Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2012. Statystyki dla 2012 roku

Tagi:

Jurij Namiestnikow, ekspert z Kaspersky Lab
Denis Maslennikow, ekspert z Kaspersky Lab
  1. Kaspersky Security Bulletin 2012. Ewolucja szkodliwego oprogramowania
  2. Kaspersky Security Bulletin 2012. Statystyki dla 2012 roku

Ta część raportu wchodzi w skład Kaspersky Security Bulletin 2012 i opiera się na danych uzyskanych i przetworzonych przy użyciu Kaspersky Security Network (KSN). KSN wprowadza technologie oparte na chmurze do produktów korporacyjnych oraz przeznaczonych dla użytkowników indywidualnych i stanowi jedną z najważniejszych innowacji firmy Kaspersky Lab.

KSN pomaga ekspertom z Kaspersky Lab wykrywać nowe szkodliwe oprogramowanie niemal w czasie rzeczywistym, nawet jeśli nie istnieje odpowiednia sygnatura dla danego zagrożenia lub nie jest możliwe wykrywanie w oparciu o heurystykę. KSN pomaga zidentyfikować źródła rozprzestrzeniania szkodliwych programów w internecie i zablokować użytkownikom dostęp do nich.

Jednocześnie dzięki temu, że KSN zapewnia błyskawiczną reakcję na nowe zagrożenia, możemy zablokować uruchomienie nowych szkodników na komputerach użytkowników w ciągu zaledwie kilku sekund od zidentyfikowania ich jako szkodliwych, bez potrzeby wcześniejszej aktualizacji antywirusowej bazy danych.

Statystyki prezentowane w tym raporcie opierają się na danych dostarczonych przez produkty firmy Kaspersky Lab zainstalowane na komputerach użytkowników na całym świecie, którzy wyrazili zgodę na udostępnianie takich informacji.

Mobilne szkodliwe oprogramowanie

Ewolucja mobilnego szkodliwego oprogramowania w 2012 roku toczyła się pod znakiem Androida, jako że twórcy szkodliwego oprogramowania w głównej mierze koncentrowali swoje wysiłki na “małym zielonym robocie”. Nasze prognozy na 2012 rok dotyczące mobilnego szkodliwego oprogramowania obejmujące tworzenie botnetów mobilnych, przeprowadzanie ataków ukierunkowanych z wykorzystaniem mobilnych szkodliwych programów oraz mobilne szpiegostwo okazały się dość trafne.

Szkodliwe oprogramowanie dla Androida

Główne wysiłki autorów szkodliwego oprogramowania w 2012 roku były skoncentrowane na tworzeniu zagrożeń dla Androida. Spowodowało to wzrost zarówno jakościowy jak i ilościowy pod względem mobilnego szkodliwego oprogramowania dla tej platformy. 99% wszystkich mobilnych szkodliwych programów wykrywanych każdego miesiąca było przeznaczonych dla Androida.


Rozkład mobilnego szkodliwego oprogramowania według platformy, 2012 rok

Miesięczne wahania pod względem pojawiania się nowych szkodliwych programów, 2012 rok
 
Top 10 szkodliwych programów dla Androida

Najbardziej rozpowszechnione szkodliwe obiekty wykrywane na smartfonach z Androidem można podzielić na trzy główne grupy: trojany SMS, moduły wyświetlające reklamy oraz exploity pozwalające uzyskać dostęp do smartfonów na poziomie praw administratora.

Dominującą grupę stanowiły trojany SMS, których głównym celem byli użytkownicy w Rosji. Nie powinno to być żadnym zaskoczeniem, biorąc pod uwagę popularność tego rodzaju zagrożeń wśród rosyjskich twórców szkodliwego oprogramowania. Kosztowne SMS-y pozostają najlepszym źródłem dochodów cyberprzestępców „mobilnych”.

Druga grupa zagrożeń mobilnych, które znalazły się w pierwszej dziesiątce, składa się z modułów wyświetlających reklamy - Plangton oraz Hamob. Nie jest przypadkiem, że szkodniki z pierwszej z tych rodzin są wykrywane jako trojany. Plangton znajduje się w darmowych aplikacjach i oprócz tego, że wyświetla reklamy zawiera również funkcjonalność, która odpowiada za modyfikowanie strony domowej w przeglądarce. Strona domowa jest zmieniana bez zgody użytkownika i bez ostrzeżenia, co uznaje się za złośliwe zachowanie. Hamob, który jest wykrywany jako AdWare.AndroidOS.Hamob, podszywa się pod legalne oprogramowanie, w rzeczywistości jednak wyświetla jedynie reklamy.

Trzecią grupę stanowią exploity roota dla smartfonów działających pod kontrolą różnych wersji Androida.

Te same modyfikacje exploitów, które są wykorzystywane w celu zdobycia praw na poziomie administratora w urządzeniach, są wykorzystywane przez coraz większą liczbę modyfikacji backdoorów. Po części wyjaśnia to ich popularność w zeszłym roku.

Wzrost liczby szkodliwych programów w oficjalnych sklepach z aplikacjami

Google Bouncer, moduł antywirusowy służący do automatycznego skanowania wszystkich nowych aplikacji w Google Play (wcześniej Android Market), nie spowodował znaczącej zmiany, jeżeli chodzi o średnią liczbę oraz skalę incydentów związanych ze szkodliwym oprogramowaniem. Ogół społeczeństwa zauważa tylko te incydenty, które spowodowały najwięcej infekcji, tak jak było to w przypadku szkodnika o nazwie Dougalek, który został pobrany przez dziesiątki tysięcy ludzi (głównie w Japonii). Program ten był odpowiedzialny za jeden z największych incydentów naruszenia bezpieczeństwa danych na skutek zainfekowania urządzeń przenośnych. Nie można jednak zapominać o setkach innych incydentów z mniejszą liczbą ofiar.

Na początku lipca po raz pierwszy wykryto szkodliwe oprogramowanie dla iOS w sklepie App Store – pojawiły się tam kopie podejrzanej aplikacji o nazwie „Find and Call”. Szkodnik ten został również zidentyfikowany w sklepie Android Market. Po załadowaniu i uruchomieniu tego programu użytkownicy byli proszeni o podanie swojego adresu e-mail i numeru telefonu w celu zarejestrowania aplikacji. Następnie szkodnik wysyłał dane i kontakty z książki telefonicznej do zdalnego serwera bez wiedzy ofiar.

 
Część procedury ładowania książki telefonicznej na zdalny serwer

Na każdy numer ze skradzionej książki telefonicznej przychodził następnie spam SMS nakłaniający odbiorcę do pobrania aplikacji „Find and Call”.

