Благодаря пандемии коронавируса роль интернета в нашей жизни претерпела изменения, в том числе необратимые. Некоторые из этих изменений определенно к лучшему, какие-то не очень хороши, но практически все так или иначе затрагивают вопросы цифровой безопасности.
Мы решили более пристально рассмотреть происходящие вокруг нас перемены через призму ИБ и начали с индустрии видеоигр.
Коротко о находках:
- Ежедневное количество заблокированных переходов на вредоносные сайты игровой тематики или с сайтов (или форумов) игровой тематики в апреле 2020 года увеличилось на 54% по сравнению с январем того же года. В мае наметился тренд на снижение этого показателя: –18% по сравнению с апрелем.
- Возросло количество заблокированных переходов на фишинговые сайты, эксплуатирующие игровую тематику. В частности, в апреле по сравнению с февралем на 40% выросло количество заблокированных переходов на сайты-подделки под игровую платформу Steam.
- Чаще других злоумышленники используют в качестве приманки Minecraft, Counter-Strike:Global Offensive и The Witcher 3: Wild Hunt.
- Чаще всего атакам через сайты игровой тематики подвергаются пользователи из Вьетнама (7,9% от всех пользователей продуктов «Лаборатории Касперского» в стране), Алжира (6,6%), Кореи (6,2%), Венгрии (6,2%) и Румынии (6%).
Играю, пока начальник не видит
О том, что пандемия привела к резкому росту активности игроков, говорят цифры из самых разных источников. В марте, по данным gamesindustry.biz, значительно выросли продажи игр, как компьютерных, так и консольных:
Рост продаж игр на неделе с 16 по 22 марта. Источник: gamesindustry.biz (скачать)
Количество скачиваний, равно как и количество одновременных игроков онлайн, на платформе Steam в апреле 2020 года достигло рекордных величин. График активности пользователей Steam (как находящихся в игре, так и просто установивших клиент) в сервисе Steam Database демонстрирует пик 4 апреля. В дальнейшем этот показатель хоть и снижается, но не слишком активно. Более того, графики активности игроков заметно отличаются от привычных — периоды спада менее выражены, чем в обычные докарантинные дни, а пики длятся дольше.
Количество пользователей Steam в день. Источник: steamdb.info
Рост вполне объясним. Во-первых, у людей появилось больше свободного времени на игры. Статистика, собранная Nielsen Games в рамках их регулярного опроса геймеров, подтверждает этот тезис:
Рост количества времени, проведенного за видеоиграми игроками в разных странах. Источник: Hollywood Reporter (скачать)
Во-вторых, по всей видимости, не у всех людей, желавших проводить время за видеоиграми, был дома компьютер, способный воплотить это желание в жизнь. На эту мысль наводит статистика «железа», отображаемая в Steam.
Если внимательно присмотреться к данным о видеокартах пользователей Steam, можно заметить явный перелом в до тех пор совершенно ровном графике, приходящийся ориентировочно на март 2020 года. До сих пор пропорции видеокарт Nvidia, Intel и AMD сохранялись на одинаковом уровне относительно друг друга. С началом карантина доля видеокарт Intel и AMD довольно заметно подросла. Рост этот составил в пределах 2%, что кажется незначительным, если не вспомнить, что пользователи Steam — это более 20 миллионов человек. То есть прибавление количества устройств с видеокартами Intel и AMD составило сотни тысяч компьютеров. Учитывая специфику видеокарт разных производителей, можно смело предположить, что эти сотни тысяч устройств — офисные ноутбуки, приехавшие на время карантина в домашние сети и подключенные заодно и к Steam — все равно начальник не видит.
Источник: steampowered.com
Также это подтверждается и внезапными переломами в графиках, показывающих соотношения процессоров Intel и AMD (Intel также подрос с началом карантина) и процессоров, используемых игроками по количеству ядер (нетипичный рост в этой пропорции показали 4- и 2-ядерные процессоры):
Источник: steampowered.com
Поиграем с плохими парнями?
Рост количества игроков и времени, которое они проводят в играх, конечно, не остался незамеченным киберпреступниками. Геймеры давно были целью атак со стороны злоумышленников, которых интересовали в основном логины и пароли к игровым аккаунтам. Сейчас, с подключением рабочих компьютеров в домашние сети, а также, наоборот, с заходом домашних устройств в зачастую плохо подготовленные для этого рабочие сети, атаки на игроков становятся не только способом добраться до кошелька отдельного пользователя, но и путем проникновения в корпоративную инфраструктуру.
За первые пять месяцев 2020 года количество обнаруженных в Steam уязвимостей уже превысило количество уязвимостей, обнаруженных за любой из предыдущих годов. Этот факт говорит в том числе о росте интереса к поиску таких уязвимостей.
Источник: cve.mitre.org (скачать)
Напомним также, что в конце апреля 2020 года Valve подтвердили утечку исходного кода популярных сетевых игр CS:GO и Team Fortress 2. Злоумышленники наверняка уже вовсю разбирают их код в поисках уязвимостей, которые можно использовать в своих целях. Важно понимать, что это не офлайн, а онлайн-игры, которым нужно постоянное подключение к игровым серверам и частая установка обновлений. Это делает их пользователей еще более уязвимыми, ведь их устройства очевидно всегда в сети, а игроки всегда готовы установить «обновление», чтобы не потерять возможность играть.
Но и без технически сложных атак с использованием уязвимостей нулевого дня у злоумышленников есть большое поле для деятельности. Понимая, что игровая индустрия переживает неожиданный рост количества игроков, они «нарастили мощности» в области атак, так или иначе эксплуатирующих игровую тему.
