Spam w październiku 2010

Według październikowego raportu spamowego firmy Kaspersky Lab, ilość spamu w ruchu pocztowym zmniejszyła się o 3,7 procent i wynosiła średnio 77,4 proc.

Ograny ścigania w akcji

Jak pisaliśmy w poprzednim raporcie, pod koniec września organy ścigania aresztowały kilku członków grupy przestępczej stojącej za ZeuSem. W efekcie, w dniu aresztowania, tj. 3. września, w Stanach Zjednoczonych oraz Wielkiej Brytanii wykrywano znacznie mniej takich programów. Według danych dostarczonych przez Kaspersky Security Network, w Stanach Zjednoczonych spadek aktywności związanej z dystrybucją ZeuSa trwał tylko kilka tygodni, podczas gdy w Wielkiej Brytanii przez cały październik szkodnik ten był wykrywany nie częściej niż 10 razy dziennie (zobacz wykres poniżej):

Wykres pokazuje częstotliwość, z jaką ZeuS trafiał do skrzynek pocztowych użytkowników w Stanach Zjednoczonych i Wielkiej Brytanii przed 3. września – odstępy między wysyłkami nie przekraczały czterech dni. Po aresztowaniach związanych z ZeuSem ilość wykrywanych szkodników w Wielkiej Brytanii nie powróciła do poprzedniego poziomu, podczas gdy w Stanach Zjednoczonych odstęp czasu między kolejnymi wysyłkami wynosił prawie dwa tygodnie.

To oznacza, że działania prawne nie zostały podjęte na próżno. Ochrona użytkowników przed spamem i szkodliwym oprogramowaniem wymaga połączenia wysiłków firm z branży bezpieczeństwa IT, rządów i organów ścigania z różnych państw.

Cios zadany sieciom zombie

Podobnie jak we wrześniu, najważniejsze wydarzenia miały miejsce pod koniec miesiąca. Duńskie organy ścigania dokonały serii nalotów na botnety stworzone z komputerów zainfekowanych Bredolabem. W sumie zneutralizowano 14. centrów kontroli i dokonano jednego aresztowania. Już wcześniej Gieorgij Awaniesow, 27-letni Rosjanin, został umieszczony przez władze duńskie na liście osób poszukiwanych przez Interpol. 26 października 2010 r. został aresztowany na lotnisku w Erywaniu.

Backdoor.Win32.Bredolab po raz pierwszy pojawił się latem 200. roku i od razu zwrócił uwagę analityków wirusów i spamu. Od tego czasu nasze laboratorium antyspamowe otrzymuje wiadomości zawierające odsyłacze do zhakowanych legalnych stron. Analiza jednej z takich wiadomości zainspirowała artykuł zatytułowany "Fabryka pieniędzy" opublikowany w październiku 2009 roku. Artykuł ten przedstawia szczegółową analizę metod wykorzystywanych przez oszustów do rozprzestrzeniania Bredolaba i zarabiania pieniędzy. Główną metodą dystrybucji szkodliwego oprogramowania były wtedy ataki drive-by download. Jednak w sierpniu 2009 roku cyberprzestępcy zaczęli również stosować inną technikę rozprzestrzeniania tego szkodnika - wykorzystywanie załączników do wiadomości e-mail. W tym czasie warianty Backdoor.Win32.Bredolaba odpowiadały za ponad 30% wszystkich szkodliwych załączników.

Botnet Bredolab jest wykorzystywany głównie do rozsyłania spamu, przeprowadzania ataków DDoS, kradzieży danych i rozprzestrzeniania innych szkodliwych programów. Co ciekawe, latem 200. roku Bredolab otrzymał polecenie pobierania botów spamowych Rustock (Backdoor.Win32.HareBot) oraz Pushdo (Backdoor.Win32.NewRest.aq). Następnie botnet spamowy Pushdo stał się głównym dystrybutorem programu Backdoor.Win32.Bredolab.

