Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2013. Podsumowanie 2013 r.

Tagi:

Spis treści

  1. 2013 w liczbach
  2. Zagrożenia mobilne
  3. Aplikacje podatne na ataki wykorzystywane przez cyberprzestępców
  4. Zagrożenia online (ataki poprzez strony WWW)
  5. Zagrożenia lokalne

Niniejszy raport wchodzi w skład Kaspersky Security Bulletin 2013 i opiera się na danych uzyskanych i przetworzonych przy użyciu Kaspersky Security Network (KSN). KSN wprowadza technologie oparte na chmurze do produktów korporacyjnych oraz przeznaczonych dla użytkowników indywidualnych i stanowi jedną z najważniejszych innowacji firmy Kaspersky Lab.

Statystyki prezentowane w tym raporcie oparte są na danych uzyskanych z produktów Kaspersky Lab zainstalowanych na komputerach użytkowników na całym świecie. Użytkownicy wyrazili zgodę na pozyskiwanie z ich komputerów informacji statystycznych na temat szkodliwej aktywności.

2013 w liczbach

  • W nawiązaniu do danych pochodzących z KSN, w 2013 roku produkty Kaspersky Lab zneutralizowały 5 188 740 554 cyberataków na komputery użytkowników i urządzenia mobilne.
  • Wykryto 104 427 nowych modyfikacji szkodliwego oprogramowania na urządzenia mobilne.
  • Produkty Kaspersky Lab zneutralizowały 1 700 870 654 ataków zainicjowanych z komputerów będących online na całym świecie.
  • Produkty Kaspersky Lab wykryły blisko 3 miliardy ataków wirusów na komputery użytkowników. Z udaremnionych ataków łącznie 1,8 miliona stanowiły szkodliwe i potencjalnie niechciane programy.
  • 45% ataków ze stron internetowych zneutralizowanych przez produkty Kaspersky Lab pochodziło z zainfekowanych stron zlokalizowanych w USA i Rosji.

Zagrożenia mobilne

Rynek mobilny jest jednym z najszybciej rozwijających się obszarów bezpieczeństwa IT. W 2013 roku problemy bezpieczeństwa związane z urządzeniami mobilnymi osiągnęły nowy, wyższy poziom dojrzałości, zarówno pod względem ilości, jak i jakości. Jeżeli 2011 był rokiem, kiedy mobilne zagrożenia stawały się coraz bardziej popularne, zwłaszcza w krainie Androida, a 2012 był rokiem dywersyfikacji złośliwego oprogramowania, to w 2013 mobilne szkodniki osiągnęły pełnoletniość. Nie jest wielkim zaskoczeniem fakt, że szkodliwe programy w wydaniu mobilnym, pod względem techniki ataków i modelu biznesowego, zbliżają się coraz bardziej do szkodników przeznaczonych na komputery klasy PC, niemniej jednak tempo rozwoju tego typu oprogramowania jest zadziwiające.

Obad, prawdopodobnie najbardziej niezwykłe odkrycie w dziedzinie zagrożeń mobilnych, jest dystrybuowany na wiele sposobów, w tym przez wstępnie ustawione botnety. Smartfony z systemem Android zainfekowane trojanem Opfake.a są używane do powielania i wysyłania wiadomości tekstowych zawierających złośliwe linki do każdego kontaktu na urządzeniu ofiary. Działania takie były powszechną praktyką w świecie zagrożeń PC a teraz trafiają do szkodników mobilnych.

Mobilne botnety oferują znaczną przewagę nad ich tradycyjnymi odpowiednikami: smartfony rzadko są wyłączane, a to sprawia, że można na nich polegać w większym stopniu, ponieważ prawie wszystkie ich zasoby są zawsze dostępne i gotowe do wykonywania instrukcji. Typowe zadania realizowane przez botnety to m.in. masowe wysyłanie spamu, ataki DDoS i masowe szpiegostwo danych osobowych. Nie wymagają one dużej mocy obliczeniowej i łatwo je wykonać na smartfonach. Botnet MTK, pojawił się na początku 2013 roku, a Opfake był kolejnym z wielu i zagrożenia te są dowodem, że mobilne botnety nie są już placem zabaw dla cyberprzestępców, lecz stały się powszechną praktyką, która ma na celu zarabianie pieniędzy.

