Аналитическая компания M86 Security Labs опубликовала полугодовой отчёт о новых угрозах и тенденциях за II пол. 2011 года (PDF).
Главной тенденцией последнего времени аналитики считают подавляющую популярность набора эксплоитов Blackhole, который стал источником 95,1% (!) всех заражённых URL, обнаруженных системой M86 в период с июля по декабрь 2011 года. То есть Blackhole теперь практически без конкуренции самый лучший инструмент для злоумышленников. По мнению экспертов, это стало возможным за счёт большой работы, проделанной авторами Blackhole. Они тщательно следят за всеми новыми уязвимостями и оперативно обновляют инструмент самыми актуальными и эффективными эксплоитами. Они также начали применять новые техники, чтобы избежать обнаружения — например, проверка версии ПО перед попыткой эксплоита.
Где живут авторы программы — неизвестно, но новые версии Blackhole сначала появляются в России, так что можно предположить, что именно здесь осуществляется тестирование свежих разработок
Именно в Blackhole появились более половины самых популярных и эффективных эксплоитов, которые вышли во II пол. 2011 года, включая серьёзные баги в продуктах Adobe, Java и Microsoft.
За счёт отличной работы разработчиков Blackhole легко обошёл бывшего лидера на рынке Phoenix, на счету которого во второй половине прошлого года всего 1,3% заражённых URL.
Президент по технической стратегии M86 Security Labs Брэдли Энстис (Bradley Anstis) признался, что для них такая популярность и эффективность Blackhole стала некоторым сюрпризом. Он тоже отдаёт должное разработчикам набора и предполагает, что они сейчас получают неплохие зарплаты. Только этим можно объяснить, как быстро и качественно они делают эксплоиты для новых уязвимостей. Например, в ноябре им потребовалось всего несколько дней, чтобы обработать уязвимость oday, обнаруженную в апплетах Java. После этого пользователи Blackhole мгновенно выключили использование эксплоитов в PDF и браузерах и активировали новое, свежее оружие. «Мы никогда раньше не видели, чтобы набор эксплоитов обновлялся настолько быстро», — сказал Анстис. Он предсказывает, что разработчики конкурентных продуктов в 2012 году должны нечто предпринять. Например, они могут перейти на облачную инфраструктуру и внедрить модель подписки вместо покупки лицензии.
Другой интересной тенденцией во II пол. 2011 года аналитики M86 Security Labs назвали снижение объёмов спама до четырёхлетнего минимума, что объясняется закрытием нескольких крупных ботнетов. С другой стороны, процент спама с содержанием вредоносного кода вырос с 1% до 5%: спамеры всё больше занимаются распространением троянских программ, нацеливаются на системы онлайн-банкинга и распространяют фишинговые рассылки от имени финансовых сервисов. Восемь крупнейших ботнетов генерируют 90% всего спама в интернете на сегодняшний день.
Для распространения вредоносных ссылок вместо почты теперь активно используются социальные сети. Настоящим рассадником вирусов стал Facebook, где постоянно проводятся кампании по «раздаче подарков» и «розыгрышу призов», и тысячи юзеров с готовностью кликают по вредоносным ссылкам.
Ну и третья заметная тенденция — увеличение количества технически сложных и наукоёмких атак в 2011 году. Для примера можно назвать атаку на смарт-карты SecureID от RSA с использованием уязвимости в PDF, а также навороченные вредоносные программы вроде Duqu, которые используют дыру в Microsoft Word. Хакеры продолжают совершенствовать техники для таргетированных атак на конкретные цели, включая подделку цифровых сертификатов, внедрение кода внутрь различных файловых форматов (в несколько слоёв) и прощупывание критической инфраструктуры. Подделка и воровство сертификатов стало уже обычным делом.
Скачать полную версию отчёта можно здесь (28 страниц, PDF).