Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2014. Ogólne statystyki dla 2014 r.

Tagi:

Prezentowana sekcja raportu stanowi część Kaspersky Security Bulletin 2014 i opiera się na danych uzyskanych i przetworzonych przy użyciu Kaspersky Security Network (KSN). W badanym okresie produkty firmy Kaspersky Lab wykryły i zneutralizowały łącznie 6 167 233 068 zagrożeń.   

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane przy użyciu Kaspersky Security Network (KSN), rozproszonej sieci antywirusowej opartej na działaniu różnych komponentów ochrony przed szkodliwym oprogramowaniem. Dane te zostały uzyskane od użytkowników sieci KSN, którzy zgodzili się na udostępnienie informacji o szkodliwej aktywności na ich komputerach. W globalnej wymianie informacji dotyczących szkodliwej aktywności uczestniczyły miliony użytkowników produktów firmy Kaspersky Lab z 213 państw i terytoriów na całym świecie.

Przedstawione dane obejmują okres od listopada 2013 r. do października 2014 r.

Rok w liczbach

  • Według danych KSN, produkty Kaspersky Lab wykryły i zneutralizowały łącznie 6 167 233 068 zagrożeń w badanym okresie. 
  • Produkty Kaspersky Lab zablokowały łącznie 3 693 936 prób infekcji komputerów z systemem OS X.  
  • Rozwiązania Kaspersky Lab zablokowały 1 363 549 ataków na urządzenia z Androidem.   
  • Rozwiązania Kaspersky Lab odparły 1 432 660 467 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie.
  • W celu przeprowadzenia swoich ataków cyberprzestępcy wykorzystali 9 766 119 unikatowych hostów. 
  • 44% ataków online zneutralizowanych przez produkty Kaspersky Lab zostało przeprowadzonych przy użyciu szkodliwych zasobów online zlokalizowanych w Stanach Zjednoczonych i Niemczech.
  • Na przestrzeni badanego roku 38% komputerów użytkowników było poddanych co najmniej jednemu atakowi online.
  • W 2014 r. zneutralizowano łącznie 1 910 520 prób uruchomienia szkodliwego oprogramowania bankowego na komputerach użytkowników.  
  • Moduły ochrony przed zagrożeniami internetowymi wykryły 123 054 503 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd. 
  • Rozwiązania antywirusowe Kaspersky Lab wykryły łącznie 1 849 949 unikatowych szkodliwych i potencjalnie niechcianych obiektów. 

Zagrożenia mobilne

W badanym okresie Kaspersky Lab wykrył następujące zagrożenia mobilne:

  • 4 643 582 szkodliwych pakietów instalacyjnych.
  • 295 539 nowych szkodliwych programów mobilnych.
  • 12 100 mobilnych trojanów bankowych.

Ogólnie, od początku listopada 2013 r. do końca października 2014 r. Kaspersky Lab odparł 1 363 549 unikatowych ataków. W tym samym okresie między 2012 a 2013 rokiem liczba ta wynosiła 335 000 ataków. W porównaniu z poprzednim okresem 12 miesięcy liczba ataków na urządzenia z Androidem była czterokrotnie większa.

19% użytkowników Androida - niemal jeden na pięciu użytkowników - co najmniej jeden raz w ciągu roku trafiło na zagrożenie mobilne.

53% ataków na system Android wykorzystywało mobilne trojany, których celem była kradzież pieniędzy użytkowników (trojany SMS i trojany bankowe).

Geografia zagrożeń mobilnych

Ataki na szkodliwe oprogramowanie mobilne zostały zarejestrowane w ponad 200 państwach.

ksb_stat_2014_01_auto.jpg
Odsetek całkowitej liczby zaatakowanych użytkowników

Top 10 państw według liczby zaatakowanych użytkowników

 

Państwo

%  zaatakowanych użytkowników*

1

Rosja

45,7%

2

Indie

6,8%

3

Kazachstan

4,1%

4

Niemcy

4,0%

5

Ukraina

3,0%

6

Wietnam

2,7%

7

Iran

2,3%

8

Wielka Brytania

2,2%

9

Malezja

1,8%

10

Brazylia

1,6%

* Odsetek zaatakowanych użytkowników w danym państwie w stosunku do łącznej liczby zaatakowanych użytkowników.

Rosja utrzymała czołową pozycję pod względem liczby zaatakowanych użytkowników.

Liczba odnotowanych ataków w dużym stopniu zależy od liczby użytkowników w danym państwie. Aby określić zagrożenie infekcją ze strony mobilnego szkodliwego oprogramowania w różnych państwach, obliczyliśmy odsetek szkodliwych aplikacji w łącznej liczbie aplikacji, które użytkownicy próbowali zainstalować. Metoda ta dała zupełnie inne wyniki niż te zaprezentowane powyżej. 

Top 10 państw według ryzyka infekcji

 

Państwo*

% szkodliwych aplikacji

1

Wietnam

2,34%

2

Polska

1,88%

3

Grecja

1,70%

4

Kazachstan

1,62%

5

Uzbekistan

1,29%

6

Serbia

1,23%

7

Armenia

1,21%

8

Republika Czeska

1,02%

9

Maroko

0,97%

10

Malezja

0,93%

* Państwa, w których liczba pobranych aplikacji wynosiła mniej niż 100 000, nie zostały uwzględnione w wynikach.  

W rankingu tym prowadzi Wietnam: 2,34% wszystkich aplikacji, które użytkownicy próbowali pobrać, były szkodliwe. 

Rosja, która zdecydowanie najbardziej ucierpiała pod względem liczby ataków, znalazła się dopiero na 22 miejscu pod względem ryzyka infekcji (0,69%).

