13-14 мая 2010 г. RIGF 2010, Москва, Экспоцентр на Красной Пресне Кибер-криминал, новый виток противостояния (ботнет сети, спам) Андрей Ярных Начальник отдела интернет-решений

RIGF 2010, Москва, Экспоцентр на Красной Пресне Глобальные тенденции Ботнет сети совершенствуются 'Индивидуальное' заражение пользователей взломанных сайтов Ботнет сети совершенствуются 'Индивидуальное' заражение пользователей взломанных сайтов Использование технологии постоянной миграции серверов Мода на альтернативные OS Мода на альтернативные OS мобильне платформы iPhone and Android MAC OS Активное использование данных социальных сетей Активное использование данных социальных сетей эффективность распространения вредоносного кода в социальных сетях составляет около 10%,

RIGF 2010, Москва, Экспоцентр на Красной Пресне Кибер-криминал атакует на конец марта 2010 года бот-сеть насчитывала более 1300 центров управления зомби-компьютерами. Из них постоянно активными оставались более 700 центров. Каждый командный центр управляет в среднем тысячами зараженных компьютеров.

RIGF 2010, Москва, Экспоцентр на Красной Пресне Кибер-криминал атакует По данным центра ZeuS Tracker, в середине марта не детектировалось более половины зловредов, распространяемых через бот-сеть ZBot/Zeus. В реальности это означает, что атака на пользователей была успешной, т.е. до того как пользователи получали защиту со стороны антивирусных компаний, злоумышленники успевали собрать свою «жатву».

RIGF 2010, Москва, Экспоцентр на Красной Пресне Атаки зловредов на компьютеры По итогам работы KSN в 2009 году: компьютеры жителей 215 стран и регионов мира подвергались угрозе заражения раз. Самые маленькие и отдаленные (Микронезия – 15 атак, Кирибати – 2 атаки, Каймановы острова – 13 атак) МестоСтрана Количество атак Процент от общего числа атак 1CHINA ,665% 2EGYPT ,267% 3TURKEY ,996% 4INDIA ,025% 5UNITED STATES ,759% 6VIETNAM ,464% 7RUSSIAN FEDERATION ,417% 8MEXICO ,302% 9SAUDI ARABIA ,213% 10GERMANY ,069%

RIGF 2010, Москва, Экспоцентр на Красной Пресне Вирусный фон в интернет сети пять стран, с веб-серверов которых вредоносный контент распространялся наиболее активно. Источник: «Лаборатория Касперского» СтранаРегион Среднее число уникальных зловредов на одного пользователя Изменение позиции в рейтинге 1Канада Северная Америка 2,03+1 2ВеликобританияЕвропа1,92+1 3МалайзияАзия1,82new 4РоссияЕвропа1,68- 5КитайАзия1,51-

RIGF 2010, Москва, Экспоцентр на Красной Пресне Зараженные интернет сайты Данные за сентябрь 2009 г. Лаборатория Касперского Тройка стран, на территории которых обнаружено больше всего вредоносных URLs Первое место – Канада. Более 21% вредоносных ссылок от «общемировых запасов». Второе – США – 16%. Третье – Китай – 15% Тройка стран, на территории которых обнаружено больше всего сайтов, распространяющих вредоносные объекты Первое место – Китай – 26% от числа вредоносных сайтов во всем мире. Второе – США – 18%. Третье – Россия с – 12% Вредоносный сайт, от которого пострадало больше всего посетителей langlangXXX.com – 1,62% фактов заражения компьютеров от общего числа заражений по всему миру. Это китайский портал с порнографическими материалами.

RIGF 2010, Москва, Экспоцентр на Красной Пресне Экономика ботнетов Монетизация ботнет сети

RIGF 2010, Москва, Экспоцентр на Красной Пресне Экономика ботнетов Установка программ на компьютеры пользователей разных стран оплачивается фирмами по-разному. Например, за установку вредоносной программы на тысячу компьютеров в Китае в среднем платят 3 доллара, а в USA 120 долларов. Это вполне объяснимо, ведь у пользователей развитых стран можно украсть куда более ценную, точнее более «денежную», информацию. Стоимость украденных персональных данных напрямую зависит от страны, в которойживет их законный владелец. Например, полные данные жителей США стоят 5-8 долларов. На черном рынке особенно ценятся данные жителей Евросоюза они стоят в два-три раза дороже данных жителей США и Канады. Это можно объяснить тем, что такими данными преступники могут пользоваться в любой стране, входящей в ЕС. В среднем по миру цена полного пакета данных об одном человеке составляет порядка $7.