Ważne wydarzenia

  1. Mobilne trojany bankowe.
Zalicza się do nich mobilny phishing, kradzież informacji dotyczących karty kredytowej przypisanej do mobilnego rachunku i wreszcie do mobilnego portfela QIWI. W 2013 spotkaliśmy także mobilne trojany, które są w stanie sprawdzić saldo na rachunku ofiary, co pomaga cyberprzestępcom w uzyskaniu jak największych zysków.
  2. Mobilne botnety. Tak jak wspomniano wyżej, botnety oferują dużą elastyczność w scenariuszach nielegalnych metod pozyskiwania pieniędzy. Dotknęło to także świata urządzeń mobilnych i wszystko wskazuje na to, że tak zostanie. Według naszych wyliczeń, około 60% mobilnych szkodliwych programów stanowi element większego lub mniejszego botnetu.
  3. Backdoor.AndroidOS.Obad. Ten szkodnik jest wciąż realnym zagrożeniem - dotychczas znaleziono trzy exploity, backdoora, troajna SMS oraz narzędzia dające mu możliwości botnetu. Jest swego rodzaju szwajcarskim scyzorykiem o dużej funkcjonalności.
  4. Używanie GCM do kontroli botnetów. Cyberprzestępcy znaleźli sposób, by wykorzystać usługę Google Cloud Messaging (GCM) do kontroli urządzeń zombie podłączonych do botnetu. Metoda ta jest stosowana przez stosunkowo niewielką liczbę szkodliwych programów, ale niektóre z nich są powszechnie stosowane. Rozkazy otrzymywane z GCM są przetwarzane przez system GCM i zablokowanie tych poleceń bezpośrednio na zainfekowanym urządzeniu jest niemożliwe.
  5. Ataki APT przeciwko ujgurskim aktywistom.
Widzieliśmy już szkodliwe oprogramowanie pisane dla systemu Windows i OS X, wykorzystujące znane rozszerzenia, takie jak PDF, XLS, DOC czy ZIP, które były wysyłane w załącznikach e-mail, w celu przeprowadzenia ataku. Teraz do tego arsenału zostały dodane pliki z rozszerzeniem APK, szpiegując dane osobowe na urządzeniach mobilnych ofiar i umożliwiając ich namierzenie.
  6. Słabości w Androidzie.
Mówiąc krótko, widzieliśmy exploity biorące sobie za cel Androida z trzech powodów. By obejść sprawdzanie i poprawność aplikacji w czasie instalacji, w celu zwiększenia praw danej aplikacji oraz utrudnienia analizy. Dwie ostatnie metody użyte zostały także w Obadzie.
  7. Ataki na PC-ty przy pomocy urządzeń z Androidem. Widzieliśmy już szkodliwe oprogramowanie dla tradycyjnych systemów, które infekuje smartfony, ale nie odwrotnie. Niestety smartfony mogą już infekować komputery PC. Kiedy zainfekowany Android jest podłączony do komputera poprzez USB i ustawiony w trybie emulacji, złośliwe oprogramowanie zostaje uruchomione.

Statystyki

W zakresie mobilnych systemów operacyjnych, które są na celowniku złośliwego oprogramowania, nic nie zmieniło się w sposób znaczący w 2013 roku. Android jest nadal celem numer jeden, przyciągając aż o 98,05% znanych szkodliwych programów. Żaden inny system operacyjny nie jest w stanie nawet zbliżyć się do tego wyniku. Przyczyną takiego stanu rzeczy jest czołowa pozycja na rynku, występowanie aplikacji poza oficjalnymi źródłami i fakt, że Android ma dość otwartą architekturę, dzięki czemu jest łatwy w obsłudze zarówno dla programistów aplikacji jak i twórców szkodliwego oprogramowania. Nie spodziewamy się zmiany tego trendu w najbliższej przyszłości. 


stat_ksb_2013_01_auto.png
Dystrybucja szkodliwego oprogramowania według platformy

Do tej pory zebraliśmy 8 260 509 unikalnych pakietów instalacyjnych szkodliwego oprogramowania dla urządzeń mobilnych. Należy pamiętać, że różne pakiety instalacyjne mogą uruchamiać aplikacje z tymi samymi funkcjami. Różnice leżą w interfejsie złośliwych aplikacji i - na przykład - na w treści SMS-ów, które wysyłają.

Nasza kolekcja zawiera 148 778 próbek złośliwego oprogramowania przeznaczonego na urządzenia mobilne w momencie pisania tego podsumowania. 104 421 z nich znaleziono w 2013 roku. W samym październiku odnotowano 19 966 modyfikacji, czyli połowę tego co Kaspersky Lab znalazł w całym 2012 roku. Na szczęście, jest to dalekie od sytuacji, której doświadczamy w świecie PC, gdzie codziennie w naszym laboratorium przetwarzamy ponad 315 tysięcy próbek szkodliwego oprogramowania. Mimo to, trend jest bardzo widoczny i wszystko wskazuje na to, że zostanie on utrzymany. 

 stat_ksb_2013_02.png

Liczba mobilnych szkodliwych programów w naszej kolekcji

Spośród mobilnych szkodników, trojany SMS są wciąż wiodą prym.

 
stat_ksb_2013_03_auto.png

Podział szkodliwego oprogramowania ze względu na zachowanie

Niemniej jednak, trojany SMS z kilkoma wyjątkami, wyewoluowały w boty, w związku z czym możemy je połączyć dwie pierwsze grupy w jedną kategorię - szkodliwe oprogramowanie typu backdoor. Zatem 62% mobilnego szkodliwego oprogramowania stanowi element mobilnych botnetów.

