Публикации

Играют ли киберпреступники в киберигры на карантине?

Благодаря пандемии коронавируса роль интернета в нашей жизни претерпела изменения, в том числе необратимые. Некоторые из этих изменений определенно к лучшему, какие-то не очень хороши, но практически все так или иначе затрагивают вопросы цифровой безопасности.

Мы решили более пристально рассмотреть происходящие вокруг нас перемены через призму ИБ и начали с индустрии видеоигр.

Коротко о находках:

  • Ежедневное количество заблокированных переходов на вредоносные сайты игровой тематики или с сайтов (или форумов) игровой тематики в апреле 2020 года увеличилось на 54% по сравнению с январем того же года. В мае наметился тренд на снижение этого показателя: –18% по сравнению с апрелем.
  • Возросло количество заблокированных переходов на фишинговые сайты, эксплуатирующие игровую тематику. В частности, в апреле по сравнению с февралем на 40% выросло количество заблокированных переходов на сайты-подделки под игровую платформу Steam.
  • Чаще других злоумышленники используют в качестве приманки Minecraft, Counter-Strike:Global Offensive и The Witcher 3: Wild Hunt.
  • Чаще всего атакам через сайты игровой тематики подвергаются пользователи из Вьетнама (7,9% от всех пользователей продуктов «Лаборатории Касперского» в стране), Алжира (6,6%), Кореи (6,2%), Венгрии (6,2%) и Румынии (6%).

Играю, пока начальник не видит

О том, что пандемия привела к резкому росту активности игроков, говорят цифры из самых разных источников. В марте, по данным gamesindustry.biz, значительно выросли продажи игр, как компьютерных, так и консольных:

Рост продаж игр на неделе с 16 по 22 марта. Источник: gamesindustry.biz (скачать)

Количество скачиваний, равно как и количество одновременных игроков онлайн, на платформе Steam в апреле 2020 года достигло рекордных величин. График активности пользователей Steam (как находящихся в игре, так и просто установивших клиент) в сервисе Steam Database демонстрирует пик 4 апреля. В дальнейшем этот показатель хоть и снижается, но не слишком активно. Более того, графики активности игроков заметно отличаются от привычных — периоды спада менее выражены, чем в обычные докарантинные дни, а пики длятся дольше.

Количество пользователей Steam в день. Источник: steamdb.info

Рост вполне объясним. Во-первых, у людей появилось больше свободного времени на игры. Статистика, собранная Nielsen Games в рамках их регулярного опроса геймеров, подтверждает этот тезис:

Рост количества времени, проведенного за видеоиграми игроками в разных странах. Источник: Hollywood Reporter (скачать)

Во-вторых, по всей видимости, не у всех людей, желавших проводить время за видеоиграми, был дома компьютер, способный воплотить это желание в жизнь. На эту мысль наводит статистика «железа», отображаемая в Steam.

Если внимательно присмотреться к данным о видеокартах пользователей Steam, можно заметить явный перелом в до тех пор совершенно ровном графике, приходящийся ориентировочно на март 2020 года. До сих пор пропорции видеокарт Nvidia, Intel и AMD сохранялись на одинаковом уровне относительно друг друга. С началом карантина доля видеокарт Intel и AMD довольно заметно подросла. Рост этот составил в пределах 2%, что кажется незначительным, если не вспомнить, что пользователи Steam — это более 20 миллионов человек. То есть прибавление количества устройств с видеокартами Intel и AMD составило сотни тысяч компьютеров. Учитывая специфику видеокарт разных производителей, можно смело предположить, что эти сотни тысяч устройств — офисные ноутбуки, приехавшие на время карантина в домашние сети и подключенные заодно и к Steam — все равно начальник не видит.

Источник: steampowered.com

Также это подтверждается и внезапными переломами в графиках, показывающих соотношения процессоров Intel и AMD (Intel также подрос с началом карантина) и процессоров, используемых игроками по количеству ядер (нетипичный рост в этой пропорции показали 4- и 2-ядерные процессоры):

Источник: steampowered.com

Поиграем с плохими парнями?

Рост количества игроков и времени, которое они проводят в играх, конечно, не остался незамеченным киберпреступниками. Геймеры давно были целью атак со стороны злоумышленников, которых интересовали в основном логины и пароли к игровым аккаунтам. Сейчас, с подключением рабочих компьютеров в домашние сети, а также, наоборот, с заходом домашних устройств в зачастую плохо подготовленные для этого рабочие сети, атаки на игроков становятся не только способом добраться до кошелька отдельного пользователя, но и путем проникновения в корпоративную инфраструктуру.

За первые пять месяцев 2020 года количество обнаруженных в Steam уязвимостей уже превысило количество уязвимостей, обнаруженных за любой из предыдущих годов. Этот факт говорит в том числе о росте интереса к поиску таких уязвимостей.

Источник: cve.mitre.org (скачать)

Напомним также, что в конце апреля 2020 года Valve подтвердили утечку исходного кода популярных сетевых игр CS:GO и Team Fortress 2. Злоумышленники наверняка уже вовсю разбирают их код в поисках уязвимостей, которые можно использовать в своих целях. Важно понимать, что это не офлайн, а онлайн-игры, которым нужно постоянное подключение к игровым серверам и частая установка обновлений. Это делает их пользователей еще более уязвимыми, ведь их устройства очевидно всегда в сети, а игроки всегда готовы установить «обновление», чтобы не потерять возможность играть.