Naturalnie, zamknięcie głównego centrum kontroli sieci zombie znajdzie odzwierciedlenie zarówno w ilości spamu jak i jego najpopularniejszych kategoriach. Niestety, skutki akcji skierowanych przeciwko cyberprzestępcom nie są długotrwałe. Nie trzeba szukać daleko…. wystarczy przypomnieć sobie McColo. Znaczny spadek ilości spamu spowodowany likwidacją tego botnetu nie trwał długo. Również w przypadku Bredolaba, nie spodziewaliśmy się poważnej redukcji liczby wiadomości spamowych, szczególnie długofalowej. Nasze prognozy okazały się słuszne:

Jak widać na wykresie, najniższy poziom spamu w ruchu pocztowym został odnotowany w okresie 26-2. października. W tych dniach udział spamu nieznacznie przekraczał 70% i był o 8-9 procent niższy niż zazwyczaj. Jednak, 31 października odsetek spamu zbliżał się już do typowego poziomu 80%.

W ostatnich miesiącach poziom spamu nieznacznie spadł. Na przykład, do 2. października ilość spamu wynosiła średnio 78,7%, co stanowi spadek o 2,4 procent w porównaniu z poprzednim miesiącem.

A teraz kilka słów o zmianach w rozkładzie najpopularniejszych kategorii spamu. Najważniejszą zmianą, spowodowaną likwidacją centrów kontroli sieci zombie, był krótkotrwały spadek ilości spamu zawierającego szkodliwe załączniki.

Jak widać na wykresie, szkodliwe oprogramowanie było najaktywniej rozprzestrzeniane na początku miesiąca. W okresie 1-6 października w e-mailach wykryto ponad 30. szkodliwych plików. Okres ten został zaznaczony na wykresie czerwonym kolorem. Cienką linią zaznaczono natomiast anomalię tego okresu. Ogólnie, podczas weekendów obserwujemy zwykle spadek aktywności związanej z dystrybucją szkodliwego oprogramowania, jednak w sobotę, 2 października, odnotowaliśmy najwyższy odsetek szkodliwego oprogramowania.

Fioletowe strzałki na wykresie wskazują weekendy.

Jasnoniebieska strzałka wskazuje spadek ilości spamu ze szkodliwymi załącznikami rozprzestrzenianego 2. października, dzień przed likwidacją centrów kontroli botnetu Bredolab.

Botnety te wykorzystywane były głównie do dystrybucji spamu farmaceutycznego, dlatego po likwidacji centrów kontroli sieci zombie ilość spamu z tej kategorii zmniejszyła się. Jednak w październiku miały miejsce również inne zdarzenia, które wpłynęły na ilość spamu farmaceutycznego w internecie.

Jak już pisaliśmy we wrześniowym raporcie spamowym, na poziom spamu farmaceutycznego wpłynęło zamknięcie programu partnerskiego Spamlt, które nastąpiło 1 października. Pod koniec miesiąca miało miejsce jeszcze jedno ważne zdarzenie - 2. października moskiewskie organy ścigania wytoczyły sprawę Igorowi Gusewowi, prezesowi Despmedia, uważanemu za mózg programu partnerskiego GlavMed.

Oprócz zmian ilościowych w ruchu spamowym, które zbiegły się w czasie z aresztowaniem Gusewa i - co ważniejsze - likwidacją botnetu Bredolab, miały miejsce również zmiany jakościowe. Wykres poniżej pokazuje, jak zmieniał się udział wiadomości należących do różnych kategorii spamu rozsyłanych we współpracy z programami partnerskimi.

Jedną z najbardziej widocznych zmian był spadek ilości spamu farmaceutycznego w porównaniu z zeszłym miesiącem. Jednocześnie, w połowie października, ilość tego typu spamu zaczęła ponownie wzrastać w niektórych miejscach. Wygląda na to, że po likwidacji programu Spamlt spamerzy poszli po rozum do głowy i postanowili wznowić dystrybucję spamu reklamującego Viagrę. Jednak szum wokół sprawy Igora Gusewa, jaki miał miejsce kilka dni później, najwyraźniej ich odstraszył.

