Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT w II kwartale 2015 r.

Tagi:

II kwartał w liczbach

  • Według danych KSN, rozwiązania firmy Kaspersky Lab wykryły i odparły łącznie 379 972 834 szkodliwych ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie.
  • Technologie firmy Kaspersky Lab służące do ochrony przed zagrożeniami WWW wykryły 26 084 253 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd.  
  • 65 034 577 unikatowych adresów URL zostało zidentyfikowanych jako szkodliwe przez komponenty ochrony przed zagrożeniami WWW.
  • 51% ataków WWW zneutralizowanych przez produkty Kaspersky Lab zostało przeprowadzonych przy użyciu szkodliwych zasobów sieciowych zlokalizowanych w Rosji.   
  • Odnotowano 5 903 377 powiadomień dotyczących prób infekcji przy użyciu szkodliwego oprogramowania, którym celem była kradzież pieniędzy za pośrednictwem dostępu internetowego do kont bankowych. 
  • Komponent firmy Kaspersky Lab służący do ochrony plików wykrył łącznie 110 731 713 unikatowych szkodliwych i potencjalnie niechcianych obiektów.
  • Produkty bezpieczeństwa mobilnego Kaspersky Lab wykryły
    • 1 048 129 pakietów instalacyjnych;
    • 291 887 nowych szkodliwych programów mobilnych;
    • 630 mobilnych trojanów bankowych.

Przegląd

Ataki ukierunkowane i kampanie z wykorzystaniem szkodliwego oprogramowania

Nieczyste zagrania

Niedawno opublikowaliśmy analizę CozyDuke, kolejnej kampanii cyberszpiegowskiej APT z rodziny „Duke” – do której należy również MiniDuke, CosmicDuke i OnionDuke. CozyDuke (znany również jako CozyBear, CozyCar oraz Office Monkeys) atakuje organizacje rządowe oraz firmy w Stanach Zjednoczonych, Niemczech, Korei Południowej oraz Uzbekistanie.

1_cozyduke_auto.png

W ataku wykorzystano wiele wyrafinowanych technik, w tym szyfrowanie, ochronę przed wykrywaniem oraz dobrze rozwinięty zestaw komponentów, które są strukturalnie podobne do wcześniejszych zagrożeń z rodziny „Duke”.

Jedną z najbardziej godnych uwagi cech CozyDuke’a jest wykorzystywanie socjotechniki w celu uzyskania punktu zaczepienia w atakowanych organizacjach. Niektóre ze stosowanych przez osoby atakujące wiadomości e-mail typu spear phishing zawierają odsyłacz do zhakowanych stron internetowych – również tych popularnych, legalnych – które hostują archiwum ZIP. Takie archiwum zawiera RAR SFX, które instaluje szkodliwe oprogramowanie, pokazując jako przynętę pusty plik PDF. Inną metodą jest wysyłanie fałszywych filmów Flash jako załączników e-mail. Doskonałym przykładem (od którego pochodzi jedna z nazw szkodnika) jest ‘OfficeMonkeys LOL Video.zip’. Po uruchomieniu pobiera on na komputer plik wykonywalny CozyDuke, odtwarzając służący za przynętę „zabawny” film ukazujący pracujące w biurze małpy. Zachęca to ofiary do rozesłania filmiku kolegom z biura, zwiększając liczbę zainfekowanych komputerów.     

Skuteczne wykorzystanie socjotechniki w celu skłonienia personelu do zrobienia czegoś, co podważy bezpieczeństwo firmowe – przez CozyDuke’a oraz wielu innych cyberprzestępców stosujących ataki ukierunkowane – podkreśla konieczność uwzględnienia szkolenia personelu w każdej strategii bezpieczeństwa firmy.

Naikon: gromadzenie informacji geopolitycznych

W maju opublikowaliśmy nasz raport dotyczący ugrupowania APT Naikon. Szkodnik Naikon jest wykorzystywany w kampaniach skierowanych przeciwko celom w Azji Południowo-Wschodniej oraz wokół Morza Południowochińskiego. Osoby atakujące wydają się być chińskojęzyczne i działają od przynajmniej pięciu lat, wybierając na swoje cele przede wszystkim agencje rządowe najwyższego szczebla jak również organizacje cywilne i wojskowe w takich państwach jak Filipiny, Malezja, Kambodża, Indonezja, Wietnam, Birma, Singapur, Nepal, Tajlandia, Laos czy Chiny.    

 

2_naikon_auto.jpg

 

Podobnie jak w przypadku wielu tego rodzaju kampanii, osoby atakujące wykorzystują e-maile typu spear phishing w celu podstępnego nakłonienia personelu do załadowania szkodliwego oprogramowania. E-maile zawierają załączony plik, w którym znajdują się informacje mające zainteresować ofiarę. Plik wydaje się być standardowym dokumentem Word, w rzeczywistości jednak jest to plik wykonywalny z podwójnym rozszerzeniem lub plik wykonywalny wykorzystujący mechanizm RTLO (right to left override) w celu zamaskowania rzeczywistego rozszerzenia pliku. Jeśli ofiara otworzy plik, na jej komputerze zostanie zainstalowane oprogramowanie spyware, wyświetlany będzie natomiast dokument przynęta, aby nie wzbudzać podejrzeń.

Głównym modułem Naikona jest narzędzie zdalnej administracji: moduł ten obsługuje 48 poleceń mających na celu sprawowanie kontroli nad zainfekowanymi komputerami. Wśród nich znajdują się polecenia przeprowadzenia pełnej inwentaryzacji, pobrania i uaktualnienia danych oraz zainstalowania dodatkowych modułów. Ponadto Naikon czasami wykorzystuje keyloggery w celu uzyskania danych uwierzytelniających pracowników.

Każdemu atakowanemu państwu przypisany jest operator, który potrafi wykorzystać specyfikę lokalnej kultury – np. tendencję do wykorzystywania prywatnych kont pocztowych do celów związanych z pracą. Cyberprzestępcy wykorzystali również specyficzny serwer proxy w obrębie kraju, aby zarządzać połączeniami w celu infekowania komputerów i przenoszenia danych do serwerów kontroli (C2).   

Więcej informacji na temat Naikona znajduje się w pełnym raporcie.

Szpiegowanie szpiegów

Prowadząc badania dotyczące grupy Naikon, odkryliśmy działalność ugrupowania APT o nazwie Hellsing. Ugrupowanie to koncentrowało się głównie na organizacjach rządowych i dyplomatycznych w Azji – większość ofiar jest zlokalizowanych w Malezji i na Filipinach, chociaż zidentyfikowaliśmy również ofiary w Indiach, Indonezji oraz Stanach Zjednoczonych.

3_hellsing_auto.jpg

 

Hellsing to zasadniczo niewielkie i niewyróżniające się pod względem technicznym ugrupowanie cyberszpiegowskie (około 20 organizacji znalazło się na jej celowniku). Zwróciło na siebie uwagę tym, że stało się ofiarą ataku typu spear phishing przeprowadzonego przez grupę APT o nazwie Naikon – i postanowiło przeprowadzić kontratak! Odbiorca e-maila wysłanego w ramach kampanii zakwestionował autentyczność wiadomości u nadawcy. Następnie otrzymał odpowiedź od osoby atakującej, ale nie otworzył załącznika. Zamiast tego wysłał e-mail do osoby atakującej zawierający jej własne szkodliwe oprogramowanie. Nie ma wątpliwości, że gdy tylko grupa Hellsing zorientowała się, że jest celem ataku, postanowiła zidentyfikować atakujących i zebrać dane dotyczące ich działań.  