Pierwsze botnety mobilne

Dzwonek alarmowy odezwał się na samym początku roku wraz z wykryciem Foncy - bota IRC dla Androida, który działał we współpracy z trojanem SMS o tej samej nazwie. Oprócz trojana SMS dropper APK zawierał exploita roota umożliwiającego zwiększenie przywilejów w zainfekowanym systemie, co oznaczało, że bot IRC mógł zdalnie kontrolować zainfekowanego smartfona. Po połączeniu się z serwerem kontroli bot mógł otrzymywać i wykonywać polecenia powłoki. W efekcie, smartfony zainfekowane botem IRC Foncy tworzyły pełnoprawny botnet mogący wykonać niemal każde polecenie botmasterów.

Chińskim twórcom udało się stworzyć botnet składający się z 10 000 - 30 000 aktywnych urządzeń, przy czym łączną liczbę zainfekowanych urządzeń szacuje się na setki tysięcy. Botnet został stworzony przy użyciu backdoora RootSmart, który posiada szeroką funkcjonalność związaną ze zdalną kontrolą telefonów i tabletów z systemem Android. RootSmart był rozprzestrzeniany za pomocą sprawdzonej metody: twórcy szkodliwego oprogramowania przepakowali legalny program i umieścili go na stronie internetowej nieoficjalnego sklepu z aplikacjami z systemem Android, który cieszy się dużą popularnością w Chinach. Osoby, które pobrały ten program w przekonaniu, że pomoże im skonfigurować ich telefony, otrzymały „w prezencie” również backdoora, który przyłączył ich urządzenia do botnetu.

Zakres infekcji RootSmart sugeruje, że stojący za tym szkodnikiem cyberprzestępcy osiągnęli zyski finansowe z botnetu mobilnego. Wybrali najpopularniejszą metodę stosowaną przez mobilnych cyberprzestępców: wysyłanie płatnych wiadomości SMS na krótkie numery. Sprawcy posługiwali się najtańszymi numerami, tak aby mogło upłynąć więcej czasu, zanim ofiary zorientowały się, że ktoś kradnie ich pieniądze. Pełna kontrola pozwala osobom atakującym ukrywać obecność szkodliwego oprogramowania w telefonie przez dłuższy czas, a tym samym dłużej wysysać pieniądze z konta użytkownika.

Ataki ukierunkowane przy użyciu mobilnego szkodliwego oprogramowania

W 2012 roku zidentyfikowano kilka nowych szkodliwych programów przeznaczonych dla systemu innego niż Android, które zostały wykorzystane w atakach ukierunkowanych.

Przykładem są ataki z wykorzystaniem szkodliwych programów ZeuS-in-the-Mobile oraz SpyEye-in-the-Mobile (ZitMo oraz SpitMo). Nowe wersje ZitMo oraz SpitMo pojawiały się regularnie dla Androida i innych systemów operacyjnych. W celu zamaskowania tego szkodliwego oprogramowania jego autorzy wykorzystywali te same metody co dwa lata temu. Obejmują one imitowanie certyfikatów bezpieczeństwa lub podszywanie się pod oprogramowanie bezpieczeństwa dla smartfonów.


Typowy wygląd ZitMo/SpitMo

Urządzenia działające pod kontrolą systemów innych niż Android są wprawdzie mniej popularne, nadal jednak mają swoich zwolenników. Pojawienie się nowych wersji ZitMo dla systemu BlackBerry w 2012 roku oznacza, że twórcy szkodliwego oprogramowania najwyraźniej nie przejmują się pogłoskami o nieuchronnie zbliżającym się końcu tej platformy. W jednej fali ataków cyberprzestępcy wykorzystali nawet szkodliwe oprogramowanie przeznaczone zarówno dla platformy BlackBerry jak i Android.

Szpiegostwo mobilne

W zeszłym roku przewidywaliśmy, że kradzież danych z telefonów komórkowych i śledzenie obywateli przy użyciu ich telefonów oraz usług geolokalizacji stanie się powszechne, wykraczając daleko poza tradycyjny obszar wykorzystywania takich technologii przez organy ścigania i prywatnych detektywów.

Niestety, prognoza ta sprawdziła się. Liczba szkodliwych programów pełniących funkcję trojanów spyware lub backdoorów zwiększyła się tysiąckrotnie. Warto również zwrócić uwagę na wzrost liczby komercyjnych aplikacji przeznaczonych do monitoringu, które trudno odróżnić od szkodliwego oprogramowania.

Najbardziej znamiennym przykładem mobilnego szkodliwego oprogramowania wykorzystywanego do celów szpiegowskich był incydent związany z modułem programu FinSpy. Moduł ten został stworzony przez brytyjską firmę Gamma International, która rozwija oprogramowanie do monitoringu dla agencji rządowych. W efekcie, program ten działa jak trojan szpiegujący. Mobilna wersja FinSpy’a została wykryta przez The Citizen Lab w sierpniu 2012 roku. Zidentyfikowano modyfikacje tego trojana dla systemu Android, iOS, Windows Mobile oraz Symbian. Mimo że różnią się one w zależności od platformy, wszystkie z nich potrafią rejestrować niemal dowolną aktywność użytkownika na zainfekowanym urządzeniu, śledząc jego położenie, wykonując ukryte połączenia oraz wysyłając dane do zdalnych serwerów.

Nadal nie wiadomo, kim byli klienci FinSpy oraz ofiary jego ataków, i w najbliższej przyszłości prawdopodobne również nie uzyskamy odpowiedzi na to pytanie. Jednak nawet bez tych informacji pojawienie się FinSpy oznacza nowy rozdział w historii mobilnego szkodliwego oprogramowania: urządzenia mobilne padają ofiarą ataków ukierunkowanych i szpiegowskich – dokładnie tak samo jak komputery.

Szkodliwe oprogramowanie dla komputerów Mac

W 2012 roku obalone zostały wszystkie mity dotyczące bezpieczeństwa środowiska Mac. Pojawił się dowód na to, że szkodliwe oprogramowanie dla Maków stanowi w rzeczywistości poważne zagrożenie dla cyberbezpieczeństwa.

Na początku 2012 roku odkryto botnet Flashfake złożony z 700 000 komputerów działających pod kontrolą systemu Mac OS X. (Pełna analiza tego trojana downloadera została opublikowana na stronie http://www.viruslist.pl/analysis.html?newsid=708).

Od czasu Flashfake’a nie pojawiły się żadne nowe epidemie, jednak cyberprzestępcy regularnie wykorzystywali szkodliwe oprogramowanie dla Maków do przeprowadzania ataków ukierunkowanych. Wynikało to głównie z popularności, jaką cieszą się produkty firmy Apple wśród wielu wpływowych polityków i znanych biznesmenów. Nie bez znaczenia było również to, że pewna kategoria cyberprzestępców jest zainteresowana informacjami przechowywanymi na urządzeniach posiadanych przez te osoby.