Jak pokazuje wykres, na początku października ilość szkodliwego spamu zaczęła spadać. Pod koniec miesiąca osiągnęła najniższy poziom dla całego kwartału.

Pozbawieni części swoich dochodów, pochodzących ze spamu farmaceutycznego i spamu zawierającego szkodliwe załączniki, spamerzy zaczęli szukać innych możliwości zarabiania pieniędzy. Na początku miesiąca wzrosła liczba wiadomości spamowych zawierających reklamy podrabianych produktów markowych, podczas gdy w drugiej połowie października dostawaliśmy więcej spamu zachęcającego nas do korzystania z kasyn online. Udział spamu z kategorii treści dla dorosłych osiągnął 4-5%, co świadczy o tym, że istnieją zarówno dystrybutorzy jak i nabywcy masowych wysyłek z kategorii “seks”.

Sprawa Matthew Andersona

Prowadzone w Wielkiej Brytanii dochodzenie w sprawie Matthew Andersona przebiega sprawnie z pomocą fińskiej policji. Wyrok zapadnie prawdopodobnie pod koniec listopada i z pewnością nie będzie uniewinniający, biorąc pod uwagę częściowe przyznanie się Andersona do winy.

Anderson to główna figura w gangu cyberprzestępczym m00p, który rozprzestrzenia szkodliwy spam w celu kradzieży danych uwierzytelniających i informacji osobistych. Cyberprzestępca śledził również swoje ofiary za pośrednictwem kamer internetowych - z reguły zwykłych użytkowników i organizacje z Wielkiej Brytanii.

Kanadyjskie organy ścigania zainteresowały się spamem rozprzestrzenianym na portalach społecznościowych, a dokładnie, na Facebooku. Za rozsyłanie spamu za pośrednictwem tego popularnego portalu społecznościowego Adam Guerbuez z Montrealu musiał zapłacić odszkodowanie.

Suma, jaką Guerbuez musi zapłacić Facebookowi, wynosiła ponad miliard kanadyjskich dolarów. W ciągu zaledwie dwóch miesięcy udało mu się wysłać do użytkowników Facebooka około 4,5 miliona wiadomości spamowych.

Właściciele Facebooka mieli prawo się zdenerwować - zamiast wysyłać legalne wiadomości, ich serwery pracowały po godzinach dla spamerów, co bez wątpienia zirytowało wielu użytkowników Facebooka.

Spam wykorzystujący wizerunek Harry'ego Pottera

1. listopada 2010 roku na ekrany kin wszedł długo oczekiwany film o Harrym Porterze. Szósta część przygód małego czarodzieja, którą mogliśmy oglądać w czerwcu 2009 roku, pozostała bardziej lub mniej niezauważona przez spamerów. W końcu o wiele bardziej sensacyjną wiadomością było doniesienie o śmierci Michaela Jacksona. Jednak tym razem nic nie stało spamerom na przeszkodzie, aby wykorzystać najnowszą cześć Harry’ego Pottera.

Pierwsze wiadomości spamowe żerujące na popularności Harry’ego Pottera zaczęły pojawiać się już na początku października.

Spamerzy oferowali użytkownikom darmowe bilety na premierowy pokaz filmu. Aby znaleźć się wśród szczęśliwców, należało kliknąć przycisk "Submit" i podać swój adres e-mail wraz z innymi danymi osobowymi.

Naturalnie, nie było żadnych biletów do wygrania - cuda zdarzają się tylko w filmach. W rzeczywistości, wizerunek Daniela Radcliffe’a był wykorzystywany do reklamowania specjalnej oferty luksusowego hotelu.

Podsumowanie statystyk

W październiku ilość spamu wykrytego w ruchu pocztowym zmniejszyła się o 3,7 procent i wynosiła średnio 77,4%. Najniższa ilość (70,1%) została odnotowana 2. października, najwyższa natomiast (88,2%) 24 października.