W przeszłości także miały miejsce przypadki, gdy grupy APT niechcący nadepnęły sobie na odcisk – np. kradnąc książki adresowe ofiar, a następnie wysyłając je masowo każdemu, kto znalazł się na liście. Jednak atak APT w odpowiedzi na atak APT jest czymś nietypowym.

Grabit

Wiele kampanii ataków ukierunkowanych koncentruje się na dużych firmach, agencjach rządowych oraz innych znanych organizacjach. Dlatego też po przeczytaniu nagłówków w prasie często można odnieść wrażenie, że wyłącznie takie organizacje znajdują się na celowniku osób atakujących. Jednak jedna z kampanii, o jakiej pisaliśmy w zeszłym kwartale, wyraźnie pokazuje, że osoby atakujące są zainteresowane nie tylko „grubymi rybami”. Każda firma może stać się potencjalnym celem – ze względu na swoje zasoby lub w celu infiltrowania innej organizacji.     

Celem kampanii cyberszpiegowskiej Grabit jest kradzież danych z małych i średnich firm – zlokalizowanych głównie w Tajlandii, Wietnamie i Indiach, chociaż zidentyfikowaliśmy również ofiary w Stanach Zjednoczonych, Zjednoczonych Emiratach Arabskich, Turcji, Rosji, Chinach, Niemczech oraz innych państwach. Wśród atakowanych sektorów znajduje się sektor chemiczny, nanotechnologiczny, edukacyjny, rolniczy, budowlany oraz branża mediów. Szacujemy, że grupa odpowiedzialna za te ataki zdołała ukraść około 10 000 plików. 

Szkodnik ten jest dostarczany w postaci załączonego do wiadomości e-mail dokumentu Word. Dokument ten kryje szkodliwe makro o nazwie AutoOpen. Makro otwiera gniazdo za pośrednictwem protokołu TCP i wysyła żądanie HTTP do zdalnego serwera, który został zhakowany przez omawiane ugrupowanie w celu wykorzystania go jako centrum dystrybucji szkodliwego oprogramowania. Następnie z tego serwera pobierany jest program wykorzystywany do przeprowadzania operacji szpiegowania. W niektórych przypadkach, makro jest chronione hasłem (wydaje się, że osoby atakujące zapomniały, że plik DOC to w rzeczywistości archiwum, i kiedy jest otwierany w edytorze, ciągi makro są wyświetlane w postaci czystego tekstu). Osoby atakujące kontrolują zhakowane komputery przy użyciu komercyjnego narzędzia szpiegowskiego o nazwie HawkEye (od HawkEyeProducts). Ponadto, wykorzystują wiele narzędzi zdalnej administracji (ang. RAT).   

Osoby atakujące wykorzystały kilka technik w celu utrudnienia analizy Grabita, w tym różne rozmiary kodu, zaciemnianie kodu oraz szyfrowanie. Z drugiej strony, nie zatarli śladów swojej działalności w systemie. Rezultatem jest „słaby rycerz w ciężkiej zbroi”, co sugeruje, że osoby atakujące nie napisały samodzielnie całego kodu. 

Powrót Duqu

Podczas badania bezpieczeństwa wiosną 2015 r. Kaspersky Lab wykrył wtargnięcie do kilku wewnętrznych systemów. Przeprowadzone na pełną skalę dochodzenie ujawniło nową platformę szkodliwego oprogramowania stworzoną przez Duqu - należącą do najbardziej tajemniczych, potężnych i posiadających zaawansowane umiejętności grup APT - nazywaną niekiedy bratem przyrodnim Stuxneta. Nowej platformie nadaliśmy nazwę „Duqu 2.0”.    

W przypadku Kaspersky Lab, w ataku wykorzystano lukę zero-day w jądrze Windows (załataną przez Microsoft 9 czerwca 2015 r.) i prawdopodobnie dwie inne (załatane już), które w tym czasie również stanowiły luki zero-day. Głównym celem osób atakujących było szpiegowanie technologii firmy Kaspersky Lab, aktualnych badań i procesów wewnętrznych.

Jednak Kaspersky Lab nie był jedynym celem. Niektóre infekcje Duqu 2.0 były związane z wydarzeniami P5+1 dotyczącymi negocjacji z Iranem odnośnie paktu nuklearnego. Wygląda na to, że osoby atakujące przeprowadziły ataki z miejsc, w których odbywały się niektóre z tych rozmów na wysokim szczeblu.

Jedną z najbardziej charakterystycznych cech Duqu 2.0 był brak mechanizmu przetrwania, co nie pozostawiło niemal żadnych śladów w systemie. Szkodnik nie dokonał żadnych zmian w ustawieniach systemu czy dysku: platforma szkodnika została stworzona w taki sposób, aby przetrwała niemal wyłącznie w pamięci zainfekowanych systemów. To sugeruje, że osoby atakujące były przekonane, że mogą utrzymać swoją obecność w systemie, nawet jeśli komputer ofiary zostanie ponownie uruchomiony, a szkodliwe oprogramowanie usunięte z pamięci.   

Dokument techniczny dotyczący Duqu 2.0 oraz analiza modułu przetrwania są dostępne na naszej stronie.

Historie związane ze szkodliwym oprogramowaniem

Simda

W kwietniu Kaspersky Lab uczestniczył w operacji „likwidowania” botnetu Simda, koordynowanej przez Interpol Global Complex for Innovation. Dochodzenie zostało zainicjowane przez Microsoft i rozszerzone na innych uczestników, w tym Trend Micro, Instytut Cyberobrony, oficerów z Holenderskiej jednostki do zwalczania przestępczości wykorzystującej zaawansowane technologie, FBI oraz Departament zajmujący się cyberprzestępczością („K”) Rosyjskiego Ministerstwa ds. Wewnętrznych, wspierany przez krajowe biuro Interpolu w Moskwie.  

W wyniku tej operacji odłączono 14 serwerów w Holandii, Stanach Zjednoczonych, Luksemburgu, Polsce oraz Rosji. Wstępna analiza niektórych logów serwera objętych operacją leja ujawniła, że botnet ten funkcjonował w 190 krajach.

Boty są rozprzestrzeniane za pośrednictwem szeregu zainfekowanych stron internetowych, które przekierowują odwiedzających do zestawów exploitów. Boty pobierają i uruchamiają dodatkowe komponenty ze swoich serwerów aktualizacji i potrafią zmodyfikować pliki hosts na zainfekowanym komputerze: w ten sposób zainfekowane raz komputery mogą wysyłać żądania HTTP do szkodliwych serwerów, co świadczy o tym, że nadal są podatne na ponowną infekcję przy użyciu tych samych zestawów exploitów.  

Chociaż botnet Simda jest stosunkowo duży - składa się z około 770 000 zainfekowanych komputerów - autorzy włożyli wiele wysiłku w to, aby znalazł się poza radarem systemów ochrony przed szkodliwym oprogramowaniem. Omawiane szkodliwe oprogramowanie potrafi wykrywać emulację, narzędzia bezpieczeństwa oraz wirtualne maszyny; wykorzystuje wiele metod umożliwiających wykrycie środowisk sandbox w celu zmylenia badaczy poprzez zużycie wszystkich zasobów procesora lub powiadomienie właściciela botnetu o zewnętrznym adresie IP sieci badawczej; ponadto implementuje polimorfizm po stronie serwera.     

Simda dezaktywuje się po krótkim czasie. Jest to ściśle związane z celem tego konkretnego botnetu: jest to mechanizm dostarczania umożliwiający rozprzestrzenianie potencjalnie niechcianych i szkodliwych programów. Dystrybutorzy chcieli mieć pewność, że na zainfekowanych komputerach zostanie zainstalowane tylko szkodliwe oprogramowanie ich klienta.