W 2012 roku eksperci z Kaspersky Lab stworzyli o 30% więcej sygnatur umożliwiających wykrywanie różnych trojanów dla Maków niż w 2011 roku. W stosunku do 2010 roku liczba sygnatur stworzonych w ciągu roku zwiększyła się sześciokrotnie.


Liczba nowych sygnatur antywirusowych tworzonych każdego roku w celu wykrywania szkodliwego oprogramowania dla systemu Mac OS X

Flashfake bez wątpienia był najbardziej rozpowszechnionym szkodliwym programem dla Maków w 2012 roku – jego najwcześniejsze wersje zostały wykryte jeszcze w 2011 roku. Szkodnik ten bezsprzecznie stanowił największe zagrożenie w pierwszej połowie 2012 roku. W dalszej części zajmiemy się szkodliwym oprogramowaniem atakującym Mac OS X w drugiej połowie 2012 roku.

TOP 10 szkodliwych programów dla Mac OS X, II połowa 2012 r.

Pozycja Nazwa % wszystkich ataków
1 Trojan.OSX.FakeCo.a 52%
2 Trojan-Downloader.OSX.Jahlav.d 8%
3 Trojan-Downloader.OSX.Flashfake.ai 7%
4 Trojan-Downloader.OSX.FavDonw.c 5%
5 Trojan-Downloader.OSX.FavDonw.a 2%
6 Trojan-Downloader.OSX.Flashfake.ab 2%
7 Trojan-FakeAV.OSX.Defma.gen 2%
8 Trojan-FakeAV.OSX.Defma.f 1%
9 Exploit.OSX.Smid.b 1%
10 Trojan-Downloader.OSX.Flashfake.af 1%

Na pierwszym miejscu znajduje się Trojan.OSX.FakeCo.a (52%). Szkodnik ten podszywa się pod plik instalacyjny kodeka. Jednak po zainstalowaniu go w systemie nie pojawiają się żadne nowe kodeki; zainstalowany program zachowuje się jak program adware, gromadząc informacje o użytkowniku, które mogą być wykorzystane w celach marketingowych, a następnie wysyłając je cyberprzestępcom.

Drugie miejsce zajmuje Jahlav (8%) - trojan, który jest aktywny od czterech lat. Szkodnik ten również ukrywa się pod postacią pliku instalacyjnego kodeka. Trojan ukradkiem kontaktuje się ze szkodliwym serwerem i potrafi pobierać inne pliki na komputer ofiary. Zwykle próbuje pobrać trojana, który zmienia adresy w ustawieniach DNS na takie, które wskazują na szkodliwe serwery. Szkodnik ten jest wykrywany przez produkty firmy Kaspersky Lab jako Trojan.OSX.Dnscha.

Na czwartym i piątym miejscu uplasowały się szkodliwe programy z rodziny Trojan-Downloader.OSX.FavDonw, które łącznie odpowiadały za 7% wszystkich incydentów. Programy te mają tylko jeden cel: po zainstalowaniu na komputerze Mac pobierają fałszywe programy antywirusowe.

Na siódmym i ósmym miejscu znalazły się fałszywe programy antywirusowe z rodziny Trojan-FakeAV.OSX.Defma. Szkodniki te wyłudzają pieniądze od użytkowników za usunięcie szkodliwego oprogramowania, który został rzekomo wykryty na ich komputerach.

Dziewiąte miejsce okupuje Exploit.OSX.Smid.b – exploit, który wykorzystuje lukę w Javie i pozwala cyberprzestępcy uruchomić losowy kod na komputerach, na których Java nie została zaktualizowana.

Po tym, jak wykryto botnet Flashfake, Apple przyjął bardziej rygorystyczne stanowisko odnośnie bezpieczeństwa swojego systemu operacyjnego. Przykładem może być opublikowanie krytycznych łat bezpieczeństwa dla Oracle Java w tym samym czasie, kiedy pojawiły się ich windowsowe odpowiedniki, oraz nowe funkcje bezpieczeństwa w Mac OS X Mountain Lion: domyślnie może być instalowane tylko oprogramowanie z oficjalnego sklepu internetowego; programy pobierane ze sklepu są uruchamiane w bezpiecznym środowisku sandbox; aktualizacje są instalowane automatycznie itd.

Szkodliwe programy w internecie (ataki poprzez WWW)

Liczba ataków przeprowadzanych za pośrednictwem przeglądarek internetowych w 2012 roku zwiększyła się z 946 393 693 do 1 595 587 670. To oznacza, że produkty firmy Kaspersky Lab ochroniły użytkowników online średnio 4 371 473 razy dziennie

Liczba ataków WWW rosła w podobnym tempie jak w zeszłym roku. Liczba prób infekcji sieciowych w 2012 roku była 1,7 razy wyższa niż w 2011 roku, natomiast w 2011 roku 1,6 razy wyższa w stosunku do 2010 roku. Głównym narzędziem wykorzystywanym do przeprowadzania infekcji za pośrednictwem przeglądarki nadal jest pakiet exploitów, który pozwala cyberprzestępcom skutecznie zainfekować komputery, które nie mają zainstalowanego rozwiązania bezpieczeństwa lub posiadają co najmniej jedną popularną aplikację, która jest podatna na ataki (brak aktualizacji bezpieczeństwa).

Dziurawe aplikacje na celowniku szkodliwych użytkowników

O ile rok 2011 został nazwany rokiem luk, rok 2012 można określić jako rok luk w Javie, ponieważ połowa wszystkich wykrytych ataków przeprowadzonych za pośrednictwem exploitów wykorzystywała luki w Oracle Java.

Obecnie Java jest zainstalowana na ponad 3 miliardach urządzeń działających pod kontrolą różnych systemów operacyjnych. Dlatego powstają exploity wieloplatformowe wykorzystujące określone luki w Javie. W 2012 roku wykryliśmy zarówno przeprowadzone na szeroką skalę ataki wykorzystujące zestawy exploitów jak i ataki ukierunkowane wykorzystujące exploity Javy, których celem były zarówno komputery PC jak i Mac.


Aplikacje zawierające luki wykorzystywane przez exploity sieciowe w 2012 roku

W 2012 roku na znaczeniu straciły nieco exploity dla Adobe Readera, odpowiedzialne za 28% wszystkich incydentów. W efekcie aplikacja ta uplasowała się na drugim miejscu w naszym rankingu. Należy zauważyć, że firma Adobe poświęciła więcej uwagi problemowi luk w zabezpieczeniach w ostatnich wersjach Adobe Readera. W szczególności, zostały zaimplementowane narzędzia mające chronić tę aplikację przed exploitami. Zabezpieczenia te znacznie utrudniają stworzenie efektywnych exploitów dla tego oprogramowania.