W październiku lista 2. największych źródeł spamu przedstawiała się następująco:

W październiku nastąpiły poważne zmiany na liście 2. największych spamerów. Po pierwsze, prowadzenie objęła Rosja, z której rozesłano dwukrotnie więcej spamu w porównaniu z poprzednim miesiącem. Podwoił się również udział spamu rozprzestrzenianego z terytorium Ukrainy, natomiast trzykrotnie zmniejszyła się ilość spamu pochodzącego ze Stanów Zjednoczonych. Po raz pierwszy od dłuższego czasu Stany Zjednoczone nie znalazły się w pierwszej 10, plasując się zaledwie na 18 miejscu.

Przetasowania te były spowodowane zmianami w infrastrukturze spamerów na całym świecie: likwidacja centrów kontroli botnetów Pushdo/Cutwail i Bredolab bez wątpienia wpłynęła na układ listy największych źródeł ruchu spamowego. Spadek ilości spamu pochodzącego ze Stanów Zjednoczonych był już widoczny we wrześniu. W październiku trend ten nasilił się, jednak pod koniec miesiąca ilość spamu wysyłanego ze Stanów Zjednoczonych zwiększyła się w stosunku do początku miesiąca. Wygląda na to, że po interwencji organów ścigania w różnych krajach ruch spamowy mający swe źródło w Stanach Zjednoczonych wrócił do normy.

W październiku ilość spamu pochodzącego z Europy nieznacznie zmniejszyła się. Jednak w porównaniu z wrześniem znacznie spadł udział spamu z Europy Zachodniej - z Niemiec, Francji, Portugalii, Holandii, Irlandii i Wielkiej Brytanii.

Z rankingu największych spamerów wypadła Portugalia, Holandia i Irlandia, które rozprzestrzeniały mniej niż 1,5. ogółu spamu. Po raz pierwszy w rankingu znalazła się Bułgaria, która od razu uplasowała się na 11 miejscu.

Oprócz Bułgarii, w rankingu po raz pierwszy pojawił się również Izrael (2%) i Indonezja, które w poprzednich dwóch miesiącach rozprzestrzeniły mniej niż 1,5. ogółu spamu.

W październiku Stany Zjednoczone utrzymały pozycję kraju z największą ilością szkodliwego oprogramowania wykrywanego w ruchu pocztowym, mimo że udział w całkowitej liczbie szkodliwych załączników spadł poniżej 10%. Niemcy, które we wrześniu zajmowały 5 miejsce, odnotowały ponad 2. wzrost i przesunęły się na drugą pozycję w rankingu. Niewiele zmieniła się liczba szkodliwych załączników wykrywanych w ruchu pocztowym w Wielkiej Brytanii.

Szkodliwe pliki wykrywano w 1,47. wszystkich wiadomości e-mail, co stanowi spadek o 2,86% w porównaniu z wcześniejszym miesiącem.

W październiku Trojan-Spy.HTML.Fraud.gen odzyskał pierwsze miejsce w rankingu 1. najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem poczty elektronicznej. Trojan ten wykorzystuje technologię podszywania się (spoofing) i występuje w postaci strony HTML. Szkodnik ten jest dostarczany wraz z wiadomością phishingową zawierającą odsyłacz do fałszywej strony przypominającej witrynę znanego banku lub systemu płatności elektronicznych, na której użytkownik jest proszony o podanie swojego loginu oraz hasła.

Programy z rodziny FraudLoad (jeden z jej wariantów zajął pierwsze miejsce we wrześniowym rankingu 1. najpopularniejszych szkodliwych programów) nadal są rozprzestrzeniane za pośrednictwem załączników do wiadomości e-mail. W październiku całkowity udział programów Trojan-Downloader.Win32.FraudLoad.hby oraz Trojan-Downloader.Win32.FraudLoad.xgfm stanowił 5,5% wszystkich szkodliwych programów wykrywanych w ruchu pocztowym. Szkodniki z rodziny FraudLoad pobierają fałszywy program antywirusowy, którego celem jest wyłudzanie pieniędzy od użytkowników zainfekowanych maszyn.

