Публикации

С Кокосовых островов в Камерун

Как известно, в сущности, киберкриминальный бизнес — это такой же бизнес, как, например, производство макаронных изделий или продажа запчастей для автомобилей. У него есть свои издержки и статьи расхода. Разумеется, как и любой предприниматель, злоумышленник пытается сэкономить на атаке и минимизировать ее себестоимость.

В общем случае, для веб-атаки необходимо наличие доменного имени и хостинга для размещения вредоносных файлов. В случае хостинга все достаточно просто: злоумышленник либо покупает его самостоятельно, либо пользуется взломанными серверами для расположения своих файлов. Средства защиты от атак не могут быстро заблокировать хостинг целиком, поскольку на нем могут располагаться легитимные ресурсы.

Доменные имена же достаточно быстро блокируются комплексными средствами защиты. В связи с этим, злоумышленнику приходится постоянно менять доменные имена, с которых происходит атака.

Регистрация доменного имени второго уровня стоит относительно много (в среднем от 5 до 20 долларов за штуку), поэтому последнее время злоумышленники все чаще пытаются экономить и используют сервисы бесплатных доменных имен третьего уровня.

За последний год лидерами в области регистрации доменных имен третьего уровня для вредоносных целей являются сервисы co.cc и cz.cc. Каждый день в этой зоне регистрировались сотни доменных имен, с которых распространялось огромное количество различных вредоносных программ.

Однако пару недель назад произошло беспрецендентное событие — поисковая система Google принудительно удалила все ресурсы, которые располагались в доменной зоне co.cc, из своих результатов.

В связи с этим злоумышленникам стало невыгодно регистрировать доменные имена в этой зоне — особенно тем, кто имеет дело с поисковыми системами (например, распространяющим поддельные антивирусы с помощью черной поисковой оптимизации).

Количество пользователей, защищенных от атак с использованием доменных имен в зоне co.cc

Как видно из графика, количество пользователей, атакованных с использованием доменов в зоне co.cc, начало постепенно снижаться. Однако глупо было бы полагать, что злоумышленники сложили руки и перестали атаковать пользователей. Доменные имена в зоне cz.cc продолжают активно использоваться. Более того, количество атакованных пользователей постепенно увеличивается.

Количество пользователей, защищенных от атак с использованием доменных имен в зоне cz.cc

Та же ситуация с еще одним провайдером подобных услуг – uni.cc.

Количество пользователей, защищенных от атак с использованием доменных имен в зоне uni.cc

И, наконец, наиболее значительный рост был замечен в зоне bz.cm.

Количество пользователей, защищенных от атак с использованием доменных имен в зоне bz.cm

Исходя из приведенных данных, можно поставить действия Google под сомнения. С одной стороны, они убрали из своего индекса огромное количество вредоносных ресурсов. С другой стороны, они убрали оттуда и огромное количество работающих легитимных ресурсов. А учитывая то, что сервисов, подобных co.cc, существует достаточно много, злоумышленники быстро переключатся на другой сервис и будут использовать уже его в своих нуждах, что сведет весь толк от блокировки одной зоны на нет.

Мы, в свою очередь, активно контактируем с владельцами ресурсов, предлагающих бесплатно зарегистрировать доменное имя в зоне третьего уровня, с целью своевременной блокировки доменных имен, которые используются для атак на пользователей.

Пользователям же рекомендуется быть максимально осторожными при обращении со ссылками, ведущими на бесплатные хостинги или же на доменные имена в бесплатных доменных зонах.

С Кокосовых островов в Камерун

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике