Cisco опубликовала очередной отчет по кибербезопасности — на данный раз за первую половину 2016 года. Для понимания масштабов: обыденно в мире блокируется 20 миллиардов угроз, то бишь, 3 штуки в одни руки обитателя планеты.
Наиболее ясным трендом является эволюция и совершенствование программ-вымогателей. Современные примеры этого ПО — это не примитивные «винлокеры», условно ещё бы устраняемые из системы даже самим пользователем при наличии базовых компьютерных знаний, а сильные системы выборочного шифрования данных, которые выучились, во-первых, скрадывать свою активность, почти не тратя процессорных ресурсов, а во-вторых, стали гораздо более дерзкими.
Теперь, в частности, уже реализованы такие механизмы, как индивидуальное шифрование каждой жертвы (то бишь, нельзя платить один раз, получить код и затем использовать его для возобновленья данных всех жертв), увеличение суммы выкупа с течением времени, что вводит жертву в панику и вынуждает действовать прытче, а также уничтожение ключа шифрования через некоторое время, только после всего этого данные теряются уже окончательно и царствию чего не будет конца.
Для расчетов почти всегда используется криптовалюта (Bitcoin), что отлично обеспечивает злодеям полную анонимность, при этом они даже не всегда знают, кто их жертва. А из-за ошибок во вредоносном ПО данные не всегда расшифровываются даже после оплаты. Но даже если данные расшифрованы, резидентный модуль при этом может оставаться в системе и впоследствии снова их зашифровать: злоумышленники знают, что жертва готова платить и даже изредка делают «скидки беспрерывным клиентам».
В России средняя сумма выкупа составляет 5 тысяч рублей. Легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить за расшифровку данных делает программы-вымогатели наиболее доходным из киберпреступлений.
Крепко распространились услуги типа «вредоносная реклама как сервис», то бишь, рекламодателям продается возможность принудительной демонстрации рекламы на компьютере пользователя, от которой он, в отличие вследствие того что же спама, не должен «закрыться» и непременно ее увидит. Соответственно, заказчики здесь такие же, что но у спамеров.
В большинстве случаев нападающие используют здесь уязвимости Adobe Flash и Microsoft Silverlight: первый вообще установлен на большинстве компьютеров а при этом включен в браузере. В распространенном комплекте Nuclear на долю Flash приходится 80% удачных попыток взлома. То есть, довольно направить пользователя на нужную страницу тем или другим образом, или… просто прятать вредоносный код в баннерах баннерообменных сетей.
Тем временем даже зайдя на пристойный доверенный сайт, пользователь может загрузить вредоносный код на свой компьютер, заражение при этом происходит как бы в фоновом режиме. Последняя мода — шифрование такого трафика: за прошедшие четыре месяца объем HTTPS - трафика, используемого средствами вставки рекламы, вырос на 300%. Шифрование трафика значительно усложняет детектирование вредоносной активности на уровне сети, что дает злодеям больше времени для выполнения своих действий.
Наиболее популярными методами атак сегодня стали двоичные файлы Windows (и упакованные двоичные файлы), мошенничество с Facebook (взлом аккаунтов и рассылка спама друзьям), системы многократной переадресации на JavaScript, а также рекламное ПО для Android и трояны для Android.
Ситуация усугубляется неименьем сетевой гигиены. Если мы возьмем браузеры, то последнюю или предпоследнюю версию Google Chrome, который поддерживает автоматические обновления, используют 75 — 80 % пользователей; на одной трети исследованных систем установлено ПО Java SE 6, которое компания Oracle давно уже вывела из эксплуатации (текущая версия — SE 10); не более 10 % пользователей Microsoft Office 2013 v.15x установили последнюю версию пакета исправлений.