Produkty firmy Kaspersky Lab wykrywają obecnie setki tysięcy modyfikacji Simda wraz z wieloma różnymi szkodliwymi programami osób trzecich, rozprzestrzenianych przy użyciu botnetu Simda. Przy użyciu naszego darmowego skanera Simda bot IP scanner można sprawdzić, czy dane IP łączyło się w przeszłości z serwerem Simda C2.  

Phishing, ale nie taki, jaki znasz

Na początku 2014 r. została wykryta poważna luka w protokołach OAuth i OpenID przez Wanga Jing, doktoranta na Nanyang Technological University w Singapurze. Zidentyfikował on lukę, którą określił jako „covert redirect”, a która pozwalała osobie atakującej kraść dane w następstwie uwierzytelnienia.     

Niedawno wykryliśmy kampanię phishingową, która wykorzystuje lukę w OAuth. OAuth pozwala klientom usług online przyznawać osobom trzecim ograniczony dostęp do chronionych zasobów bez przekazywania swoich danych uwierzytelniających. Jest powszechnie wykorzystywany przez aplikacje przeznaczone dla portali społecznościowych – np. w celu uzyskania dostępu do czyichś list kontaktów lub innych danych.

Klient Kaspersky Lab, który zgłosił atak, otrzymał wiadomość e-mail informującą o tym, że ktoś wykorzystał jego identyfikator Windows Live, z prośbą o kliknięcie odsyłacza do strony Windows Live i spełnienie wyszczególnionych tam wymagań dotyczących bezpieczeństwa.   

Na pierwszy rzut oka wydaje się, że jest to standardowa technika phishingowa – czyli jej efektem powinno być przekierowanie ofiary na fałszywą stronę. W tym przypadku jednak, odsyłacz prowadził do legalnej strony. Dane uwierzytelniające logowanie ofiary nie zostały skradzione, a strona do której ofiara się loguje, jest legalna. Jednak po autoryzacji ofiara otrzymuje od nieznanej aplikacji żądanie udzielenia szeregu różnych zezwoleń. Mogą one obejmować automatyczne logowanie się, dostęp do informacji zawartych w profilu, listy kontaktowej oraz adresów e-mail. Udzielając takich praw, ofiary zezwolą cyberprzestępcom na dostęp do swoich prywatnych informacji – informacji, które mogą wykorzystać do dystrybucji spamu, odsyłaczy phishingowych lub do innych oszukańczych celów.   

W celu zabezpieczenia prywatnych danych zalecamy następujące środki ostrożności.

  • Nie klikaj odsyłaczy, które otrzymujesz pocztą e-mail lub w wiadomościach przesyłanych za pośrednictwem portali społecznościowych.
  • Nie zezwalaj niezaufanym aplikacjom na dostęp do swoich danych.
  • Zanim zgodzisz się na tego rodzaju żądania, dokładnie przeczytaj opis praw dostępu, jakich żąda od ciebie aplikacja
  • Przeczytaj recenzje i opinie dotyczące aplikacji w internecie.
  • Przeczytaj, jakie uprawnienia posiadają zainstalowane aktualnie aplikacje, i zmodyfikuj ustawienia, jeśli jest taka potrzeba.

Inteligentne miasta, ale nie tak inteligentna ochrona

W ostatnich latach znacząco wzrosło wykorzystywanie systemów telewizji przemysłowej przez rządy i organy ścigania w celu monitorowania miejsc publicznych. Dla większości z nas systemy te stanowią rozsądny kompromis między prywatnością a bezpieczeństwem. Zakładamy jednak, że, tam, gdzie trafią zgromadzone przy użyciu tej technologii dane, będą obchodzić się z nimi w sposób bezpieczny i odpowiedzialny, tak aby potencjalne zagrożenia nie przeważyły potencjalnych korzyści.

Wiele kamer przemysłowych posiada bezprzewodowe połączenie z internetem, dzięki któremu policja może je zdalnie monitorować. Nie jest to jednak całkowicie bezpieczne: cyberprzestępcy mogą biernie monitorować materiały z kamer bezpieczeństwa i wstrzyknąć kod do sieci – a tym samym podmienić materiał z kamery na fałszywy film lub odłączyć systemy od sieci. Dwóch badaczy bezpieczeństwa (Vasilios Hioureas z Kaspersky Lab oraz Thomas Kinsey z Exigent Systems) przeprowadziło ostatnio badanie dotyczące potencjalnych słabych punktów w zabezpieczeniu systemów telewizji przemysłowej w jednym z miast.

Badacze zaczęli od zbadania sprzętu monitoringowego w różnych miejscach w mieście. Niestety, w żadnym przypadku nie zakryto marki kamer, dlatego można było je łatwo zidentyfikować, jak również zbadać odpowiednie specyfikacje i stworzyć w laboratorium własny model. Wykorzystywany sprzęt oferował skuteczne środki kontroli w zakresie bezpieczeństwa, jednak środki te nie były implementowane. Pakiety danych przechodzące przez sieć typu mesh nie były szyfrowane, w związku z tym osoba atakująca mogłaby stworzyć własną wersję oprogramowania i manipulować przechodzącymi przez nie danymi.       

Należy podkreślić, że badacze nie próbowali włamać się do rzeczywistej sieci, ale analizowali sprzęt i protokoły komunikacji oraz zbudowali model w zmniejszonej skali. Topologia sieci systemu kamer monitorujących nie przypomina standardowej domowej sieci bezprzewodowej. W sieci domowej wszystkie urządzenia łączą się z internetem oraz ze sobą nawzajem poprzez ruter. Każde urządzenie połączone z tym ruterem może potencjalnie „przekonać” inne urządzenia, że jest ruterem, i monitorować lub zmienić dane, przeprowadzając atak Man-in-the-Middle.  

4_cctv_02_auto_auto.png

5_cctv_03_auto_auto.png

 

Sieć kamer monitorujących jest bardziej skomplikowana ze względu na odległość, jaką muszą przebyć dane. Dane przemieszczają się od danej kamery poprzez serię węzłów, którymi  ostatecznie wracają do centrum (w rzeczywistej implementacji może to być posterunek policji). Ruch odbywa się ścieżką, na której występuje najmniejszy opór, gdzie każdy węzeł może komunikować się z kilkoma innymi, i wybiera najłatwiejszą ścieżkę powrotną do centrum. 

6_cctv_05_auto_auto.png

Hioureas i Kinsey zbudowali szereg fałszywych węzłów, które rzekomo oferowały bezpośrednią linię komunikacji z symulowanym posterunkiem policji. Ponieważ znali wszystkie protokoły wykorzystywane w sieci, zdołali stworzyć węzeł Man-in-the-Middle, który wydawał się oferować ścieżkę najmniejszego oporu, przez co rzeczywiste węzły kierowały swój ruch przez szkodliwy węzeł badaczy.    

Osoby atakujące mogłyby wykorzystać ten węzeł do sfałszowania materiałów wysyłanych na posterunek policji. Sugerując, że w jednym miejscu doszło do wypadku, mogłyby odwrócić uwagę policji od rzeczywistego ataku, który wydarzył się w innym miejscu.  

Badacze zgłosili swoje odkrycia władzom odpowiedzialnym za omawiane systemy monitoringu miejskiego i obecnie odbywa się usuwanie tych problemów bezpieczeństwa. Istotne znaczenie mają następujące działania: zaimplementowanie chronionego mocnym hasłem szyfrowania WPA w tych systemach, usunięcie etykietki ze sprzętu w celu utrudnienia potencjalnym osobom atakującym ustalenia, jak działa sprzęt, oraz zaszyfrowanie materiału, który jest przesyłany przez sieć.   