Główne ustalenia

  1. Wszystkie techniki i mechanizmy infekowania przenoszą się bardzo szybko z PC-tów na Androida dzięki otwartości tego systemu i popularności wśród użytkowników.
  2. Większość mobilnego szkodliwego oprogramowania jest nastawiona na kradzież pieniędzy. Na drugim miejscu znajduje się kradzież danych osobowych.
  3. Większość mobilnego szkodliwego oprogramowania składa się z botów, które pozwalają na dodawanie nowych funkcji. W niedalekiej przyszłości z pewnością będziemy obserwować kupno i sprzedaż mobilnych botnetów.
  4. Bankowość online jest celem dla złośliwego oprogramowania. Cyberprzestępcy obserwują rozwój bankowości mobilnej. Jeżeli smartfon zostanie pomyślnie zainfekowany, sprawdzają czy telefon jest przypisany do karty bankowej.

Aplikacje podatne na ataki wykorzystywane przez cyberprzestępców

Poniższa ocena aplikacji wrażliwych na ataki opiera się na danych zebranych odnośnie exploitów stosowanych przez cyberprzestępców zarówno w atakach internetowych, jak i w kompromitowaniu programów zainstalowanych na komputerze, a także na urządzeniach mobilnych użytkowników, które zostały zablokowane przez nasze produkty. 

stat_ksb_2013_04_auto.png
Dystrybucja exploitów wykorzystywanych w cyberatakach ze względu na rodzaj atakowanych aplikacji

90,52% ze wszystkich prób użycia exploitów na programach zainstalowanych na urządzeniu użytkownika dotyczyło Javy firmy Oracle. Słabości zostały wykorzystane poprzez ataki drive-by, które odbywały się poprzez internet. Nowe exploity dla Javy są obecne w wielu paczkach/pakietach zawierających gotowe exploity.

Na drugim miejscu znalazła się kategoria "komponenty systemu Windows", do której wliczamy podatne na atak pliki systemu, które nie  dotyczą Internet Explorera oraz pakietu Microsoft Office - te zaliczyliśmy do osobnych kategorii. Większość ataków w tej kategorii dotyczy luki odkrytej w win32k.sys – CVE-2011-3402, która po raz pierwszy została użyta przez Duqu.

Na trzecim miejscu z udziałem 2,5% znajdują się exploity przeznaczone dla platformy Android. Cyberprzestępcy (a czasami także i użytkownicy) wykorzystują pewne słabości systemu Android po to, by uzyskać prawa roota (administratora) na urządzeniu mobilnym, co pozwala na bardzo precyzyjne zarządzanie systemem i jego modyfikację. Te luki nie są używane w atakach drive-by, a exploty dla nich są wykrywane przez antywirusa jeżeli nastąpiła próba pobrania pliku zawierającego exploita oraz przez skaner rezydentny jeżeli exploit został znaleziony na urządzeniu. Całkiem niedawno zgłoszono, że przeglądarka Chrome dla Nexusa 4 i Samsunga Galaxy S4, zawiera lukę, która może wykorzystać przyszłe słabości i niedoskonałości Androida do ataków drive-by.

stat_ksb_2013_05_auto.png 

Rodzaje systemu Windows zainstalowane na komputerach użytkowników w 2013 roku.

Z pośród użytkowników produktów Kaspersky Lab, którzy zgodzili się na udział w KSN, 61,5% używa systemu Windows 7 (5% więcej niż w zeszłym roku), a 6,3% stosuje Windows XP (7,75% mniej w stosunku do 2012).

Zagrożenia online (ataki poprzez strony WWW)

W tej sekcji raportu dane zostały dostarczone przez elementy systemu antywirusowego WWW, który chroni użytkowników, kiedy szkodliwy kod zaczyna być pobierany z zainfekowanych stron internetowych. Zainfekowane strony mogą być tworzone przez cyberprzestępców, ale mogą to także być legalne zasoby, które uległy infekcji.