Но и без технически сложных атак с использованием уязвимостей нулевого дня у злоумышленников есть большое поле для деятельности. Понимая, что игровая индустрия переживает неожиданный рост количества игроков, они «нарастили мощности» в области атак, так или иначе эксплуатирующих игровую тему.

Логичным шагом со стороны злоумышленников было увеличение количества фишинговых атак. Это подтверждается данными Kaspersky AntiPhishing и KSN. Так, по сравнению с февралем заметно выросло количество срабатываний на тысяче наиболее популярных фишинговых сайтов, содержащих в имени слово Steam. Такие срабатывания достигли пикового значения в апреле.

Увеличение числа срабатываний на фишинг Steam-тематики относительно февраля 2020 года. Источник: Kaspersky Security Network (скачать)

Заметен явный рост и в статистике срабатываний веб-антивируса на сайтах, имена которых эксплуатируют игровую тему в целом, например содержат названия популярных видеоигр и игровых платформ.

Количество веб-атак, использующих игровую тематику, в период с января по май 2020 года. Источник: KSN (скачать)

С помощью вредоносных ссылок распространяются самые разные зловреды: от крадущих пароли троянцев до шифровальщиков и майнеров. Как и всегда, они выдают себя за бесплатные версии, обновления или расширения для популярных игр, а также за читерские программы. Аналогичная картина наблюдается и среди вредоносных файлов, для маскировки которых злоумышленники используют игровую тематику.

Локальные угрозы, для прикрытия которых используется игровая тематика  

Вердикт % от всех атак
1 UDS:DangerousObject.Multi.Generic 8,5
2 Worm.Win32.Fujack.cw 5,4
3 PDM:Trojan.Win32.Generic 3,8
4 HEUR:Trojan.Multi.StartPage.b 3,5
5 PDM:Trojan.Win32.Bazon.a 3,5
6 Trojan.WinLNK.Agent.ra 3,4
7 HEUR:Trojan.Win32.Generic 3,2
8 Email-Worm.Win32.Brontok.q 3,2
9 HEUR:Trojan.WinLNK.Agent.gen 2,7
10 Trojan.WinLNK.Agent.rx 2,3

В статистике не учитывается категория угроз Hacktool — инструментов, которые обычно устанавливаются самими пользователями, но могут эксплуатироваться во вредоносных целях. К Hacktool мы относим клиенты удаленного доступа, анализаторы трафика и т. п. В данном случае эта категория представляет интерес, так как современные чит-программы часто используют те же техники, что и вредоносное ПО, например инжект в память и эксплуатацию уязвимостей для обхода защиты. Если добавить этот вид детектов в статистику, то он займет первое место с долей 10%.

Судя по статистике, полученной от нашего веб-антивируса, наибольшие надежды злоумышленники возлагают на использование в качестве приманки Minecraft. Также в TOP 3 самых эксплуатируемых ими игр попал The Witcher 3: Wild Hunt, популярность которого резко выросла благодаря сериалу по мотивам романов Анджея Сапковского.

Количество атак с использованием тематики онлайн-игры, январь — май 2020 года. Источник: KSN (download)

Проследив динамику срабатываний на ссылках, содержащих названия игр, мы пришли к выводу, что в апреле — начале мая злоумышленники проводили кампанию, в рамках которой использовали сразу несколько игр. В частности, на наши радары попали Overwatch и Players Unknown Battlegrounds. Если присмотреться к графику, можно увидеть много параллельных пиков. До и после означенного периода эта тенденция не сохраняется.

Веб-атаки, использовавшие тематику Overwatch и PUBG, январь — май 2020 года. Источник: KSN (скачать)

Наиболее подвержены атакам с использованием игровой тематики пользователи во Вьетнаме: почти 8% всех срабатываний веб-антивируса в этой стране произошли на сайтах, в названиях которых упоминалась тема игр.

TOP20 стран по доле заблокированных попыток входа на вредоносные сайты, использующие тематику онлайн-игр, январь — май 2020 года. Источник: KSN

Страна Доля атакованных пользователей, %
Вьетнам 7,90
Алжир 6,67
Южная Корея 6,23
Венгрия 6,20
Румыния 5,98
Польша 5,96
Египет 5,20
Португалия 4,84
Малайзия 4,75
Греция 4,56
Филиппины 4,51
Узбекистан 4,48
Тунис 4,41
Марокко 4,06
Ирак 3,82
Бразилия 3,61
Италия 3,59
Индонезия 3,54
Мьянма 3,52
Франция 3,52

Следом за Вьетнамом в TOP 5 стран по этому параметру входят Алжир, Корея, Венгрия и Румыния. В целом в двадцатке много стран Северной Африки, Азии и Европы, в особенности Южной и Восточной.

Заключение

Десятки миллионов людей, оказавшихся изолированными у себя дома (в сочетании с большим количеством свободного времени), дали серьезный толчок игровой индустрии. Конечно, злоумышленники не могли не воспользоваться этой ситуацией, и мы увидели внушительный рост попыток перехода на фишинговые сайты, эксплуатирующие игровую тематику.

Однако заметим, что этому поспособствовали не только усилия злоумышленников, но и беспечные действия самих пользователей, которые верили фальшивым письмам от имени игровых сервисов, искали взломанные версии одних популярных игр и чит-программы к другим.

К сожалению, в большинстве случаев злоумышленникам не нужны технически изощренные схемы для проведения успешных атак. Достаточно использовать актуальные темы, одной из которых весной 2020 стали видеоигры.

Играют ли киберпреступники в киберигры на карантине?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике