Złośliwe oprogramowanie w ostatnich latach przeszło ogromną transformację. Nie jest już prostym programem pisanym przez studentów dla zabawy. Dzisiejszy malware pod względem funkcjonalności przypomina komercyjne systemy informatyczne.Początki były niewinne. Wirus wyświetlał na ekranie jakiś zabawny, w rozumieniu twórcy, tekst, komputer wydawał dziwne dźwięki czy też ekran monitora błyskał różnymi kolorami. Oczywiście część wirusów uszkadzała twarde dyski, niszczyła dane czy powodowała
usterki fizyczne komputerów.
– Jednak bardzo prosto sobie z nimi radzono, pojawiało się ich niewiele, zaczęły powstawać firmy antywirusowe – mówi Zbigniew Engiel z laboratorium informatyki śledczej Mediarecovery.
Profesjonalizacja złośliwego oprogramowania
W XXI wieku zaczęto obserwować coraz większą złożoność i zaawansowanie złośliwego oprogramowania. Wirusy zaczynały kraść dane użytkowników zainfekowanych komputerów, upowszechniły się wirusy bankowe. Malware zacząć przynosić pieniądze swoim twórcom, a wówczas bardzo szybko tym „rynkiem” zainteresowała się zorganizowana przestępczość – twierdzi Engiel.
Punkt przełomu
W 2010 roku amerykańska firma NetWitness – obecnie będąca własnością RSA – opublikowała raport dotyczący mutacji trojana ZeuS. Okazało się, że zainfekował prawie 2400 firm na całym świecie i wykradał interesujące cyberprzestępców dane. Jak mówił wówczas Alex Cox, główny analityk NetWintess – „Wielu specjalistów bezpieczeństwa kwalifikowało ZeuSa jako prostego trojana bankowego. To było bardzo naiwne. Kiedy rozpoczęliśmy badanie powiązań pomiędzy ZeuSem, jego twórcami, zainfekowanymi urządzeniami i zakresem danych przez niego zbieranych, stało się jasne, że należy zmienić perspektywę postrzegania tego zagrożenia.”
Rok później kod źródłowy Zeusa wyciekł do sieci co pozwoliło tworzyć jego personalizowane wersje przestępcom na całym świecie.
Co potrafi współczesny malware?
- Kradzież – poufne informacje firm np. projekty technologiczne, rozwojowe, sprzedażowe itp. Kradnie również dane osobowe, dane dostępowe do kont bankowych, a co za tym idzie pieniądze.
- Niszczenie – dokonuje prawdziwych zniszczeń w infrastrukturze informatycznej firm. W wielu przypadkach uniemożliwia normalne funkcjonowanie. Jednym z głośniejszych przykładów jest wielomiesięczne opóźnienie realizacji programu atomowego w Iranie.
- Szantaż – część skradzionych informacji nie jest sprzedawana od razu na czarnym rynku. Cyberprzestępcy żądają za nie okupu. W przypadku unieruchomienia infrastruktury za przywrócenie jej do poprzedniego stanu również żąda się pieniędzy.
- Personalizacja i mutacja – malware jest przygotowywany pod kątem konkretnej instytucji. Jego użycie polega na precyzyjnym uderzeniu w ofiarę. Aby utrudnić wykrycie przez systemy zabezpieczeń malware stale mutuje.
Jak firmy mogą się bronić?
Najbardziej efektywnym sposobem jest w pełni zautomatyzowana analiza wykonywana wewnątrz firmy. Nie potrzeba do niej specjalistycznego laboratorium, czy firmy antywirusowej. Rozwiązania do analiz tego typu tworzą odizolowane, wirtualne środowisko i w nim sprawdzają całą zawartość czy to ruchu sieciowego, poczty e-mail czy też konkretnych lokalizacji, np. serwera plików. Wszystkie podejrzane zachowania są blokowane i zgłaszane do administratora.
System FireEye pozwala analitykom bezpieczeństwa na automatyczne rozpoznanie i usunięcie każdego, nawet najbardziej wymyślnego rodzaju złośliwego oprogramowania – mówi Zbigniew Engiel z laboratorium Mediarecovery. Biorąc pod uwagę zaawansowanie i personalizację dzisiejszego malware, tego typu analiza jest bardzo skutecznym i prostym rozwiązaniem – dodaje.
W pierwszych tygodniach 2013 roku Mediarecovery podpisała umowę partnerską z FireEye, producentem „Malware Analysis System”, służącym do bezpiecznej analizy złośliwego oprogramowania.