Liczba ataków przeprowadzonych z zasobów internetowych zlokalizowanych na całym świecie zwiększyła się z 1 595 587 670 w roku 2012 do 1 700 870 654. Oznacza to, że produkty firmy Kaspersky Lab codziennie chroniły użytkowników średnio 4 659 920 razy, gdy ci byli online.

W porównaniu do ubiegłego roku nastąpił spadek tempa wzrostu ataków opartych na przeglądarce. Liczba zneutralizowanych ataków internetowych w 2013 jest 1,07 razy większa niż w 2012 r., podczas gdy w 2012 r. było to 1,7. Główne narzędzie służące do ataków opartych na przeglądarce to wciąż pakiety exploitów dające cyberprzestępcom skuteczny sposób na zainfekowanie komputerów ofiar, które nie mają zainstalowanego produktu bezpieczeństwa, lub posiadają przynajmniej jedną popularną aplikację, która jest podatna na atak (czy też wymaga instalacji uakutalnień).

Top 20 szkodliwych programów w internecie

Zidentyfikowaliśmy 20 najbardziej aktywnych szkodliwych programów, biorących udział w atakach internetowych na komputery użytkowników. Lista zawiera 99,9% wszystkich ataków internetowych.

 

Nazwa*

% wszystkich ataków**

1

Malicious URL

93,01%

2

Trojan.Script.Generic

3,37%

3

AdWare.Win32.MegaSearch.am

0,91%

4

Trojan.Script.Iframer

0,88%

5

Exploit.Script.Blocker

0,49%

6

Trojan.Win32.Generic

0,28%

7

Trojan-Downloader.Script.Generic

0,22%

8

Trojan-Downloader.Win32.Generic

0,10%

9

Hoax.SWF.FakeAntivirus.i

0,09%

10

Exploit.Java.Generic

0,08%

11

Exploit.Script.Blocker.u

0,08%

12

Exploit.Script.Generic

0,07%

13

Trojan.JS.Iframe.aeq

0,06%

14

Packed.Multi.MultiPacked.gen

0,05%

15

AdWare.Win32.Agent.aece

0,04%

16

WebToolbar.Win32.MyWebSearch.rh

0,04%

17

AdWare.Win32.Agent.aeph

0,03%

18

Hoax.HTML.FraudLoad.i

0,02%

19

AdWare.Win32.IBryte.heur

0,02%

20

Trojan-Downloader.HTML.Iframe.ahs

0,02%

Statystyki opierają się na werdyktach modułu Ochrona WWW (wbudowanego w produkty Kaspersky Lab) o wykryciu szkodliwego oprogramowania i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje statystyczne o zagrożeniach wykrytych na ich komputerach.

**Odsetek unikatowych użytkowników posiadających komputery z zainstalowanym produktem firmy Kaspersky Lab, który zablokował zagrożenia online.

W porównaniu do 2012, nastąpił wzrost zablokowanych szkodliwych linków znajdujących się na czarnej liście (Malicious URL na pierwszym miejscu). Nowe, ulepszone technologie detekcji, które korzystają z możliwości KSN, zaowocowały wzrostem wykrywania szkodników przy użyciu heurystyki z 87% do 93% w ciągu roku. Większość wykrytych szkodliwych linków zawierało exploity lub strony przekierowujące do exploitów.

Siedem wpisów w rankingu to wyniki, które zostały zidentyfikowane i zablokowane podczas prób ataków drive-by, będących obecnie najczęściej stosowaną metodą ataku przez oprogramowanie pisane z myślą o zarażaniu poprzez strony internetowe. Są to (wyniki heurystyczne) Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic i nieheurystyczne.

Na 9 miejscu znalazł się plik Flash Hoax.SWF.FakeAntivirus.i, który zawiera animację naśladującą aktywność programu antywirusowego. "Skanowanie" na komputerze ofiary ujawnia ogromną liczbę "infekcji", które wymagają specjalnego rozwiązania. Ofiara jest proszona o wysłanie wiadomości tekstowej na wskazany numer, by otrzymać link pozwalający na pobranie tak zwanego "zabezpieczenia". Pliki flash takie jak ten mogą pojawić się na stronach zawierających banery reklamowe, które od czasu do czasu mogą przekierowywać do niepożądanych treści.

Na 18 miejscu znajduje się Hoax.HTML.FraudLoad.i, wykrywany jako obiekt HTML imitujący okienko pobierania plików:

stat_ksb_2013_05.1.png 

Użytkownicy mogą dostać się na strony tego typu poprzez odwiedzanie różnych rosyjskojęzycznych witryn oferujących pobieranie gier, oprogramowania i filmów. Użytkownikom wydaje się, jakoby na stronie wszystkie zasoby były darmowe. Jeśli użytkownik kliknie przycisk "Zapisz", zostanie przekierowany do witryny gdzie rzekomo umieszczono plik i gdzie pojawi się monit o konieczności dokonania płatności poprzez SMS-a. Jednakże, po spełnieniu wszystkich wymogów zamiast otrzymania żądanej treści użytkownicy otrzymują plik tekstowy z instrukcją dotyczącą korzystania z wyszukiwarek, lub co gorsza - szkodliwe programy.