W Hiszpanii ryzyko infekcji wynosiło 0,54%, w Niemczech 0,18%, w Wielkiej Brytanii 0,16%, we Włoszech 0,09%, natomiast w Stanach Zjednoczonych 0,07%. Najlepiej przedstawia się sytuacja w Japonii, gdzie tylko 0,01% wszystkich aplikacji, które użytkownicy próbowali zainstalować, okazało się szkodliwych.      

Top 20 mobilnych zagrożeń w 2014 roku

 

Nazwa

% ataków

1

Trojan-SMS.AndroidOS.Stealer.a

18,0%

2

RiskTool.AndroidOS.MimobSMS.a

7,1%

3

DangerousObject.Multi.Generic

6,9%

4

RiskTool.AndroidOS.SMSreg.gc

6,7%

5

Trojan-SMS.AndroidOS.OpFake.bo

6,4%

6

AdWare.AndroidOS.Viser.a

5,9%

7

Trojan-SMS.AndroidOS.FakeInst.a

5,4%

8

Trojan-SMS.AndroidOS.OpFake.a

5,1%

9

Trojan-SMS.AndroidOS.FakeInst.fb

4,6%

10

Trojan-SMS.AndroidOS.Erop.a

4,0%

11

AdWare.AndroidOS.Ganlet.a

3,8%

12

Trojan-SMS.AndroidOS.Agent.u

3,4%

13

Trojan-SMS.AndroidOS.FakeInst.ff

3,0%

14

RiskTool.AndroidOS.Mobogen.a

3,0%

15

RiskTool.AndroidOS.CallPay.a

2,9%

16

Trojan-SMS.AndroidOS.Agent.ao

2,5%

17

Exploit.AndroidOS.Lotoor.be

2,5%

18

Trojan-SMS.AndroidOS.FakeInst.ei

2,4%

19

Backdoor.AndroidOS.Fobus.a

1,9%

20

Trojan-Banker.AndroidOS.Faketoken.a

1,7%

 

Trojan-SMS.AndroidOS.Stealer.a stanowił jedną z najszerzej rozpowszechnionych rodzin w badanym roku i uzyskał zdecydowane prowadzenie w rocznym zestawieniu. 

Ten trojan SMS rozprzestrzeniał się bardzo aktywnie. Od maja 2014 roku liczba ataków z wykorzystaniem szkodnika z rodziny Stealer była równa całkowitej liczbie ataków z udziałem wszystkich innych trojanów SMS. 

ksb_stat_2014_02_auto.jpg
Liczba użytkowników, którzy zostali zaatakowani przy użyciu szkodnika Trojan-SMS.AndroidOS.Stealer.a oraz wszystkich innych trojanów SMS (listopad 2013 r. – październik 2014 r.)

Spadek liczby ataków przy użyciu trojanów SMS

Podobnie jak wcześniej, trojany SMS mają największy udział w ruchu mobilnego szkodliwego oprogramowania; według naszych statystyk stanowią one 23,9% tych zagrożeń.  

ksb_stat_2014_03.jpg
Rozkład mobilnych zagrożeń według rodzaju (kolekcja Kaspersky Lab)

Powyższy wykres pokazuje, że w drugiej połowie 2014 r. miało miejsce mniej ataków przy użyciu trojanów SMS. Ich liczba spadła w ciągu roku o 12,3%.

Przyjrzyjmy się bliżej zmianom w rozkładzie trojanów SMS, które cieszą się największą popularnością wśród cyberprzestępców (innych niż Stealer.a).

ksb_stat_2014_04_auto.jpg
Liczba użytkowników zaatakowanych przez popularne trojany SMS (listopad 2013 r. — październik 2014 r.)

W maju miał miejsce gwałtowny spadek liczby trojanów SMS wykrytych w Rosji, gdzie ataki przy użyciu tego rodzaju szkodników są szczególnie rozpowszechnione. Spadek ten wynikał z tego, że zmieniły się zasady działania płatnych wiadomości w Rosji. W maju 2014 r. operatorzy sieci komórkowych w Rosji zostali zmuszeni do stosowania mechanizmu Advice of Charge (AoC). Teraz, kiedy urządzenie mobilne wysyła wiadomość na płatny numer, operator musi poinformować właściciela urządzenia o koszcie tej usługi i uzyskać potwierdzenie zapłaty. 

W efekcie, trojany SMS stały się mniej dochodowe, a ich przestępczy charakter został zdemaskowany. Teraz jedynym sposobem na odniesienie zysku na tym procederze jest wykorzystanie trojanów, które potrafią wysyłać SMS na numer premium, a następnie przechwycić zapytanie operatora i zwrócić potwierdzenie w imieniu użytkownika.  

To spowodowało, że z biznesu odeszli partnerzy kilku półlegalnych programów, którzy wcześniej rozprzestrzeniali aplikacje z funkcjonalnością trojana SMS. Model ich działania opierał się na niejasnych warunkach świadczenia płatnych usług czy braku wyszczególnienia opłat za subskrypcję oraz usługę. 

Można przyjąć, że rosyjscy twórcy trojanów SMS, którzy w ten sposób zostali bez pracy, będą musieli poszukać sobie nowych projektów. Niektórzy z nich mogą zacząć atakować użytkowników w innych krajach, inni mogą rozwijać poważniejsze szkodliwe oprogramowanie, takie jak programy bankowe. Miejmy nadzieję, że przynajmniej niektórzy porzucą ten półświatek i wykorzystają swoje umiejętności w działaniach zgodnych z prawem.    

Zmiany w schematach dystrybucji są wyraźnie widoczne w przypadku popularnych kiedyś trojanów SMS, takich jak OpFake.bo, FakeInst.a oraz OpFake.a. Wcześniej były one wykorzystywane w 10-20000 ataków w ciągu miesiąca; obecnie w zaledwie 1-2000 ataków.   

