Некоммерческая организация HostExploit опубликовала отчет о вредоносной активности в AS-сетях по итогам IV квартала 2012 года. В этом документе традиционно представлены списки TOP 50 хостов/сетей и TOP 10 стран с высокой концентрацией опасного контента. Самой неблагополучной в этом отношении страной третий квартал подряд признана Россия.
Напомним, что система индексации, разработанная HostExploit, включает множество параметров и учитывает не только число вредоносных объектов на серверах, но и общее количество IP-адресов в AS-системе. При этом исследователи каждый раз подчеркивают, что участники TOP 50 чаще всего не причастны к криминальной активности. Эти ежеквартальные списки публикуются с единственной целью — обратить внимание на проблемы, о существовании которых провайдер может даже не подозревать, и побудить его к активным действиям.
Первую строчку в TOP 50 за октябрь-декабрь 2012 г. заняла небольшая голландская сеть Ecatel (AS29073), в прошлом уже не раз занимавшая это непочетное место. Вторым оказался скромный российский хостинг-провайдер Ideal Solution (AS58001), зарегистрированный на Сейшелах. Его ресурсы злоумышленники используют преимущественно для рассылки спама и управления ботнетами, включая ZeuS. В первую десятку вошли также крупнейшие операторы Белтелеком (Беларусь, 3-е место) и OVH Systems (Франция, 5-е место), а также немецкий провайдер Hetzner Online (6-е место). На долю США в глобальном TOP 50 пришлось 13 позиций, на долю России — 8.
В категории «Зараженные сайты» с большим отрывом лидирует крупнейший российский почтовик Mail.ru. По оценке HostExploit, количество вредоносных URL во владениях этой компании за квартал резко увеличилось, и она попала в общий список TOP 50, поднявшись сразу на 10-ю ступень. В TOP 10 по зараженным сайтам присутствуют также такие известные имена, как Amazon.com (4-е место) и Google (7-е место).
За отчетный период исследователи обнаружили 132 центра управления разными ботнетами. TOP 10 по этому показателю возглавил московский провайдер IQ Host (AS50465), ресурсы которого полтора года назад активно использовали ботоводы ZeuS. Второе место в этой категории занял новичок SOTAL Interactive (AS61322), специализирующийся в области IP-телевидения и доставки контента. Эта российская AS-сеть насчитывает предельное малое количество IP-адресов (256), зарегистрирована на Украине и хостится за пределами России.
В категории «C&C ZeuS» лидировала российская компания Ideal Solution (AS58001), в сетях которой было найдено четыре таких сервера. На долю России в этом рейтинге пришлось три позиции из десяти.
В TOP 10 по спаму не оказалось ни одной индийской компании, хотя в предыдущем квартале Индия занимала половину позиций в десятке. Список теперь возглавляет скромный украинский хостинг-провайдер, именуемый FOP Smovskaya Valentina Ivanovna (AS197774), за ним следует белорусский гигант Белтелеком. Спамеры также активно используют ресурсы других крупных телеоператоров — Kazakhtelecom (4-е место) и Telefonica del Peru (7-е). Примечательно, что 3-ю позицию в списке по спаму заняла голландская компания CB3ROB (AS34109), она же Cyberbunker. Ее имя недавно всплыло в связи с мощнейшей DDoS-атакой, главной мишенью которой являлась антиспамерская организация Spamhaus.
Четыре позиции в ТOP 10 по фишерским площадкам, включая 1-е и 2-е места, заняли американские AS-сети. На седьмой строчке этого списка вновь фигурирует Google.
Как уже говорилось выше, десятку стран-лидеров по совокупной вредоносной активности вновь возглавила Россия. Эта страна лидирует в категориях «Зараженные сайты», «Badware» (шпионское ПО, программы показа рекламы, лжеантивирусы, PUP и т.п.), а также занимает 2-е место по концентрации C&C ботнетов. Вслед за Россией следует Беларусь, которая заняла 1-е место по спаму, имеет большое количество зараженных и фишинговых сайтов. 3-е место присуждено Украине, занимавшей в предыдущем квартале 5-ю позицию. Украинские AS-сети — вторые в мире по спаму, в них много центров управления ботнетами, включая ZeuS. В TOP 10 стран вернулись Виргинские острова (1-е место по эксплойт-площадкам) и США, которые выпали из этого непочетного списка на три квартала. В IV квартале HostExploit обнаружила в американских AS-сетях множество зараженных сайтов и командных серверов ZeuS. Географический рейтинг активисты составляют с учетом общего количества IP-адресов и числа инцидентов по всем AS-сетям в каждой стране.
В подготовке квартального отчета приняли участие эксперты российской компании Group-IB, датской CSIS и немецкой Cyscon. TOP 50 «плохих» хостов и сетей составлен по результатам анализа более 43 тыс. зарегистрированных автономных систем. Полный текст отчета доступен на английском и немецком языках.
HostExploit: Россия вновь лидирует по загрязненности ресурсов