Dr.Web: zagrożenia internetowe w VIII 2015 r.

Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet

Botnety

W sierpniu 2015 analitycy bezpieczeństwa Doctor Web kontynuowali monitorowanie dwóch podsieci należących do botnetu, stworzonego przez cyberprzestępców z użyciem infektora plików Win32.Rmnet.12. Ich średnia aktywność została pokazana na poniższych diagramach:

Rmnet to rodzina wirusów rozpowszechniających się bez interwencji użytkownika. Mogą one wbudowywać zawartość w załadowane strony www (co teoretycznie daje cyberprzestępcom możliwość uzyskania dostępu do informacji o kontach bankowych ofiar), jak i wykradać ciasteczka i hasła zapisane w popularnych klientach FTP i wykonywać inne polecenia wydawane przez cyberprzestępców.

Botnet składający się z komputerów zainfekowanych wirusem Win32.Sector wciąż pozostaje aktywny. Jego średnia dzienna aktywność została pokazana na poniższym diagramie:

Win32.Sector potrafi wykonywać następujące działania:

• pobierać pliki wykonywalne poprzez sieć P2P i uruchamiać je na zainfekowanych maszynach,
• wstrzykiwać swój kod w działające procesy,
• zapobiegać działaniu niektórych antywirusów i blokować dostęp do stron www ich producentów,
• infekować pliki na dyskach lokalnych, nośnikach wymiennych (gdzie malware tworzy podczas procesu infekcji plik autorun.inf) i w folderach współdzielonych

W sierpniu cyberprzestępcy kontrolujący botnet wirusa Linux.BackDoor.Gates.5 stali się bardziej aktywni i zintensyfikowali swoje ataki na zasoby Internetu — w porównaniu z poprzednim miesiącem liczba zaatakowanych adresów IP zwiększyła się o 118% i wyniosła 2 083. Jak poprzednio, większość celów ataków była zlokalizowana w Chinach (87%), podczas gdy 11% zaatakowanych stron www była hostowana w Stanach Zjednoczonych.

Ransomware szyfrujące pliki

Liczba zapytań o wsparcie techniczne Doctor Web, dotycząca ataków tego typu wirusów, wyniosła w sierpniu 1 425 przypadków, co stanowi wzrost o 0,77% w stosunku do lipca.
Najpopularniejsze wirusy tego typu to:

• Trojan.Encoder.567
• Trojan.Encoder.858
• BAT.Encoder

Zagrożenia dla systemu Linux

W sierpniu 2015 analitycy bezpieczeństwa Doctor Web przebadali kilka złośliwych programów potrafiących infekować routery, pracujące pod kontroląsystemu Linux.

Jeden z tych trojanów, nazwany Linux.PNScan.1, był dystrybuowany w sposób szczególny — analitycy Doctor Web przypuszczają, że początkowo Linux.PNScan.1 był instalowany na zaatakowanych routerach bezpośrednio przez twórców wirusa. W tym celu wykorzystali oni podatność ShellShock uruchamiając skrypt z istotnymi ustawieniami. Następnie malware było ładowane i instalowane na urządzeniach przez trojany należące do rodziny Linux.BackDoor.Tsunami, które zaś są dystrybuowane z użyciem Linux.PNScan.1. Ten złośliwy program oferuje jedną funkcję – złamanie hasła dostępu do routera. Jeśli próba zhakowania powiedzie się, trojan ładuje złośliwy skrypt, który pobiera i instaluje backdoory zgodne z architekturą routera (ARM, MIPS, lub PowerPC). Skrypt potrafi również pobrać backdoora, jeśli po wykorzystaniu podatności Shellshock, cyberprzestępcom uda się zhakować komputer z procesorem Intel (x86). Wymienione backdoory potrafią wykonywać komendy wydawane przez cyberprzestępców. Przykładowo, po otrzymaniu komendy, aplikacje potrafią pobrać narzędzie Tool.Linux.BrutePma.1. Jest ono używane do zhakowania panelu administracyjnego PHPMyAdmin, wykorzystywanego do zarządzania relacyjnymi bazami danych.

Co więcej, na serwerach kontrolowanych przez cyberprzestępców analitycy bezpieczeństwa Doctor Web wykryli inne złośliwe programy, wśród których znalazła się modyfikacja Linux.PNScan.2 i trojan nazwany Trojan.Mbot, którego głównym zadaniem jest hakowanie stron www. Inny wykryty trojan został nazwany Perl.Ircbot.13. Oferuje on możliwość wyszukiwania podatności w stronach www stworzonych z użyciem kilku platform CMS i w stronach www wykorzystujących systemy zarządzania sklepami on-line. Wykryto 1439 urządzeń zainfekowanych z użyciem wymienionych złośliwych programów. Co więcej, w 649 przypadkach udało się określić położenie geograficzne zainfekowanych urządzeń, co ilustruje poniższa mapa: