З точки зору інформаційної безпеки 2017 рік запам'ятається такими яскравими подіями, як глобальні атаки черв'яків-шифрувальників WannaCry, NePetya і BadRabbit, а також появою значної кількості Linux-троянців для інтернету речей. Крім того, цей рік був відзначений поширенням на численних сайтах шкідливих сценаріїв, призначених для майнінгу криптовалюти.

Навесні 2017 року вірусні аналітики компанії "Доктор Веб" дослідили новий бекдор для операційної системи macOS - це була одна з небагатьох шкідливих програм для ОС компанії Apple, доданих до цьогорічних вірусних баз. Також протягом 12 місяців з'являлися нові банківські троянці, призначені для розкрадання коштів з рахунків клієнтів кредитних організацій: Trojan.PWS.Sphinx.2 і Trojan.Gozi.64.

Високу активність у році, що минає, проявляли мережеві шахраї: компанія "Доктор Веб" неодноразово повідомляла про розкриття нових схем обману інтернет-користувачів. Минулого березня мережеві шахраї спробували виманити гроші у власників і адміністраторів різних інтернет-ресурсів, для чого створили близько 500 шахрайських веб-сторінок. У своїх спам-розсилках кіберзлочинці намагалися видати себе за співробітників компаній "Яндекс" та RU-Center.

Неспокійним видався 2017 рік і для власників мобільних пристроїв, які працюють під керуванням ОС Google Android. Влітку вірусні аналітики "Доктор Веб" досліджували багатофункціонального банківського Android-троянця, який отримував контроль над пристроєм та крав конфіденційну інформацію клієнтів кредитно-фінансових організацій. Незабаром у каталозі Google Play було виявлено гру з вбудованим троянцем-завантажувачем, яку завантажили понад мільйон користувачів. Протягом року спеціалісти "Доктор Веб" виявляли Android-троянців, встановлених у заводські прошивки мобільних пристроїв, а також безліч інших шкідливих та потенційно небезпечних програм для цієї платформи.

Троянці-енкодери, які шифрують файли і потребують викупу за їх відновлення, зазвичай поширювалися або під виглядом тих чи інших "корисних" утиліт, або з використанням шкідливих розсилок. При цьому найчастіше зловмисники вкладали в листи не сам шифрувальник, а невеликого троянця-завантажувача, який, намагаючись відкрити вкладення, скачував і запускав енкодер. У той же час черв'яки, здатні самостійно поширюватися по мережі, раніше не використовувалися для шифрування файлів, а мали зовсім інші шкідливі функції - одного з представників цього класу шкідливих програм фахівці Доктор Веб досліджували на початку минулого року. Першим шифрувальником, що поєднує в собі можливості енкодера і мережевого черв'яка, став Trojan.Encoder.11432, здобув популярність під ім'ям WannaCry.

Масове поширення цієї шкідливої ​​програми розпочалося о 10 ранку 12 травня 2017 року. Щоб заразити інші комп'ютери, черв'як використовував уразливість у протоколі SMB (MS17-10), при цьому на небезпеку наражалися як вузли локальної мережі, так і комп'ютери в інтернеті з випадковими IP-адресами. Хробак складався з кількох компонентів, і шифрувальник був лише одним із них.

Trojan.Encoder.11432 шифрував файли з використанням випадкового ключа, при цьому у складі троянця був спеціальний модуль-декодер, що дозволяв розшифрувати кілька файлів безкоштовно у демонстраційному режимі. Примітно, що ці вибрані випадковим чином файли шифрувалися за допомогою іншого ключа, тому їх відновлення не гарантувало успішного розшифровування інших даних.

Незабаром Вибухнула ще одна епідемія черв'яка-шифрувальника, якого різні джерела називали NePetya, Petya.A, ExPetya і WannaCry-2 (подібні найменування він отримав завдяки уявній схожості з троянцем Petya - Trojan.Ransom.369). У вірусні бази Dr.Web NePetya було додано під ім'ям Trojan.Encoder.12544.