RIGF 2010, Москва, Экспоцентр на Красной Пресне Мода на альтернативные OS Операционные системы Всего Backdoors, Hacktools, Exploits & Rootkits Вирусы и черви Трояны Linux (50%)136 (7%)88 (5%) FreeBSD4333 (77%)10 (23%)0 (0%) Sun Solaris11999 (83%)17 (15%)3 (2%) Unix21276 (36%)118 (56%)3 (1%) OSX4814 (29%)9 (19%)11 (23%) Windows (22%)40188 (2%) (55%) Вредоносные программы для Unix-подобных систем имеют совсем другие цели. Они остаются незамеченными и крадут данные о кредитных картах из интернет-магазинов или пароли пользователей. Чаще всего для атаки используются не троянцы, а известные уязвимости серверных сервисов.

RIGF 2010, Москва, Экспоцентр на Красной Пресне Мода на альтернативные OS СемействоПлатформа Краткое описание функционала Коли- чество модифи- каций NotiJ2MEМобильный контент за SMS1 CoSSymbian Хакерская утилита для отправки специально сформированных SMS 2 KinapSymbianПодмена шрифтов, иконок, логотипов7 DisablerSymbianБлокировка SMS, MMS, звонков1 RebrewJ2MESMS-Flooder1 KblockSymbianБлокировка телефона1 PornidalSymbianЗвонки на платные номера2 SMSRtapSymbianмониторинг SMS, звонков и т.д.3 Trojan- SMS.Agent J2MEРассылка SMS4 CaneoSymbianмониторинг SMS, звонков и т.д.2 EnorivSymbianРассылка SMS1 SmofreeJ2MEЗвонки на платный номер1

RIGF 2010, Москва, Экспоцентр на Красной Пресне Мода на альтернативные OS Первый Backdoor для ATM – Backdoor.Win32.Skimer кража денежных средств кража данных кредитной карточки

RIGF 2010, Москва, Экспоцентр на Красной Пресне Доля спама в Рунете в 1 кв г. Спам, что нового?

RIGF 2010, Москва, Экспоцентр на Красной Пресне Спам, что нового? Доля спама в почтовом трафике составила в среднем 85,2%. Доля спама в почтовом трафике составила в среднем 85,2%. Ссылки на фишинговые сайты находились в 0,57% всех электронных писем. Ссылки на фишинговые сайты находились в 0,57% всех электронных писем. Графические вложения находились в 11,7% спам-писем. Графические вложения находились в 11,7% спам-писем. В тройку лидеров стран источников спама вошли США, Индия и Россия. В тройку лидеров стран источников спама вошли США, Индия и Россия. Спамеры переносят домены из зоны.cn в зону.ru. Спамеры переносят домены из зоны.cn в зону.ru.

RIGF 2010, Москва, Экспоцентр на Красной Пресне Спам, что нового? Перенос спамерских доменов в зону.ru После ужесточения правил регистрации доменных имен в Китае в конце прошлого года ссылок на китайские домены в спаме стало значительно меньше. К сожалению, сам спам никуда не делся спамерские домены переместились из зоны.cn в зону.ru. Действия китайских властей привели к тому, что в марте в Китае прекратили работу крупнейшие регистраторы доменных имен компании Go Daddy и Network Solutions. Причиной для остановки регистрации новых доменных имен в КНР компаниями Go Daddy и Network Solutions стало предъявленное им властями КНР требование предоставить фотографии и идентификационные документы ряда клиентов продавцов интернет-адресов.

RIGF 2010, Москва, Экспоцентр на Красной Пресне Любимые хостинги вирусописателей СтранаРегион Доля вредоносных хостингов Изменение доли во втором квартале Изменение позиции в рейтинге 1КитайАзия19,43%+0,73%- 2РоссияЕвропа17,35%+1,62%- 3США Северная Америка 13,13%-1,35%- 4ГерманияЕвропа8,06%+0,47%- 5Бразилия Южная Америка 5,45%+1,65%+3 Страны, на ресурсах которых размещены вредоносные программы На эту пятерку приходится 63,43% всех выявленных вредоносных хостингов. пять самых популярных стран, где на хостингах размещается вредоносное ПО. Источник: «Лаборатория Касперского»

