Самых плохих снова посчитали

Сообщество HostExploit занимается некоммерческими исследованиями вопросов информационной безопасности и противодействия киберпреступности. Отчеты по уровню опасности хостов и сетей выпускаются сообществом более двух лет. По итогам работы аналитиков составляется список «топ 50» наиболее опасных автономных систем (хостов и сетей), на базе которых было зафиксировано осуществление повышенной вредоносной деятельности. Все исследования проводятся при непосредственном участии специалистов Group-IB. Нынешний отчет по итогам четвертого квартала 2011 года был подготовлен на основании исследования 39 796 зарегистрированных автономных систем. Для составления рейтинга наиболее опасных хостов был разработан Индекс НЕ, который представляет собой числовое представление уровня зараженности автономной системы от 0 (зараженность отсутствует) до 1000 (максимальный уровень зараженности).

В целом отчет за четвертый квартал демонстрирует некоторые изменения уровня активности по сравнению с предыдущим кварталом. В четвертом квартале 2011 года в сравнении с третьим меньшее количество хостов показало значительный рост в рейтинге, демонстрируя таким образом некоторое улучшение общей картины.

По данным отчета, в четвертом квартале 2011 года первую позицию в списке самых опасных хостов занял литовский хостинг-провайдер Hosting Media (AS47583). Его Индекс HE составил 249,9. В отчете отмечается, что в третьем квартале Hosting Media, показав очень большой рост вредоносной активности в собственных сетях, занимал вторую позицию в рейтинге «топ 50». Таким образом, провайдер из Литвы за квартал ухудшил свое положение. Кроме того, этот провайдер также сохранил первую строчку в категории «Ботнеты». 

В графике распределения Индекса НЕ, дающей понимание относительно того, почему каждый из хостов, находящихся в «лидирующей» группе  худших хостов, имеющих высокий показатель по Индексу НЕ, отмечено, что Hosting Media получил первое место по вредоносной активности в четвертом квартале в основном из-за размещения там большого количества фишинговых, C&C и эксплоит-серверов. При этом, данный хост характеризуется низкой концентрацией серверов Zeus, зараженных веб-сайтов и вредоносного ПО.  

Относительно остальных позиций в «топ-50» опасных хостов, по итогам четвертого квартала лидирующие позиции в «пятерке лидеров» распределились следующим образом: на втором месте расположился провайдер HostDime (AS 33182) из США, Индекс НЕ которого составил 237,8. Основную часть угроз в графике распределения Индекса НЕ у этого провайдера составляет вредоносное ПО и серверы фишинга.  

Третье место занимает еще один представитель США – eNET (AS10297) с Индексом НЕ 181,1. В графике распределения Индекса НЕ основную часть угроз у этого провайдера составляют серверы фишинга, в меньшей степени представлено вредоносное ПО.

На четвертом месте находится хост из Сингапура– Sparkstation (AS10297) с показателем Индекса НЕ 170,8. Отметим, что этот хост также является «лидером» в категории «Серверы фишинга» по итогам четвертого квартала 2011 года.

Замыкает пятерку хост SingleHop (AS32475) из США. Показатель Индекса НЕ у него составляет 162,7. В графике распределения Индекса НЕ основную часть угроз у этого провайдера составляет вредоносное ПО и серверы фишинга.

Относительно «лидеров» четвертого квартала 2011 года  по категориям, уже упоминались Hosting Media, который находится на первой строчке в категории «Ботнеты» и Sparkstation, который  является «лидером» в категории «Серверы фишинга». Лидером в категории «Спам» стал индийский хост TATA Indicom, а первое место в категории «Серверы Zeus» занял Duomenu Centras из Литвы. В категории «Эксплойт-серверы» «лидирует» Nexcess.net, в категории «Вредоносное ПО» - Oversee.net, а в категории «Зараженные веб-сайты» - Arp Networks. Все три последних хоста из США.

Отметим, кстати, что упоминавшийся Oversee.net (AS33626) из США, был «победителем» общего рейтинга в третьем квартале. Но в четвертом квартале он показал себя ответственным хостом. Oversee.net принял ряд мер, что привело к снижению количества вредоносного контента на 98,5 %. В настоящее время данная автономная система занимает 12 позицию в рейтинге с показателем Индекса НЕ 144,1  и продолжает отслеживать вредоносную активность в собственных сетях.

Самым «выдающимся» хостом четвертого квартала признана система из США Arp Networks (AS25795), показавшая значительный рост вредоносного контента (837,2 %). Прежде снижавший свой рейтинг Arp Networks недавно перескочил на позицию номер 33 по общему уровню активности киберпреступников. Также Arp Networks, как уже отмечалось, занимает первое место в категории «Зараженные веб-сайты».
 
Отдельного внимания заслуживает анализ распределения уровня вредоносной активности по странам, который в этот раз был проведен по обновленной методике. Ранее в рамках исследования результаты «худших» стран подсчитывались путем сложения количества хостов каждой отдельной страны, взятых из «топ 50» и «топ 250» рейтинга. Новый подход не зависит от количества зарегистрированных в стране хостов и позволяет получить данные, которые отражают концентрацию вредоносного контента в сетях отдельно взятой страны.

Результаты принципиально отличаются от предыдущих отчетов. Наиболее ярко это прослеживается при анализе первой тройки рейтинга стран с наивысшим уровнем вредоносной активности. «Лидерами» стали Латвия, Виргинские острова и Люксембург. В то же время такие крупные страны как США и Россия расположились на пятом и девятом местах соответственно.

Что касается других стран, вошедших в «топ 10» рейтинга по уровню вредоносной активности, то помимо уже перечисленных были получены следующие результаты: на четвертом месте в рейтинге находится Молдавия, (пятое занимает США), а на шестом – Литва. Седьмое место занимает Чехия, а на восьмом – Нидерланды. Девятое, как уже говорилось, за Россией, а на десятом расположилась Белоруссия.