W tym roku wykryto więcej programów typu adware, niż w rankingu z 2012, ogólny udział wzrósł z 0,3% do 1,04%. 

Kraje, w których zasoby online są zawierają szkodliwe oprogramowanie: Top 10

Poniższe statystyki są oparte na fizycznej lokalizacji zasobów internetowych, które były używane w atakach zablokowanych przez program antywirusowy (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity i inne złośliwe oprogramowanie, centra dowodzenia botnetami itp.). Każdy unikatowy host może stać się źródłem jednego lub większej liczby ataków internetowych.

W celu określenia geograficznego źródła ataków internetowych, zastosowano metodę, w której nazwy domen są dopasowane do faktycznych adresów IP domeny, a następnie ustalane jest położenie geograficzne konkretnego adresu IP (GEOIP).

W celu przeprowadzenia 1 700 870 654 ataków w internecie, cyberprzestępcy używali 10 604 273 unikatowych hostów, czyli o 4 mln więcej niż w 2012 roku. 82% zgłoszeń o zablokowanych atakach internetowych zostało wygenerowanych przez blokowanie zasobów internetowych zlokalizowanych w dziesięciu krajach. 

 stat_ksb_2013_06_auto.png

Rozkład zasobów online zawierających szkodliwe oprogramowanie według kraju

W 2013 r. nastąpiło niewiele zmian w rankingu Top 10 czołowych źródeł szkodliwego oprogramowania w porównaniu do 2012 r. Chiny, które tradycyjnie były liderem, wypadły z pierwszej dziesiątki, a Wietnam pojawił się na 8 miejscu. W 2010 roku władzom chińskim udało się zamknąć wiele zainfekowanych zasobów hostingowych w chińskiej cyberprzestrzeni. W tym samym czasie przepisy dotyczące nazw domen w domenie .cn stały się bardziej restrykcyjne, co łącznie przyczyniło się do spadku ilości szkodliwych hostów w Chinach. W 2010 roku Chiny były na 3 miejscu,  w 2011 r. na 6, w 2012 r. na 8, a w 2013 roku spadły na 21 miejsce w rankingu. 

Kraje, w których użytkownicy spotykają się z największym ryzykiem infekcji online

W celu dokonania oceny, w których krajach użytkownicy spotykali się z cyberzagrożeniami najczęściej obliczyliśmy, jak często użytkownicy produktów Kaspersky Lab napotykali na wyniki wykrywania (szkodliwego oprogramowania) na swoich maszynach w każdym kraju. Uzyskane dane charakteryzuje ukazanie ryzyka zakażenia, na które komputery są wystawione w różnych krajach na całym świecie, wskazując wskaźnik agresywności środowiska, w których komputery pracują w różnych krajach. 

Top 20 krajów z największym ryzykiem zarażenia komputera przez internet:

 

Kraj*

% unikatowych użytkowników**

1

Azerbejdżan

56,29%

2

Kazachstan

55,62%

3

Armenia

54,92%

4

Rosja

54,50%

5

Tadżykistan

53,54%

6

Wietnam

50,34%

7

Mołdawia

47,20%

8

Białoruś

47,08%

9

Ukraina

45,66%

10

Kirgistan

44,04%

11

Sri Lanka

43,66%

12

Austria

42,05%

13

Niemcy

41,95%

14

Indie

41,90%

15

Uzbekistan

41,49%

16

Gruzja

40,96%

17

Malezja

40,22%

18

Algieria

39,98%

19

Grecja

39,92%

20

Włochy

39,61%

Statystyki te są oparte na werdyktach modułu antywirusowego (wbudowanego w oprogramowanie Kaspersky Lab) dotyczących wykrycia szkodliwego oprogramowania i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje statystyczne o infekcjach wykrywanych na ich komputerach.

* Dla celów związanych z powyższymi obliczeniami wykluczyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000).

**Odsetek unikatowych użytkowników w państwie, w którym zlokalizowane są komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.

W 2013 r. wyłonił się nowy lider - Azerbejdżan, który uplasował się na pierwszym miejscu z 56,3% zaatakowanych użytkowników. Rosja, która była na szczycie listy przez dwa ostatnie lata, spadła na czwarte miejsce z 54,4% (4,1 proc. mniej niż w zeszłym roku).

