* Ultimele tendinţe în ameninţările informatice: exploatarea vulnerabilităţilor şi folosirea Internetului pentru atacuri generatoare de bani
* Autorii ameninţărilor folosesc instrumente automatizate pentru a declanşa atacurile
Ameninţările informatice devin din ce în ce mai sofisticate iar utilizatorii de computere şi Internet sunt vizaţi tot mai frecvent de atacuri al căror scop final este obţinerea de fonduri financiare, se arată într-o analiză întocmită de producătorul mondial de soluţii de securitate Trend Micro. Analiza include tendinţele manifestate în acest domeniu în primele şase luni ale anului şi a fost realizată pe baza informaţiilor strânse de companie din întreaga lume. Conform Trend Micro, în primul semestru al acestui an ameninţările web au manifestat o evoluţie explozivă în timp ce atacurile desfăşurate prin mesageria electronică şi-au menţinut creşterea constantă. Extrem de importantă este tendinţa de automatizare a diferitelor tipuri de ameninţări web care se manifestă din ce în ce mai puternic în mediul cibernetic. În acelaşi timp, specialiştii de la Trend Micro mai atrag atenţia asupra proliferării atacurilor direcţionate (asupra unor anumite grupuri ţintă de utilizatori sau în regiuni geografice bine determinate). Toate acestea, cumulate cu tehnici combinate de atac, permit autorilor de ameninţări informatice să obţină bani cât mai repede, cu eforturi cât mai mici.
Experţii în securitate au observat, de asemenea, că autorii atacurilor folosesc şi tehnologii web 2.0, precum Javascript, pentru a infecta calculatoarele utilizatorilor de Internet, prin aşa-numita metodă „drive-by-downloads”. Astfel, utilizatorii pot deveni victime prin simpla accesare a unei adrese web „contaminate”. Şi tot în prima jumătate a anului, specialiştii au remarcat o creştere accentuată a interesului pentru detectarea de vulnerabilităţi în sistemele de operare şi in alte aplicaţii software, urmate de crearea şi plasarea pe Internet a aşa-numitelor exploituri prin care atacatorii pot exploata sistemele ale căror softuri nu sunt actualizate.
Şi totuşi, una dintre cele mai supărătoare evoluţii din prima jumătate a lui 2007 a fost dezvoltarea într-un ritm accelerat a reţelelor de tip botnet al căror rol principal este distribuirea în masă a spamului şi a altor tipuri de malware precum şi perpetuarea infracţiunilor cibernetice.
Reţelele de acest tip rămân cel mai puternic instrument pe care autorii de ameninţări informatice îl au la dispoziţie pentru propagarea atacurilor automatizate, se mai arată în analiza Trend Micro.
Vulnerabilităţi în infrastructura informatică
Autorii de malware utilizează breşele de securitate din aplicaţiile software pentru a dezvolta cod maliţios şi a-l plasa în computerul victimelor. Unii dintre ei caută în mod proactiv vulnerabilităţile din sistemele de operare şi diversele aplicaţii, punându-le ulterior în vânzare pe Internet. Alţii aşteaptă ca o vulnerabilitate să fie dezvăluită public şi pe baza ei dezvoltă un exploit sperând să găsească utilizatori care au aplicaţiile vulnerabile, înainte ca producătorul să publice un patch care repară breşa de securitate.
Vulnerabilităţile există nu doar în aplicaţiile software obişnuite ci şi în aplicaţiile Internet. De altfel, acestea au contribuit în primele şase luni ale anului la apariţia unor exploituri care vizau utilizatorii reţelei de socializare MySpace şi ai aplicaţiei QuickTime. De asemenea, vulnerabilităţile din aplicaţiile Microsoft au generat în primele şase luni ale lui 2007 apariţia unei serii de ameninţări informatice care a inclus şi câţiva troieni ce vizau în special utilizatorii de Office.
Ameninţări de mare impact
Deşi apărută în 2006, familia de viruşi NUWAR a făcut ravagii în Europa şi la începutul lui 2007. Astfel, un val de emailuri care conţineau un troian şi care pretindeau că o furtună cu peste 200 km/h mătură Europa de Est s-a răspândit în ianuarie 2007 la nivelul bătrânului continent. În aprilie, o altă variantă a viermelui WORM_NUWAR, conţinând şi troianul TROJ_SMALL.EDW a fost pusă în circulaţie prin intermediul unor mesaje email. Totuşi, la nivel internaţional, cel mai mare număr de calculatoare infectate s-au înregistrat în America de Nord (peste 50% din total), urmată de Asia şi Europa.
Tabel: Infectări cu TROJ_SMALL.EDW (dec 06 – may 07)
|
America de Nord |
57% |
|
Asia |
19% |
|
Europa |
19% |
|
Australia |
5 |
Troianul SMALL a mai făcut victime şi în Australia prin intermediul unor emailuri având ca subiect decesul primului ministru John Howard. Cei care accesau link-ul din email erau direcţionaţi către un site pus la punct de atacatori prin care se încerca exploatarea unor vulnerabilităţi mai vechi ale browserului Internet Explorer aflat pe calculatoarele victimelor şi preluarea controlului acestora. Odată puse la punct aceste aspecte, pe calculatoarele infectate se descărcau automat aplicaţii malware printr-o procedură destul de complexă. Mai întâi, un program de descărcare automată de troieni elimina din lista calculatoarelor infectate pe cele din Letonia, Estonia si Lituania, probabil pentru că atacatorii proveneau din aceste ţări şi încercau astfel să nu creeze suspiciuni în rândul autorităţilor locale. În a doua etapă, prin intermediul altor componente maliţioase, computerele rămase în listă erau transformate într-o reţea de tip „zombie” utilizată la propagarea în continuare a ameninţărilor de tip malware.
