Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

3. Malware 2.5

Malware 2.0 został zastąpiony nowym modelem koncepcyjnym - dużymi rozproszonymi systemami botnetów. Model ten, stworzony przez rosyjskich hakerów i zaimplementowany w rootkicie Rustock.c, bootkicie Sinowal i kilku innych szkodliwych programach, okazał się zarówno niezwykle skuteczny jak i niezawodny.

Model ten charakteryzuje się następującymi cechami:

• Brakiem stałego centrum kontroli botneta - zamiast tego występuje tzw. "botnet migrujący". Centrum kontroli nieustannie migruje z jednego adresu IP, lub serwera do innego, lub może też zniknąć na jakiś czas. Obecnie istnieje system tworzenia losowo wybranych adresów dla centrum kontroli, który umożliwia cyberprzestępcom zabezpieczenie centrum kontroli przed jego wykryciem oraz "zdjęciem", jak również wybranie jego lokalizacji.
• Wykorzystaniem silnych algorytmów kryptograficznych do komunikacji między centrum kontroli a maszynami w botnecie. Nawet po uzyskaniu dostępu do centrum kontroli lub przechwyceniu przesyłanych danych analitycy nie są w stanie przejąć kontroli nad botnetem, ponieważ wykorzystuje on klucze szyfrowania znane tylko właścicielowi botneta.
• Wykorzystaniem uniwersalnych centrów kontroli do zarządzania wieloma różnymi botnetami. Koncepcja ta pochodzi od "uniwersalnego kodu" wykorzystanego w szkodniku o nazwie Zbot: szkodliwe programy tworzone przez różnych autorów mogą komunikować się z tym samym centrum kontroli. Obecnie istnieje wyraźny trend w kierunku zarządzania różnymi botnetami z jednego centrum kontroli.

Technologie te są ściśle związane z przetwarzaniem rozproszonym oraz tworzeniem systemów, które działają pod dużym obciążeniem ogromnych ilości danych (architektura High Load). Technologie te są również wykorzystywane w wyszukiwarkach oraz służą jako podstawa technologii "Cloud Computing" wykorzystywanej między innymi przez wiele firm antywirusowych.

Kaspersky Lab przewiduje coraz większą rywalizację między cyberprzestępczymi grupami w zakresie tworzenia wysoce odpornych systemów rozproszonych. Szkodliwi użytkownicy potrafiący tworzyć własne systemy będą mieli wpływ na ogólny krajobraz zagrożeń w przyszłości. Dzieciaki skryptowe zostaną zastąpione przez poważnych specjalistów, którzy mają możliwość pracy w obrębie modelu Malware 2.5.

4. Phishing/Scam

Oszustwa typu phishing to kolejny rodzaj cyberprzestępstw, w których eksperci obserwują wpływ światowego kryzysu gospodarczego. Kaspersky Lab przewiduje, że ataki phishingowe staną się intensywniejsze. Po pierwsze, kryzys spowoduje, że użytkownicy staną się bardziej wyczuleni na wszystko, co wiąże się z systemami płatności elektronicznych oraz bankowości online. Nie znaczy to jednak, ze będą ostrożniejsi wobec potencjalnych oszustw. Okres, w którym banki upadają, przechodzą w inne ręce lub mają problemy z wypłatami gotówki, stwarza ogromne możliwości ataków na użytkowników. Po drugie, poziom techniczny wymagany do rozwijania i rozprzestrzeniania nowych szkodliwych programów zmusi cyberprzestępców do poszukiwania prostszych i łatwiejszych sposobów zarabiania pieniędzy. Phishing może być jednym z atrakcyjniejszych rozwiązań.

Z drugiej strony konkurencja między phisherami wzrasta. Wykorzystanie fałszywej strony internetowej banku już nie wystarczy, aby oszukać użytkowników. Dlatego ataki staną się bardziej wyrafinowane i intensywniejsze. Ogólnie, można powiedzieć, że sytuacja gospodarcza spowoduje zmniejszenie puli pieniędzy dostępnych w Internecie, szczególnie gdy systemy płatności elektronicznych będą doświadczały poważnych problemów uniemożliwiających im wymianę wirtualnych pieniędzy na prawdziwą gotówkę.

5. Migracja na inne platformy/systemy operacyjne

Z raportu wynika, że coraz większa rywalizacja między cyberprzestępcami oraz konieczność infekowania jak największej liczby komputerów spowoduje migrację zagrożeń na platformy, które wcześniej nie były popularnym celem ataków. Ucierpią platformy inne niż Windows, przede wszystkim Mac OS oraz platformy mobilne. Wcześniej szkodliwe programy atakujące te platformy były w większości kodem typu "proof of concept"; teraz platformy te mają wystarczająco duży udział w rynku, aby zainteresowali się nimi cyberprzestępcy. Z platformami tymi wiąże się wiele nierozwiązanych kwestii bezpieczeństwa, a ich użytkownicy zasadniczo nie są przygotowani na ataki szkodliwego oprogramowania.