USA, Hiszpania, Oman, Sudan, Bangladesz, Malediwy i Turkmenistan wypadły z pierwszej dwudziestki krajów. Wśród nowo przybyłych są: Austria, Niemcy, Grecja, Gruzja, Kirgistan, Wietnam i Algieria.

Stany Zjednoczone spadły z 19 miejsca na 25. Udział tego kraju zmniejszył się o 7 punktów procentowych i spadł do 38,1%. Przypominamy, że zaledwie dwa lata temu Stany Zjednoczone znajdowały się na 3 miejscu tego rankingu. Spadek ilości ataków internetowych w USA może być spowodowany rosnącą popularnością urządzeń mobilnych i przeglądania treści internetowych przy ich użyciu. Hiszpania, która znalazła się w Top 20 w zeszłym roku, w tym roku znalazła się na 31 miejscu (36,7% - 8 proc. mniej w stosunku do roku 2012).

Austria (+8 proc.) kończy rok na 12 miejscu, Niemcy na 13 (+9,3%), a Grecja (-1,6%) jest na 19 miejscu. Ranking zamykają Włochy.

Wszystkie kraje mogą być przypisane do poniższych kategorii:

  1. Wysokie ryzyko. Ta grupa zawiera 15 krajów z Top 20, w przedziale 41-60%. Są to Rosja, Austria, Niemcy, kilka byłych republik radzieckich i krajów azjatyckich. Grupa ta zmniejszyła się o więcej niż połowę od ubiegłego roku, kiedy to składała się z 31 państw.
  2. Umiarkowane ryzyko. 118 krajów w przedziale od 21-44,99%: Australia (38,9%), USA (38,1%), Kanada (36,5%), Włochy (39,6%), Francja (38,1%), Hiszpania (36,7%), Wielka Brytania (36,7%), Holandia (27,3%), Finlandia (23,6%), Dania (21,8%), Polska (37,6%), Rumunia (33,2%), Bułgaria (24,1%), Brazylia (34,6%), Meksyk (29,5%), Argentyna (25%), Chiny (32,2%), Japonia (25,3%).
  3. Niskie ryzyko (0-20,99%)
 Łącznie 25 krajów: Czechy (20,3%), Słowacja (19,7%), Singapur (18,5%) i pewna liczba krajów afrykańskich.

Kraje afrykańskie, które posiadają niski poziom infekcji online, charakteryzują się wysokim i umiarkowanym poziomem ryzyka infekcji lokalnych (patrz poniżej). Internet w tych krajach w dalszym ciągu nie jest wysoko rozwinięty. Do przenoszenia i wymiany danych użytkownicy w dalszym ciągu używają wymiennych nośników danych. To dlatego ataki internetowe dotykają tak niewielkiej liczby użytkowników, podczas gdy szkodniki rozprzestrzeniające się poprzez nośniki danych są często wykrywane na komputerach.

stat_ksb_2013_07_auto.png

Średnia zagrożeń internetowych dla całego świata wzrosła o 6,9 punktu procentowego - w 2013 roku 41,6% użytkowników komputerów doświadczyło ataku przynajmniej raz. Internet jest w dalszym ciągu głównym źródłem szkodliwego oprogramowania wycelowanego w użytkowników w większości krajów na świecie.

Zagrożenia lokalne

Lokalne statystyki infekcji komputerów użytkowników są bardzo ważnym wskaźnikiem. Te dane wskazują na zagrożenia, które penetrują system komputerowy w inny sposób niż poprzez internet, e-mail lub porty sieciowe.

Ta część raportu zawiera analizę danych statystycznych uzyskanych ze statystyk skanera na żądanie i statystyk skanowania różnych dysków, w tym nośników wymiennych (skaner na żądanie).

Rozwiązania antywirusowe firmy Kaspersky Lab wykryły prawie 3 mld złośliwych programów na komputerach osób uczestniczących w Kaspersky Security Network.

W sumie w incydentach tych wykrytych zostało 1,8 miliona szkodliwych lub potencjalnie niechcianych programów.