RIGF 2010, Москва, Экспоцентр на Красной Пресне SMS-мошенничество: приняты меры SMS-мошенничество: приняты меры В первом квартале 2010 года, платная SMS подписка стала причиной первого судебного разбирательства. Арбитражный суд Магаданской области признал виновным сотового оператора в неправомерном списании средств со счета абонента при использовании коротких SMS-номеров. Обычно в таких случаях виновными признают контент-провайдеров или биллинг-партнеров, операторы же сотовой связи, несмотря на то, что они тоже получают огромную прибыль, ответственности не несут. В данном случае истец опирался на то, что договор о предоставлении услуг был заключен с оператором, и именно он должен нести ответственность. признал виновнымпризнал виновным Вирусописатели и ботнеты Вирусописатели и ботнеты На прошлой неделе хакер Альберт Гонсалес (Albert Gonzalez), грабивший американских ритейлеров, был приговорен к 20 годам тюремного заключения. Такое беспрецедентное решение суда затмило даже вердикт, вынесенный в феврале по делу именитого хакера Max Vision: тот получил «всего лишь» 13 лет. Одиннадцать соучастников Гонсалеса также не ушли от ответа. Шестеро уже признали свою вину, в их числе гражданин Эстонии Александр Суворов, арестованный во время отпуска в Германии и переданный американским властям. Украинец Максим Ястремский, помогавший хакерам сбывать украденные реквизиты и проводить «грязные» деньги через зарубежные банки, был задержан в Турции и приговорен местным судом к 30 годам тюремного заключения. На прошлой неделе хакер Альберт Гонсалес (Albert Gonzalez), грабивший американских ритейлеров, был приговорен к 20 годам тюремного заключения. Такое беспрецедентное решение суда затмило даже вердикт, вынесенный в феврале по делу именитого хакера Max Vision: тот получил «всего лишь» 13 лет. Одиннадцать соучастников Гонсалеса также не ушли от ответа. Шестеро уже признали свою вину, в их числе гражданин Эстонии Александр Суворов, арестованный во время отпуска в Германии и переданный американским властям. Украинец Максим Ястремский, помогавший хакерам сбывать украденные реквизиты и проводить «грязные» деньги через зарубежные банки, был задержан в Турции и приговорен местным судом к 30 годам тюремного заключения.был приговоренвынесенныйсоучастниковприговоренбыл приговоренвынесенныйсоучастниковприговорен Противодействие киберкриминалу

RIGF 2010, Москва, Экспоцентр на Красной Пресне Очистка трафика Очистка трафика Федеральное ведомство по обеспечению информационной безопасности Германии (Bundesamt fur Sicherheit in der Informationstechnik, BSI) совместно с Ассоциацией немецких интернет-коммерсантов разработала проект по очистке национальных сетей от инфекции. разработала По замыслу авторов проекта, интернет-провайдеры будут отслеживать подозрительный трафик и оповещать пользователей о наличии заражения. Для устранения возникших проблем планируется создать бесплатный веб-сайт. В особо тяжелых случаях пользователи смогут прибегнуть к услугам call-центра, в котором будут работать около 40 специалистов.. Бывает и так … Бывает и так … За написание и использование вредоносной программы жителю г. Докшицы Витебской области грозит штраф в размере 10,5 млн. бел. руб. (около 3,5 тыс. долл.). Как выяснилось, 24-летний вирусописатель вообще- то работает плотником, а программирование это его хобби.За написание и использование вредоносной программы жителю г. Докшицы Витебской области грозит штраф в размере 10,5 млн. бел. руб. (около 3,5 тыс. долл.). Как выяснилось, 24-летний вирусописатель вообще- то работает плотником, а программирование это его хобби.грозит Противодействие киберкриминалу

RIGF 2010, Москва, Экспоцентр на Красной Пресне Противодействие киберкриминалу Анонимность Анонимность Добровольная авторизация пользователей Добровольная авторизация пользователей Создание гос. сервисов использующих единую авторизацию Создание гос. сервисов использующих единую авторизацию Предоставление коммерческих льгот авторизованному пользователю Предоставление коммерческих льгот авторизованному пользователю Сложности юридического противодействия Сложности юридического противодействия Снятие препятствий для взаимодействия с зарубежными структурами Снятие препятствий для взаимодействия с зарубежными структурами Трудоемкость и высокая стоимость сбора доказательной базы Трудоемкость и высокая стоимость сбора доказательной базы Наработка судебной практики, готовность судов. Наработка судебной практики, готовность судов. Фильтрация вредоносного трафика и спама Фильтрация вредоносного трафика и спама На уровне инфраструктуры сети На уровне инфраструктуры сети На уровне пользователя На уровне пользователя Разметка контента Разметка контента

RIGF 2010, Москва, Экспоцентр на Красной Пресне Вопросы?

Спасибо за внимание!