Na trzecim miejscu pod względem popularności znalazły się exploity dla systemu Windows oraz przeglądarki Internet Explorer. W 2012 roku aktywne exploity nadal wykorzystywały luki wykryte jeszcze w 2010 roku, tj. lukę MS10-042 w Windows Help oraz Support Center i lukę MS04-028 związaną z niepoprawnym przetwarzaniem plików JPEG.

Czwarte miejsce (2%) zajmują exploity dla Androida. Cyberprzestępcy wykorzystują te exploity w celu uzyskania przywilejów na poziomie administratora, co pozwala im przejąć niemal całkowitą kontrolę nad atakowanym systemem.


Wersje systemu Windows zainstalowane na komputerach użytkowników w 2012 roku.

Wersje systemu Windows zainstalowane na komputerach użytkowników w 2011 roku.

W ciągu ostatniego roku odsetek komputerów działających pod kontrolą systemu Windows 7 zwiększył się z 30 do 50%. Mimo że Windows 7 regularne aktualizuje się w sposób automatyczny, nie oznacza to, że nie może paść ofiarą ataków. Jak już wcześniej pisaliśmy, przyczyną naruszenia bezpieczeństwa systemu zwykle są aplikacje innych producentów, a nie komponenty Windowsa.

Top 20 szkodliwych programów w internecie

Zidentyfikowaliśmy 20 najaktywniejszych szkodliwych programów wykorzystywanych w atakach sieciowych na komputery użytkowników. Tworzące tę listę szkodniki odpowiadają za 96% wszystkich ataków sieciowych.

Pozycja Nazwa* Liczba ataków % wszystkich ataków**
1 Malicious URL 1 393 829 795 87,36%
2 Trojan.Script.Iframer 58 279 262 3,65%
3 Trojan.Script.Generic 38 948 140 2,44%
4 Trojan.Win32.Generic 5 670 627 0,36%
5 Trojan-Downloader.Script.Generic 4 695 210 0,29%
6 Exploit.Script.Blocker 4 557 284 0,29%
7 Trojan.JS.Popupper.aw 3 355 605 0,21%
8 Exploit.Script.Generic 2 943 410 0,18%
9 Trojan-Downloader.SWF.Voleydaytor.h 2 573 072 0,16%
10 AdWare.Win32.IBryte.x 1 623 246 0,10%
11 Trojan-Downloader.Win32.Generic 1 611 565 0,10%
12 AdWare.Win32.ScreenSaver.e 1 381 242 0,09%
13 Trojan-Downloader.JS.Iframe.cxk 1 376 898 0,09%
14 Trojan-Downloader.JS.Iframe.cyq 1 079 163 0,07%
15 Trojan-Downloader.JS.Expack.sn 1 071 626 0,07%
16 AdWare.Win32.ScreenSaver.i 1 069 954 0,07%
17 Trojan-Downloader.JS.JScript.ag 1 044 147 0,07%
18 Trojan-Downloader.JS.Agent.gmf 1 040 738 0,07%
19 Trojan-Downloader.JS.Agent.gqu 983 899 0,06%
20 Trojan-Downloader.Win32.Agent.gyai 982 626 0,06%

* Statystyki te opierają się na werdyktach modułu Ochrona WWW (wbudowanego w produkty Kaspersky Lab) o wykryciu szkodliwego oprogramowania i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o zagrożeniach wykrytych na ich komputerach.

**Odsetek unikatowych użytkowników posiadających komputery z zainstalowanym produktem firmy Kaspersky Lab, który zablokował zagrożenia online.

Pierwsze miejsce zajmują szkodliwe strony wykryte za pomocą opartych na chmurze metod wykrywania heurystycznego, które nie wykorzystują tradycyjnych antywirusowych baz danych.

Dzięki wykorzystaniu nowych technologii wykrywania, które opierają się na możliwościach KSN, w zeszłym roku odsetek zagrożeń wykrytych za pomocą metod heurystycznych zwiększył się z 75 do 87%. Większość wykrytych szkodliwych stron zawierała exploity.

Na drugim miejscu znajdują się szkodliwe skrypty wstrzyknięte przez hakerów do kodu zhakowanych legalnych stron internetowych. To oznacza, że istnieje wiele legalnych stron zawierających szkodliwy kod w postaci ukrytych znaczników iframe. Skrypty te są wykorzystywane do przeprowadzania ataków drive-by, w których użytkownik (nie dostrzegając niczego podejrzanego) jest przekierowywany do szkodliwych zasobów online. Podobne szkodliwe skrypty pojawiają się również na 13 i 14 miejscu.

Zagrożenia na trzecim i piątym miejscu to różne werdykty heurystyczne wykrywające szkodliwy kod w postaci skryptów i wykonywalnych plików PE. Tego rodzaju szkodliwe oprogramowanie dzieli się na dwie kategorie. Aplikacje z pierwszej kategorii pobierają i uruchamiają inne szkodliwe programy. Z kolei programy z drugiej kategorii zawierają właściwą funkcję szkodliwą, której działanie polega na kradzieży danych z kont bankowości online i portali społecznościowych lub podobnych danych umożliwiających zalogowanie się do konta na innych serwisach.

Dziewiąte miejsce okupuje Trojan-Downloader.SWF.Voleydaytor.h wykrywany na różnych stronach zawierających treści dla dorosłych. Szkodnik ten podszywa się pod aktualizację programu do odtwarzania filmów, w rzeczywistości jednak dostarcza na komputer użytkownika różne szkodliwe programy.

W rankingu znajdują się dwa exploity: Exploit.Script.Generic (prawie 3 miliony zablokowanych prób pobrania) oraz Exploit.Script.Blocker (4,5 miliona zablokowanych prób pobrania). W ogromnej większości przypadków, użytkownicy trafiają częściej na zestawy niż pojedyncze exploity. Obecnie zestawy exploitów stanowią integralną część ataków drive-by. Zestawy te mogą być modyfikowane i aktualizowane w locie, tak aby zawierały wersje dla nowych luk i mogły obchodzić narzędzia bezpieczeństwa.