Szerszy problem polega na tym, że coraz więcej aspektów codziennego życia ulega digitalizacji: jeśli bezpieczeństwo nie zostanie uwzględnione na etapie projektowania, potencjalne zagrożenia mogą być daleko idące, a modernizacja ochrony może nie być taka prosta. Celem inicjatywy Securing Smart Cities, wspieranej przez Kaspersky Lab, jest sprawienie, aby osoby odpowiedzialne za rozwój inteligentnych miast miały na uwadze cyberbezpieczeństwo.    

 

Dane statystyczne

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane przy pomocy Kaspersky Security Network (KSN) - rozproszonej sieci antywirusowej, która współdziała z różnymi komponentami ochrony przed szkodliwym oprogramowaniem. Dane te zostały zebrane od użytkowników sieci KSN, którzy zgodzili się udostępnić informacje statystyczne o szkodliwej aktywności na ich komputerach. Miliony użytkowników produktów firmy Kaspersky Lab z 213 państw i terytoriów na całym świecie uczestniczyło w globalnej wymianie informacji dotyczących szkodliwej aktywności.

Zagrożenia mobilne

Mobilne trojany bankowe wciąż należą do najpopularniejszych zagrożeń mobilnych. W naszym raporcie obejmującym I kwartał 2015 r. wspominaliśmy o szkodniku o nazwie Trojan-SMS.AndroidOS.OpFake.cc, który potrafi atakować co najmniej 29 aplikacji bankowych i finansowych. Najnowsza wersja tego trojana może zaatakować obecnie 114 aplikacji bankowych i finansowych. Jej głównym celem jest kradzież danych uwierzytelniających użytkowników online. Spełniając ten sam cel, szkodnik atakuje również kilka popularnych aplikacji email.    

Na wzmiankę zasługuje również Trojan-Spy.AndroidOS.SmsThief.fc. Cyberprzestępcy zdołali dodać swój kod do oryginalnej aplikacji bankowej, co nie miało wpływu na jej działanie, ale utrudniło wykrycie tego trojana. 

W II kwartale pojawił się nowy trojan dla systemu iOS - Trojan.IphoneOS.FakeTimer.a. Szkodnik ten jest interesujący z tego względu, że stanowi wersję dla systemu iOS szkodliwej aplikacji dla Androida, która pojawiła się kilka lat temu. FakeTimer.a atakuje nawet urządzenia, które nie zostały złamane przy użyciu metody jailbreak. Jego funkcja szkodliwa jest raczej prymitywna: jest to standardowa aplikacja phishingowa stworzona w celu kradzieży pieniędzy od użytkowników japońskich.  

W II kwartale szczególnie widoczne stały się trojany, które potrafią wykorzystywać przywileje na poziomie administratora w celu wyświetlania reklam użytkownikom lub instalowania aplikacji reklamowych. W rankingu TOP 20 szkodliwego oprogramowania dla II kwartału znalazło się łącznie sześć takich szkodliwych programów. 

Liczba nowych zagrożeń mobilnych

W II kwartale 2015 r. produkty bezpieczeństwa mobilnego firmy Kaspersky Lab wykryły 291 887 nowych szkodliwych programów mobilnych, co stanowi 2,8-krotny wzrost w stosunku do I kwartału 2015 r.  

Wykryto 1 048 129 pakietów instalacyjnych – siedem razy więcej niż w poprzednim kwartale.

 

malware_report_2015_en_7_auto.png

Liczba wykrytych szkodliwych pakietów instalacyjnych oraz nowych szkodliwych programów mobilnych (IV kw. 2014 r. – II kw. 2015 r.)

 

Rozkład mobilnego szkodliwego oprogramowania według typu

malware_report_2015_en_8_auto.png

Rozkład nowych mobilnych szkodliwych programów według typu, II kwartał 2015 r.

Na czele rankingu szkodliwych obiektów dla urządzeń mobilnych w II kwartale 2015 r. znalazł się RiskTool (44,6%). Obejmuje on legalne aplikacje, które są potencjalnie niebezpieczne dla użytkowników – jeśli będą wykorzystywane w sposób nieostrożny lub będzie nimi manipulował cyberprzestępca, mogą spowodować straty finansowe.   

Na drugim miejscu znalazły się potencjalnie niechciane aplikacje reklamujące, które stanowiły 19%.

Wcześniej w rankingu prowadziły trojany SMS, ale w II kwartale znalazły się dopiero na czwartym miejscu, odpowiadając za 8,1% szkodliwego oprogramowania – o 12,9% mniej niż w I kwartale. Mniejszy udział tych szkodliwych programów można częściowo tłumaczyć tym, że osoby, które wcześniej aktywnie rozprzestrzeniały trojany SMS, zaczęły stosować “czystsze” techniki wykorzystywania szkodliwego oprogramowania w celu uzyskania korzyści finansowych (co potwierdza wzrost udziału programów RiskTool) lub wolą wykorzystywać inne rodzaje szkodników. Tym samym udział tego trojana zwiększył się z 9,8% w I kwartale do 12,4% w II kwartale.   

Top 20 szkodliwych programów mobilnych

Pragniemy podkreślić, że począwszy od tego raportu kwartalnego publikowany przez nas ranking szkodliwych programów nie zawiera potencjalnie niebezpiecznych czy niechcianych programów, takich jak RiskTool czy adware.

 

Nazwa

% ataków *

1

DangerousObject.Multi.Generic

17,5%

2

Trojan-SMS.AndroidOS.Podec.a

9,7%

3

Trojan-SMS.AndroidOS.Opfake.a

8,0%

4

Backdoor.AndroidOS.Obad.f

7,3%

5

Trojan-Downloader.AndroidOS.Leech.a

7,2%

6

Exploit.AndroidOS.Lotoor.be

5,7%

7

Trojan-Spy.AndroidOS.Agent.el

5,5%

8

Trojan.AndroidOS.Ztorg.a

3,1%

9

Trojan.AndroidOS.Rootnik.a

3,0%

10

Trojan-Dropper.AndroidOS.Gorpo.a

2,9%

11

Trojan.AndroidOS.Fadeb.a

2,7%

12

Trojan-SMS.AndroidOS.Gudex.e

2,5%

13

Trojan-SMS.AndroidOS.Stealer.a

2,5%

14

Exploit.AndroidOS.Lotoor.a

2,1%

15

Trojan-SMS.AndroidOS.Opfake.bo

1,6%

16

Trojan.AndroidOS.Ztorg.b

1,6%

17

Trojan.AndroidOS.Mobtes.b

1,6%

18

Trojan-SMS.AndroidOS.FakeInst.fz

1,6%

19

Trojan.AndroidOS.Ztorg.pac

1,5%

20

Trojan-SMS.AndroidOS.FakeInst.hb

1,4%

* Odsetek użytkowników zaatakowanych przez omawiane szkodliwe oprogramowanie w stosunku do wszystkich zaatakowanych użytkowników

Pierwsze miejsce w rankingach zajmuje DangerousObject.Multi.Generic (17,5%). W ten sposób technologie oparte na chmurze (KSN) wykrywają nowe szkodliwe aplikacje, co pomaga naszym produktom znacznie skrócić czas reakcji na nowe i nieznane zagrożenia.  

Dzięki aktywnemu rozprzestrzenianiu się Trojan-SMS.AndroidOS.Podec.a (9,7%) przez trzy kwartały z rzędu znajdował się w pierwszej trójce szkodliwych programów mobilnych.

