A böngésző-alapú támadások elsődleges módja a rosszindulatú programok terjesztésének. A kiberbűnözők a következő módszereket használják, hogy behatoljanak a felhasználók rendszerébe:
- A böngészők sebezhetőségeinek kihasználása (drive-by download). Ilyen kellegű támadások akkor történnek, amikor is a látogató egy ismeretlen, fertőzött weboldalt látogat meg, anélkül, hogy tisztában lenne annak kétes eredetéről. Az ilyen jellegű támadások ellen érdemes magas szintű biztonsági megoldást alkalmazni, amely egyszerűen, valós időben képes észlelni a fenyegetéseket. Egy másik fontos technológia a vállalat Automatic Exploit Prevention megoldása, amely kifejezetten a komplex web-alapú fenyegetésekkel szemben veszi fel a harcot.
- Social engineering. Ezek a támadások a felhasználók aktív részvételét igénylik, hiszen le kell tölteni a rosszindulatú fájlt vagy programot a felhasználó számítógépére, amelyet legtöbbször legitim programnak álcáznak a kiberbűnözők. Az ilyen jellegű támadások ellen olyan megoldást érdemes választani, amely webes vírusvédelmi technológiával is rendelkezik.
2014. január és március között a vállalat termékei 266 272 internetes rosszindulatú eseményt rögzítettek a KSN használó személyek számítógépein. Összességében a magyar felhasználók 23,1 százalékát érte internetes fenyegetés a vizsgált időszakban, amelynek köszönhetően Magyarország a 61. helyre került a vállalat globális, web-alapú fenyegetésekkel kapcsolatos listáján.
Ha egy Kaspersky Lab felhasználót online fenyegetés ér, a vállalat szakemberei azonnal rögzítik a fenyegetés forrását. Ezen adatok alapján Magyarország a 37. helyen szerepel, amely 325 637 (0,09%) incidenst jelent 2014. január és március között.
Helyi támadások:
A felhasználókat érintő lokális fertőzési statisztikák fontos mutatói a vállalat elemzéseinek, mivel a férgek és a fertőzött fájlok okozzák a legtöbb incidenst. Ezen adatok megvizsgálva láthatjuk, hogy a felhasználókat leggyakrabban offilne módszerekkel elkövetett incidensek érik, mint például a fertőzött USB meghajtókon, CD-ken és DVD-ken lévő fertőzött fájlok.
A Kaspersky Lab termékei 2014. január és március között 288 017 helyi rosszindulatú támadást észleltek a KSN-t használó felhasználók között. Összességében a felhasználók negyedét (25%) támadták meg a vizsgált időszakban, amellyel Magyarország a 154. helyre került a globális listán.
Spam Források:
A vállalat egy másik szolgáltatása a spam üzeneteket azonosítja és képes nyomon követni azok forrását a teljes globális e-mail forgalomban. A mért adatok alapján Magyarország 2014. január és március között a 73. helyet foglalta el a vállalat spam listáján, 0,05 százalékos értékkel.
A szakértők azt mondták, hogy a kiberbűnözők célba fogják venni...
- a magánszféránkat, ami a VPN szolgáltatások és a Tor anonimizálók népszerűségének növekedéséhez vezet. A személyes adataik védelme érdekében a Darknet-hez forduló emberek száma valóban növekszik. Azonban a jóindulatú felhasználók mellett a Tor továbbra is vonzza a sötét erőket – az anonim hálózatok ugyanis elrejthetik a rosszindulatú tevékenységeket, az illegális webhelyek használatát és a pénzmosást. Például a Kaspersky szakértői februárban felfedezték az első androidos trójait, amely egy, az .onion pszeudo zónában lévő domént használ parancs és vezérlő (c&c) szerverként.