Ranking Top 20 zawiera również trzy programy adware z rodziny iBryte i ScreenSaver. AdWare.Win32.IBryte.x rozprzestrzenia się jako downloader popularnego oprogramowania freeware. Po uruchomieniu pobiera żądane przez użytkownika oprogramowanie freeware, instalując jednocześnie moduł adware. Warto zaznaczyć, że równie łatwo można pobrać potrzebne programy z oficjalnych stron, oszczędzając sobie kłopotu związanego z późniejszym usuwaniem programu adware. W zeszłym roku liczba programów adware w rankingu była dwukrotnie większa. Ich udział maleje, ponieważ stopniowo ustępują miejsca bardziej efektywnym i - co ważniejsze – legalnym metodom reklamowania, takim jak reklama kontekstowa w wyszukiwarkach i na portalach społecznościowych.

W przeciwieństwie do 2011 roku tegoroczny ranking Top 20 nie zawiera szkodliwych programów wykorzystywanych w oszustwach opartych na krótkich numerach, takich jak Hoax.Win32.ArchSMS. Programy te nakłaniają użytkownika, aby wysłał wiadomość na krótki numer w celu otrzymania kodu, przy pomocy którego będzie mógł odszyfrować pobrane przez siebie archiwum. W 2011 roku cyberprzestępcy stworzyli strony, które przypominały magazyny plików, jednak oferowane archiwa nie zawierały obiecanej treści. W 2012 roku cyberprzestępcy zaczęli produkować masowo strony, które mogą być wykorzystywane do podobnych oszustw bez konieczności ładowania plików na dysk twardy. Strony te są automatycznie dodawane do czarnych list przez produkty firmy Kaspersky Lab.

Top 20 państw, w których zasoby sieciowe były zainfekowane szkodliwym oprogramowaniem

Przeprowadzając łącznie 1 595 587 670 ataków sieciowych, cyberprzestępcy wykorzystali 6 537 320 unikatowych domen – o 2,5 miliona więcej niż w poprzednim roku. Serwery ze szkodliwym kodem zostały wykryte w strefach internetowych 202 państw na całym świecie. Zaledwie 20 z tych państw odpowiadało za 96,1% całego szkodliwego hostingu zidentyfikowanego przez firmę Kaspersky Lab.

Pozycja Kraj* Liczba ataków** % wszystkich ataków
1 Stany Zjednoczone 413 622 459 25,5%
2 Federacja Rosyjska 317 697 806 19,6%
3 Holandia 271 583 924 16,8%
4 Niemcy 184 661 326 11,4%
5 Wielka Brytania 90 127 327 5,6%
6 Ukraina 71 012 583 4,4%
7 Francja 56 808 749 3,5%
8 Chiny 31 637 561 2,0%
9 Brytyjskie Wyspy Dziewicze 26 593 331 1,6%
10 Kanada 19 316 279 1,2%
11 Republika Czeska 13 311 441 0,8%
12 Izrael 9 953 064 0,6%
13 Szwecja 9 093 053 0,6%
14 Rumunia 6 881 404 0,4%
15 Wietnam 6 624 570 0,4%
16 Hiszpania 6 543 135 0,4%
17 Polska 6 325 848 0,4%
18 Luksemburg 5 669 370 0,3%
19 Irlandia 4 854 163 0,3%
20 Łotwa 4 685 861 0,3%

Statystyki te opierają się na werdyktach modułu Ochrona WWW (wbudowanego w oprogramowanie Kaspersky Lab) o wykryciu szkodliwego oprogramowania i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o infekcjach wykrywanych na ich komputerach.

* W celu określenia geograficznego źródła ataku nazwa domeny jest porównywana z rzeczywistym adresem IP, pod którym jest zlokalizowana dana domena, a następnie określana jest geograficzna lokalizacja adresu IP (GEOIP).

** Łączna liczba unikatowych ataków z zasobów sieciowych przeprowadzonych z danego państwa zarejestrowanych przez moduł Ochrona WWW.

Dwa najwyższe miejsca w rankingu Top 20 zajmują Stany Zjednoczone (25,5%) oraz Rosja (19,6%). Trzeci rok z rzędu na trzecim i czwartym miejscu znalazły się odpowiednio Holandia (16,8%) i Niemcy (11,4%). O ile udział Stanów Zjednoczonych zwiększył się w 2012 roku zaledwie o 0,1 punktu procentowego, większy wzrost odnotowała Rosja (+5 punktów procentowych), Holandia (+7 punktów procentowych) oraz Niemcy ( +2,7 punktu procentowego).

Przed 2010 rokiem Chiny utrzymywały najwięcej szkodliwych serwisów, oferując „dom” dla ponad 50% wszystkich szkodliwych zasobów na całym świecie. W 2010 roku władzom chińskim udało się wyeliminować znaczną część szkodliwych serwisów hostingowych z cyberprzestrzeni tego państwa. Jednocześnie wprowadzono bardziej restrykcyjne przepisy dotyczące rejestrowania domen w strefie .cn. W efekcie udział Chin w szkodliwym hostingu znacznie zmniejszyła się. Od tego czasu obserwujemy stopniową konsolidację szkodliwych stron hostingowych w Stanach Zjednoczonych, Rosji, Holandii i Niemczech.

Stały wzrost udziału Rosji spowodowany był dwoma czynnikami. Po pierwsze, legalne strony często padają ofiarą ataków hakerskich, łącznie z największymi portalami w strefie .ru, a następnie są wykorzystywane do infekowania komputerów użytkowników przy użyciu exploitów. Po drugie, rosyjskie władze znane są z dość pobłażliwego stosunku wobec cyberprzestępców, przez co nadal istnieje ogromna liczba szkodliwych stron tworzonych w Rosji. Przepisy rosyjskie przewidują dość łagodne wyroki dla cyberprzestępców (zwykle w zawieszeniu); w Rosji rzadko dochodzi do odłączenia serwera kontroli botnetu. Na podstawie aktualnych współczynników wzrostu można przewidywać, że Rosja stanie się największym źródłem szkodliwych usług hostingowych już w przyszłym roku.

Cyberprzestępcy w Holandii i Niemczech są bardziej ostrożni. Zwykle rejestrują lub włamują się na ogromną liczbę stron; kiedy adresy URL szkodliwych stron znajdą się na czarnych listach dostawców usług hostingowych, szybko przenoszą szkodliwą zawartość na inne serwery.

Zagrożenia lokalne

Statystyki dotyczące lokalnych infekcji komputerów użytkowników stanowią istotny wskaźnik. Dane te dotyczą zagrożeń, które przeniknęły do systemu komputerowego innym kanałem niż internet, e-mail czy porty sieciowe.

Rozwiązania antywirusowe firmy Kaspersky Lab wykryły prawie 3 miliardy szkodliwych incydentów na komputerach wchodzących w skład Kaspersky Security Network.

W ramach tych incydentów wykryto łącznie 2,7 miliona różnych szkodliwych lub potencjalnie niechcianych programów.