Top 20 szkodliwych obiektów wykrytych na komputerach użytkowników

 

Nazwa

% indywidualnych użytkowników*

1

DangerousObject.Multi.Generic

39,1%

2

Trojan.Win32.Generic

38,0%

3

Trojan.Win32.AutoRun.gen

20,1%

4

Virus.Win32.Sality.gen

13,4%

5

Exploit.Win32.CVE-2010-2568.gen

10,6%

6

AdWare.Win32.DelBar.a

8,0%

7

Trojan.Win32.Starter.lgb

6,6%

8

Virus.Win32.Nimnul.a

5,5%

9

Worm.Win32.Debris.a

5,4%

10

Virus.Win32.Generic

5,4%

11

Trojan.Script.Generic

5,4%

12

Net-Worm.Win32.Kido.ih

5,1%

13

AdWare.Win32.Bromngr.i

4,6%

14

Net-Worm.Win32.Kido.ir

4,4%

15

Trojan.Win32.Starter.yy

3,9%

16

DangerousPattern.Multi.Generic

3,8%

17

HiddenObject.Multi.Generic

3,8%

18

Trojan.Win32.Hosts2.gen

3,7%

19

AdWare.Win32.Agent.aeph

3,6%

20

Trojan.WinLNK.Runner.ea

3,6%

Statystyki te obejmują werdykty wykrycia szkodliwych programów wygenerowane przez skaner aktywowany podczas dostępu oraz skaner na żądanie na komputerach z zainstalowanym oprogramowaniem. Dane pochodzą od użytkowników, którzy zgodzili się udostępnić informacje statystyczne o szkodliwej aktywności na ich komputerach.

* Udział poszczególnych użytkowników, na komputerach których moduł antywirusowy wykrył te szkodliwe obiekty jako odsetek wszystkich użytkowników, na komputerach których wykryto jakiekolwiek zagrożenia.

W 2013 roku, szkodliwe programy sklasyfikowane jako DangerousObject.Multi.Generic i wykryte przy użyciu technologii chmury zajęły pierwsze miejsce na liście Top 20 szkodliwych obiektów wykrytych na komputerach użytkowników. Technologia chmury działa także wtedy, gdy sygnatury antywirusowe nie są dostępne i gdy heurystyka nie wykrywa szkodliwych programów. Właśnie w taki sposób wykrywane są najnowsze zagrożenia. Dzięki systemowi Urgent Detection System (UDS) zaimplementowanemu w  Kaspersky Security Network, ponad 11 milionów komputerów otrzymuje ochronę w czasie rzeczywistym.

Ubiegłoroczny lider - Trojan.Win32.Generic - jest drugi, na podstawie wyniku wystawionego poprzez analizę heurystyczną.

Exploit.Win32.CVE-2010-2568.gen (5 miejsce) i Trojan.WinLNK.Runner.ea (20 miejsce) to zagrożenia, które związane są z plikami o rozszerzeniu .Ink. Pliki .Ink w szkodnikach tego typu uruchamiają inne złośliwe pliki wykonywalne. Są one aktywnie używane przez robaki do rozprzestrzeniania się poprzez nośniki wymienne USB.

Osiem programów z rankingu integruje mechanizm samopowielania się lub jest wykorzystywanych jako komponent w dystrybucji robaków: Virus.Win32.Sality.gen (4 miejsce), Trojan.Win32.Starter.lgb (7 miejsce), Virus.Win32.Nimnul.a (8 miejsce ), Worm.Win32.Debris.a (9 miejsce), Virus.Win32.Generic (10 miejsce), Net-Worm.Win32.Kido.ih (12 miejsce), Net-Worm.Win32.Kido.ir (14 miejsce), Trojan.Win32.Starter.yy (15 miejsce).

Procentowy udział robaków sieciowych Net-Worm.Win32.Kido (12 i 14 miejsce), które pierwszy raz pojawiły się w 2008 roku, zmniejsza się z każdym rokiem, ponieważ użytkownicy uaktualniają swoje systemy operacyjne.

Rodzina wirusów Virus.Win32.Virut nie znalazła się w 2013 roku w Top 20, jednak udział innych wirusów, takich jak – Sality (4 miejsce) czy Nimnul (8 miejsce) – wzrósł odpowiednio o  8,5 i 1,4 proc.

Tegoroczny nowicjusz - Worm.Win32.Debris.a - uplasował się na 9 miejscu. Szkodnik ten rozprzestrzenia się poprzez przenośne nośniki danych, z pomocą plików .Ink. Szkodliwym ładunkiem tego robaka jest złośliwy program Andromeda, który pobiera pliki z nieznanych źródeł. Program ten pojawił się pierwszy raz w 2011 roku na witrynie znajdującej się w cybernetycznym podziemiu. Niemniej jednak nowe metody instalacji i rozprzestrzeniania się oznaczają, że mamy do czynienia z oddzielną rodziną tego szkodnika.

Trojan.Win32.Hosts2.gen znajduje się na 18 miejscu. Ta pozycja jest przypisana do szkodliwego programu, który próbuje zmienić systemowy plik hosts, przekierowujący użytkownika na określone domeny, na plik hosts należący do cyberprzestępców.