- a pénzünket. A szakértők várakozásai szerint a kiberbűnözők folytatják a pénzlopásra szakosodott eszközök fejlesztését. Ezt megerősítette a Trojan-SMS.AndroidOS.Waller.a márciusi felfedezése. Ez a kártevő képes pénzt eltulajdonítani a fertőzött okostelefonnal rendelkező felhasználók QIWI elektronikus pénztárcájából. A trójai egyelőre csupán orosz felhasználókat céloz, de képes átterjedni mindenhová, ahol az e-pénztárcákat szöveges üzenetek segítségével kezelik. A kiberbűnözők ugyancsak előszeretettel használják a hagyományos módszereket, és a pénzügyi mobil trójaik terjesztésére spamüzeneteket vetnek be. Ezáltal a globális elérés lényegesen nagyobb lesz: például a Faketoken mobil banki trójai már 55 ország – többek között Németország, Svédország, Franciaország, Olaszország, az Egyesült Királyság és az Egyesült Államok – felhasználóit veszélyeztette. Az első negyedévben a mobil banki trójaiak száma közel megduplázódott, 1321-ről 2503-ra nőtt
- a Bitcoin-jainkat. A szakértők jelentős növekedést vártak a Bitcoin-használók pénztárcáját, valamint a Bitcoin medencéket és tőzsdéket érintő támadások számában. Az év első három hónapjában történt rengeteg incidens igazolta az előrejelzés helyességét. Ezek közül a leginkább hírértékű az egyik legnagyobb Bitcoin tőzsde, az MtGox meghekkelése, valamint az MtGox vezérigazgatója, Mark Karpeles személyes blogjának és Reddit fiókjának feltörése, majd ezek segítségével az MtGox2014Leak.zip nevű fájl posztolása volt. Az utóbbiról kiderült, hogy egy rosszindulatú program, amely képes Bitcoin pénztárca fájlok felkutatására és ellopására.
Illegális jövedelmük növelése érdekében a kiberbűnözők megfertőzik a számítógépeket, és azok erőforrásainak felhasználásával generálnak digitális valutát. A Trojan.Win32.Agent.aduro, az első negyedévben a tizenkettedik leggyakrabban azonosított rosszindulatú objektum az interneten például egy ilyen, pénzgenerálásra használatos trójai.
Az élő halott: feltámadóban a kiberkémkedés
Az első negyedévben tanúi lehettünk egy jelentős kiberkémkedési incidensnek is: februárban a Kaspersky Lab jelentést adott ki napjaink egyik legfejlettebb fenyegetéséről, a The Mask-ról. Ennek fő célja az állami intézmények, energiaszolgáltatók, kutatóintézetek, privát befektetési cégek és aktivisták birtokában lévő bizalmas információk megszerzése volt 31 országban. A kutatók szerint a támadók által alkalmazott eszközkészlet bonyolultsága és számos más tényező arra utal, hogy egy államilag támogatott kampánnyal állunk szemben.
„Az új incidensek mellett olyan kampányok folytatódását is tapasztalhattuk, amelyek már látszólag véget értek. Például miután a kiberbűnözők leállították az Icefog összes parancs szerverét, felfedeztük a fenyegetés Java változatát. Míg azonban a korábbi támadás főként dél-koreai és japán szervezeteket célzott, addig az új verzió az azonosított IP-címek alapján kizárólag amerikai szervezetek iránt érdeklődött," mondta Alexander Gostev, a globális kutató és elemző csapat vezető biztonsági szakértője.
Az új Light Agent Virtualization Security egyesíti a hatékony teljesítményt és védelmet
Az új „light agent" technológia a Kaspersky Lab első olyan biztonsági megoldása, amelyet a Microsoft Hyper-V és a Citrix XenServer felhasználók számára optimalizáltak, és amely a VMware felhasználóknak az ügynök nélküli és a könnyű ügynökös védelem közötti választási lehetőséget kínálja. A Kaspersky Lab „light agent" megoldása hatékony teljesítményének és védelmének köszönhetően „két világ legjobb előnyeit" kínálja a jelenleg létező ügynök nélküli és ügynök alapú virtualizációs biztonsági modellekhez képest.
„Biztonsági szakértőink kutatásai által ösztönözve küldetést valósítunk meg, melynek során megismertetjük a vállalkozásokat a virtualizáció biztonsági kockázataival, és megoldásokat nyújtunk számukra hálózatuk megvédéséhez," mondta Nikolay Grebennikov, a Kaspersky Lab technológiai vezetője. "Nem létezik mindenki számára egyaránt megfelelő univerzális megoldás, amely bármely hálózatban használható, ezért a Kaspersky Lab a világ három legnagyobb virtuális platformjához szánt virtualizáció biztonsági lehetőségek kombinálásával biztosítja ügyfelei számára, hogy védettek legyenek, miközben a legtöbbet hozzák ki a virtualizációra költött befektetéseikből."