Programy z rodziny Oficla nadal są aktywnie rozprzestrzeniane za pośrednictwem poczty elektronicznej. Szkodniki te pobierają z Internetu inne szkodliwe programy i oprogramowanie adware lub ich aktualizacje i uruchamiają je na komputerach ofiar.

Na koniec warto dodać, że 10. wszystkich szkodliwych programów zidentyfikowanych w ruchu pocztowym to nowe zagrożenia wykryte przez oprogramowanie Kaspersky Anti-Virus proaktywnie.

Wiadomości phishingowe stanowiły 0,87. całego ruchu pocztowego.

W październiku PayPal dostąpił wątpliwego zaszczytu - po raz kolejny był najpopularniejszym celem phisherów. Udział ataków na ten system płatności elektronicznych zwiększył się o 1,5. w porównaniu z wcześniejszym miesiącem.

Tak, jak przewidywaliśmy, Facebook, który we wrześniu znajdował się na szarym końcu listy najpopularniejszych celów ataków phishingowych, w październiku znów cieszył się wzmożonym zainteresowaniem phisherów. W poprzednim miesiącu przewidywaliśmy, że Facebook zastąpi HSBC na trzecim miejscu. Jednak phisherzy przerośli nasze oczekiwania i Facebook wyprzedził eBaya, ostatecznie plasując się na drugim miejscu. Całkowity odsetek ataków na Facebooka zwiększył się dwukrotnie w porównaniu z wrześniem, a w stosunku do sierpnia - aż czterokrotnie.

Pozostałe organizacje z pierwszej piątki nie zmieniły się: eBay, HSBC i Blizzards, twórca World of Warcraft. Jedyna poważna zmiana dotyczyła ataków na eBaya, których udział zmniejszył się o połowę w porównaniu z wrześniem.

Wnioski

Na społeczność spamerów nadal spadają różne ciosy. Organy ścigania aktywnie interweniowały w działanie sieci zombie i programów partnerskich, co spowodowało spadek ilości spamu. W październiku spam zmniejszył się o 1,5-2%. Ponadto, do zmniejszenia się ilości spamu w naszych skrzynkach pocztowych przyczyniła się likwidacja centrów kontroli botnetu Bredolab.

Działania organów ścigania wpłynęły również na rozkład najpopularniejszych kategorii spamu. Zmniejszyła się ilość spamu farmaceutycznego oraz szkodliwego, co spowodowało inne zmiany, np. reklamy pornografii i kasyn online odzyskały swoją niszę w ruchu spamowym. Gdy jeden program partnerski zostaje zamknięty, spamerzy natychmiast znajdują inne sposoby zarabiania pieniędzy.

Warto wspomnieć, że wiadomości reklamujące pornografię i kasyna online są tak samo niebezpieczne jak szkodliwy spam. Treści dla dorosłych i portale poświęcone grom często kryją szkodliwe programy, które są pobierane na komputer, gdy zupełnie nieświadomy użytkownik ogląda pornografię lub gra w gry hazardowe.

Zmiany spowodowane likwidacją centrów kontroli botnetu wpłynęły również na rozkład największych źródeł spamu. Udział spamu pochodzącego ze Stanów Zjednoczonych zmniejszył się trzykrotnie, podczas gdy ilość spamu rozsyłanego z terytorium Rosji i Ukrainy podwoiła się.

W obecnej sytuacji trudno o jakiekolwiek prognozy. Jednak już teraz można powiedzieć, że w listopadzie ilość spamu w ruchu pocztowym wróci do poziomu 79-80%. Mimo to odsetek niechcianych wiadomości nadal będzie niższy niż w pierwszym i drugim kwartale 201. roku.

Jeżeli chodzi o kategorie spamu, spamerzy, którzy zarzucili dystrybucję spamu farmaceutycznego i szkodliwego i nie znaleźli żadnego innego programu partnerskiego, najprawdopodobniej będą wykorzystywali temat świąt. Ponadto, wszystko wskazuje na to, że wzrośnie ilość spamu reklamującego treści dla dorosłych oraz kasyna online.

Źródła: Kaspersky Lab