Як і його попередник WannaCry, черв'як-шифрувальник Trojan.Encoder.12544 використовував для свого поширення вразливість у протоколі SMB, проте в цьому випадку досить швидко вдалося встановити початкове джерело поширення черв'яка. Ним виявився модуль поновлення програми M.E.Doc, призначеної для ведення податкової звітності на території України. Саме тому українські користувачі та організації стали першими жертвами Trojan.Encoder.12544. Один з компонентів M.E.Doc містить повноцінний бекдор, який здатний збирати логіни та паролі для доступу до поштових серверів, завантажувати та запускати на комп'ютері будь-які програми, виконувати в системі довільні команди, а також передавати файли з комп'ютера на віддалений сервер. Цим бекдором і скористався NePetya, а до нього – як мінімум ще один троянець-шифрувальник.

Дослідження Trojan.Encoder.12544 показало, що цей енкодер спочатку не передбачав можливості розшифрування пошкоджених файлів. Разом з тим він мав досить багатий арсенал шкідливих функцій. Для перехоплення облікових даних користувачів Windows він використовував утиліти Mimikatz і за допомогою цієї інформації (а також декількома іншими способами) поширювався локальною мережею. Щоб інфікувати комп'ютери, до яких йому вдалося отримати доступ, Trojan.Encoder.12544 задіяв програму керування віддаленим комп'ютером PsExec або стандартну консольну утиліту для виклику об'єктів Wmic.exe Крім того, шифрувальник псував завантажувальний запис диска С: (Volume Boot Record, VBR) і підміняв оригінальний завантажувальний запис Windows (MBR) власним, при цьому вихідний MBR шифрувався і переносився в інший сектор диска.

У жовтні було зафіксовано поширення ще одного хробака-енкодера, який отримав назву Trojan.BadRabbit. Відомі зразки троянця поширювалися у вигляді програми із позначкою установника Adobe Flash. Архітектурно BadRabbit був схожий на своїх попередників: він також складався з кількох компонентів: дроппера, енкодера і мережевого черв'яка, теж містив вбудований розшифрувальник, більше того, частина його коду була явно запозичена у Trojan.Encoder.12544. Однак цей шифрувальник відрізнявся однією прикметною рисою: при запуску він перевіряв наявність на комп'ютері, що атакується, двох антивірусів - Dr.Web і McAfee - і у разі їх виявлення пропускав перший етап шифрування, мабуть, щоб уникнути передчасного виявлення.

Згідно з даними, отриманими з використанням серверів статистики "Доктор Веб", у 2017 році на комп'ютерах користувачів найчастіше виявлялися сценарії та шкідливі програми, призначені для завантаження з інтернету інших троянців, а також для встановлення небезпечних та небажаних програм. Порівняно з минулим роком із цієї статистики практично зникли рекламні троянці.

Подібна картина спостерігається і в аналізі поштового трафіку, проте тут крім завантажувачів зустрічаються також троянці, призначені для розкрадання паролів та іншої конфіденційної інформації.

2017 рік можна сміливо назвати роком хробаків-енкодерів: саме в 2017 році шифрувальники навчилися масово поширюватися по мережі без участі користувачів, спричинивши кілька епідемій. За минулі 12 місяців у службу технічної підтримки компанії "Доктор Веб" звернулися загалом близько 18 500 користувачів, які постраждали від дій шифрувальників. Починаючи з травня, кількість запитів поступово знижувалася, зменшившись до кінця року порівняно з його початком більш ніж удвічі.

Згідно зі статистикою, найчастіше у 2017 році на комп'ютери проникав троянець Trojan.Encoder.858, друге місце посідає Trojan.Encoder.3953, третім за "популярністю" є енкодер Trojan.Encoder.567.

