Datakrim lønner seg mer enn antivirus

Datakriminelle har høyere fortjeneste enn hele antivirusbransjen, mener Kaspersky Lab.

Virusanalytiker Yury Mashevsky i Kaspersky Lab har utgitt del to i en utredning om hvordan ondsinnet kode har utviklet seg i 2005: Malware Evolution: 2005, part two. Mashevsky tror at framstilling og spredning av virus, trojanere, ormer og så videre er blitt en industriell geskjeft for datakriminelle, og at virksomheten er mer innbringende enn hele antivirusbransjen.

Blant de tendensene Mashevsky mener var spesielt framtredende i 2005, er hardere konfrontasjon mellom datakriminelle og antivirusbransjen, hardere konfrontasjon mellom ulike grupper av datakriminelle, og økende tendens til å angripe offentlige tjenester, etter som profitten fra angrep mot individuelle brukere ikke tilfredsstiller gruppenes krav til inntjening.

Datakriminelle mot antivirusbransjen
Datakriminelle bruker flere metoder for å angripe antivirusbransjen, skriver Mashevsky. Det drives et utstrakt arbeid for å identifisere og unngå noder som antivirusselskapene bruker til å overvåde nettrafikk, og det organiseres også tjenestenektangrep mot disse nodene for å sette dem ute av spill i kortere eller lengre perioder, for eksempel mens man sprer en ny type ondsinnet kode.

Etter hvert som virusvernere er blitt flinkere til å avdekke polymorfisk kode – kode som stadig endrer seg selv for å unngå identifikasjon – tyr datakriminelle til andre metoder for å hindre virus fra å bli avslørt. En metode er «multiple packers», det vil si komprimeringsteknologi som lar kode eksekveres samtidig som det ikke oppdages av virusvernet.

En tredje metode Mashevsky nevner, er at ondsinnet kode på offerets PC ofte er innrettet på å deaktivere det lokale virusvernet. Han peker videre på at datakriminelle følger nøye med på alle oppgraderinger av alle former for antivirus, siden det viser dem hvilke av virusene de har laget som er blitt avslørt, og hvilke de kan arbeide videre med.

Datakriminelle mot datakriminelle
Mashevsky mener datakriminelle angrep hverandre hardere og oftere i 2005. Kode fra én gruppe setter kode fra en annen gruppe ut av spill, og inneholder gjensidige trusler. Nye metoder gjør det mulig å kapre nettverk av zombie-PC-er.

I november 2005 var det et tilfelle der kontrollen over et gitt «botnet» skiftet tre ganger i løpet av ett døgn: Det er billigere å kapre andres nettverk enn å etablere eller kjøpe sine egne.

Mashevsky viser også til at meldinger virusopphav sender hverandre ofte er innrettet med tanke på å skade, for eksempel debattinnlegg på undergrunnsfora som infiserer leserens PC.

Angrep mot offentlige organisasjoner
Fra 2004 til 2005 var det en betydelig i antall angrep mot offentlig organisasjoner, også mot statsdrevne banker, handelsportaler og militære systemer. Det er gjort visse framskritt for å fange og straffe kriminelle, men langt fra nok, og det økende antall angrep gjenspeiler det faktum at denne typen kriminalitet stort sett går ustraffet, mener Mashevsky.

Slappe forsvarstiltak fra både individer og organisasjoner bidrar til å gjøre datakriminalitet lønnsomt, mener Mashevsky.

Han siterer en undersøkelse som viser at bare hver fjerde bruker oppdaterer sitt virusvern minst én gang om dagen. Oversikten til Kaspersky Lab viser at tallet på nyoppdagede ondsinnede programmer økte fra 20 731 i 2003 til 31 728 i 2004 og 53 950 i 2005. Veksten er eksponentiell, og i snitt ble det avdekket nesten 150 nye virus hvert eneste døgn gjennom hele 2005.

Tilfellet med Zotob-ormen fra august i fjor er typisk for en annen urovekkende tendens. Microsoft kunngjorde både en alvorlig sårbarhet og en fiks 9. august. 12. august ble det spredd kode som beviste hvordan sårbarheten kunne utnyttes. 14. august slapp virusmakerne Zotob-ormen, og etter noen timer ble flere store medieselskaper rammet. Hver dag de to påfølgende ukene kom mellom en håndfull og opptil 20 nye ormer som utnyttet den samme sårbarheten.

Hver gang det kunngjøres en ny sårbarhet, framstilles nye virus, konstaterer Mashevsky. Virusmakerne venter for kode som viser hvordan en sårbarhet kan utnyttes – «proof of concept» eller PoC i sjargongen – og legger dem inn i sine produkter.

Likevel nøler mange organisasjoner med å installere sikkerhetsfiks etter hvert som de kommer, selv når sårbarheten på forhånd flagges som «kritisk».

I et annet tilfelle viser Mashevsky til Monikey-ormen som spredte seg ved å smitte nettsteder med tjenester av typen «digitale hilsningskort». Det ble konstatert at nettstedene fjernet smitten, men avsto fra å blokkere kanalen som smitten brukte for å spre seg. Følgelig dukket ormen opp igjen og igjen.

En motbydelig tendens er at datakriminelle utnytter opprivende begivenheter. Terrorbombene mot t-banen i London, spredningen av fugleinfluensa og orkanen Katrina ble alle benyttet i forskjellige opplegg for å spre ondsinnet kode.

Mashevsky tror mobile virus vil komme for alvor straks et tilstrekkelig antall brukere av avanserte telefoner begynner å benytte seg av mobile betalingstjenester. Han er også overbevisst om at «smarte hjem» vil kunne utnyttes av kreative kriminelle.

Et tegn på økende teknologisk kompetanse blant datakriminelle er en kraftig økning i antall «rootkit» som Kaspersky Lab har avslørt de siste månedene. En rootkit er en programmeringsmetode for å skjule objekter eller aktive prosesser i et system, og ser ut til å bli en stadig viktigere del av verktøykassen til virusmakerne. Fram til januar–mars i fjor dukket det opp gjennomsnittlig ti rootkit per måned. De siste månedene i 2005 var gjennomsnittet 32 per måned, med hele 72 i november.

Ondsinnet kode ble i 2005 i økende grad utviklet med tanke på å infisere bedriftssystemer og tappe dem for blant annet finansielle opplysninger. I løpet av 2005 økte denne kategorien fem ganger, sammenliknet med 2004. Mashevsky mener årsaken er åpenbar: Det er enorme muligheter til gevinst ved å «tappe» nettbanker og e-handelssystemer.

Utpressingsforsøk over nettet økte gjennom hele 2005, dels med trusler om tjenestenekt, dels ved trusler om dataødeleggende kode. For mange er det enklere å betale en utpresser enn å vente på hjelp fra et antivirusselskap for å få dekryptert låste data, konstaterer Mashevsky. Han advarer at denne holdningen vil oppmuntre de kriminelle, og gir følgelig bare kortsiktig gevinst.

Det som skjedde i 2005 gir ingen grunn til optimisme, konstaterer Mashevsky til slutt.

    Les også:

Til toppen