Szkodliwe obiekty wykryte na komputerach użytkowników: Top 20

Szkodliwe programy tworzące poniższy ranking Top 20 stanowią najbardziej rozpowszechnione zagrożenia lokalne 2012 roku.

Pozycja Nazwa Liczba unikatowych użytkowników* %%
1 Trojan.Win32.Generic 9 761 684 22,1%
2 DangerousObject.Multi.Generic 9 640 618 21,9%
3 Trojan.Win32.AutoRun.gen 5 969 543 13,5%
4 Trojan.Win32.Starter.yy 3 860 982 8,8%
5 Virus.Win32.Virut.ce 3 017 527 6,8%
6 Net-Worm.Win32.Kido.ih 2 752 409 6,2%
7 Net-Worm.Win32.Kido.ir 2 181 181 4,9%
8 Virus.Win32.Sality.aa 2 166 907 4,9%
9 Hoax.Win32.ArchSMS.gen 2 030 664 4,6%
10 Virus.Win32.Generic 2 017 478 4,6%
11 Virus.Win32.Nimnul.a 1 793 115 4,1%
12 HiddenObject.Multi.Generic 1,508,877 3,4%
13 Trojan.WinLNK.Runner.bl 1 344 989 3,1%
14 Worm.Win32.AutoRun.hxw 948 436 2,2%
15 Virus.Win32.Sality.ag 841 994 1,9%
16 Virus.Win32.Suspic.gen 408 201 0,9%
17 Trojan.Win32.Patched.dj 367 371 0,8%
18 Email-Worm.Win32.Runouce.b 295 887 0,7%
19 Trojan-Dropper.Script.Generic 232 007 0,5%
20 AdWare.Win32.GoonSearch.b 196 281 0,4%

Statystyki te są oparte na werdyktach modułu antywirusowego (wbudowanego w oprogramowanie Kaspersky Lab) dotyczących wykrycia szkodliwego oprogramowania i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o infekcjach wykrywanych na ich komputerach. *Liczba unikatowych użytkowników, na komputerach których program antywirusowy wykrył dane zagrożenie.

Próby infekcji zostały zablokowane na 13,5 miliona komputerów po wykryciu ich przy użyciu różnych metod heurystycznych jako Trojan.Win32.Generic (1 miejsce), Virus.Win32.Generic (8 miejsce), HiddenObject.Multi.Generic (12 miejsce) oraz Trojan-Dropper.Script.Generic (19 miejsce).

Na drugim miejscu znajdują się różne szkodliwe programy wykryte przy użyciu technologii chmury jako DangerousObject.Multi.Generic. Technologie chmury są skuteczne wtedy, gdy nie są jeszcze dostępne sygnatury lub heurystyka umożliwiająca wykrycie określonego szkodliwego programu, ale producent rozwiązań antywirusowych posiada już informacje o danym zagrożeniu w swojej chmurze. W ten sposób wykrywane jest najnowsze szkodliwe oprogramowanie. Ponad 9,6 miliona maszyn użytkowników było chronionych w czasie rzeczywistym przy pomocy Urgent Detection System (UDS), który wchodzi w skład Kaspersky Security Network.

Siedem programów z rankingu Top 20 posiada mechanizm samodzielnego rozprzestrzeniania się lub jest wykorzystywanych jako komponent mechanizmu rozprzestrzeniania robaków: Trojan.Win32.Starter.yy (4 miejsce), Net-Worm.Win32.Kido.ih (6 miejsce), Net-Worm.Win32.Kido.ir (7 miejsce), Virus.Win32.Sality.aa (8 miejsce), Virus.Win32.Nimnul.a (11 miejsce), Virus.Win32.Sality.ag (15 miejsce) oraz Virus.Win32.Suspic.gen (16 miejsce).

W 2012 roku ponad 2 miliony użytkowników zetknęło się z oszustwem wykorzystującym numery SMS premium (Hoax.Win32.ArchSMS.gen, 9 miejsce). Oszuści próbują nakłonić użytkowników do wysłania SMS-a na numer premium, głównie poprzez obiecanie dostępu do instalatora archiwum gry, programu, e-booka itd. W większości przypadków, po wysłaniu wiadomości premium użytkownicy nie otrzymują w zamian nic.

Trojan.WinLNK.Runner.bl (13 miejsce) oraz Worm.Win32.AutoRun.hxw (14 miejsce) to werdykty wykrycia dla szkodliwych plików .lnk (tj. skróty). Pliki .lnk w szkodliwym oprogramowaniu z tych rodzin uruchamiają cmd.exe z parametrem zapewniającym wykonanie szkodliwego pliku .exe. Robaki powszechnie wykorzystują takie pliki, aby rozprzestrzeniać się za pośrednictwem urządzeń USB.

Innym ciekawym okazem jest Trojan.Win32.Patched.dj (17 miejsce). Jest to werdykt wykrycia dla zainfekowanych plików .exe i .dll. Jego funkcja szkodliwa polega na przesłaniu e-mailem informacji o infekcji do twórcy tego szkodnika, otwarciu portu na komputerze, a następnie czekaniu na polecenia. Stojący za tym szkodnikiem hakerzy mogą pobrać pliki na zainfekowany komputer, wykonać je, zamknąć programy działające na komputerze itd. Docelowo, szkodnik ten jest wykorzystywany do tworzenia botnetów. Cyberprzestępcy w dużej mierze przerzucili się na tworzenie botnetów poprzez infekowanie komputerów online przy użyciu exploitów. Techniki obejmujące infekowanie plików wykonywalnych nie są popularne wśród komercyjnie ukierunkowanych twórców szkodliwego oprogramowania, ponieważ kontrolowanie samodzielnego rozprzestrzeniania się wirusów i robaków jest bardzo trudne, a duże botnety są szybko wykrywane przez organy ścigania.

Mechanizmy infekcji szybko ewoluują - w tym roku nasz ranking nie zawiera żadnych nowych rodzin wirusów czy robaków. Liderzy to Sality, Virut, Nimnul oraz Kido.

Szerszy obraz

Aby ocenić, w których państwach użytkownicy są najczęściej narażeni na cyberzagrożenia, obliczyliśmy, jak często produkty antywirusowe generowały werdykty wykrycia na maszynach użytkowników w każdym kraju. Uzyskane dane określają ryzyko infekcji, na jakie są narażone komputery w różnych krajach na całym świecie, dostarczając wskaźnik agresywności środowiska, w którym działają komputery w różnych państwach.

Zagrożenia sieciowe

Najbardziej interesującym wskaźnikiem jest ryzyko infekcji online, która jest głównym źródłem szkodliwych obiektów dla użytkowników w większości krajów na świecie.