Як і минулого року, протягом минулих 12 місяців було виявлено досить багато троянців для ОС сімейства Linux, при цьому вірусописувачі створювали версії небезпечних програм для таких апаратних архітектур як х86, ARM, MIPS, MIPSEL, PowerPC, Superh, Motorola 68000 , SPARC - тобто для дуже широкого діапазону "розумних" пристроїв. Серед них – всілякі роутери, телевізійні приставки, мережеві накопичувачі і т.д. Пояснюється такий інтерес тим, що багато користувачів подібної апаратури не замислюються над необхідністю зміни встановлених за умовчанням облікових даних адміністратора системи, що помітно спрощує завдання зловмисникам.

Уже в січні 2017 року вірусні аналітики "Доктор Веб" виявили кілька тисяч інфікованих пристроїв, заражених троянцем Linux.Proxy.10. Ця шкідлива програма призначена для запуску на зараженому пристрої SOCKS5-проксі-сервера, за допомогою якого зловмисники можуть забезпечити анонімність в інтернеті. Через місяць був виявлений Trojan.Mirai.1 - Windows-троянець, здатний заражати пристрої під керуванням Linux.

У травні фахівці "Доктор Веб" дослідили нову модифікацію складного багатокомпонентного троянця для ОС Linux, що належить до сімейства Linux.LuaBot. Ця шкідлива програма являє собою набір з 31 Lua-сценарію та двох додаткових модулів, кожен з яких виконує власну функцію. Троянець здатний заражати пристрої з архітектурами Intel x86 (і Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k - іншими словами, не тільки комп'ютери, а й широкий асортимент роутерів, телевізійних приставок, мережевих сховищ IP камер та інших "розумних" пристроїв.

У липні вірусні бази Dr.Web поповнилися записом для троянця Linux.MulDrop.14, який встановлював на інфікованому пристрої додаток для видобування криптовалют. Тоді ж вірусні аналітики досліджували шкідливу програму Linux.ProxyM, який запускає на зараженому пристрої проксі-сервер. Атаки із застосуванням цього троянця фіксувалися починаючи з лютого 2017 року, але піка досягли у другій половині травня. Найбільше джерел атак розташовувалося в Росії, на другому та третьому місці - Китай та Тайвань.

Незабаром зловмисники почали використовувати Linux.ProxyM для розсилки спаму та фішингових листів, зокрема від імені сервісу DocuSign, призначеного для роботи з електронними документами. Фахівцям "Доктор Веб" вдалося встановити, що кіберзлочинці відправляли близько 400 спам-повідомлень за добу з кожного інфікованого пристрою. Восени 2017 зловмисники знайшли для Linux.ProxyM ще одне застосування: за допомогою цього троянця вони почали зламувати сайти. Використовувалося кілька методів злому: SQL-ін'єкції (впровадження в запит до бази даних сайту шкідливого SQL-коду), XSS (Cross-Site Scripting) - метод атаки, що полягає в додаванні до сторінки шкідливого сценарію, який виконується на комп'ютері при відкритті цієї сторінки, та Local File Inclusion (LFI) - метод атаки, що дозволяє віддалено читати файли на атакованому сервері.

Також у листопаді було виявлено новий бекдор для Linux, який отримав назву Linux.BackDoor.Hook.1. Він може завантажувати задані в команді, що надійшла від зловмисників, файли, запускати програми або підключатися до певного віддаленого вузла.

Кількість загроз для ОС Linux поступово зростає, і є підстави вважати, що ця тенденція продовжиться і наступного року.

Протягом року вірусні бази Dr.Web поповнилися записами для цілого ряду сімейств шкідливих програм, здатних інфікувати пристрої Apple: Mac.Pwnet, Mac.BackDoor.Dok, Mac.BackDoor.Rifer, Mac.BackDoor.Kirino, Mac. BackDoor.MacSpy та Mac.BackDoor.Systemd.1.

