Как показал отчет НКО Spamhaus, Россия уже второй квартал подряд сохраняет лидерство по количеству серверов управления и контроля ботсетей (2C-серверов, аббревиатура от Control & Command). При этом в IV квартале 2021 г. в квартальном выражении количество 2C-серверов в России выросло более чем вдвое - с 381 до 854.

© ComNews
25.01.2022

Всего же в мире Spamhaus по состоянию на 1 января 2022 г. выявил 3271 ботнет, что на 23% больше, чем кварталом раннее. И в целом количество серверов 2C росло весь год, и в итоге на Россию приходится 30% от всего общемирового их числа.

Помимо России, в первую десятку входят США, Саудовская Аравия, Мексика, Германия, Бразилия, Уругвай, Доминиканская Республика, Нидерланды и Латвия. А по темпам роста в IV квартале лидером оказался Уругвай, где количество 2C-серверов выросло без малого втрое. И это несмотря на то, что значительную часть активности злоумышленников специалисты Spamhaus отследить не могут, поскольку операторы ботнетов активно маскируют свою деятельность с помощью технологии DNS over HTTPS. Как отмечает аналитическое агентство Anti-Malware.ru, такую же технику как минимум с 2017 г. применяют операторы ряда банковских троянцев для платформы Android и системы удаленного управления TeamBot.

Подобные ресурсы, как отмечает руководитель отдела развития методов фильтрации контента "Лаборатории Касперского" Алексей Марченко, опасны тем, что могут распространять вредоносный контент: "Например, рассылка может состоять из фишинговых писем, целью которых является обманным путем получить пользовательские пароли, номера кредитных карт или банковские учетные данные, или же содержать вредоносное вложение с целью заразить компьютер получателя. Зачастую устройства, зараженные в результате такой атаки, подключаются к сети ботов и начинают сами проводить аналогичные атаки".

По оценке Spamhaus, наиболее широко распространены такие виды вредоносного ПО, как Redline и Loki, специализирующиеся на краже личных данных, троянец-бэкдор AsyncRAT и новый образец зловредов - загрузчик (дроппер) GCLeaner. При этом последний показал наиболее высокие темпы распространения. При этом в квартальном выражении наиболее высокими темпами росла активность вредоносов, крадущих данные, на которые пришлось более 40% активности, а треть - на средства удаленного управления. Без малого 12% составили загрузчики.

Злоумышленники предпочитают использовать домены .COM, .TOP, .XYZ и .XXX. Использование национальных доменных зон, в том числе и .RU, довольно быстрыми темпами сокращается. И в целом национальные регистраторы довольно активно противостоят мошенническим регистрациям, хотя кое-где, прежде всего в Латинской Америке, на которую приходится 60% регистраций, с этим возникают сложности. Среди регистраторов доменов особо отмечают турецкий Atak, на который подана жалоба в ICANN за игнорирование предупреждений со стороны Spamhaus, китайский Nicenic.net и индийский PDR.

"Стоит отметить, что серьезную угрозу для организаций могут представлять ресурсы, принадлежащие злоумышленникам и расположенные на доменах, схожих по написанию с официальными доменами самой организации, - предупреждает Алексей Марченко. - Ведь именно такие ресурсы зачастую используются злоумышленниками для проведения фишинговых и таргетированных почтовых атак. Существуют сервисы, которые помогают компаниям избавиться от подобных ресурсов, вне зависимости от того, где зарегистрированы домены, на которых эти ресурсы располагаются. Например, в рамках сервиса Kaspersky Takedown специалисты "Лаборатории Касперского" по запросу организации готовят все необходимые доказательства, такие как исходный код сайта, скриншоты и дамп трафика. Затем эксперты отправляют запрос в соответствующие местные или региональные организации, которые имеют полномочия на разделегирование домена".

Среди российских хостинг-провайдеров также отмечен Selectel. В статистику Spamhaus он попал впервые. Пресс-служба Selectel в ответ на запрос ComNews прислала следующий комментарий: "Мы ведем постоянную активную и проактивную борьбу с ботнетами, представляющими угрозы нормальному функционированию сети. С2 - не исключение. Благодаря своевременным оповещениям о найденной потенциально вредоносной активности мы можем заблокировать существующие узлы ботнета в нашей сети, а также проработать сигнатуры по выявлению потенциальных узлов и превентивной блокировке. Как и любой крупный провайдер инфраструктуры и сетей, мы регулярно обрабатываем жалобы, связанные со спамом и ботнетами, в том числе и от Spamhaus".

Новости из связанных рубрик