Trojan-SMS.AndroidOS.Opfake.a (8,0%) szybko piął się w rankingu. O ile w III kwartale 2014 r. zajmował dopiero 11 miejsce, obecnie znajduje się w pierwszej trójce najbardziej rozpowszechnionego mobilnego szkodliwego oprogramowania. Obfake.bo, kolejny przedstawiciel tej rodziny szkodliwego oprogramowania, uplasował się na 15 pozycji.      

Warto również wspomnieć o pojawieniu się szkodnika o nazwie Backdoor.AndroidOS.Obad w rankingu TOP 20 - zagrożenie to od razu wskoczyło na czwarte miejsce. Jest to wielofunkcyjny trojan, który potrafi wysyłać SMS-y na numery o podwyższonej opłacie, pobierać inne szkodliwe programy, instalować je w zainfekowanym urządzeniu i/lub rozsyłać dalej za pośrednictwem technologii Bluetooth; jak również zdalnie wykonywać polecenia w konsoli. Pisaliśmy o tym dwa lata temu, jednak od tego czasu jego możliwości prawie wcale się nie zmieniły.

Inną ciekawostką jest to, że chociaż ranking ten nie zawiera programów adware, sześć spośród 20 najbardziej rozpowszechnionych szkodliwych programów mobilnych wykorzystuje reklamy jako główne narzędzie uzyskiwania korzyści finansowych. W przeciwieństwie do zwykłych modułów reklamowych Trojan.AndroidOS.Rootnik.a, trzy programy z rodziny Trojan.AndroidOS.Ztorg, Trojan-Downloader.AndroidOS.Leech.a oraz Trojan.AndroidOS.Fadeb.a nie zawierają w sobie żadnej produktywnej funkcji szkodliwej. Ich celem jest dostarczyć użytkownikowi jak najwięcej reklam, wykorzystując do tego różne sposoby, w tym instalowanie nowych programów adware. Trojany te mogą wykorzystywać przywileje na poziomie administratora w celu ukrycia się w folderze systemowym – to znacznie utrudnia ich usunięcie. 

Mobilne trojany bankowe

W II kwartale 2015 r. wykryliśmy 630 mobilnych trojanów bankowych. Należy zauważyć, że liczba nowych szkodliwych programów należących do tej kategorii odnotowuje obecnie znacznie wolniejszy wzrost.

 

malware_report_2015_en_9_auto.png

 

Liczba mobilnych trojanów bankowych wykrytych przez rozwiązania firmy Kaspersky Lab (III kw. 2014 – II kw.  2015)

 


malware_report_2015_en_10_auto.png

Rozkład geograficzny mobilnych zagrożeń bankowych w II kwartale 2015 r. (liczba zaatakowanych użytkowników)

Liczba zaatakowanych użytkowników zależy od łącznej liczby użytkowników w poszczególnych krajach. W celu oceny ryzyka infekcji za pośrednictwem mobilnego trojana bankowego w każdym kraju i porównaniu go z innymi krajami stworzyliśmy ranking państw, uszeregowanych według odsetka użytkowników zaatakowanych przez mobilne trojany bankowe.

Top 10 państw zaatakowanych przez mobilne trojany bankowe (uszeregowanych według odsetka zaatakowanych użytkowników):

Państwo*

% użytkowników zaatakowanych przez mobilne trojany bankowe

1

Republika Korei

2,37%

2

Rosja

0,87%

3

Uzbekistan

0,36%

4

Białoruś

0,30%

5

Ukraina

0,29%

6

Chiny

0,25%

7

Kazachstan

0,17%

8

Australia

0,14%

9

Szwecja

0,13%

10

Austria

0,12%

*W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab jest mniejsza niż 10 000

** Odsetek poszczególnych użytkowników w każdym państwie, którzy zostali zaatakowani przez mobilne trojany bankowe, w stosunku do wszystkich użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie

Mobilne trojany bankowe rozprzestrzeniają się najaktywniej w Korei. Tradycyjnie, cyberprzestępcy są również aktywni w Rosji i innych państwach byłego Związku Radzieckiego. Niektóre z tych państw zajmują cztery z pięciu miejsc w rankingu.

Wskaźnikiem popularności mobilnych trojanów bankowych wśród cyberprzestępców w każdym kraju jest odsetek użytkowników, którzy w objętym badaniem okresie trzech miesięcy zostali przynajmniej jeden raz zaatakowani przez mobilne trojany bankowe w ciągu badanego okresu trzech miesięcy, w stosunku do wszystkich użytkowników w tym samym państwie, których produkt bezpieczeństwa mobilnego został aktywowany przynajmniej jeden raz w badanym okresie. Poniższy ranking różni się od wcześniejszego: 

TOP 10 państw według odsetka użytkowników zaatakowanych przez mobilne trojany bankowe w stosunku do wszystkich zaatakowanych użytkowników

 

Państwo

% użytkowników zaatakowanych przez mobilne trojany bankowe w stosunku do wszystkich zaatakowanych użytkowników

1

Republika Korei

31,72%

2

Rosja

10,35%

3

Australia

6,62%

4

Austria

6,03%

5

Japonia

4,73%

6

Uzbekistan

4,17%

7

Białoruś

3,72%

8

Ekwador

3,50%

9

Ukraina

3,46%

10

Szwajcaria

3,09%

 

*W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab jest mniejsza niż 10 000

** Odsetek poszczególnych użytkowników w każdym państwie, którzy zostali zaatakowani przez mobilne szkodliwe oprogramowanie w danym państwie. 

 

W Korei celem mobilnych trojanów bankowych stała się niemal jedna trzecia wszystkich użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie. W Rosji co dziesiąty zaatakowany użytkownik znalazł się pod ostrzałem mobilnego trojana bankowego. W innych państwach odsetek ten jest niższy. Co ciekawe, w rankingu TOP 10 znajdują się cztery państwa, które zaklasyfikowały się również do pierwszej piątki najbezpieczniejszych państw o najmniejszym prawdopodobieństwie infekcji przy użyciu mobilnego szkodliwego oprogramowania – są to Australia, Austria, Japonia i Szwajcaria.   

Rozkład geograficzny zagrożeń mobilnych

malware_report_2015_en_11.png

Rozkład geograficzny prób infekcji przy użyciu mobilnego szkodliwego oprogramowania w II kwartale 2015 r. (odsetek wszystkich zaatakowanych użytkowników)

Top 10 państw zaatakowanych przez mobilne szkodliwe oprogramowanie:

Państwo*

% zaatakowanych użytkowników**

1

Chiny

16,34

2

Malezja

12,65

3

Nigeria

11,48

4

Bangladesz

10,89

5

Tanzania

9,66

6

Algieria

9,33

7

Uzbekistan

8,56

8

Rosja

8,51

9

Ukraina

8,39

10

Białoruś

8,05

*W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktów bezpieczeństwa firmy Kaspersky Lab nie przekracza 10 000

** Odsetek poszczególnych użytkowników, którzy zostali zaatakowani w dany państwie, w stosunku do wszystkich użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie

W rankingu tym prowadzą Chiny, gdzie 16,34% wszystkich użytkowników produktów firmy Kaspersky Lab zostało zaatakowanych przynajmniej jeden raz w ciągu trzech miesięcy. Na drugim miejscu znalazła się Malezja (której udział wynosił 12,65%). Ranking TOP 10 zamknęła Rosja (8,51%), Ukraina (8,39%) oraz Białoruś (8,05%).    

Korea znalazła się na 11 miejscu w rankingu (7,46%). Przypomnijmy, że mobilne trojany bankowe są bardzo popularne wśród koreańskich cyberprzestępców: 31,72% wszystkich użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie padło ofiarą ataku przy użyciu właśnie mobilnego trojana bankowego. 