Інтернет-шахрайство - дуже поширене явище, і рік у рік мережеві шахраї розширюють арсенал методик обману довірливих користувачів. В одній з вельми популярних шахрайських схем у 2017 році використовувалися так звані "договірні матчі". Кіберзлочинці створюють спеціальний сайт, на якому пропонують придбати "достовірні та перевірені відомості про результат спортивних змагань". Згодом за допомогою цієї інформації можна робити гарантовані виграшні ставки в букмекерських конторах. Цієї весни шахраї вдосконалили схему: вони пропонували потенційним жертвам завантажити захищений паролем RAR-архів, що саморозпаковується, нібито містить текстовий файл з результатами того чи іншого матчу. Пароль для архіву шахраї висилають після завершення змагання. Передбачається, що таким чином користувач зможе порівняти прогнозований результат із реальним. Однак замість архіву з сайту шахраїв завантажувалася створена ними програма, зовні невідмінна від архіву WinRAR, що саморозпаковується. Цей підроблений "архів" містить шаблон текстового файлу, який за допомогою спеціального алгоритму підставляються потрібні результати матчу залежно від того, який пароль запровадить користувач. Таким чином, після закінчення спортивного змагання шахраям достатньо відправити своїй жертві відповідний пароль, і з "архіву" буде "витягнуто" текстовий файл із правильним результатом (насправді він буде згенерований троянцем на основі шаблону).

Минулого року кіберзлочинці намагалися обдурити не лише простих користувачів, а й власників веб-сайтів. Шахраї розсилали їм листи нібито від імені компанії "Яндекс", мабуть запозичивши адреси одержувачів з баз даних реєстраторів доменів. У своєму посланні шахраї від імені "Яндекса" пропонували власнику сайту підвищити його позиції у пошуковій видачі. Для цього вони створили більше 500 веб-сторінок, посилання на які співробітники "Доктор Веб" додали до бази нерекомендованих сайтів.

Кіберзлочинці розсилали шахрайські листи не лише від імені "Яндекса", а й від імені реєстратора доменів "RU-Center". Посилаючись на деякі зміни у правилах ICANN, зловмисники пропонували адміністраторам домену створити в кореневій директорії сайту php-файл певного змісту, нібито з метою підтвердження права використання цього домену одержувачем повідомлення. Файл, який пропонували зберегти в кореневій папці сайту зловмисники, містив команду, здатну виконати заданий змінний довільний код.

Інша популярна методика обману - обіцянка виплат великих сум, за виведення яких злочинці просять жертву переказати їм невеликий внесок. Компанія "Доктор Веб" повідомляла про подібну схему, в якій для перевірки нібито належних користувачеві страхових премій на шахрайському сайті потрібно вказати номер страхового свідоцтва або паспортні. дані.

Можна припустити, що мережеві шахраї будуть і надалі винаходити нові методики незаконного заробітку, заснованого на обмані.

Мобільні пристрої, як і раніше, залишаються привабливою мішенню для кіберзлочинців, тому не дивно, що 2017 рік був знову відзначений появою великої кількості шкідливих та небажаних програм. Серед основних цілей зловмисників знову стало незаконне збагачення та крадіжка персональної інформації.

Як і раніше, одну з основних загроз становили банківські троянці, за допомогою яких вірусописувачі отримували доступ до рахунків клієнтів кредитних організацій та непомітно викрадали з них гроші. Серед таких шкідливих програм варто відзначити Android.Banker.202.origin, який був вбудований у нешкідливі програми та поширювався через каталог Google Play. Android.Banker.202.origin цікавий своєю багатоступінчастою схемою атаки. При запуску він витягував прихованого всередині нього троянця Android.Banker.1426, який завантажував ще одну шкідливу програму-банкер. Саме вона викрадала логіни, паролі та іншу конфіденційну інформацію, необхідну для доступу до рахунків користувачів.