Логичным шагом со стороны злоумышленников было увеличение количества фишинговых атак. Это подтверждается данными Kaspersky AntiPhishing и KSN. Так, по сравнению с февралем заметно выросло количество срабатываний на тысяче наиболее популярных фишинговых сайтов, содержащих в имени слово Steam. Такие срабатывания достигли пикового значения в апреле.
Увеличение числа срабатываний на фишинг Steam-тематики относительно февраля 2020 года. Источник: Kaspersky Security Network (скачать)
Заметен явный рост и в статистике срабатываний веб-антивируса на сайтах, имена которых эксплуатируют игровую тему в целом, например содержат названия популярных видеоигр и игровых платформ.
Количество веб-атак, использующих игровую тематику, в период с января по май 2020 года. Источник: KSN (скачать)
С помощью вредоносных ссылок распространяются самые разные зловреды: от крадущих пароли троянцев до шифровальщиков и майнеров. Как и всегда, они выдают себя за бесплатные версии, обновления или расширения для популярных игр, а также за читерские программы. Аналогичная картина наблюдается и среди вредоносных файлов, для маскировки которых злоумышленники используют игровую тематику.
Локальные угрозы, для прикрытия которых используется игровая тематика
| Вердикт | % от всех атак | |
| 1 | UDS:DangerousObject.Multi.Generic | 8,5 |
| 2 | Worm.Win32.Fujack.cw | 5,4 |
| 3 | PDM:Trojan.Win32.Generic | 3,8 |
| 4 | HEUR:Trojan.Multi.StartPage.b | 3,5 |
| 5 | PDM:Trojan.Win32.Bazon.a | 3,5 |
| 6 | Trojan.WinLNK.Agent.ra | 3,4 |
| 7 | HEUR:Trojan.Win32.Generic | 3,2 |
| 8 | Email-Worm.Win32.Brontok.q | 3,2 |
| 9 | HEUR:Trojan.WinLNK.Agent.gen | 2,7 |
| 10 | Trojan.WinLNK.Agent.rx | 2,3 |
В статистике не учитывается категория угроз Hacktool — инструментов, которые обычно устанавливаются самими пользователями, но могут эксплуатироваться во вредоносных целях. К Hacktool мы относим клиенты удаленного доступа, анализаторы трафика и т. п. В данном случае эта категория представляет интерес, так как современные чит-программы часто используют те же техники, что и вредоносное ПО, например инжект в память и эксплуатацию уязвимостей для обхода защиты. Если добавить этот вид детектов в статистику, то он займет первое место с долей 10%.
Судя по статистике, полученной от нашего веб-антивируса, наибольшие надежды злоумышленники возлагают на использование в качестве приманки Minecraft. Также в TOP 3 самых эксплуатируемых ими игр попал The Witcher 3: Wild Hunt, популярность которого резко выросла благодаря сериалу по мотивам романов Анджея Сапковского.
Количество атак с использованием тематики онлайн-игры, январь — май 2020 года. Источник: KSN (download)
Проследив динамику срабатываний на ссылках, содержащих названия игр, мы пришли к выводу, что в апреле — начале мая злоумышленники проводили кампанию, в рамках которой использовали сразу несколько игр. В частности, на наши радары попали Overwatch и Players Unknown Battlegrounds. Если присмотреться к графику, можно увидеть много параллельных пиков. До и после означенного периода эта тенденция не сохраняется.
Веб-атаки, использовавшие тематику Overwatch и PUBG, январь — май 2020 года. Источник: KSN (скачать)
Наиболее подвержены атакам с использованием игровой тематики пользователи во Вьетнаме: почти 8% всех срабатываний веб-антивируса в этой стране произошли на сайтах, в названиях которых упоминалась тема игр.
TOP20 стран по доле заблокированных попыток входа на вредоносные сайты, использующие тематику онлайн-игр, январь — май 2020 года. Источник: KSN
| Страна | Доля атакованных пользователей, % |
| Вьетнам | 7,90 |
| Алжир | 6,67 |
| Южная Корея | 6,23 |
| Венгрия | 6,20 |
| Румыния | 5,98 |
| Польша | 5,96 |
| Египет | 5,20 |
| Португалия | 4,84 |
| Малайзия | 4,75 |
| Греция | 4,56 |
| Филиппины | 4,51 |
| Узбекистан | 4,48 |
| Тунис | 4,41 |
| Марокко | 4,06 |
| Ирак | 3,82 |
| Бразилия | 3,61 |
| Италия | 3,59 |
| Индонезия | 3,54 |
| Мьянма | 3,52 |
| Франция | 3,52 |
Следом за Вьетнамом в TOP 5 стран по этому параметру входят Алжир, Корея, Венгрия и Румыния. В целом в двадцатке много стран Северной Африки, Азии и Европы, в особенности Южной и Восточной.
Заключение
Десятки миллионов людей, оказавшихся изолированными у себя дома (в сочетании с большим количеством свободного времени), дали серьезный толчок игровой индустрии. Конечно, злоумышленники не могли не воспользоваться этой ситуацией, и мы увидели внушительный рост попыток перехода на фишинговые сайты, эксплуатирующие игровую тематику.
Однако заметим, что этому поспособствовали не только усилия злоумышленников, но и беспечные действия самих пользователей, которые верили фальшивым письмам от имени игровых сервисов, искали взломанные версии одних популярных игр и чит-программы к другим.
К сожалению, в большинстве случаев злоумышленникам не нужны технически изощренные схемы для проведения успешных атак. Достаточно использовать актуальные темы, одной из которых весной 2020 стали видеоигры.
От тех же авторов
В той же категории
Играют ли киберпреступники в киберигры на карантине?