Najbezpieczniejsze państwa pod tym względem to:

Państwo

% zaatakowanych użytkowników

1

Japonia

1,06

2

Kanada

1,82

3

Austria

1,96

4

Australia

2,16

5

Szwajcaria

2,19

 

„Dziurawe” aplikacje wykorzystywane przez oszustów

Poniższy ranking dziurawych aplikacji jest oparty na informacjach dotyczących exploitów zablokowanych przez nasze produkty. Exploity te były wykorzystywane przez cyberprzestępców w atakach internetowych oraz podczas prób złamania zabezpieczeń aplikacji lokalnych, łącznie z tymi zainstalowanymi na urządzeniach mobilnych.

malware_report_2015_en_121_auto.png

Rozkład exploitów wykorzystywanych w atakach według typu zaatakowanej aplikacji, II kw. 2015 r.

Ranking exploitów odnotował niewielkie zmiany w stosunku do pierwszego kwartału. Kategoria Przeglądarki (60%) utrzymała swoją wiodącą pozycję w II kwartale 2015 r. Obecnie większość pakietów exploitów zawiera pakiet dla Adobe Flash Playera i Internet Explorera. Warto również wspomnieć o rosnącej liczbie exploitów dla Adobe Flash Playera (o sześć punktów procentowych) spowodowanej dużą liczbą wysyłek spamowych zawierających szkodliwe dokumenty PDF. 

Liczba exploitów dla Javy nadal spada (o cztery punkty procentowe): w II kwartale nie zidentyfikowaliśmy żadnych nowych exploitów dla Javy.

W badanym okresie odnotowaliśmy wykorzystywanie czterech nowych luk w zabezpieczeniach Adobe Flash Playera:

-          CVE-2015-3113

-          CVE-2015-3104

-          CVE-2015-3105

-          CVE-2015-3090

Chociaż udział exploitów dla Adobe Flash Playera w naszym rankingu wynosi jedynie 3%, ich liczba „na wolności” jest znacznie większa. Analizując te dane statystyczne, należy wziąć pod uwagę fakt, że technologie firmy Kaspersky Lab wykrywają exploity na różnych etapach. Kategoria Przeglądarki obejmuje również wykrywanie stron docelowych, które „rozprzestrzeniają” exploity. Z naszych obserwacji wynika, że są to najczęściej exploity dla Adobe Flash Playera.   

 

Zagrożenia WWW (ataki oparte na sieci)

Dane statystyczne zawarte w tej sekcji zostały dostarczone przez komponenty ochrony przed szkodliwym oprogramowaniem, które zabezpieczają użytkowników przed próbami pobrania szkodliwych obiektów z zainfekowanych/szkodliwych stron. Szkodliwe strony są tworzone celowo przez szkodliwych użytkowników; zainfekowane strony obejmują te zawierające treści dostarczone przez użytkowników (na przykład fora), jak również zhakowane legalne zasoby.  

Zagrożenia WWW w sektorze bankowym

W drugim kwartale 2015 r. rozwiązania firmy Kaspersky Lab zablokowały próby uruchomienia szkodliwego oprogramowania potrafiącego kraść pieniądze za pośrednictwem serwisów bankowości online na komputerach 755 642 użytkowników. W porównaniu z poprzednim kwartałem (735 428) jest to spadek o 18,7%.

W II kwartale 2015 r. rozwiązania firmy Kaspersky Lab odnotowały łącznie 5 903 377 powiadomień o szkodliwej aktywności programów stworzonych w celu kradzieży pieniędzy za pośrednictwem internetowego dostępu do kont bankowych. 

malware_report_2015_en_13_auto.png

Liczba komputerów zaatakowanych przez finansowe szkodliwe oprogramowanie (II kw. 2015 r.)

Geografia ataków

W drugim kwartale 2015 r. zmieniliśmy metodologię stosowaną do tworzenia rankingu państw dotkniętych szkodliwą aktywnością trojanów bankowych. W naszych poprzednich raportach ranking Top 10 był tworzony na podstawie liczby zaatakowanych użytkowników. Chociaż aspekt ten jest bardzo istotny, zależy od liczby użytkowników produktów firmy Kaspersky Lab w poszczególnych państwach.

Aby ocenić i porównać stopień ryzyka infekcji trojanami bankowymi, na jakie narażone są komputery użytkowników na całym świecie, obliczyliśmy odsetek użytkowników produktów firmy Kaspersky Lab, którzy natknęli się na to zagrożenie w badanym okresie w danym państwie, w stosunku do wszystkich użytkowników naszych produktów w tym państwie.  

malware_report_2015_en_14_auto.png

Rozkład geograficzny ataków przy użyciu szkodliwego oprogramowania bankowego w II kw. 2015 r. (odsetek zaatakowanych użytkowników)

 

Top 10 państw uszeregowanych według odsetka zaatakowanych użytkowników

Państwo*

% zaatakowanych użytkowników**

1

Singapur

5,28

2

Szwajcaria

4,16

3

Brazylia

4,07

4

Australia

3,95

5

Hong Kong

3,66

6

Turcja

3,64

7

Nowa Zelandia

3,28

8

Afryka Południowa

3,13

9

Liban

3,10

10

Zjednoczone Emiraty Arabskie

3,04

* Nie uwzględniliśmy państw, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000)
** Poszczególni użytkownicy, których komputery stały się celem ataków sieciowych, jako odsetek wszystkich indywidualnych użytkowników produktów Kaspersky Lab w danym państwie.   

W II kwartale 2015 r. Singapur objął prowadzenie pod względem odsetka użytkowników produktów firmy Kaspersky Lab, którzy zostali zaatakowani przy użyciu trojanów bakowych. Co istotne, większość państw z rankingu TOP 10 charakteryzuje się wysokim poziomem rozwoju technologicznego i systemu bankowego, co przyciąga do nich cyberprzestępców.

W Rosji 0,75% użytkowników trafiło na trojany bankowe przynajmniej jeden raz w badanym kwartale; w Stanach Zjednoczonych odsetek ten wynosił 0,89%; w Hiszpanii – 2,02%, w Wielkiej Brytanii – 1,58%, we Włoszech – 1,57%, natomiast w Niemczech – 1,16%.      

TOP 10 rodzin szkodliwego oprogramowania bankowego

Poniższa tabela zawiera Top 10 szkodliwych programów, które w II kwartale 2015 r. były najczęściej wykorzystywane do atakowania użytkowników bankowości online, na podstawie liczby zaatakowanych użytkowników:

 

Nazwa

Liczba modyfikacji

Liczba zaatakowanych użytkowników

1

Trojan-Downloader.Win32.Upatre

3888061

419940

2

Trojan-Spy.Win32.Zbot

889737

177665

3

Trojan-Banker.Win32.ChePro

264534

68467

4

Backdoor.Win32.Caphaw

72128

25923

5

Trojan-Banker.Win32.Banbra

56755

24964

6

Trojan.Win32.Tinba

175729

22942

7

Trojan-Banker.AndroidOS.Marcher

60819

19782

8

Trojan-Banker.AndroidOS.Faketoken

43848

13446

9

Trojan-Banker.Win32.Banker

23225

9209

10

Trojan-Banker.Win32.Agent

28658

8713

 

Działanie większości szkodliwych programów z rankingu Top 10 polega na wstrzykiwaniu losowego kodu HTML do wyświetlanej przez przeglądarkę strony internetowej i przechwytywaniu wszelkich danych dotyczących płatności wprowadzanych przez użytkownika w oryginalnych lub załączonych formularzach sieci Web. 

