Спам-активность во II квартале 2011 года

[toxi]

Спам-активность во II квартале 2011 года: новая жизнь зомби-сетей


"Лаборатория Касперского" опубликовала отчет о деятельности
спамеров во втором квартале 2011 года. Эксперты отмечают новый виток
развития ботнетов после закрытия самых крупных из них и констатируют,
что стран, не захваченных "ботоводами", попросту не
осталось. В прошедшем квартале наибольшее количество срабатываний
почтового антивируса вновь зафиксировано в России, а спамерам пришлись
по душе "облачные" сервисы.

Доля спама в почтовом потоке во втором квартале в среднем составила
82,5%, что на 3,9% превышает показатель первого квартала, и на 0,3%
- прошлого года. По оценке экспертов "Лаборатории
Касперского", мощности зомби-сетей, закрытых в прошлом году и в
начале текущего года, постепенно восстанавливаются, поскольку спамеры
научились жить по новым правилам.

Так, во втором квартале наблюдается рост количества, но не масштабов
ботнетов: среди вновь организуемых ботсетей нет гигантов, ответственных
за большую часть спама (как это было ранее с Cutwail или Rustock). По
мнению, экспертов это может быть обусловлено двумя причинами: либо
спамеры еще не успели организовать мощности, способные рассылать
миллионы писем ежедневно; либо они сознательно не держат "все яйца
в одной корзине", чтобы в случае закрытия одного ботнета можно
было легко переключиться на другой. Это изменение привело к более
равномерному распределению источников спама и их вклада в спам-трафик.
"Зомби-машины, с которых рассылаются спамовые письма, находятся
практически во всех странах мира, что говорит о завершении
географической экспансии спамеров: территорий, не захваченных
"ботоводами", попросту не осталось", -
комментируют авторы отчета Дарья Гудкова и Мария Наместникова.

После закрытия гигантских ботнетов спам в разных частях мира стал
существенно различаться. Так, ранее лидировавший спам медицинской
направленности, по итогам квартала занял лишь восьмую строчку рейтинга
(1,8% всего спама). Изменилось и соотношение языков в спам-почте: теперь
подавляющее большинство спамовых писем в Рунете - на русском.

Во втором квартале 2011 наиболее активно спам рассылался из
развивающихся стран: Индии (14,06%), Бразилии (8,94%) и Индонезии
(5,86%). За три прошедших месяца доля Индии увеличилась почти на 5%.
Такой рост можно объяснить наличием миллионов незащищенных
необновляющихся машин, которые долгое время могут быть активны в
зомби-сети. В то же время доля спама, рассылаемого из России,
уменьшилась на 2,75% и составила 3,05%. Наша страна, находившаяся по
итогам первого квартала на втором месте, во втором квартале оказалась на
седьмой строчке рейтинга.

Наметившееся в первом квартале увеличение доли сообщений с вредоносными
вложениями продолжалось и во втором. В среднем письма с вредоносными
вложениями составили 3,86% всех сообщений, что на 0,81% больше
показателей предыдущего квартала. Четыре из десяти наиболее часто
детектируемых почтовым антивирусом "Лаборатории Касперского"
программ - это почтовые черви. Помимо сбора электронных адресов и
рассылки самого себя, функционал некоторых из них включает загрузку на
компьютер пользователя других вредоносных программ. Наибольшее
количество срабатываний почтового антивируса пришлось на Россию (12,5%),
на втором месте - США (12,21%), на третьей строчке -
Вьетнам, на долю которого пришлось 7,43%.

В прошедшем квартале эксперты "Лаборатории Касперского"
наблюдали новый этап эволюции спама. Спамерам пришлись по душе
"облачные" сервисы: часть их писем содержит ссылки на
различные сервисы Google, в которых, в свою очередь, размещена ссылка на
рекламный сайт или непосредственно фишинговая страница. Такой подход
вызывает больше доверия у пользователя, так как страница находится на
известном ресурсе - например, на GoogleDocs, а соединение
происходит через поддерживающий шифрование протокол https.

Более подробная информация об информационных угрозах в первом квартале
2011 года доступна на сайте: http://www.securelist.com/ru.