Mobilne trojany bankowe

W badanym okresie wykryliśmy 12 100 mobilnych trojanów bankowych – dziewięciokrotnie więcej niż w 2013 r. 

ksb_stat_2014_05_auto.jpg
Liczba mobilnych trojanów bankowych w kolekcji firmy Kaspersky Lab (listopad 2013 r. — październik 2014 r.)

Na przestrzeni roku 45 032 użytkowników przynajmniej raz doświadczyło ataku mobilnego trojana bankowego.

Co więcej, liczba atakowanych państw rośnie: w 90 różnych państwach na świecie odnotowano co najmniej jeden atak przy użyciu mobilnego trojana bankowego.

ksb_stat_2014_06_auto.jpg
Geografia zagrożeń bankowości mobilnej (liczba zaatakowanych użytkowników w okresie listopad 2013 r. — październik 2014 r.)

Top 10 państw pod względem ataków trojanów bankowych

 

Państwo

Liczba zaatakowanych użytkowników

% wszystkich ataków*

1

Rosja

39,561

87,85%

2

Kazachstan

1,195

2,65%

3

Ukraina

902

2,00%

4

USA

831

1,85%

5

Białoruś

567

1,26%

6

Niemcy

203

0,45%

7

Litwa

201

0,45%

8

Azerbejdżan

194

0,43%

9

Bułgaria

178

0,40%

10

Uzbekistan

125

0,28%

* Odsetek zaatakowanych użytkowników w każdym państwie w stosunku do łącznej liczby zaatakowanych użytkowników.

Zagrożenia stworzone dla systemu OS X

W 2014 r. produkty bezpieczeństwa firmy Kaspersky Lab przeznaczone do ochrony komputerów z systemem OS X zablokowały 3 693 936 prób infekcji. 

Eksperci z Kaspersky Lab wykryli 1 499 nowych szkodliwych programów dla systemu OS X - o 200 próbek więcej niż w poprzednim roku. Przeciętny użytkownik komputera Mac trafił na 9 zagrożeń w ciągu badanego roku.

Top 20 zagrożeń przeznaczonych dla systemu OS X

 

Nazwa

% ataków*

1

AdWare.OSX.Geonei.b

9,04%

2

Trojan.Script.Generic

5,85%

3

Trojan.OSX.Vsrch.a

4,42%

4

Trojan.Script.Iframer

3,77%

5

AdWare.OSX.Geonei.d

3,43%

6

DangerousObject.Multi.Generic

2,40%

7

AdWare.OSX.Vsrch.a

2,18%

8

Trojan.Win32.Generic

2,09%

9

AdWare.OSX.FkCodec.b

1,35%

10

Trojan.OSX.Yontoo.i

1,29%

11

Trojan-PSW.Win32.LdPinch.ex

0,84%

12

AdWare.Win32.Yotoon.heur

0,82%

13

Trojan.OSX.Yontoo.j

0,80%

14

Exploit.Script.Generic

0,76%

15

AdWare.OSX.Bnodlero.a

0,58%

16

AdWare.JS.Agent.an

0,57%

17

Trojan.OSX.Yontoo.h

0,52%

18

Exploit.PDF.Generic

0,51%

19

AdWare.Win32.MegaSearch.am

0,50%

20

Trojan.Win32.AutoRun.gen

0,43%

* Odsetek użytkowników zaatakowanych przez dany szkodliwy program w stosunku do wszystkich zaatakowanych użytkowników.

Niemal połowa programów z naszego zestawienia Top 20, w tym szkodnik na pierwszym miejscu, należała do kategorii AdWare. Zwykle tego rodzaju szkodliwe programy są dostarczane na komputery użytkowników wraz z legalnym programem, który został pobrany ze sklepu z oprogramowaniem, a nie z oficjalnej strony twórcy. Takie legalne programy mogą zostać wykorzystane jako nośnik modułu AdWare: po zainstalowaniu na komputerze użytkownika taki program może dodawać do zakładek w przeglądarce odsyłacze reklamujące, zmieniać domyślne wyszukiwarki, dodawać reklamę kontekstową itd.        

Co ciekawe, na 8 miejscu znajduje się Trojan.Win32.Generic, który stanowi zagrożenie dla systemu Windows. Trojan ten potrafi przeniknąć do wirtualnych maszyn z Windowsem działających w ramach systemu OS X.  

W 2014 r. eksperci wykryli kilka interesujących szkodliwych programów dla systemu OS X, które warto rozpatrzyć osobno.

  • Backdoor.OSX.Callme – backdoor, który zapewnia oszustowi zdalny dostęp do systemu i jednocześnie kradnie listy kontaktów, prawdopodobnie w celu znalezienia nowych ofiar. Jest on rozprzestrzeniany w ciele specjalnie utworzonego w tym celu dokumentu MS Word: po uruchomieniu instaluje on backdoora za pośrednictwem luki w systemie.
  • Backdoor.OSX.Laoshu – szkodliwy program, który co minutę wykonuje zrzuty ekranu. Backdoor ten jest podpisany przy użyciu zaufanego certyfikatu, co oznacza, że autorzy tego programu prawdopodobnie mieli zamiar umieścić go w oficjalnym sklepie App Store.    
  • Backdoor.OSX.Ventir – wielomodułowy trojan szpiegujący z ukrytą funkcją zdalnej kontroli. Zawiera sterownik przechwytywania uderzeń klawiszy logkext (keylogger).  
  • Trojan.OSX.IOSinfector – wykorzystywany do instalowania mobilnej wersji Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis).
  • Trojan-Ransom.OSX.FileCoder – pierwszy koder plików dla systemu OS X. Jest to warunkowo działający prototyp stworzony przez autora, który – z niewiadomego powodu – postanowił porzucić rozwój tego szkodnika.   
  • Trojan-Spy.OSX.CoinStealer – pierwszy szkodliwy program stworzony w celu kradzieży bitcoinów dla systemu OS X. Imituje on różne narzędzia związane z bitcoinami, stworzone z kodu open source, podczas instalowania szkodliwego rozszerzenia przeglądarki oraz/lub załatanej wersji bitcoin-qt.  
  • Trojan-Downloader.OSX.WireLurker – nietypowy szkodliwy program stworzony w celu kradzieży danych ofiar. Atakuje nie tylko komputery z systemem Mac, ale również podłączone do nich urządzenia mobilne oparte na iOS. Istnieje również wersja tego szkodnika oparta na Windowsie. Program jest rozprzestrzeniany za pośrednictwem znanego chińskiego sklepu, który sprzedaje aplikacje dla systemów OS X i iOS.

