Zagrożenia internetowe: więcej ataków ukierunkowanych

Przeczytaj także: Ransomware: trojan Koler wyłudza okup

W celu przyciągnięcia możliwie jak największej liczby potencjalnych ofiar ataku, cyberprzestępcy tworzą spam dostosowany do „przemycania” zagrożeń w lokalnych językach, związanych z regionalnymi markami i metodami płatności. Ransomware sprytnie zamaskowane jako autentyczne powiadomienia e-mail, zawierające logotypy rozpoznawalnych marek, jest bardziej wiarygodne i bardziej „klikalne”, a przez to opłacalne finansowo dla przestępcy. Aby zwiększyć efektywność podrobionych e-maili, oszuści podszywają się pod lokalne urzędy pocztowe, podatkowe oraz organów ścigania, a także inne firmy użyteczności publicznej. Od teoretycznie wiarygodnego źródła możemy więc otrzymać fałszywe powiadomienia o wysyłce, zwrocie, mandacie i rachunku za energię elektryczną. SophosLabs odnotował także wzrost ilości spamu w postaci wiadomości, które stworzone są zgodnie z zasadami gramatyki i interpunkcji.

Trzeba dobrze się przyjrzeć, żeby rozróżnić fałszywe e-maile od tych prawdziwych – mówi Chester Wiśniewski, Senior Security Advisor w Sophos. – Świadomość istnienia taktyk stosowanych w danym regionie staje się ważnym aspektem bezpieczeństwa.

Naukowcy zauważyli także historyczne trendy różnych odmian ransomware, które występują w konkretnych lokalizacjach. Wersje CryptoWall atakowały głównie w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Australii, Niemczech i Francji. TorrentLocker występował przede wszystkim w Wielkiej Brytanii, Włoszech, Hiszpanii i Australii, a TeslaCrypt rozproszony był na terenie Wielkiej Brytanii, USA, Kanady, Singapuru i Tajlandii.

Na potrzeby badania przeanalizowano również Threat Exposure Rates (TER), tzw. skalę narażenia na zagrożenie dla poszczególnych państw, w ciągu pierwszych trzech miesięcy 2016 roku. Chociaż gospodarki zachodnie częściej padają ofiarami ataków hakerskich, zazwyczaj mają niższą TER. Do krajów o najniższym wskaźniku TER należą: Francją (5,2%), Kanada (4,6%), Australia (4,1%), USA (3%) i Wielka Brytania (2,8%). Wskaźnik w Algierii wynosi aż 30,7%, w Boliwii 20,3%, w Pakistanie 19,9%, w Chinach 18,5%, a w Indiach 16,9% - są to kraje o najwyższym odsetku urządzeń końcowych narażonych na ataki złośliwego oprogramowania.

Nawet pranie pieniędzy jest lokalizowane, by było bardziej opłacalne dla cyberprzestępców. Przetwarzanie kart kredytowych może być ryzykowne dla przestępców, więc zaczęli wyłudzać pieniądze za pomocą anonimowych metod płatności internetowych – wskazuje Chester Wiśniewski. – Spotkaliśmy się z przypadkami cyberprzestępców, którzy korzystali z odpowiedników lokalnych kart płatniczych i popularnych lokalizacji zakupowych, takich jak karty prepaid Green Dot MoneyPak z Walgreens w USA i Ukash, czyli paysafecard, którym można dokonywać płatności w różnych punktach sprzedaży detalicznej w Wielkiej Brytanii.

Koncepcja odfiltrowania poszczególnych krajów staje się coraz popularniejszym trendem wśród cyberprzestępców.

Cyberprzestępcy programują ataki w taki sposób, aby pomijać konkretne kraje lub klawiatury w danym języku – mówi Wiśniewski. – To może się dziać z wielu powodów. Może oszuści nie chcą atakować w pobliżu miejsca, z którego uruchamiają szkodliwe oprogramowanie, aby uniknąć wykrycia. Może być to również spowodowane dumą narodową, bądź chęcią wzbudzenia podejrzeń wobec kraju, którego ataki omijają.

Instytucje finansowe są przykładem tego, w jaki sposób cyberprzestępcy używają złośliwego oprogramowania opartego na lokalizacji, aby się wzbogacić. Badania Sophos ujawniają, że trojany i szkodliwe oprogramowanie wykorzystywane w celu infiltracji banków oraz innych instytucji finansowych zbiega się historycznie w określonych regionach:

• Brazylijskie trojany bankowe i inne wskazujące na Brazylię,
• Dridex dominuje w USA i Niemczech,
• Trustezeb jest najbardziej rozpowszechnione w landach niemieckojęzycznych,
• Yebot jest popularny w Hong Kongu i Japonii,
• Zbot jest szeroko rozprzestrzenione, ale występuje przede wszystkim w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Niemczech, Australii, Włoszech, Hiszpanii i Japonii.

Istnieje cały chałupniczy przemysł idealnie skonstruowanych trojanów, skierowanych wyłącznie do banków w Brazylii. – podkreśla Wiśniewski.

Z racji tego, że cyberprzestępcy świadomie tworzą zagrożenia, które nie wyglądają podejrzanie i są specjalnie ukierunkowane, zdecydowanie trudniej rozpoznać szkodliwy spam. Użytkownicy domowi są często celem tego typu ataków i powinni chronić swoje systemy przed zaawansowanymi zagrożeniami malware. Darmowe oprogramowanie zabezpieczające, które jest w stanie wykryć zagrożenia i chronić zarówno Mac, jak i PC, dla użytkowników domowych dostępne jest na Sophos Home.

Wspomniane wyżej badanie zostało przeprowadzone przez SophosLabs, globalną sieć ekspertów, którzy wykrywają oraz śledzą wszystkie rodzaje zagrożeń oraz potencjalnych zagrożeń na całym świecie, w tym wirusy komputerowe, zaawansowane malware i trojany, spam, zagrożenia internetowe, ataki hakerów, a także wiele innych, 24/7/365. SophosLabs odbiera i analizuje miliony e-maili, adresów URL, plików oraz innych danych i wykorzystuje swoje bogate doświadczenie w celu opracowania nowych definicji, które wykrywają całe klasy zagrożeń i ich nowych wariantów. Obiekty strategiczne SophosLabs zlokalizowane są w Australii, na Węgrzech, w Wielkiej Brytanii i Kanadzie. Eksperci monitorują i określają panujące trendy w obszarze zagrożeń, analizując złośliwe oprogramowanie, spam i zagrożenia internetowe w czasie rzeczywistym.