…odnoszę wrażenie, iż niektórzy uważają, że w ogóle nie jest potrzebny. A to założenie z gruntu błędne i jest to określenie wyjątkowo łagodne. Czemu w ogóle o tym piszę? Bo przyjrzałem się ostatnio statystykom CyberTarczy.
Takie stare, a jeszcze jare
Sality, Conficker, Necurs. Co łączy te trzy nazwy? Oczywiście to, że wszystkie są nazwami botnetów, ale także fakt, iż… nie powinny już istnieć. W dzisiejszych czas rok egzystencji w internecie to już sporo. Przez 5 lat w technologii zmienia się niekiedy tyle, co kiedyś w trakcie jednej epoki. A co dopiero, jeśli mówić o malware, skoro – jak pisałem po konferencji Security Case Study – blisko 100 procent (dokładnie 96) spośród 2,5 miliona sampli malware’u, analizowanych dziennie przez Microsoft jest jednorazowa.
Czym w takim razie wytłumaczyć fakt, że wśród użytkowników Neostrady (czy raczej wśród ich urządzeń) znajdują się sprzęty zainfekowane złośliwym oprogramowaniem, liczącym… piętnaście lat? Tak tak – gdyby botnet Sality był człowiekiem, za 3 lata mógłby sam pójść na piwo. Conficker jest nieco młodszy (powstał w 2008), zaś Necurs to w porównaniu do „kolegów” jeszcze dziecko ;), tym niemniej 6 lat wśród malware’u to wciąż mnóstwo czasu.
Skąd to się wzięło?
Dobra, nie zostawię Was bez odpowiedzi na pytanie z poprzedniego akapitu (tak mi się przynajmniej wydaje). Powodów może być sporo, począwszy od tego, że w przypadku niektórych odmian opisywanego malware’u organy ścigania mogły już dawno przejąć przestępczą infrastrukturę (biorąc pod uwagę terminy to mogli już dawno zapomnieć, że w ogóle istniała). W efekcie infekcja została, ale botnet nie robi już nic złego. Ofiary mogą też korzystać nieprzerwanie z sieci Orange Polska, gdzie znane adresy IP powiązane z botnetami są od bardzo dawna sinkholowane i regularnie dodawane. Mogli też (to w sumie działa wspólnie z poprzednim punktem)… zrezygnować z oprogramowania zabezpieczającego, zgodnie z coraz powszechniejszą modą na „zdrowy rozsądek wystarczy”.
Cóż – o ile w przypadku urządzeń z Androidem zazwyczaj tak (specyfika systemu z zielonym robotem znacząco utrudnia zainstalowanie wirusa, przy założeniu, że korzystamy wyłącznie z oficjalnego sklepu i nie modyfikowaliśmy urządzenia), to z systemami stacjonarnymi nie jest już tak łatwo. Oczywiście rozsądek zawsze jest wskazany, a CyberTarcza swoje zrobi. Monitorowanie podejrzanych połączeń w naszej sieci i nawet (jak widać) antywirus też się przydadzą.
Necurs *20 tysięcy
Jeśli jesteście klientami Orange Polska, nie zaszkodzi zajrzeć na stronę CyberTarczy, by dowiedzieć się, czy przypadkiem któraś z takich niespodzianek u Was nie siedzi. U rekordzistów w ciągu ostatniego miesiąca Necurs usiłował się połączyć z przestępczą infrastrukturą ponad 20 tysięcy razy. Tam pewnie czekałby na niego ransomware Locky, najpopularniejszy „ładunek” w przypadku tego złośnika. No i pamiętajcie o zaktualizowaniu i uruchomieniu antywirusa. A nuż coś znajdzie? I nie zdziwcie się, gdy włączając przeglądarkę zamiast poszukiwanej strony zobaczycie informację o zagrożeniu. Szczegółowa instrukcja poprowadzi Was „za rączkę” i pomoże wyczyścić urządzenie.
