Z analiz działającego w ramach NASK zespołu CERT Polska wynika, że w ubiegłym roku pod kontrolą cyberprzestępców mogło się znajdować ponad 150 tysięcy komputerów. Trzy spośród dziesięciu największych zagrożeń rozpowszechnianych w Polsce wymierzone były bezpośrednio w klientów bankowości elektronicznej.
W pierwszej trójce najbardziej aktywnych botnetów w Polsce w zeszłym roku znalazły się kolejno sieci utworzone przy wykorzystaniu złośliwego oprogramowania Tinba, Conficker oraz Foreign. Zainfekowały one statystycznie najwięcej polskich komputerów – pod kontrolą tych trzech botnetów znajdowało się kolejno 15,5 proc., 11,5 proc. oraz 8,9 proc. wszystkich komputerów zainfekowanych tego rodzaju złośliwym oprogramowaniem. Eksperci CERT Polska do dziesiątki najbardziej rozpowszechnionych botnetów w Polsce zaliczyli również złośliwe oprogramowanie: Sality, Bamital, Zeus, Gozi, Zeroaccess, Kelihos oraz Virut. Z szacunków CERT Polska wynika, że w 2015 roku w Polsce działało ok. 150 tys. komputerów wchodzących w skład różnych sieci botnet.
Eksperci wskazują, że trojan bankowy Tinba osiągnął znaczny wzrost aktywności w połowie 2015 roku, przy czym najwyższy poziom infekcji utrzymywał się zaledwie przez kilka dni w ciągu całego roku. “Złośliwe oprogramowanie tworzone obecnie przez przestępców – takie jak Tinba – różni się od tego, jakie mogliśmy obserwować jeszcze kilka lat temu. Wtedy jednym z głównych celów było zainfekowanie jak największej liczby urządzeń – tak jak to robił Conficker – a następnie próba wykorzystania zgromadzonego potencjału. Z kolei dzisiejsze złośliwe oprogramowanie ma coraz częściej ograniczone, ale dobrze sprecyzowane grono „adresatów” i jest bardzo dobrze przygotowanie od strony socjotechnicznej” – mówi Piotr Kijewski, kierownik zespołu CERT Polska. Średni poziom dziennej liczby komputerów zainfekowanych Tinbą wyniósł 4,3 tys. adresów IP. Zdaniem specjalistów CERT Polska na popularność trojana na pewno wpłynęło to, że w połowie 2014 roku wyciekł jego kod źródłowy, co przyczyniło się do zwiększenia ilości różnych odmian tej sieci botnet.
Według analiz CERT Polska systematycznie spada liczba infekcji związanych z działalnością zneutralizowanych już sieci botnet. Dane dotyczące aktywności poszczególnych sieci botnet w 2015 roku przeanalizowane także pod kątem poziomu zainfekowania komputerów łączących się za pośrednictwem usług największych polskich operatorów. Przykładowo, trojan Tinba w czwartym kwartale ubiegłego roku był szczególnie aktywny w sieciach operatorów mobilnych – P4, Plus oraz T-Mobile. Wykorzystywana przez ekspertów CERT Polska platforma n6 każdego dnia przetwarzania informacje o ponad 100 tys. zdarzeń dotyczących zainfekowanych komputerów w Polsce.