Geografia zagrożeń

ksb_stat_2014_07_auto.jpg
Geografia ataków na użytkowników systemu OS X w 2014 r. (na podstawie liczby wszystkich zaatakowanych użytkowników)

Top 10 zaatakowanych państw

 

Państwo

Liczba zaatakowanych użytkowników

% wszystkich ataków*

1

Stany Zjednoczone

98,077

39,14%

2

Niemcy

31,466

12,56%

3

Japonia

13,808

5,51%

4

Wielka Brytania

13,763

5,49%

5

Rosja

12,207

4,87%

6

Francja

9,239

3,69%

7

Szwecja

6,548

2,61%

8

Kanada

5,841

2,33%

9

Brazylia

5,558

2,22%

10

Włochy

5,334

2,13%

* Odsetek zaatakowanych użytkowników według państwa.

Na pierwszym miejscu rankingu znajdują się Stany Zjednoczone (39,14%), być może ze względu na popularność komputerów firmy Apple w tym kraju. Na drugiej pozycji uplasowały się Niemcy (12,56%), a za nimi Japonia (5,51%).     

Dziurawe aplikacje wykorzystywane przez oszustów

Poniższy wykres podatnych na ataki aplikacji został stworzony na podstawie informacji dotyczących exploitów zablokowanych przez nasze produkty. Exploity te zostały wykorzystane przez hakerów w atakach internetowych oraz podczas kompromitowania lokalnych aplikacji, łącznie z tymi zainstalowanymi na urządzeniach mobilnych.

ksb_stat_2014_08.jpg
Rozkład exploitów wykorzystywanych przez oszustów, według typu zaatakowanej aplikacji, 2014 r.

W 2014 roku oszuści najczęściej wykorzystywali luki w aplikacji Oracle Java. Jednak popularność takich luk stale spadała na przestrzeni roku, a ich łączny udział był mniejszy niż połowa takich luk w zeszłym roku - 45% w stosunku do 90,5% 12 miesięcy wcześniej. Przyczyną tego stanu rzeczy mogło być załatanie luk i brak informacji odnośnie nowych.

Na drugim miejscu znajdowała się kategoria Przeglądarki (42%), która obejmuje exploity dla przeglądarek Internet Explorer, Google Chrome, Mozilla Firefox itd. Według rankingów kwartalnych, przez większość 2014 r. była to czołowa kategoria, jednak nie wyprzedziła dużej liczby exploitów Javy pod koniec 2013 r. i na początku 2014 r.  

Na trzecim miejscu znalazły się exploity dla Adobe Readera (5%). Takie luki są wykorzystywane w atakach drive-by za pośrednictwem internetu, a exploity PDF wchodzą w skład wielu pakietów exploitów.  

W badanym roku odnotowaliśmy spadek liczby ataków przy użyciu pakietów exploitów. Wynika to z kilku czynników, między innymi z aresztowania niektórych z ich twórców. Ponadto, wiele pakietów exploitów przestało atakować komputery chronione przez produkty Kaspersky Lab (pakiety exploitów sprawdzają komputer ofiary i wstrzymują atak, jeśli jest na nim zainstalowane rozwiązanie Kaspersky Lab). Niezależnie od tego, wykorzystywanie luk pozostaje jednym z głównych sposobów dostarczania szkodliwego oprogramowania na komputer użytkownika.

Zagrożenia online

Statystyki zawarte w tej sekcji pochodzą z komponentów ochrony przed zagrożeniami internetowymi, które zabezpieczają użytkowników systemu Windows, gdy szkodliwy kod próbuje pobrać się ze szkodliwej/zainfekowanej strony internetowej. Szkodliwe strony są celowo tworzone przez cyberprzestępców; zainfekowane strony obejmują te zawierające treści tworzone przez użytkowników (takie jak fora), jak również legalne zasoby, które zostały wcześniej zhakowane.      

W 2014 roku odnotowaliśmy 1 432 660 467 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie. To oznacza, że produkty firmy Kaspersky Lab ochroniły użytkowników średnio 3 925 097 razy dziennie podczas ich sesji internetowych.    

Główna metoda ataków – za pośrednictwem pakietów exploitów – zapewnia atakującym możliwość zainfekowania komputera użytkownika (niemal z gwarancją powodzenia), jeśli nie jest on chroniony przy użyciu rozwiązania bezpieczeństwa oraz jeśli posiada zainstalowaną co najmniej jedną popularną dziurawą (nie uaktualnioną) aplikację.

Zagrożenia online w sektorze bankowym

W badanym okresie rozwiązania Kaspersky Lab zablokowały 1 910 520 ataków, w ramach których próbowano uruchomić szkodliwe oprogramowanie potrafiące kraść pieniądze z kont bankowości online.

ksb_stat_2014_09_auto.jpg
Liczba komputerów zaatakowanych przez szkodliwe oprogramowanie finansowe, listopad 2013 – październik 2014 r.

Liczba ataków znacząco wzrosła w maju i czerwcu 2014 r. Mogło to być spowodowane wzrostem aktywności w zakresie bankowości online na początku okresu wakacyjnego jak również głównym wydarzeniem sportowym mającym miejsce w badanym roku – mistrzostwami świata w piłce nożnej 2014 w Brazylii – podczas których cyberprzestępcy wykorzystywali finansowe szkodliwe oprogramowanie w celu kradzieży danych płatniczych turystów.