Ameninţări bazate pe conţinut: spam, phishing
Numărul mesajelor nesolicitate (spam) ce conţin link-uri care, odată accesate, descarcă pe calculatorul utilizatorului diferite tipuri de aplicaţii malware, a cunoscut o creştere continuă în primele luni ale anului. Reţelele botnet au fost şi ele implicate în expedierea unui număr impresionant de emailuri nesolicitate.
Informaţiile strânse cu ajutorul specialiştilor de la TrendLabs arată că majoritatea mesajelor de tip spam au fost scrise în limba engleză dar, în acelaşi timp, a crescut numărul celor redactate în limbi asiatice precum chineza şi japoneza. Numărul spamurilor scrise în spaniolă şi rusă s-a diminuat în prima jumătate a anului. În topul subiectelor pe care le abordează aceste mesaje rămân cele de natură comercială.
Conţinutul spamurilor a suferit importante schimbări în ultimele luni. Astfel, dacă în decembrie 2006, spamul care conţinea imagini reprezenta 32% din totalul mesajelor nedorite aflate în circulaţie, în primul trimestru al anului 2007, această pondere a scăzut la 12,83% iar în trimestrul al doilea cifra a scăzut la 11%. Scăderea este atribuită eficienţei tot mai mari a aplicaţiilor antispam dar şi eforturilor pe care autorii mesajelor nedorite le fac în încercarea de a evita aceste filtre. De altfel, în ultimele luni spamerii şi-au diversificat activitatea generând emailuri nedorite ale căror mesaje comerciale sunt încorporate în fişiere PDF sau chiar Excel.
Activităţile de tip phishing şi-au păstrat tendinţa crescătoare şi în primele şase luni ale acestui an, tehnicile utilizate neschimbându-se foarte mult. În continuare, atacatorii încearcă să-şi păcălească victimele direcţionându-le către site-uri false unde acestea ar trebui să îşi înscrie date personale, inclusiv informaţii bancare.
TOP 10 companii vizate de phisheri
1. eBay
2. Paypal
3. Bank of America
4. Wachovia
5. Fifth Third Bank
6. BB&T
7. Poste Italiane
8. Sparkasse
9. Regions Bank
10. Volksbank
Atacurile de tip phishing au o tendinţă foarte clară de regionalizare, autorii ţintind tot mai frecvent bănci mai mici, regionale, au mai constatat specialiştii de la Trend Micro. Excluzând eBay şi Paypal, în partea superioră a clasamentului companiilor-ţintă regăsim bănci americane iar în jumătatea inferioară bănci europene.
Estimări pentru semestrul al doilea
Atacuri similare celor observate în primele şase luni ale anului sunt aşteptate să se desfăşoare şi în a doua parte a lui 2007, multe dintre ele profitând de două evenimente importante la nivel mondial: reînceperea şcolilor şi sărbătorile de iarnă, perioade în care şi interesul utilizatorilor pentru cumpărăturile online va creşte semnificativ.
Ameninţările web vor cunoaşte o creştere continuă, pe de o parte din cauza numărului tot mai mare de pachete automatizate folosite la exploatarea vulnerabilităţilor din aplicaţiile software şi Internet, disponibile online. Pe de altă parte, tendinţa va fi alimentată de creşterea numărului de site-uri web 2.0 şi a aplicaţiilor online interactive ce vor determina autorii de malware să depisteze şi să exploateze breşele de securitate din aceste tehnologii cu intenţia de a controla tot mai multe computere şi de a ajunge în final să câştige bani prin diferite scheme infracţionale.
Tot pe baza automatizării într-un grad din ce în ce mai mare a instrumentelor de generare a atacurilor de tip phishing, numărul acestora este aşteptat să crească, se mai arată în analiza Trend Micro.
Reţelele botnet vor continua să reprezinte o serioasă ameninţare iar autorii lor vor fi şi în viitorul apropiat destul de greu de depistat, întotdeauna după lungi anchete.
Recomandări
Companiilor, atât de dimensiuni mici sau medii cât şi de dimensiuni mari, Trend Micro le recomandă să pună la punct un sistem de securitate IT bazat pe mai multe niveluri de protecţie care să le apere reţelele şi utilizatorii de cât mai multe ameninţări informatice.
Utilizatorii individuali trebuie să fie atenţi la paginile web care solicită instalarea de software, să nu permită instalarea de aplicaţii din browserul web decât dacă sursa este sigură iar pagina este chiar a producătorului. De asemenea, utilizatorii trebuie să verifice toate programele şi fişierele descărcate de pe Internet sau via email, să menţină programele de securitate actualizate şi să fie atenţi la mesajele de email suspecte, să nu deschidă fişierele ataşate sau să dea click pe link-urile din acestea.
În România, GECAD NET este unic distribuitor pentru aplicaţiile de securitate Trend Micro care pot fi achiziţionate şi prin intermediul magazinului online GECADshop.ro.
{mosloadposition user10}
