czwartek 01 październik 2009 | Cezary Tchorek-Helm/Trend Micro

Cybermafia kontroluje 100 milionów komputerów

Z danych opublikowanych przez Trend Micro wynika, że skala botnetu jest niepokojąco wysoka. Botnet polega na łączeniu zainfekowanych komputerów w większe grupy. W takiej sieci łatwiej o kradzieże danych, ataki na tożsamość oraz inne oszustwa.

Po przeanalizowaniu około 100 milionów adresów IP zaatakowanych przez szkodliwe oprogramowanie stwierdzono, że liczba adresów, które pozostają zainfekowane (lub są ponownie infekowane) przez ponad 2 lata, osiągnęła maksimum, natomiast mediana dla krajów znajdujących się najwyżej na liście wynosi 300 dni. Według statystyk Trend Micro 80% wszystkich uszkodzonych systemów pozostaje zarażonych przez ponad miesiąc. Nie są to dane optymistyczne. Firma Trend Micro ustaliła również, że 75% adresów IP należy do klientów indywidualnych, a 25% — do przedsiębiorstw. Ponieważ adres IP odpowiada zwykle bramie internetowej do sieci komputerowej, można z nim powiązać większą liczbę zaatakowanych komputerów, co oznacza, że wskaźnik ten może być znacznie wyższy niż 25%.

Które botnety są najniebezpieczniejsze

Zdarza się, że zarażony komputer staje się częścią większej grupy, zwanej botnetem. Botnety często powodują szkody poprzez ataki złośliwego oprogramowania, oszustwa, kradzież informacji i inne przestępstwa. W 2009 r. praktycznie wszystkie szkodliwe programy wykryte przez specjalistów z firmy Trend Micro miały na celu głównie kradzież informacji (np. danych uwierzytelniających). Dział badania zagrożeń Trend Micro sprawdził, które botnety są najbardziej niebezpieczne ze względu na kradzież informacji, danych finansowych i tożsamości.

Obecnie najgroźniejsze botnety to:

  • Koobface
  • ZeuS/Zbot
  • Ilomo/Clampi

100 milionów chorych komputerów

Botnety zainfekowały więcej komputerów, niż można by przypuszczać. Za ich pośrednictwem garstka przestępców (prawdopodobnie zaledwie kilkuset) kontroluje ponad 100 milionów maszyn na całym świecie. Oznacza to, że cyberprzestępcy dysponują większą mocą obliczeniową niż wszystkie superkomputery na świecie razem wzięte. Nic dziwnego, że w skali globalnej ponad 90% wiadomości poczty elektronicznej stanowi dziś spam. Istnieje korelacja, wprawdzie niecałkowita, między dziesięcioma krajami, w których stwierdzono najwięcej zainfekowanych komputerów, a pierwszą dziesiątką tych, z których pochodzi najwięcej spamu. Na liście tych ostatnich Polska zajmuje 7 miejsce.

Jak to działa

Specjaliści ds. zagrożeń z firmy Trend Micro ustalili, że przykładowo typowy botnet Koobface kontroluje obecnie około 51 000 komputerów za pomocą pięciu lub sześciu centrów dowodzenia i kontroli (command and control — C&C). Jeżeli domena C&C zostanie usunięta przez operatora Internetu, to gang Koobface zarejestruje ją u innego operatora. Od połowy marca do połowy sierpnia 2009 r. firma Trend Micro wykryła około 46 domen C&C botnetu Koobface. Dla porównania, w przypadku botnetu Ilomo znaleziono 69 takich domen. Liczbę tę trudno jest jednak potwierdzić, ponieważ domeny są codziennie dodawane lub usuwane. Ze względu na strukturę tego botnetu trudno jest również określić dokładną liczbę zainfekowanych komputerów.

Jak się bronić

Na szczęście dostępnych jest coraz więcej nowych technologii, które ułatwiają walkę z tymi zagrożeniami. System Trend Micro Smart Protection Network każdego dnia blokuje ponad miliard potencjalnych ataków na komputery klientów. Trend Micro wykrywa zagrożenia i chroni komputery przed infekcją, wykorzystując system Smart Protection Network. Składa się on z trzech głównych obszarów — oceny reputacji poczty elektronicznej, adresów WWW i plików — które są połączone z bardziej tradycyjnymi rozwiązaniami chroniącymi punkty końcowe przed spamem i szkodliwym oprogramowaniem.

Trend Micro Smart Protection Network, internetowa infrastruktura kliencka nowej generacji do zabezpieczania treści, która blokuje zagrożenia, zanim zdążą one dotrzeć do sieci, codziennie przetwarza ponad 5 miliardów zapytań klientów. Dzięki połączeniu technologii działających poza siecią lokalną (in-the-cloud) z mniejszymi klientami użytkownicy mają natychmiastowy dostęp do najnowszych zabezpieczeń.

Piraci na rzecz sieci