Pozycja Państwo % unikatowych użytkowników*
1 Federacja Rosyjska 58,6
2 Tadżykistan 58,5
3 Azerbejdżan 57,1
4 Armenia 55,7
5 Kazachstan 55,5
6 Białoruś 51,8
7 Bangladesz 51,7
8 Sri Lanka 51,5
9 Indie 51,1
10 Sudan 51,0
11 Turkmenistan 51,0
12 Oman 48,0
13 Uzbekistan 47,5
14 Malezja 47,3
15 Mołdawia 47,2
16 Malediwy 46,8
17 Ukraina 46,8
18 Włochy 45,6
19 Stany Zjednoczone 45,1
20 Hiszpania 44.7

Statystyki te są oparte na werdyktach modułu Ochrona WWW (wbudowanego w produkty Kaspersky Lab) dotyczących wykrycia szkodliwego oprogramowania i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o infekcjach wykrywanych na ich komputerach. Wyłączyliśmy te państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

* Unikatowi użytkownicy, których komputery były celem ataków sieciowych, jako odsetek wszystkich unikatowych użytkowników produktów Kaspersky Lab w danym państwie.

Drugi rok z rzędu na pierwszym miejscu w rankingu znajduje się Rosja. W stosunku do zeszłego roku poziom ryzyka dla użytkowników rosyjskich zwiększył się z 55,9 do 58,6%. Niestety rosyjski segment internetu stanowi schronienie dla różnych projektów cyberprzestępczych. W 2012 roku cyberprzestępcy wykorzystali rosnącą popularność bankowości online wśród indywidualnych użytkowników i przedsiębiorców i aktywnie rozprzestrzeniali szkodliwe oprogramowanie atakujące te systemy. Innym powszechnym oszustwem w rosyjskiej części internetu jest zarabianie pieniędzy na SMS-ach premium: oszuści proszą użytkowników o zapłacenie za towary/usługi poprzez wysłanie wiadomości na numer premium, nie dostarczają jednak obiecanych towarów/usług.

Na drugim i trzecim miejscu w rankingu uplasowały się Tadżykistan (58,5%) i Azerbejdżan (57,1% użytkowników padło ofiarą ataków), które awansowały odpowiednio z 17 i 6 miejsca.

Trzy najniższe pozycje w rankingu Top 20 dla 2012 roku zajmują Włochy, Stany Zjednoczone oraz Hiszpania.

Stany Zjednoczone, które w 2011 roku znajdowały się na trzecim miejscu, spadły na 19 pozycję: udział użytkowników, którzy padli ofiarą ataków, zmniejszył się z 50,1 do 45,1%. Spadek ten można przypisać skutecznym wysiłkom ukierunkowanym na zwalczanie cyberprzestępczości jak również rozbiciu kilku dużych botnetów, takich jak DNSChanger, Hlux oraz kilka sieci zombie ZeuS (Zbot).

Włochy i Hiszpania stanowią nowicjuszy w rankingu Top 20 stworzonym w oparciu o liczbę użytkowników, którzy padli ofiarą ataków podczas surfowania po Sieci. Liczba incydentów na jednego użytkownika zwiększyła się w tych państwach w 2012 roku, głównie na skutek ataków trojanów bankowych.

Wszystkie państwa można przydzielić do jednej z poniższych kategorii ze względu na poziom ryzyka online:

  1. Wysokie ryzyko
    Grupa ta obejmuje 31 państw, w których poziom ryzyka waha się w granicach 41-60%. Oprócz państw z rankingu Top 20 znalazła się w niej również Australia (44,4%), Indonezja (44,2%), Kanada (42,8%), Gruzja (42,3%) oraz Wielka Brytania (41,1%).
  2. Średnie ryzyko
    Ta grupa składa się z 110 państw, w których poziom ryzyka waha się w granicach 21-40,9%. Obejmuje takie państwa jak Turcja (39,9%), Francja (39,8%), Chile (39,4%), Chiny (38,4%), Polska (37,1%), Litwa (35,3%), Szwecja (34,1%), Austria (34%), Ekwador (33,3%), Niemcy (31,8%), Finlandia (27,9%), Norwegia (27,3%), Japonia (22,8) oraz Dania (21,6%).
  3. Niskie ryzyko
    W 2012 roku do grupy tej (poziom ryzyka od 0% do 20,9%) należało 10 państw: Gabon (20,6%), Togo (20,5%), Reunion (20,2%), Niger (19,6%), Mauritius (18%), Gwadelupa (17,8%), Martynika (17,7%), Benin (17,2%), Burundi (16,9%) i Kongo (16,7%).

Pierwsza grupa powiększyła się o ośmiu nowych członków. Większość należących do niej państw to państwa postradzieckie i azjatyckie. Niestety, liczba państw europejskich w grupie wysokiego ryzyka również wzrosła.

Z grupy niskiego ryzyka wypadły wszystkie państwa europejskie i składa się teraz wyłącznie z państw afrykańskich. Warto zauważyć, że państwa, które przesunęły się do grupy niskiego ryzyka na podstawie poziomu zagrożenia podczas surfowania po Sieci, nadal znajdują się w grupach maksymalnego lub wysokiego ryzyka ze względu na współczynnik infekcji. Powodem, dla którego mieszczą się w grupie niskiego ryzyka w pierwszym przypadku, jest to, że w państwach tych internet nadal nie jest wystarczająco dobrze rozwinięty i w celu wymiany plików powszechnie wykorzystuje się dyski przenośne. W efekcie, zagrożenia sieciowe rzadko pojawiają się na naszych radarach w tych państwach, podczas gdy wirusy i robaki, które rozprzestrzeniają się za pośrednictwem urządzeń USB i zainfekowanych plików, stanowią zagrożenie dla ogromnej liczby użytkowników.

Średni globalny poziom zagrożenia internetowego wzrastał przez dwa lata z rzędu, osiągając w 2012 roku 34,7% - o 2,4% więcej niż w 2011 roku. W ciągu omawianego roku jeden na trzech użytkowników internetu na świecie był celem ataku komputerowego przynajmniej raz w roku.

Zagrożenia lokalne

Oprócz infekcji sieciowych interesujące są również dane dotyczące wykrywania szkodliwego oprogramowania na maszynach użytkowników lub nośnikach wymiennych podłączonych do komputerów – urządzeniach USB, kartach pamięci aparatów i telefonów, zewnętrznych dyskach twardych. Zasadniczo, statystyki te odzwierciedlają poziom infekcji komputerów osobistych w różnych państwach na świecie.