Схожий банкер отримав ім'я Android.BankBot.233.origin. Він витягував зі своїх ресурсів і непомітно встановлював троянця Android.BankBot.234.origin, який полював інформацію про банківські картки. Ця шкідлива програма відстежувала запуск програми Play Маркет і показувала поверх нього шахрайську форму, в якій запитувала відповідні дані. Особливість Android.BankBot.233.origin полягала в тому, що він намагався отримати доступ до спеціальних можливостей (Accessibility Service) заражених пристроїв. З їх допомогою він починав повністю контролювати смартфони та планшети та керував їх функціями. Саме завдяки доступу до спеціального режиму роботи операційної системи Android.BankBot.233.origin потай ставив другого троянця.

Android.BankBot.211.origin – ще один небезпечний банкер, який також використовував спеціальні можливості ОС Android. Троянець самостійно призначав себе адміністратором пристрою та менеджером СМС за умовчанням. Крім того, він міг фіксувати все, що відбувається на екрані, і робив скріншоти при кожному натисканні клавіатури. Також Android.BankBot.211.origin показував фішингові вікна для крадіжки логінів та паролів і передавав зловмисникам інші секретні відомості.

Застосування спеціальних можливостей ОС Android шкідливими програмами зробило їх набагато небезпечнішими і стало одним із основних етапів еволюції Android-троянців у 2017 році.

Як і раніше актуальними залишалися троянці, які без відома користувачів завантажували та запускали різні програми. Одним з них був знайдений у січні Android.Skyfin.1.origin, що впроваджувався в процес програми Play Маркет і завантажував програмне забезпечення з Google Play. Android.Skyfin.1.origin накручував лічильник установок у каталозі та штучно збільшував популярність додатків. А в липні вірусні аналітики "Доктор Веб" виявили та дослідили троянця Android.Triada.231, якого зловмисники вбудували в одну із системних бібліотек відразу кількох моделей мобільних Android-пристроїв. Цей троянець впроваджувався у процеси всіх програм, що працюють, і міг непомітно завантажувати і запускати інші шкідливі модулі, задані в команді керуючого сервера. Вірусописувачі почали застосовувати подібний механізм зараження процесів ще у 2016 році.

У 2017 році власники Android-смартфонів та планшетів знову зіткнулися з рекламними троянцями. Серед них був Android.MobiDash.44, який поширювався через каталог Google Play під виглядом програм-посібників до популярних ігор. Цей троянець показував нав'язливу рекламу та міг завантажувати додаткові шкідливі компоненти. Крім того, були виявлені нові небажані рекламні модулі, один з яких отримав найменування Adware.Cootek.1.origin. Він був вбудований у популярну програму-клавіатуру і також поширювався через каталог Google Play. Adware.Cootek.1.origin показував оголошення та різні банери.

Серйозну небезпеку для користувачів мобільних пристроїв у 2017 році знову представляли троянці-здирники. Ці шкідливі програми блокують екран заражених смартфонів та планшетів та вимагають викуп за розблокування. При цьому суми, які цікавлять вірусописачів, можуть сягати кількох сотень і навіть тисяч доларів. Протягом останніх 12 місяців антивірусні продукти Dr.Web для Android виявляли троянців такого типу на пристроях користувачів понад 177 000 разів.

Серед виявлених торік Android-вимагачів був Android.Locker.387.origin, який ховався у додатку для оптимізації роботи та "відновлення" акумулятора. Інший Android-локер, який отримав ім'я Android.Encoder.3.origin, не тільки блокував екран пристроїв, що атакуються, але і шифрував файли. А троянець Android.Banker.184.origin окрім шифрування змінював пароль розблокування екрану.

У 2017 році чимало загроз траплялося і в каталозі Google Play. У квітні в ньому було знайдено троянець Android.BankBot.180.origin, який крав логіни та паролі для доступу до банківських облікових записів та перехоплював СМС із перевірочними кодами. Пізніше було виявлено троянець Android.Dvmap.1.origin, який намагався отримати root-доступ для непомітної установки шкідливого компонента Android.Dvmap.2.origin. Він завантажував інші модулі троянця.

