Fortinet представляет декабрьский отчет о сетевой безопасности в мире

«В декабре мы наблюдали большое количество кампаний по найму так называемых ”денежных мулов”. Это был первый случай, когда кампании проводились целенаправленно по конкретным странам на территории Азии, Европы, а также в Австралии, – комментирует данные отчёта Дерек Манки (Derek Manky), менеджер Fortinet по проектам в области сетевой безопасности и исследовании угроз. – В ходе этих кампаний вербовались люди, которые имели отношение к банковской сфере или искали работу в качестве “администраторов онлайн продаж”».

Злоумышленники для уменьшения подозрения и увеличения процента нанимаемых денежных мулов, злоумышленники использовали доменные имена, созвучные конкретному региону: cv-eur.com, asia-sitezen.com и australia-resume.com, при более тщательном изучении которых специалистами лаборатории FortiGuard было обнаружено, что все три домена были зарегистрированы на одно и то же российское лицо, а для вербовки людей по всему миру, использовался почтовый хостинг Google.

Локальные кампании по вербовке позволяют преступникам получать доступ к банковским счетам, использование которых регулируется различными банковскими и национальными законами и правилами. Таким образом, если один из счетов арестовывается, остальные остаются активными, и «бизнес» продолжает свою нормальную работу.

Электронные открытки, заражённые трояном Buzus

Декабрь был также отмечен возобновлением активности трояна Buzus. Его распространение осуществлялось посредством рассылки спама по всем найденным на рабочей станции электронным адресам. Массовость заражения была обеспечена тем, что письма приходили с адресов знакомых людей с предложением посмотреть новогоднюю поздравительную открытку. При попытке перейти по ссылке, компьютер становился частью бот-сети Hiloti.

«Hiloti использует принципиально новый подход – эта бот-сеть использует DNS в качестве канала для передачи отчётов о своих действиях на управляющие сервера, – продолжает комментировать Манки. – Это делается, чтобы избежать обнаружения, так как активность бот-агентов выглядит как легитимный DNS-трафик. На сегодняшний день Hiloti является одной из самых распространенных бот-сетей, поэтому киберпреступники предпочитают использовать именно её для своей деятельности. Высокая распределённость достигается благодаря финансовой заинтересованности участников. Дело в том, что посредники, способствующие дальнейшему распространению агентов бот-сети, получают денежное вознаграждение за каждую вновь заражённую систему. Благодаря подобной мотивации, сеть развивается намного быстрее, чем она могла бы делать это естественным образом».

Уязвимости нулевого дня (Zero-Day) в продуктах Adobe, Microsoft и Apple

В прошлом месяце аналитики FortiGuard обнаружили 3 уязвимости в продуктах Microsoft и Apple, которые позволяют выполнять произвольный код на рабочих станциях. Документ FGA-2010-65 описывает уязвимость ядра операционной системы Windows, которая позволяет выполнять на атакуемой машине код с повышенными привилегиями. В документе FGA-2010-64 говорится об уязвимости при загрузке DLL-файлов. Эта уязвимость имеет отношение сразу к нескольким продуктам в рамках операционной системы Windows 7. В FGA-2010-62 идет речь об уязвимости в продукте Apple QuickTime, которая приводит к целочисленному переполнению (integer overflow). Потенциальное заражение может произойти при банальной попытке просмотреть видеофайл формата QuickTime movie.

Уязвимости, описанные выше, а также опубликованные раннее, активно используются злоумышленниками, поэтому особенно важно, чтобы все приложения имели самые последние обновления безопасности. Дополнить защиту рекомендуется системой предотвращения вторжений (IPS), которая позволит минимизировать возможность атак через давние и самые новые уязвимости. Последнее время всё большее значение приобретает механизм контроля приложений для борьбы с вредоносной активностью на прикладном уровне.

Лаборатория FortiGuard составила статистику и тенденции распространения угроз на основе данных, полученных с устройств FortiGate и других систем обнаружения, выпускаемых и установленных по всему миру. Клиенты, которые используют подписку сервиса FortiGuard, уже защищены от угроз, упоминаемых в указанном отчёте.

Подписка на сервисы FortiGuard предлагает широкий спектр механизмов для обеспечения безопасности, включая антивирус, IPS, web-фильтр и антиспам. Эти сервисы помогают защищать сеть как на сетевом, так и на прикладном уровне (модель OSI). Обновляются они лабораторией FortiGuard несколько раз в день, что обеспечивает надежную защиту не только от давно бушующих эпидемий вирусов, но и от недавно появившихся. Если у пользователя имеется действующая подписка FortiGuard, то все самые свежие обновления автоматически загружаются на установленные у клиента продукты: FortiGate, FortiMail и FortiClient.