Kraje, w których użytkownicy narażeni są w najwyższym stopniu na lokalne infekcje

W celu oceny poziomu ryzyka infekcji internetowych, z którymi spotkali się użytkownicy różnych krajów, obliczyliśmy, jak często osoby z zainstalowanym produktem Kaspersky Lab napotykały w ciągu całego roku na zagrożenia wykrywane przez ochronę antywirusową. Głównie zainteresowani byliśmy danymi dotyczącymi wykrywania szkodliwego oprogramowania na komputerach użytkowników oraz na pamięciach wymiennych, dyskach USB, kartach do aparatów czy telefonów. Statystyki te odzwierciedlają poziom infekcji komputerów osobistych w różnych częściach świata.

Stopień infekcji komputerowych ze względu na kraj – Top 20:

 

Kraj*

%**

 

Wietnam

68,14%

 

Bangladesz

64,93%

 

Nepal

62,39%

 

Mongolia

60,18%

 

Indie

59,26%

 

Sudan

58,35%

 

Afganistan

57,46%

 

Algeria

56,65%

 

Laos

56,29%

 

Kambodża

55,57%

 

Irak

54,91%

 

Dżibuti

54,36%

 

Malediwy

54,34%

 

Pakistan

54,12%

 

Sri Lanka

53,36%

 

Mauretania

53,02%

 

Indonezja

52,03%

 

Rwanda

51,68%

 

Angola

50,91%

 

Egipt

50,67%

Statystyki są oparte o wyniki wykrywania modułu antywirusowego, otrzymane od użytkowników produktów Kaspersky Lab, którzy zgodzili się udostępniać informacje statystyczne o szkodliwej aktywności na komputerach.

*Dla celów związanych z powyższymi obliczeniami wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000).

**Odsetek unikatowych użytkowników w państwie, w którym zlokalizowane są komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.

Przez ponad rok ranking ten był zdominowany przez kraje afrykańskie, Bliski Wschód oraz południowo-wschodnią Azję. Od zeszłorocznego rankingu, sytuacja w krajach zajmujących czołowe lokaty poprawiła się: w 2012 udział kraju z pierwszego miejsca tabeli wynosił ponad 99%, w 2013 nie przekroczył on 70%.

W 2013 r., średnio 60,1% komputerów podłączonych do KSN zostało chociaż raz zaatakowanych podczas surfowania w internecie w porównaniu do 73,8% w 2012 roku.

Kraje można podzielić na kategorie pod względem miejscowych zagrożeń. Biorąc pod uwagę ogólny spadek poziomu infekcji lokalnych najprawdopodobniej spowodowanych spadkiem wykorzystania pamięci flash do wymiany informacji, obniżyliśmy progi dla poszczególnych grup (w porównaniu ze statystykami za 2012 r.). 

  1. Maksymalne ryzyko lokalnych infekcji (ponad 60%): cztery kraje, Wietnam (68,1%), Bangladesz (64,9%), Nepal (62,4%) i Mongolia (60,2%).
  2. Wysokie ryzyko lokalnych infekcji 67 państw, wliczając w to Indie (59,2%), Chiny (46,7%), Kazachstan (46%), Azerbejdżan (44,1%), Rosja (41,5%), większość krajów Afryki.
  3. Umiarkowane ryzyko lokalnych infekcji (21-40,99%). 78 państw na całym świecie, wliczając w to Hiszpanię (36%), Francję (33,9%), Portugalię (33,1%), Włochy (32,9%), Niemcy (30,2%), Stany Zjednoczone (29%), Wielką Brytanię (28,5%), Szwajcarię (24,6%), Szwecję (21,4%), Ukrainę (37,3%), Brazylię (40,2%), Argentynę (35,2%), Chile (28,9%), Koreę Południową (35,2%), Singapur (22,8%).
  4. Niskie ryzyko lokalnych infekcji (0- 20,99%). Dziesięć krajów na całym świecie.

stat_ksb_2013_08_auto.png

Top 10 krajów z najniższym ryzykiem lokalnych infekcji:

Pozycja

Kraj

%

1

Dania

14,74%

2

Czechy

15,58%

3

Finlandia

15,93%

4

Kuba

17,18%

5

Japonia

18,93%

6

Słowacja

19,24%

7

Słowenia

19,32%

8

Norwegia

19,36%

9

Seszele

19,90%

10

Malta

19,28%

W 2013, w Top 10 pojawił się jeden nowy kraj - Seszele - wypierając tym samym Holandię.

Średnio 18,4% maszyn użytkowników zostało zaatakowanych w grupie krajów niskiego ryzyka. Jest to 6,6 punktów procentowych mniej, niż rok temu.