывает генеральный директор Group-IB Илья Сачков. Операция по закрытию ботнета была организована компанией Microsoft и властями США. 17 марта Microsoft сообщила, что все управляющие серверы ботнета остановлены. «Юридическим обоснованием операции был гражданский иск Microsoft против неустановленных лиц, стоявших за данным ботнетом. По распространённой версии, злоумышленниками являются наши соотечественники», — напоминает руководитель отдела антивирусных разработок и исследований компании Dr.Web Сергей Комаров.
Одним из «трендов марта» аналитики считают волну спам-рассылок, так или иначе связанных с катастрофой в Японии. «Мошенники распространяют вредоносные ссылки на «горячие» новости, создают вредоносные веб-страницы, контент которых так или иначе связан с трагедией в Японии», — рассказывает эксперт Лаборатории Касперского Вячеслав Закоржевский. При переходе по таким ссылкам на компьютер пользователя загружался целый букет вредоносных программ. «Некоторые образцы спам-рассылок содержали призывы к пожертвованиям, при этом в качестве отправителя фигурировали известные благотворительные организации, такие как Красный Крест, Армия спасения и так далее, а
в теле письма, как правило, присутствовала ссылка на соответствующий мошеннический ресурс, готовый принимать пожертвования»,
— добавляет Комаров. В управлении К МВД России, которое занимается расследованием преступлений в области высоких технологий, обращают внимание на активизацию в целом так называемых нигерийских писем со слезными просьбами оказать помощь пострадавшим, переслав деньги на счет отправителей. «Такие просьбы всегда сводятся к достижению одной единственной цели — получить доступ к банковскому счету потенциальной жертвы. А
после того, как доверчивый гражданин сообщает реквизиты своего счета, спамерам уже несложно опустошить его и прекратить связь с «клиентом», — предостерегают представители управления.
Отмечают исследователи и увеличение количества различных вредоносных программ, использующих те или иные «дырки» операционных систем, программ или библиотек. Вирусы появляются буквально на следующий день после того, как уязвимое место становится известно. Практика расследования компьютерных преступлений показывает, что зачастую злоумышленникам удается похитить данные из систем дистанционного банковского обслуживания, используя именно такие уязвимые места в продуктах сторонних вендоров, говорит Сачков. Например, добавляет он, это касается брешей в том же Adobe.
Еще одни трендом последнего времени стали атаки на социальные сети. Так, 4 марта 2011 года была осуществлена массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal. «При этом в графе отправителя фишингового письма был указан адрес do-not-reply@livejournal.com, который действительно используется сервисом LiveJournal для рассылки уведомлений. Мошенническая ссылка, по которой предлагается перейти, ведёт на один из поддельных сайтов — livejorrnal.com или xn—livejurnal-ivi.com. При переходе пользователь попадает на страницу, копирующую дизайн оригинального LiveJournal. Данные, которые здесь вводит пользователь, передаются мошенникам», — рассказывает Комаров. Через несколько дней похожей атаке подвергся сервис Facebook. Его пользователи стали получать спам-сообщения, рассылаемые от имени действующих аккаунтов Facebook. Все они содержали ссылку, ведущую на мошенническую страницу, копирующую дизайн Facebook. На этой странице размещалось уведомление с запросом личной информации пользователя.
В случае заполнения полей запроса злоумышленники получали доступ к аккаунту жертвы, от имени которой в дальнейшем происходила аналогичная рассылка по списку друзей.
Самая массированная атака была зафиксирована в конце месяца, когда сервис LiveJournal подвергся серии DDoS-атак. По оценкам администрации сервиса, она стала самой масштабной за время его существования. Волны атак продолжились и в начале апреля. DDoS-атаки остаются наиболее дешевым и действенным способом для ведения кибервойн, и их причиной может быть как конкурентная борьба, так и политический интерес. Стоимость подобной атаки на популярный сервис в интернете, рассказывает Матросов, может начинаться от 500 евро и выше в среднем в день — в зависимости от пропускной способности канала, который необходимо наполнить вредоносным трафиком.
Пострадавшая сторона может за время атаки потерять в деньгах в тысячи раз больше.
Найти киберпреступников достаточно сложно, тем более выйти на организаторов атаки. Причина в самой сути DDoS-атак, объясняет руководитель IT-отдела юридической компании «Юков, Хренов и партнеры» Антон Черняк: «Такие атаки устраивают не с компьютера злоумышленника, а «зомбируя» при помощи вирусов компьютеры обычных граждан. Кому предъявлять претензии — сотням тысяч граждан, компьютеры которых не делали, по сути, ничего плохого, а просто обращались на сервер?»
Зачастую такие расследования не начинаются потому, что никаких заявлений пострадавшие не подают, добавляют в управлении К. Заявлений от представителей SUP (владеет LiveJournal) в управление не поступало. «Если поступят — не оставим без внимания, мы уже занимались подобными делами», — заявил представитель ведомства. Так, например, сейчас питерское отделение управления К ведёт расследование взлома сайта фанатов ФК «Зенит».