W 2014 r. rozwiązania Kaspersky Lab zarejestrowały łącznie 16 552 498 powiadomień o szkodliwej aktywności programów przeznaczonych do kradzieży pieniędzy za pośrednictwem dostępu online do kont bankowych. 

Geografia ataków

ksb_stat_2014_10_auto.jpg
Geografia ataków przy użyciu bankowego szkodliwego oprogramowania w 2014 r. 

Top 20 państw według liczby zaatakowanych użytkowników:

 

Państwo

Liczba zaatakowanych użytkowników

1

Brazylia

299,830

2

Rosja

251,917

3

Niemcy

155,773

4

Indie

98,344

5

Stany Zjednoczone

92,224

6

Włochy

88,756

7

Wielka Brytania

54,618

8

Wietnam

50,040

9

Austria

44,445

10

Algieria

33,640

 

Top 10 rodzin szkodliwego oprogramowania bankowego

Tabela poniżej przedstawia programy najczęściej wykorzystywane w 2014 r. w celu atakowania użytkowników bankowości online, na podstawie liczby zarejestrowanych prób infekcji:

 

Nazwa

Liczba zaatakowanych użytkowników

1

Trojan-Spy.Win32.Zbot

742,794

2

Trojan-Banker.Win32.ChePro

192,229

3

Trojan-Banker.Win32.Lohmys

121,439

4

Trojan-Banker.Win32.Shiotob

95,236

5

Trojan-Banker.Win32.Agent

83,243

6

Trojan-Banker.AndroidOS.Faketoken

50,334

7

Trojan-Banker.Win32.Banker

41,665

8

Trojan-Banker.Win32.Banbra

40,836

9

Trojan-Spy.Win32.SpyEyes

36,065

10

Trojan-Banker.HTML.Agent

19,770

 

Najbardziej rozpowszechnionym trojanem bankowym pozostał Zeus (Trojan-Spy.Win32.Zbot). Szkodnik ten utrzymywał czołową pozycję w zestawieniach kwartalnych, dlatego jego prowadzenie w rankingu Top 10 w 2014 r. nie jest żadną niespodzianką. Na drugim miejscu znalazł się Trojan-Banker.Win32.ChePro, za którym uplasował się Trojan-Banker.Win32.Lohmys. Obie rodziny posiadają tę samą funkcjonalność i są rozprzestrzeniane za pośrednictwem wiadomości spamowych o temacie związanym z bankowością online (np. faktura z serwisu bankowości online). E-mail zawiera dokument programu MS Word z załączonym obrazkiem: kliknięcie grafiki powoduje wykonanie szkodliwego kodu.       

Trojan-Banker.Win32.Shiotob znalazł się na 4 miejscu. Szkodnik ten jest najczęściej rozprzestrzeniany za pośrednictwem wiadomości spamowych, a jego celem jest monitorowanie ruchu w celu przechwycenia danych płatniczych.

Większość szkodliwych programów z zestawienia Top 10 działa poprzez wstrzykiwanie losowego kodu HTML do strony internetowej wyświetlanej przez przeglądarkę oraz przechwytywanie danych płatniczych wprowadzanych przez użytkownika do oryginalnych lub wstawianych formularzy sieci Web.

Chociaż trzy czwarte ataków, których celem były pieniądze użytkowników, zostało przeprowadzonych przy użyciu bankowego szkodliwego oprogramowania, nie są to jedyne zagrożenia finansowe. 

ksb_stat_2014_11.jpg
Rozkład ataków, których celem są pieniądze użytkowników, według typu szkodliwego oprogramowania, 2014 r.

Kradzież portfeli Bitcoin była drugim pod względem popularności zagrożeniem bankowym (14%). Innym zagrożeniem związanym z tą kryptowalutą jest oprogramowanie do wydobywania bitcoinów (10%), które wykorzystuje zasoby komputerowe do generowania bitmonet. 

Top 20 szkodliwych obiektów wykrytych online

W 2014 r. moduły ochrony przed zagrożeniami internetowymi wykryły 123 054 503 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itp. 

Zidentyfikowaliśmy 20 szkodliwych programów najaktywniej wykorzystywanych w atakach online przeprowadzanych na komputery w 2014 r. Te 20 szkodników odpowiadało za 95,8% wszystkich ataków online. 

 

Nazwa*

% wszystkich ataków**

1

Malicious URL

73,70%

2

Trojan.Script.Generic

9,10%

3

AdWare.Script.Generic

4,75%

4

Trojan.Script.Iframer

2,12%

5

Trojan-Downloader.Script.Generic

2,10%

6

AdWare.Win32.BetterSurf.b

0,60%

7

AdWare.Win32.Agent.fflm

0,41%

8

AdWare.Win32.Agent.aiyc

0,38%

9

AdWare.Win32.Agent.allm

0,34%

10

Adware.Win32.Amonetize.heur

0,32%

11

Trojan.Win32.Generic

0,27%

12

AdWare.Win32.MegaSearch.am

0,26%

13

Trojan.Win32.AntiFW.b

0,24%

14

AdWare.JS.Agent.an

0,23%

15

AdWare.Win32.Agent.ahbx

0,19%

16

AdWare.Win32.Yotoon.heur

0,19%

17

AdWare.JS.Agent.ao

0,18%

18

Trojan-Downloader.Win32.Generic

0,16%

19

Trojan-Clicker.JS.Agent.im

0,14%

20

AdWare.Win32.OutBrowse.g

0,11%

* Statystyki te stanowią werdykty wykrycia pochodzące z modułu ochrony przed zagrożeniami internetowymi. Informacje zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy zgodzili się udostępnić informacje o szkodliwej aktywności na ich komputerach.  
** Odsetek wszystkich ataków online zarejestrowanych na komputerach unikatowych użytkowników.