Manapság a legtöbb vállalatnak döntést kell hoznia arról, hogy miképpen valósítja meg a virtualizáció védelmét: a teljesítményt vagy a biztonságot áldozza fel? Az ügynök nélküli biztonsági modellek teljesítmény előnyöket kínálnak azzal, hogy minden biztonsági feladatot a virtuális gépen kívül, egy dedikált virtuális berendezésen hajtják végre. Azonban ez a megközelítés korlátozza a szoftvert abban, hogy fejlett biztonsági felügyeletet és hálózatvédelmi műveleteket valósítson meg a virtuális végpontokon. Ezzel szemben az „ügynök alapú" védelem (melynek során „normál" biztonsági megoldásokat telepítenek minden egyes virtuális gépre [VM-re]) számítógép-teljesítményt pazarol el – miközben a virtualizáció fő célja éppen az erőforrásokkal való takarékoskodás –, továbbá csökkentheti a virtuális gépek konszolidációs arányát és a virtualizációs projekt teljes megtérülését (ROI).
Az „instant on gap" jellegű problémák komoly nehézségeket okozhatnak az ügynök alapú megközelítésnél. Az instant on gap az az időablak, amely a virtuális gép létrehozása és a legfrissebb biztonsági frissítés minden egyes virtuális gépre való letöltése között eltelik. Amíg a frissítés megtörténik, a virtuális gép sebezhető.
A Kaspersky Lab új „light agent" modelljénél szinte valamennyi erőforrásfaló biztonsági műveletet egy dedikált virtuális berendezés végez hypervisor szinten. A virtuális hálózati forgalom és a fájlok ezen a naprakész állapotban lévő virtuális berendezésen való átvezetése biztosítja, hogy a VM-ek teljes mértékben védettek legyenek a legfrissebb biztonsági frissítések által, mihelyt azokat kiadták. Egyúttal feleslegessé válik az antivírus adatbázisok redundáns példányainak eljuttatása minden egyes VM-hez a hálózaton keresztül. A Kaspersky Lab intelligens szkennelési szolgáltatása biztosítja, hogy ugyanazt a fájlt nem vizsgálják meg többször, ami további rendszererőforrásokat szabadít fel. A szolgáltatás mindazokat a biztonsági funkciókat tartalmazza, amelyek a Kaspersky Lab ügynök nélküli megoldásában megtalálhatók, így többek között az adathalászat elleni védelmet, a heurisztikus fájlelemzést, valamint a Kaspersky Security Networkön keresztül a valós idejű információkat tartalmazó, felhő alapú tudásbázist az új fenyegetések és rosszindulatú alkalmazások elleni védelemhez.
A Kaspersky Security for Virtualization | Light Agent egy kis szoftver ügynököt helyez el minden virtuális gépen, amely nagyban különbözik a hagyományos ügynök alapú modellben található, erőforrásfaló szoftvertől. Ez a kis ügynök nagy biztonsági tudással rendelkezik, lehetővé téve a Kaspersky Security for Virtualization | Light Agent számára, hogy a Kaspersky Lab teljes biztonsági szakértelmét bevesse egy virtuális hálózat védelmére, és újraindítás nélkül telepíthető.
A Kaspersky Lab továbbra is kínálatában tartja a Kaspersky Security for Virtualization | Agentless terméket – ez jelenleg csak a VMware környezetekhez érhető el –, amely egy hatékony megoldás adatközpontok vagy az internetre nem kapcsolódó szerverkörnyezetek számára, valamint olyan helyzetekben, amikor a folyamatosan magas konszolidációs arány és minden új VM automatikus védelme a legfontosabb.
A Kaspersky Security Center adminisztrációs konzolt használó Kaspersky Security for Virtualization (mind az Agentless, mind a Light Agent változat) ugyanarról a képernyőről felügyelhető, mint a Kaspersky Lab fizikai gépekhez készült megoldásai. Ez átfogó képet ad az IT-menedzsereknek a fizikai és virtuális hálózatról, lehetővé téve a biztonsági kihívások kezelését és a napi adminisztrációs feladatok végrehajtását anélkül, hogy ehhez különböző felületeket kellene váltogatniuk.
A Kaspersky Security for Virtualization | Light Agent honlapja
