Symantec: Dramaticky roste počet i rafinovanost kybernetických hrozeb

Každoroční Internet Security Threat Report (ISTR) od Symantecu je venku. V pořadí již šestnáctý přehled o aktivitách kyberzločinců je zajímavé čtení. Místy ohromuje čísly (286 milionů nových hrozeb v roce 2010), místy nutí k přemýšlení nad tím, jak pokročilé jsou metody autorů virů a malware.

Symantec upozorňuje, že dochází v růstu v počtu cílených útoků na firmy a útoky jsou stále důmyslnější. Útočníci rozšířili své aktivity do sociálních sítí, začali více využívat Javu a větší pozornost věnují mobilním zařízením.

Nejdůležitější informace ve zprávě

  • 286 miliónů nových hrozeb – Různé varianty a nové mechanismy, jako jsou webové útočné sady, i nadále zvyšují objem škodlivých programů. Symantec zaznamenal v roce 2010 více než 286 milionů unikátních škodlivých programů.

  • O 93 % více útoků spojených s webovými stránkami – Počet webových útočných sad vzrostl o 93 % v roce 2010. Růst zapříčinilo i použití zkrácených URL.

  • Únik 260 000 identit při jednom narušení – Jedná se o průměrný počet identit uniklých při narušení dat způsobené hackováním v průběhu roku 2010.

  • 14 nových 0day zranitelností – Zranitelnosti nultého dne hrály klíčovou roli u cílených útoků, včetně Hydraq a Stuxnet. Stuxnet používal čtyři různé zranitelnosti nultého dne, což je zcela unikátní.

  • 6 253 nových zranitelností – Symantec zaznamenal v roce 2010 více zranitelností než kdykoli dříve.

  • O 42 % více mobilních zranitelností – Počítačoví zločinci se začínají více zaměřovat na mobilní zařízení, o čemž svědčí i nárůst zranitelností operačních systémů ze 115 v roce 2009 na 163 v roce 2010.

  • Jeden botnet s více než milionem spambotů – Rustock, největší botnet roku 2010, měl pod svou kontrolou více než jeden milion botů. Ostatní velké botnety, jako Grum a Cutwail, měly stovky tisíc botů.

  • 74 % spamu spojeno s farmaceutickými produkty – Téměř tři čtvrtiny veškeré nevyžádané pošty bylo v roce 2010 spojeno s farmaceutickými výrobky.

  • 15 $ za 10 000 botů – Symantec zaznamenal ve fórech podzemní ekonomiky reklamu, která lákala na cenu 15 $ za 10 000 infikovaných počítačů. Boti se obvykle používají k rozesílání spamu nebo ke kampaním na falešný sofware (například vybízí ke koupi falešného antiviru), ale ve stále větší míře se používají k útokům DDoS.

  • 0,07 $ až 100 $ za kreditní kartu – Cena za údaje o kreditní kartě byla na fórech podzemní ekonomiky velmi různorodá. Cenu ovlivňovaly různé faktory, jako je vzácnost karty nebo sleva při hromadném nákupu.

Stuxnet a Hydraq, dva z nejznámějších počítačových útoků v roce 2010, představovaly reálné případy kybernetické války a zásadně změnily povahu hrozeb,” říká Stephen Trilling, senior vice president, Symantec Security Technology and Response. „Hrozby se více rozšiřují a nezaměřují se jen na jednotlivé bankovní účty, ale  také na informace a fyzické infrastruktury národních států.

Rok 2010: Rok cílených útoků

Cílené útoky, jako jsou Hydraq a Stuxnet, znamenaly pro firmy v roce 2010 ještě větší nebezpečí. Útočníci pro proniknutí do počítačových systémů stále častěji využívali 0day zranitelnosti, což zvyšovalo pravděpodobnost úspěchu a znesnadňovalo jejich identifikaci. Například Stuxnet v tomto ohledu byl zcela unikátní, jelikož využíval hned čtyři různé zranitelnosti nultého dne.

V roce 2010 se útočníci zaměřili na společnosti obchodující s cennými papíry na burze, nadnárodní korporace, vládní agentury i řadu menších firem. Přesně cílené sociální inženýrství jim pak umožnilo přístup do firemní sítě – cílem byly krádeže duševního vlastnictví i získávání osobních údajů. Nabourání do sítě a narušení dat v průměru vyústilo v únik 260 000 identit v roce 2010, což je téměř čtyřnásobek, než způsobily jiné způsoby úniku.

Sociální sít, fenomén i pro kyberzločin

Jedna z hlavních útočných technik používaných na stránkách sociálních sítí bylo zkracování URL. Zkrácené URL slouží k efektivnímu sdílení jinak komplikovaných webových adres v e-mailu nebo na webových stránkách. V minulém roce využili útočníci milióny těchto zkrácených odkazů na webové stránky na sociálních sítích a dramaticky zvýšili účinnost phishingových a malwarových útoků.

Na sociální síti se odkazy automaticky šíří přes přátele oběti a během několika minut se odkaz může šířit na stovky až tisíce uživatelů. 65 % škodlivých odkazů v nových příspěvcích, které zaznamenala společnost Symantec, používalo zkrácené URL. Na 73 % z nich bylo kliknuto minimálně 11-krát a na 33 % bylo kliknuto 11-krát až 50-krát.

Mobilní telefony jsou novým užitečným nástrojem

Užitečným nástrojem nejenom pro jejich vlastníky, ale také pro hacking, spam, podvody a řadu dalších podobných aktivit. V roce 2010 měla většina malwarových útoky na mobilní zařízení podobu trojského koně, který se tvářil jako legitimní aplikace. Útočníci řadu aplikací vytvořili zcela od začátku, ale v mnoha případech infikovali již existující legitimní aplikace. Útočníci potom tyto nakažené aplikace distribuovali v běžných internetových obchodech s aplikacemi. Například autoři Pjapps Trojan použili tento přístup.

Gartner Magic Quadrant: Symantec lídrem trhu v oblasti ochrany koncových bodů

Nový 2010 Magic Quadrant pro Endpoint Protection řadí Symantec Endpoint Protection mezi přední řešení trhu a trh s antivirovým řešením tradičně ostře kritizuje

Průmysl ochrany koncových bodů (Endpoint Protection) se podle Gartnerů v roce 2010 z pohledu výrobců nijak výrazně nezměnil. Nedošlo ani k žádné výrazně změně v přesnosti a schopnosti detekovat malware a antivirové řešení se většinou točí okolo klasického systému detekce podle signatur, místo řešení základů problému. Gartneři upozorňují i na selhání HIPS (Host-based Intrusion Prevention System) s ohledem na nesplněná očekávání vlivem velkých nárok na management.

Gartner Magic Quadrant: Symantec lídrem trhu v oblasti ochrany koncových bodů

Zpráva se i poměrně ostře opírá do dlouhotrvajícího selhávání antivirových tvůrců při reakcích na aktuální bezpečnostní rizika – a pro rok 2010 se jim, podle zprávy, podařilo zaostat ještě více. Testy ukazují, že aktuální antivirová řešení jsou pouze zhruba v 50% efektivní při zjišťování nových variant existujících hrozeb a ještě hůře na tom jsou při detekci cílených či málo rozšířených hrozeb.