Jak często bywa, ranking Top 20 w większości tworzą obiekty wykorzystywane w atakach drive-by, jak również programy adware. W 73,7% wszystkich werdyktów zidentyfikowano odsyłacze z tych czarnych list.    

Liczba programów reklamujących w zestawieniu Top 20 wzrosła z 5 w poprzednim roku do 12, stanowiąc 8,2% wszystkich szkodliwych obiektów wykrytych online (+7,01 punktu procentowego). Wzrost liczby programów reklamujących, jak również agresywne metody ich rozprzestrzeniania i próby zwalczania oprogramowania antywirusowego, stanowiły trend 2014 r.   

Werdykt Trojan-Clicker.JS.Agent.im obejmuje również reklamy i wszelkie rodzaje „potencjalnie niechcianych” aktywności. W ten sposób wykrywane są skrypty umieszczone w Amazon Cloudfront, które przekierowują użytkowników na strony z zawartością reklamową. Odsyłacze do takich skryptów są umieszczane przez oprogramowanie adware oraz różne rozszerzenia dla przeglądarek, głównie na stronach wyszukiwania użytkowników. Skrypty te mogą również przekierowywać użytkowników do szkodliwych stron zawierających zalecenia aktualizacji Adobe Flash i Java – co stanowi popularną metodę rozprzestrzeniania szkodliwego oprogramowania. 

Top 10 państw, w których zasobach online zaszyto najwięcej szkodliwego oprogramowania

Poniższe statystyki opierają się na fizycznej lokalizacji zasobów online, które zostały wykorzystane w atakach i zablokowane przez komponenty ochrony antywirusowej (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity oraz inne szkodliwe oprogramowanie, centra kontroli botnetów itd.). Dowolny host może być źródłem jednego lub większej liczby ataków online.

W celu określenia geograficznego źródła ataków online nazwy domen są dopasowywane do ich rzeczywistych adresów IP domen, a następnie ustalane jest położenie geograficzne określonego adresu IP (GEOIP).

W 2014 r. rozwiązania Kaspersky Lab zablokowały 1 432 660 467 ataków przeprowadzonych z zasobów online zlokalizowanych w różnych państwach na całym świecie. W celu przeprowadzenia swoich ataków oszuści wykorzystali 9 766 119 unikatowych hostów, o 838 154 (lub 8%) hostów mniej niż w 2013 r.  

87% powiadomień o atakach zablokowanych przez komponenty ochrony przed szkodliwym oprogramowaniem zostało uzyskanych z zasobów online zlokalizowanych w 10 krajach. Jest to o 5 procent więcej niż w poprzednim roku.

ksb_stat_2014_12.jpg
Rozkład zasobów online z zaszytym szkodliwym oprogramowaniem w 2014 r.

W 2014 r. ranking Top 10 państw, w których znajduje się najwięcej szkodliwego oprogramowania zaszytego w zasobach online, pozostał w dużej mierze niezmieniony w stosunku do poprzedniego roku. Jednak cztery państwa odnotowały zmianę pozycji: Niemcy i Rosja zamieniły się miejscami – Niemcy wspięły się na 2 miejsce, a Rosja spadła na czwarte. Ukraina wyprzedziła Wielką Brytanię, awansując na 5 miejsce.

44% wszystkich ataków online pochodziło z zasobów zlokalizowanych w Stanach Zjednoczonych i Niemczech.

Państwa, w których użytkownicy są najbardziej narażeni na infekcję online

Aby określić państwa, w których użytkownicy najczęściej trafiają na cyberzagrożenia, obliczyliśmy, jak często użytkownicy produktów Kaspersky Lab w poszczególnych państwach otrzymali werdykt wykrycia szkodnika na swoich maszynach. Uzyskane dane określają ryzyko infekcji, na jakie narażone są komputery w różnych państwach na świecie, co stanowi wskaźnik agresywności środowiska komputerów w różnych częściach świata.   

Top 20 państw, w których użytkownicy są narażeni na największe ryzyko infekcji online 

 

Państwo*

% unikatowych użytkowników**

1

Rosja

53,81%

2

Kazachstan

53,04%

3

Azerbejdżan

49,64%

4

Wietnam

49,13%

5

Armenia

48,66%

6

Ukraina

46,70%

7

Mongolia

45,18%

8

Białoruś

43,81%

9

Mołdawia

42,41%

10

Kirgistan

40,06%

11

Niemcy

39,56%

12

Algieria

39,05%

13

Katar

38,77%

14

Tadżykistan

38,49%

15

Gruzja

37,67%

16

Arabia Saudyjska

36,01%

17

Austria

35,58%

18

Litwa

35,44%

19

Sri Lanka

35,42%

20

Turcja

35,40%

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduł ochrony przed zagrożeniami online, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na udostępnienie informacji o szkodilwej aktywności na ich komputerach.  

* Wykluczyliśmy te państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).
** Unikatowi użytkownicy, których komputery stały się celem ataków online jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

W 2014 r. zmienił się lider zestawienia: na szczycie rankingu uplasowała się Rosja, w której 53,81% użytkowników było narażonych na ryzyko infekcji online.  

Zeszłoroczny lider, Azerbejdżan, spadł na trzecią pozycję (49,64%).

Z zestawienia wypadły takie kraje jak Uzbekistan, Malezja, Grecja i Włochy. Do nowości na liście należą Mongolia, Katar, Arabia Saudyjska, Turcja oraz Litwa. 

Wszystkie państwa można podzielić na trzy grupy odzwierciedlające różne poziomy ryzyka infekcji. 

  1. Grupa wysokiego ryzyka (ponad 41%)

W 2014 r. w grupie tej znajdowało się dziewięć państw z zestawienia Top 20. Dla porównania, w 2013 roku było ich 15.

