За указанный период все более проявляется тревожная тенденция к изменению вектора сетевых атак.

За указанный период все более проявляется тревожная тенденция к изменению вектора сетевых атак, смещающихся от масштабного сканирования широких сегментов Интернета в сторону точечных ударов по его наиболее важным узлам. За последнее время от подобных ударов значительно пострадали крупнейшие мировые банки и финансовые системы.

Среди прочих, не менее опасных тенденций, отмеченных аналитиками «Лаборатории Касперского», — дальнейшее развитие Adware-программ, незаметно перешедших черту между нежелательностью и откровенной нелегальностью; появление новых вирусных технологий и многое другое.
За прошедший квартал от действий киберпреступников пострадали такие финансовые гиганты, как Bank of America, Sumitomo Bank и платежные системы MasterCard и Visa. Стоит также отметить скандал, связанный с обнаружением троянской программы-шпиона Hotworld в сетях более чем 80 организаций в Израиле и Великобритании.

Теперь преступники окончательно отказываются от методики массированных атак при помощи сетевых червей и рассылок троянских программ. Причин этому несколько. Во-первых, антивирусная индустрия, основываясь на почти десятилетнем опыте борьбы с глобальными эпидемиями червей, создала внушительную инфраструктуру противодействия. Начиная с самого первого уровня защиты — обнаружения в почтовом трафике множества копий одного и того же файла, что является первичным признаком массовой рассылки — и до сложных уровней защиты, включающих в себя IDS, аппаратные межсетевые экраны. Фактически, с момента появления первых экземпляров червя в сети до момента выпуска антивирусных баз с процедурами его обнаружения и лечения проходит максимум 1-2 часа, а чаще — всего несколько минут. Это значительно, если не полностью, снижает эффективность подобных вирусных атак.

Во-вторых, даже если червю удается прорваться через множество уровней защиты и заразить несколько тысяч пользователей, перед ним встают задачи дальнейшего размножения и, что наиболее важно с точки зрения преступников, сбора и пересылки украденной информации. Анализ вредоносных программ, проводимый антивирусными экспертами, позволяет быстро установить сервера, на которые отправляется собранная информация, а также каналы и способы управления зараженными машинами. Это дает возможность если не задержать злоумышленников, то хотя бы лишить их плодов деятельности созданных ими вирусов — путем закрытия подобных серверов.
В-третьих, даже если украденные данные все-таки попадут в руки преступников, то перед ними встанет проблема использования их с целью получения прибыли. Здесь тоже не все просто, и риск ареста на данной стадии за последние годы многократно возрос.

Эти проблемы заставляют киберпреступников искать другие цели и способы получения денег и кражи интересующей их информации. В первую очередь это, конечно банковская и персональная информация. Номера кредитных карт, номера карт социального страхования и прочие атрибуты, которыми обладает современный человек в компьютеризированном обществе. Те данные, которые могут быть использованы другими людьми в собственных целях — кража денег со счетов, подделка документов и банковских карт, различные виды вымогательства и шантажа. Второй причиной атак — и число таких инцидентов будет постоянно расти — выступает промышленный шпионаж. Информация о состоянии дел конкурентов, их финансовые документы, личные данные сотрудников и многое другое, что раньше добывалось при помощи подслушивающих, записывающих, фотографирующих устройств, сейчас возможно получить при помощи проникновения в компьютерную сеть организации.

За всеми громкими кражами данных в этом году видно новое лицо киберпреступности нового уровня. Это люди, которые готовы потратить десятки тысяч долларов на получение «инсайдерской» информации об атакуемом объекте. Это люди, обладающие знаниями и способами обхода многоуровневых систем защиты от вторжений. Это люди, которые не продают ни троянские программы по 10 долларов за штуку, ни украденные с их помощью данные через общедоступные (хоть и считающиеся «андерграундными») форумы и сайты.

Очевидно, что инфраструктура безопасности крупных финансовых институтов наиболее уязвима. Множество компьютеров, разнородные сети и права доступа, множество сотрудников — все это является дополнительными факторами, облегчающими задачу злоумышленникам. В крупной сети зачастую невозможно найти даже известный документ, не говоря уж об обнаружении троянской программы, искусно маскирующей свое присутствие в системе. И все же пока внедрение троянских программ в сети банков и правительственных структур остается уделом профессионалов.

Основным объектом атак становятся сайты, работающие на одном из популярных PHP-движков (PhpBB, PhpNuke, WorldPress и т.д.). Это объясняется постоянным обнаружением уязвимостей в данных продуктах, позволяющих осуществлять добавление необходимых злоумышленникам скриптов на различные страницы сайта. Насколько легко и быстро можно взломать десятки и даже сотни подобных веб-сайтов наглядно продемонстрировал червь Santy в декабре прошлого года. Действия преступников по взлому в данном случае практически ничем не отличаются от того, что делал этот червь.

Скорость и многообразие форм эволюции нелегальных рекламных технологий является уникальным явлением для современного компьютерного мира. Начавшись несколько лет назад с простейших скриптов, автоматически открывавших множество дополнительных окон в браузере, сейчас подобные программы уже окончательно перешагнули грань между нежелательным, но все-таки легальным софтом и вредоносными программами. Ряд современных adware-программ охотно использует вирусные технологии для проникновения и скрытия себя в системе.
Чем шире ведется борьба с Adware, тем все более изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры пользователей.

Virus.Win32.Gpcode открыл новую страницу в истории киберпреступности: методика киберзлоумышленников напоминает захват заложников с последующим требованием выкупа. Сейчас в интернете разворачивается настоящая эпидемия шантажа. Подавляющее большинство зараженных компьютеров находятся в банках, различных финансовых и рекламных агентствах, крупных заводах, агентствах по недвижимости и прочих структурах с большим документооборотом. Среди пострадавших практически нет домашних пользователей. Программа последовательно обходит все каталоги компьютера и шифрует по особому алгоритму все найденные файлы документов различных форматов, а также почтовые базы данных. В каждом каталоге с зашифрованными файлами появляется файл readme.txt, в котором злоумышленник указывает адрес электронной почты для связи с ним. Он предлагает расшифровку данных за определенную сумму, фактически выступая в роли вымогателя. Текстовые строки в посланиях, а также адреса электронной почты и некоторые специфические для России форматы шифруемых файлов явно говорят о российском происхождении Gpcode.

Вирусные программы, содержащие в себе различные политические лозунги или написанные с целью рекламы какого-либо политического деятеля — далеко не новое явление на вирусной сцене.
В мае 2005 года миллионы пользователей электронной почты в Западной Европе получили письма с текстами праворадикального толка. Их содержание выражало точку зрения автора на приближающиеся выборы в Европарламент и голосование по вопросу Европейской Конституции. Эти письма были посланы при помощи компьютеров, ранее зараженных червем Sober.p, а точнее, его новым вариантом — Sober.q.
Дальнейшее развитие подобных тенденций может привести к печальным последствиям. В ходе некоторых вирусных эпидемий была парализована работа госструктур (например, госдепартамент США не выдавал визы из-за заражения червем Welchia осенью 2003 гю). Но это были случайные жертвы эпидемии, деятельность червя не была нацелена конкретно на них - целью преступников является получение не финансовой выгоды, а оказание давления ради политической выгоды.