На початку липня вірусні аналітики "Доктор Веб" виявили в Google Play шкідливу програму Android.DownLoader.558.origin, яка непомітно завантажувала та запускала додаткові компоненти. Цього ж місяця в каталозі було знайдено троянець Android.RemoteCode.85.origin, який завантажував шкідливий плагін, який викрадав СМС-повідомлення.

Восени фахівці з інформаційної безпеки знайшли в Google Play троянця Android.SockBot.5, який перетворював заражені смартфони та планшети на проксі-сервери. А пізніше в каталозі було виявлено завантажувач, яким завантажував та пропонував користувачам встановити різні програми. Це троянець отримав ім'я Android.DownLoader.658.origin. Крім того, серед виявлених у Google Play шкідливих програм була і потенційно небезпечна програма Program.PWS.1. Ця програма дозволяла отримати доступ до заблокованих на території України соціальним мережам "ВКонтакте" та "Однокласники", проте не шифрувало передані дані, включаючи логіни та паролі.

Минулого року зловмисники також атакували власників мобільних Android-пристроїв з використанням троянців-шпигунів. Серед цих шкідливих програм були троянці Android.Chrysaor.1.origin та Android.Chrysaor.2.origin, а також Android.Lipizzan.2, які крали листування у популярних програмах для онлайн-спілкування, викрадали СМС-повідомлення, відстежували координати заражених пристроїв та передавали кіберзлочинцям інші секретні відомості. Ще одна шкідлива програма-шпигун отримала ім'я Android.Spy.377.origin. Вона приймала команди за протоколом Telegram і мала широкий функціонал. Наприклад, троянець міг відправляти СМС із заданим текстом на потрібні вірусописувачам номери, збирав відомості про всі доступні файли і за вказівкою зловмисників відправляв будь-який з них на керуючий сервер. Крім того, Android.Spy.377.origin міг здійснювати телефонні дзвінки та відстежувати розташування смартфонів та планшетів.

Серед виявлених шкідливих програм для мобільних пристроїв були і нові троянці-майнери - наприклад, Android.CoinMine.3, який видобував криптовалюту Monero.

Як і раніше, наступного року найбільшу небезпеку для користувачів становитимуть енкодери та банківські троянці. Очікується, що нові черв'яки-шифрувальники використовують для поширення помилки та вразливості в операційній системі та мережевих протоколах.

З високою ймовірністю зростатиме кількість і асортимент загроз для "розумних" пристроїв, що працюють під керуванням операційної системи Linux. Число моделей таких пристроїв поступово зростає, а в поєднанні з їх невисокою вартістю інтернет речей неминуче буде привабливим. тільки для простих користувачів, а й для кіберзлочинців.

Мабуть, у 2018 році не зменшиться кількість шкідливих програм для платформи Android - принаймні тенденцій до зниження активності "мобільних" вірусописачів наразі не спостерігається. Незважаючи на всі заходи захисту, троянці для Android-смартфонів і планшетів з'являтимуться в каталозі Google Play, а також у заводській прошивці деяких пристроїв. Найбільшу небезпеку для користувачів становитимуть мобільні банківські троянці, які можуть викрадати кошти безпосередньо з рахунків у кредитних фінансових організаціях, а також блокувальники та шифрувальники.

Серед троянців-завантажувачів, що розповсюджуються у шкідливих розсилках, напевно переважатимуть невеликі за обсягом сценарії, написані за допомогою синтаксису VBScript, Java Script, Power Shell. Вже Нині подібних скриптів, які виявляються у повідомленнях електронної пошти антивірусними продуктами Dr.Web, досить багато. З'являтимуться нові способи видобутку криптовалют без явної згоди користувачів. Одне можна стверджувати з усією визначеністю: у 2018 році загроз інформаційній безпеці точно не поменшає.