  1. Grupa średniego ryzyka (21-40%)

Ta grupa liczy 111 państw, wśród których znajdują się: Kirgistan (40,1%), Niemcy (39,6%), Katar (38,8%), Tadżykistan (38,5%), Gruzja (37,7), Arabia Saudyjska (36%), Turcja (35,4%), Francja (34,9%), Indie (34,8%), Hiszpania (34,4%), Stany Zjednoczone (33,8%), Kanada (33,4%), Australia (32,5% ), Brazylia (32,1%), Polska (31,7%), Włochy (31,5%), Izrael (30,2%), Chiny (30,1%), Wielka Brytania (30%), Egipt (27,8%), Meksyk (27,5%), Filipiny (27,2%), Chorwacja (26,2%), Pakistan (26,1%), Rumunia (25,7%), Japonia (21,2%), Argentyna (21,1%). 

  1. Grupa niskiego ryzyka (0-20,9%)

39 państw o najbezpieczniejszym środowisku surfowania online obejmuje Szwecję (19,5%), Danię (19,2%), Urugwaj (19,5%) oraz wiele państw afrykańskich.

ksb_stat_2014_13_auto.jpg

W 2014 r. 38,3% komputerów zostało co najmniej jeden raz zaatakowanych, gdy ich właściciele byli online.

Ryzyko, że komputer zostanie zainfekowany podczas surfowania użytkownika po internecie, spadło średnio o 3,3 punktu procentowego w ciągu zeszłego roku. Mogło to być spowodowane przez kilka czynników:  

  • Po pierwsze, twórcy przeglądarek i wyszukiwarek zdali sobie sprawę z konieczności zabezpieczenia swoich użytkowników i zaczęli włączać się do walki ze szkodliwymi stronami internetowymi. 
  • Po drugie, wiele pakietów exploitów zaczęło sprawdzać, czy na komputerze użytkownika jest zainstalowany produkt Kaspersky Lab. Jeśli tak, exploity nawet nie próbowały atakować komputera.
  • Po trzecie, użytkownicy coraz częściej używają urządzeń mobilnych i tabletów w celu surfowania po internecie.

Ponadto, nieznacznie spadła liczba ataków wykorzystujących pakiety exploitów: aresztowanie twórców takich pakietów nie poszło na marne. Nie należy jednak oczekiwać jakiejś drastycznej zmiany sytuacji dotyczącej exploitów: nadal stanowią główną technikę dostarczania szkodliwego oprogramowania, w tym dla ataków ukierunkowanych. Internet pozostaje głównym źródłem szkodliwego oprogramowania dla użytkowników w większości krajów.

Zagrożenia lokalne

Bardzo istotnym wskaźnikiem są statystyki dotyczące lokalnych infekcji komputerów użytkowników komputerów. Dane te wskazują na zagrożenia, które przeniknęły do systemu operacyjnego Windows w inny sposób niż za pośrednictwem internetu, poczty e-mail czy portów sieciowych.

Sekcja ta zawiera analizę danych statystycznych uzyskanych na podstawie skanowania antywirusowego plików na dysku twardym w momencie tworzenia ich lub uzyskiwania do nich dostępu, oraz wyników skanowania różnych wymiennych nośników danych.

Top 20 szkodliwych obiektów wykrywanych na komputerach użytkowników

W 2014 r. rozwiązania antywirusowe Kaspersky Lab wykryły 1 849 949 unikatowych szkodliwych i potencjalnie niechcianych obiektów.

 

Nazwa

% unikatowych zaatakowanych użytkowników*

1

DangerousObject.Multi.Generic

26,04%

2

Trojan.Win32.Generic

25,32%

3

AdWare.Win32.Agent.ahbx

12,78%

4

Trojan.Win32.AutoRun.gen

8,24%

5

Adware.Win32.Amonetize.heur

7,25%

6

Virus.Win32.Sality.gen

6,69%

7

Worm.VBS.Dinihou.r

5,77%

8

AdWare.MSIL.Kranet.heur

5,46%

9

AdWare.Win32.Yotoon.heur

4,67%

10

Worm.Win32.Debris.a

4,05%

11

AdWare.Win32.BetterSurf.b

3,97%

12

Trojan.Win32.Starter.lgb

3,69%

13

Exploit.Java.Generic

3,66%

14

Trojan.Script.Generic

3,52%

15

Virus.Win32.Nimnul.a

2,80%

16

Trojan-Dropper.Win32.Agent.jkcd

2,78%

17

Worm.Script.Generic

2,61%

18

AdWare.Win32.Agent.aljt

2,53%

19

AdWare.Win32.Kranet.heur

2,52%

20

Trojan.WinLNK.Runner.ea

2,49%

Statystyki te zostały skompilowane na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez moduły skanowania podczas dostępu i na żądanie na komputerach użytkowników posiadających produkty firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o szkodliwej aktywności na ich komputerach.

* Odsetek indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył te obiekty jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na których komputerach został wykryty szkodliwy program. 

Na pierwszym miejscu (26,04%) znajduje się werdykt DangerousObject.Multi.Generic, który odnosi się do szkodliwego oprogramowania wykrywanego z pomocą technologii opartych na chmurze. Technologie te są wykorzystywane wtedy, gdy bazy antywirusowe nie posiadają jeszcze sygnatur ani heurystyki umożliwiających wykrycie szkodliwego programu, natomiast informacje o danym obiekcie znajdują się już w opartej na chmurze sieci KSN. W ten sposób wykrywane jest najnowsze oprogramowanie.   

Z zestawienia wypadł Net-Worm.Win32.Kido. Ogólnie, udział wirusów nieustannie zmniejsza się: na przykład, w zeszłym roku Virus.Win32.Sality.gen dotknął 13,4% użytkowników, podczas gdy w 2014 r. – tylko 6,69%.  