Pierwsza trójka szkodliwych programów bankowych pozostała niezmieniona w stosunku do poprzedniego kwartału. Wiodącą pozycję w rankingu zachował Trojan-Downloader.Win32.Upatre. Szkodliwe programy z tej rodziny są stosunkowo proste i nie większe niż 3,5 KB. Zwykle pobierają trojana bankera należącego do rodziny znanej jako Dyre/Dyzap/Dyreza. Lista instytucji finansowych atakowanych przez tego trojana bankowego zależy od pliku konfiguracyjnego, który jest pobierany z centrum kontroli.   

W II kwartale 2015 r. do rankingu weszły nowe trojany bankowe - Backdoor.Win32.Caphaw, Trojan-Banker.AndroidOS.Marcher oraz Trojan-Banker.AndroidOS.Faketoken.

Backdoor.Win32.Caphaw został po raz pierwszy wykryty w 2011 r. Szkodnik ten wykorzystuje technikę Man-in-the-Browser w celu kradzieży danych uwierzytelniających transakcje bankowości online użytkowników.  

Trojan-Banker.AndroidOS.Faketoken oraz Trojan-Banker.AndroidOS.Marcher atakują urządzenia mobilne oparte na systemie Android. Faketoken działa we współpracy z trojanami komputerowymi. W celu rozprzestrzeniania tego szkodliwego oprogramowania cyberprzestępcy stosują metody socjotechniki. Gdy użytkownik loguje się do swojego konta bankowości online, trojan ten modyfikuje stronę, prosząc go o pobranie aplikacji dla Androida, która jest rzekomo niezbędna w celu potwierdzenia transakcji dla zachowania bezpieczeństwa. W rzeczywistości odsyłacz ten prowadzi do aplikacji Faketoken.

Jak tylko Faketoken znajdzie się na smartfonie użytkownika, cyberprzestępcy uzyskają dostęp do jego konta bankowego za pośrednictwem komputera zainfekowanego trojanem bankowym, a skompromitowane urządzenie mobilne umożliwi im przechwycenie kodu jednorazowego (mTAN). Drugim trojanem mobilnym jest Trojan-Banker.AndroidOS.Marcher. Po zainfekowaniu urządzenia szkodliwe oprogramowanie śledzi uruchomienie tylko dwóch aplikacji – klienta bankowości mobilnej jednego z banków europejskich oraz Google Play. Jeśli użytkownik uruchomi Google Play, Marcher wyświetli fałszywe okno żądające podania danych dotyczących karty kredytowej, które następnie trafią do oszustów. Ta sama metoda jest wykorzystywana przez trojana, jeśli użytkownik uruchomi aplikację bankową.  

Zagrożenia finansowe

Zagrożenia finansowe nie ograniczają się do szkodliwego oprogramowania bankowego, które atakuje klientów bankowości online.

malware_report_2015_en_151_auto.png

Szkodliwe oprogramowanie finansowe: rozkład według rodzaju szkodliwego oprogramowania 

W II kwartale 2015 r. odsetek szkodliwego oprogramowania bankowego zwiększył się z 71% do 83% w porównaniu z poprzednim kwartałem. Drugie najbardziej rozpowszechnione zagrożenie finansowe stanowiły programy wydobywające bitcoiny – szkodliwe oprogramowanie, które wykorzystuje zasoby obliczeniowe komputera ofiary w celu generowania bitcoinów. W poprzednim kwartale ta kategoria szkodliwego oprogramowania znajdowała się na trzecim miejscu. Na uwagę zasługuje również fakt, że niektórzy twórcy legalnego oprogramowania ukradkiem integrują w swoich aplikacjach programy wydobywające bitcoiny.

Top 20 szkodliwych obiektów wykrytych online

W drugim kwartale 2015 r. technologie firmy Kaspersky Lab zapewniające ochronę przed zagrożeniami WWW wykryły 26 084 253 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd.

Zidentyfikowaliśmy 20 najaktywniejszych szkodliwych obiektów wykorzystywanych w atakach online na komputery użytkowników. Te 20 programów odpowiadało za 96,5% wszystkich ataków w internecie.

Top 20 szkodliwych obiektów wykrytych online

 

Nazwa*

% wszystkich ataków**

1

AdWare.JS.Agent.bg

47,66%

2

Malicious URL

32,11%

3

Trojan.Script.Generic

4,34%

4

AdWare.Script.Generic

4,12%

5

Trojan.Script.Iframer

3,99%

6

AdWare.JS.Agent.bt

0,74%

7

Exploit.Script.Blocker

0,56%

8

Trojan.Win32.Generic

0,49%

9

AdWare.AndroidOS.Xynyin.a

0,49%

10

Trojan-Downloader.Win32.Generic

0,37%

11

Trojan-Ransom.JS.Blocker.a

0,34%

12

Trojan-Clicker.JS.Agent.pq

0,23%

13

AdWare.JS.Agent.an

0,20%

14

AdWare.JS.Agent.by

0,19%

15

Trojan.Win32.Invader

0,12%

16

Trojan-Downloader.Win32.Genome.qhcr

0,11%

17

AdWare.Win32.Amonetize.ague

0,11%

18

AdWare.Win32.MultiPlug.nnnn

0,10%

19

AdWare.NSIS.Agent.cv

0,09%

20

Trojan-Downloader.Script.Generic

0,09%

* Dane te stanowią werdykty wykrycia wygenerowane przez moduł ochrony przed zagrożeniami WWW. Informacje te zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje lokalne dane statystyczne 
** Odsetek wszystkich ataków WWW zarejestrowanych na komputerach poszczególnych użytkowników

Ranking Top 20 tworzą w większości werdykty przyznane obiektom wykorzystywanym w atakach drive-by jak również programy adware.

Na ranking miała wpływ agresywna dystrybucja programów wyświetlających reklamy: 10 na 20 pozycji zajmowały obiekty związane z reklamami. Na pierwszym miejscu uplasował się skrypt AdWare.JS.Agent.bg, który jest implementowany poprzez umieszczanie oprogramowania adware w losowych stronach internetowych. Szkodnik ten może nawet zepchnąć Malicious URL - werdykt obejmujący odsyłacze z czarnej listy - które w II kwartale 2015 r. znalazły się na drugim miejscu.

Interesujące jest również występowanie w rankingu werdyktu AdWare.AndroidOS.Xynyin.a – werdykt wskazujący na szkodliwe oprogramowanie dla Androida nieczęsto pojawia się w rankingach szkodliwego oprogramowania wykrywanego na komputerach użytkowników. Program odpowiadający temu werdyktowi stanowi moduł reklamowy dla systemu Android, który jest osadzony w różnych aplikacjach (np. w programach „przyspieszających” pracę telefonu). Jedna z takich aplikacji cieszyła się popularnością w marcu i kwietniu tego roku, gdy była aktywnie pobierana przez użytkowników. Ponieważ Google Play nie dostarcza takich aplikacji, były one pobierane z internetu w większości za pośrednictwem komputerów ofiar.    

Werdykt Trojan-Ransom.JS.Blocker.a stanowi skrypt, który próbuje zablokować przeglądarkę przy użyciu okresowej aktualizacji strony i wyświetla komunikat żądający od ofiary zapłacenia „kary” za pośrednictwem wskazanego portfela cyfrowego za przeglądanie nieodpowiednich materiałów. Skrypt ten można najczęściej spotkać na stronach pornograficznych.  

