Центр вредоносной интернет-активности перемещается в Восточную Европу

В I квартале 2012 года первую позицию в списке самых плохих хостов занял
польский хостинг-провайдер AS16138 Interia.pl, который сместил бывшего лидера —
AS47583 Hosting Media из Литвы — на второе место. Индекс HE «победителя»
составил 251,64. Interia.pl занимает первое место из-за высокой концентрации
зараженных сайтов, вредоносных программ и иных угроз, включая XSS-атаки и
RFI.

Необходимо отметить, что за прошедший период резко ухудшили свое положение
автономные системы, зарегистрированные в России. Если в последнем квартале 2011
года в первой десятке общего рейтинга они отсутствовали вообще, то сейчас
представлены дважды: AS41947 Webalta расположилась на 4 месте, а AS31133
MegaFon — на 8. MegaFon так же занял целых четыре позиции в категории
«Спам».

А вот хосты из США в отличие от предыдущих периодов показали рекордное
улучшение: впервые в истории создания отчетов ни одна автономная система,
зарегистрированная в Америке, не расположилась на первом месте в той или иной
категории. Можно сказать, что итоги I квартала 2012 года показывают
продолжающееся смещение центра вредоносной активности из США в Восточную
Европу. «Выходцы» из этого региона не только удерживают первые два места в
общем рейтинге, но и также еще лидируют в шести категориях из восьми
возможных.

Этот тезис подтверждает и перечень в категории «Испортившиеся хосты». Самый
«выдающийся» хост данного квартала — система из Румынии AS29568 Sysnet Secure,
показавшая значительный рост вредоносного контента (1106,1%). Прежде
находившийся в общем рейтинге за пределами четырехтысячной позиции Sysnet
Secure перескочил на 10 место. Это перемещение произошло из-за увеличения
количества серверов бот-сети Zeus, присутствующих в Sysnet, что к тому же
совпало с резким ростом зарегистрированных там вредоносных сайтов.

Отдельно стоит похвалить систему из США AS25795 Arp Networks. Она оперативно
учла замечания, опубликованные в январе, и незамедлительно приняла надлежащие
меры по исправлению ситуации. Arp Networks из «Самого испортившегося» хоста
прошлого отчета стал в I квартале 2012 года «Самым улучшившимся».

Нынешний отчет по итогам I квартала 2012 года был подготовлен на основании
исследования 40 678 зарегистрированных автономных систем, что на 902 больше,
чем было в конце IV квартала 2011.

Сообщество HostExploit занимается некоммерческими исследованиями вопросов
информационной безопасности и противодействия киберпреступности. Отчеты по
уровню содержания вредоносного контента в хостах выпускаются сообществом более
двух лет и за это время стали надежным источником информации по данной
проблематике. По итогам работы аналитиков составляется список Топ 50 наиболее
опасных автономных систем (хостов и сетей), на базе которых было зафиксировано
осуществление повышенной вредоносной деятельности. Все исследования проводятся
при непосредственном участии специалистов Group-IB.

Полный текст отчета доступен по адресу:
http://www.group-ib.ru/images/files/top_50_bad_hosts_201203_ru.pdf.
С его англоязычной версией можно ознакомиться по следующему адресу:

http://hostexploit.com/blog/14-reports/3537-disrupting-cybercrime-via-hosts-and-isps.html.