Zarówno powyższy ranking jak i ranking wykrytych zagrożeń internetowych świadczą o coraz większym rozpowszechnieniu programów reklamujących. W 2014 r. liczba użytkowników, którzy zetknęli się z oprogramowaniem adware, wzrosła dwukrotnie w stosunku do poprzedniego roku i wynosiła 25 406 107. Jednocześnie programy reklamujące stają się zarówno bardziej natarczywe jak i bardziej niebezpieczne. Niektóre z nich “przekraczają granicę” kategorii potencjalnie niechcianych programów i zostaje im przydzielony “bardziej surowy” werdykt. Na przykład, Trojan-Dropper.Win32.Agent.jkcd (16 miejsce), oprócz wyświetlania reklam i zmiany wyników wyszukiwania, potrafi pobierać na komputer szkodliwe oprogramowanie.    

Państwa, w których użytkownicy są narażeni na najwyższe ryzyko infekcji lokalnej

Dla każdego państwa obliczyliśmy, ile razy w ciągu roku moduł ochrony przed szkodliwym oprogramowaniem wykrył szkodnika na komputerach użytkowników. Dane te obejmują wykrycia szkodliwych programów zlokalizowanych na komputerach użytkowników lub na podłączonych do komputera nośnikach wymiennych, takich jak dyski flash, karty pamięci w telefonie i aparacie czy zewnętrzne dyski twarde.

Top 20 państw według poziomu infekcji

 

Państwo*

%**

1

Wietnam

69,58%

2

Mongolia

64,24%

3

Nepal

61,03%

4

Bangladesz

60,54%

5

Jemen

59,51%

6

Algieria

58,84%

7

Irak

57,62%

8

Laos

56,32%

9

Indie

56,05%

10

Kambodża

55,98%

11

Afganistan

55,69%

12

Egipt

54,54%

13

Arabia Saudyjska

54,37%

14

Kazachstan

54,27%

15

Pakistan

54,00%

16

Syria

53,91%

17

Sudan

53,88%

18

Sri Lanka

53,77%

19

Birma

53,34%

20

Turcja

52,94%

Statystyki te opierają się na werdyktach wykrywania zwróconych przez moduł ochrony przed szkodliwym oprogramowaniem, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o szkodliwej aktywności na ich komputerach.

* Podczas obliczeń wykluczyliśmy państwa, w których znajduje się mniej niż 10 000 użytkowników produktów firmy Kaspersky Lab.
** Odsetek unikatowych użytkowników w danym państwie, w którym komputery zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.

Ranking 4 państw z nakwiększym ryzykiem infekcji lokalnej pozostał w większości niezmieniony w stosunku do poprzedniego roku: na pierwszej pozycji znalazł się Wietnam; Mongolia i Bangladesz zamieniły się miejscami – Bangladesz spadł z 2 miejsca na 4, podczas gdy Mongolia wspięła się z 4 miejsca na 2.

Ranking opuściły: Dżibuti, Malediwy, Mauretania, Indonezja, Ruanda i Angolia. Z kolei nowości obejmowały Jemen, Arabię Saudyjską, Kazachstan, Syrię, Birmę i Turcję. 

W państwach z rankingu co najmniej jeden szkodliwy obiekt został znaleziony na średnio 58,7% komputerów, dysków twardych i nośników wymiennych należących do użytkowników sieci KSN. W 2013 r. odsetek ten wynosił 60,1%.     

Państwa można podzielić na cztery kategorie ryzyka ze względu na zagrożenia lokalne.

  1. Ryzyko maksymalne (ponad 60%): w kategorii tej znalazły się cztery państwa: Wietnam (69,6%), Mongolia (64,2%), Nepal (61,0%) oraz Bangladesz (60,5%).
  2. Wysokie ryzyko (41-60%): 83 państw, w tym Indie (56,0%), Kazachstan (54,3%), Turcja (52,9%), Rosja (52,0%), Chiny (49,7%), Brazylia (46,5%), Białoruś (45,3%), Meksyk (41,6%), Filipiny (48,4%).
  3. Umiarkowane ryzyko infekcji lokalnej (21-40,99%): 70 państw, w tym: Hiszpania (40,9%), Francja (40,3%), Polska (39,5%), Litwa (39,1%), Grecja (37,8%), Portugalia (37,7%), Korea (37,4%), Argentyna (37,2%), Włochy (36,6%), Austria (36,5%), Australia (35,3%), Kanada (34,8%), Rumunia (34,5%), Stany Zjednoczone (34,4%), Wielka Brytania (33,8%), Szwajcaria (30,8%), Hong Kong (30,4%), Irlandia (29,7%), Urugwaj (27,8%), Holandia (26,4%), Norwegia (25,1%), Singapur (23,5%), Japonia (22,9%), Szwecja (23%), Dania (21,3%)
  4. Niskie ryzyko infekcji lokalnej (0- 20,99%): 3 państwa, w tym: Finlandia (20%), Kuba (19,1%) i Seszele (19%).

ksb_stat_2014_14_auto.jpg

10 państw z największym ryzykiem infekcji lokalnej:

 

Państwo

%*

1

Seszele

19,03%

2

Kuba

19,08%

3

Finlandia

20,03%

4

Dania

21,34%

5

Japonia

22,89%

6

Szwecja

22,98%

7

Republika Czeska

23,13%

8

Singapur

23,54%

9

Martynika

25,04%

10

Norwegia

25,13%

* Odsetek unikatowych użytkowników w danym państwie, w którym komputery zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.

W 2014 r. w rankingu pojawiły się trzy nowe państwa — Martynika, Singapur i Szwecja. Z kolei z zestawienia wypadła Słowacja, Słowenia i Malta.

W badanym roku średnio 23% maszyn użytkowników zostało co najmniej raz zaatakowanych w 10 najbezpieczniejszych państwach. Jest to o 4,2 punktu procentowego więcej niż w zeszłym roku.