Miejsce Państwo %*
1 Bangladesz 99,7
2 Sudan 88,2
3 Malawi 78,0
4 Tanzania 77,4
5 Rwanda 76,5
6 Afganistan 75,6
7 Indie 75,2
8 Laos 73,3
9 Nepal 72,9
10 Angola 72,0
11 Wietnam 70,4
12 Mauretania 69,8
13 Irak 69,6
14 Malediwy 69,2
15 Uganda 69,0
16 Sri Lanka 68,5
17 Mongolia 68,0
18 Dżibuti 67,4
19 Mali 67,3
20 Wybrzeże Kości Słoniowej 67,0

Statystyki te są oparte na werdyktach modułu antywirusowego (wbudowanego w oprogramowanie Kaspersky Lab) dotyczących wykrycia szkodliwego oprogramowania i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o infekcjach wykrywanych na ich komputerach. Wyłączyliśmy te państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

* Unikatowi użytkownicy, których komputery stanowiły cel lokalnych ataków, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

Ranking Top 20 dla 2012 roku tworzą państwa afrykańskie i azjatyckie. Od zeszłego roku sytuacja w krajach, które najwyżej uplasowały się w rankingu, nie uległa poprawie. Tak jak w 2011 roku, infekcja szkodliwym oprogramowaniem dotknęła dziewięciu na 10 komputerów w Sudanie i Bangladeszu przynajmniej raz w ciągu roku. Ponadto brak kultury promującej ochronę antywirusową oraz bardzo ograniczona wiedza dotycząca potencjalnych zagrożeń komputerowych sprawia, że komputery w tych państwach są bardzo podatne na szkodliwe oprogramowanie.

Pod względem poziomu lokalnych zagrożeń państwa można podzielić na następujące kategorie:

  1. Maksymalnego ryzyka (ponad 75%): siedem państw z Azji i Afryki, łącznie z Indiami (75,2%) i Bangladeszem (99,7%), które zaklasyfikowały się również do grupy wysokiego ryzyka związanego z surfowaniem po internecie.
  2. Wysokiego ryzyka (56-74,9%): 41 państw, w tym Indonezja (64,7%), Etiopia (58,2%) i Kenia (58%).
  3. Średniego ryzyka (35-55,9%): %): 67 państw, łącznie z Chinami (52,7%), Kazachstanem (52,6%), Rosją (48,7%), Turcją (48,67%), Brazylią (43,5%), Koreą Południową (39,8%), Hiszpanią (39,8%), Portugalią (35,8%) i Litwą (35,7%).
  4. Niskiego ryzyka (0-34,9%): 38 państw, w tym Stany Zjednoczone (33,3%), Francja (32,8%), Wielka Brytania (30,9%), Łotwa (31,4%) i Belgia (27,2%). W zeszłym roku w grupie tej znajdowało się zaledwie 14 państw; w 2012 jej liczebność wzrosła prawie trzykrotnie. Zmiany te spowodowane są głównie stopniowym wymieraniem wirusów starej szkoły robaków autorun.

    Top 10 państw o najniższym odsetku infekcji komputerowych:

    Pozycja Państwo* %
    1 Dania 15,0
    2 Japonia 19,5
    3 Finlandia 19,8
    4 Szwecja 22,9
    5 Republika Czeska 23,5
    6 Holandia 23,9
    7 Norwegia 24,0
    8 Luksemburg 24,2
    9 Niemcy 24,3
    10 Szwajcaria 24,4

    W grupie państw niskiego ryzyka zaatakowanych zostało średnio 25,4% maszyn użytkowników. To o 4 punkty procentowe mniej niż w zeszłym roku.

    Podsumowanie

    2012 był rokiem, w którym cyberprzestępcy bardziej zainteresowali się nowymi platformami, głównie Mac OS X oraz Androidem. Ponieważ cyberprzestępcy zawsze chętne korzystają z okazji zainfekowania ogromnej liczby komputerów i urządzeń niewymagającego zbyt wielkiego wysiłku, liczba ataków na użytkowników wykorzystujących komputery Mac i z systemem Android rośnie.

    Na początku 2012 roku wykryto botnet złożony z ponad 700 000 komputerów Mac. Botnet ten został stworzony przy użyciu szkodliwego oprogramowania Flashfake. Osoby atakujące mogły instalować dowolne dodatkowe szkodliwe moduły na zainfekowanej maszynie. Wiadomo, że jeden z modułów był odpowiedzialny za fałszowanie wyników wyświetlanych w wyszukiwarkach. Jednak w incydencie związanym ze szkodliwym oprogramowaniem dla komputerów Mac nie chodzi jedynie o masowe ataki. W ciągu roku wykrywaliśmy ataki ukierunkowane przeprowadzane przy użyciu backdoorów, których celem byli użytkownicy systemów Mac OS X. Wyraźnie pokazują to nasze statystyki: w 2012 roku liczba wpisów w antywirusowych bazach danych dla szkodliwego oprogramowania przeznaczonego dla Mac OS X zwiększyła się o 30% w stosunku do 2011 roku.

    Epidemia trojanów atakujących komputery Mac oraz niekończący się strumień szkodliwego oprogramowania dla Androida nadały nowy wymiar kwestii ochrony nowych platform. Konieczność takiej ochrony stała się oczywista dla większości użytkowników internetu na świecie. Mity dotyczące rzekomej odporności komputerów Mac na szkodliwe oprogramowanie zostały obalone. Producenci zaczęli zwracać większą uwagę na ochronę swoich platform: nowa wersja Mac OS X zawierała wiele funkcji zwiększających bezpieczeństwo; Google z kolei zaczął skanować aplikacje dodawane do swojego sklepu z aplikacjami. Również branża antywirusowa zareagowała na te wydarzenia i zaczęła oferować rozwiązania takie jak Kaspersky One, które zapewnia ochronę szerokiemu wachlarzowi urządzeń – od komputerów PC i Mac po smartfony i tablety.

    Niestety, mimo pewnych sukcesów w walce z cyberprzestępczością odsetek użytkowników, którzy padli ofiarą ataków online, nadal zwiększał się w 2012 roku i wynosił 34%. Żadne europejskie państwo nie zaklasyfikowało się do grupy niskiego ryzyka, w której odsetek użytkowników, którzy zostali zaatakowani surfując po internecie, wynosił mniej niż 20%.

    O ile rok 2011 został nazwany rokiem luk w zabezpieczeniach, rok 2012 można określić jako rok luk w Javie. Według naszych statystyk, w 2012 roku połowa wszystkich ataków przeprowadzanych przy pomocy exploitów wykorzystywała luki w Javie. Co istotne, cyberprzestępcy wykorzystywali luki zarówno w masowych jak i ukierunkowanych atakach na komputery PC i Mac.