Top 10 państw, w których znajduje się najwięcej szkodliwego oprogramowania zaszytego w zasobach online

Poniższe statystyki opierają się na fizycznej lokalizacji zasobów online, które zostały wykorzystane w atakach i zablokowane przez komponenty antywirusowe (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity i inne szkodliwe oprogramowanie, centra kontroli botnetów itd.). Każdy unikatowy host może być źródłem jednego lub większej liczby ataków sieciowych.  

W celu określenia geograficznego źródła ataków sieciowych nazwy domen są porównywane z rzeczywistymi adresami IP domen, a następnie ustalana jest lokalizacja geograficzna określonego adresu IP (GEOIP).  

W II kwartale 2015 r. rozwiązania firmy Kaspersky Lab zablokowały 379 972 834 ataków przeprowadzonych z zasobów sieciowych zlokalizowanych w różnych państwach na świecie. 89% powiadomień dotyczących zablokowanych ataków sieciowych zostało aktywowanych w wyniku ataków pochodzących z zasobów sieciowych zlokalizowanych w 10 krajach.

 

malware_report_2015_en_161_auto.png

Rozkład źródeł ataków sieciowych według państwa, II kw. 2015 r.

Na prowadzeniu utrzymała się Rosja (51%): udział tego państwa zwiększył się o 11,27%. Z rankingu Top 10 wypadła Szwajcaria. Singapur znalazł się na ósmej pozycji w rankingu (odpowiadając za 1,56% wszystkich ataków sieciowych).    

Państwa, w których użytkownicy byli najbardziej narażeni na infekcję online

Aby oszacować ryzyko infekcji online, na jakie narażeni są użytkownicy w różnych państwach, obliczyliśmy odsetek użytkowników firmy Kaspersky Lab w każdym państwie, którzy w badanym kwartale zarejestrowali werdykty wykrycia na swoich maszynach. Uzyskane dane określają agresywność środowiska, w którym działają komputery w różnych krajach.  

 

Państwo*

% unikatowych zaatakowanych użytkowników **

1

Rosja

38,98%

2

Kazachstan

37,70%

3

Ukraina

35,75%

4

Syria

34,36%

5

Białoruś

33,02%

6

Azerbejdżan

32,16%

7

Tajlandia

31,56%

8

Gruzja

31,44%

9

Mołdawia

31,09%

10

Wietnam

30,83%

11

Armenia

30,19%

12

Kirgistan

29,32%

13

Chorwacja

29,16%

14

Algieria

28,85%

15

Katar

28,47%

16

Chiny

27,70%

17

Mongolia

27,27%

18

Macedonia

26,67%

19

Bośnia i Hercegowina

25,86%

20

Grecja

25,78%

Dane te opierają się na werdyktach wykrycia wygenerowanych przez moduł ochrony przed zagrożeniami WWW, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.
* W obliczeniach tych nie uwzględniono państw, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000 użytkowników).
** Poszczególni użytkownicy, których komputery stały się celem ataków WWW, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

W badanym okresie prowadzenie w rankingu odzyskała Rosja, która w pierwszym kwartale uplasowała się na drugiej pozycji. Od poprzedniego kwartału ranking Top 20 opuściły Zjednoczone Emiraty Arabskie, Łotwa, Tadżykistan, Tunezja i Bułgaria. Nowe państwa stanowiły: Syria, która od razu uplasowała się na czwartym miejscu (34, 6%); Tajlandia, która znalazła się na siódmej pozycji (31,56%); Wietnam na dziesiątym miejscu (30,83%); Chiny (27,70%) oraz Macedonia (26,67%), które zajmowały odpowiednio 16 i 18 miejsca.     

Wśród państw z najbezpieczniejszym środowiskiem surfowania online znalazły się Argentyna (13,2%), Holandia (12,5%), Korea (12,4%), Szwecja (11,8%), Paragwaj (10,2%) i Dania (10,1%).  

malware_report_2015_en_17_auto.png

W ciągu trzech miesięcy średnio 23,9% komputerów podłączonych do internetu na całym świecie było celem co najmniej jednego ataku sieciowego.

Zagrożenia lokalne

Statystyki dotyczące lokalnych infekcji komputerów użytkowników stanowią bardzo istotny wskaźnik: odzwierciedlają zagrożenia, które przeniknęły systemy komputerowe przy użyciu innych mediów niż internet, poczta e-mail czy porty sieciowe.

Dane zawarte w tej sekcji opierają się na analizie statystyk stworzonych na podstawie skanowania antywirusowego plików znajdujących się na dysku twardym w momencie ich tworzenia lub uzyskiwania do nich dostępu oraz wyników skanowania nośników wymiennych.

W II kwartale 2015 r. moduły ochrony systemu plików firmy Kaspersky Lab wykryły 110 731 713 unikatowych szkodliwych i potencjalnie niechcianych obiektów.   

Top 20 szkodliwych obiektów wykrytych na komputerach użytkowników

 

 

Nazwa*

% unikatowych, zaatakowanych użytkowników**

1

DangerousObject.Multi.Generic

22,64%

2

Trojan.Win32.Generic

15,05%

3

Trojan.WinLNK.StartPage.gena

8,28%

4

AdWare.Script.Generic

7,41%

5

Adware.NSIS.ConvertAd.heur

5,57%

6

WebToolbar.Win32.Agent.azm

4,48%

7

WebToolbar.JS.Condonit.a

4,42%

8

Trojan-Downloader.Win32.Generic

3,65%

9

Downloader.Win32.MediaGet.elo

3,39%

10

Trojan.Win32.AutoRun.gen

3,29%

11

Downloader.Win32.Agent.bxib

3,26%

12

WebToolbar.JS.CroRi.b

3,09%

13

RiskTool.Win32.BackupMyPC.a

3,07%

14

Virus.Win32.Sality.gen

2,86%

15

Worm.VBS.Dinihou.r

2,84%

16

WebToolbar.Win32.MyWebSearch.si

2,83%

17

DangerousPattern.Multi.Generic

2,75%

18

AdWare.NSIS.Zaitu.heur

2,70%

19

AdWare.BAT.Clicker.af

2,67%

20

AdWare.Win32.MultiPlug.heur

2,54%

* Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez moduły skanerów podczas dostępu i na żądanie na komputerach użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.
** Odsetek poszczególnych użytkowników, na których komputerach moduł ochrony przed szkodliwym oprogramowaniem wykrył te obiekty, jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na których komputerach została aktywowana ochrona antywirusowa systemu plików.    

Zgodnie z wprowadzoną praktyką, ranking ten zawiera werdykty przyznawane programom adware lub ich komponentom (jak np. AdWare.BAT.Clicker.af) oraz robakom rozprzestrzenianym za pośrednictwem nośników wymiennych.

Jedyny wirus w rankingu - Virus.Win32.Sality.gen – nadal traci pozycję. Odsetek maszyn użytkowników zainfekowanych tym wirusem od dłuższego czasu odnotowuje spadek. W II kwartale 2015 r. Sality znalazł się na 14 pozycji, a jego udział wynosił 2,86% - o 0,32% mniej w porównaniu z poprzednim kwartałem.   

Państwa, w których użytkownicy byli najbardziej zagrożeni infekcją lokalną

Dla każdego z państw obliczyliśmy odsetek użytkowników produktów firmy Kaspersky Lab, na których komputerach został uruchomiony w badanym okresie komponent ochrony systemu plików. Statystyki te odzwierciedlają poziom infekcji komputerów osobistych w różnych krajach.

Top 20 państw charakteryzujących się najwyższym poziomem infekcji komputerów

 

Państwo*

% unikatowych użytkowników**

1

Bangladesz

60,53%

2

Wietnam

59,77%

3

Pakistan

58,79%

4

Mongolia

58,59%

5

Gruzja

57,86%

6

Somali

57,22%

7

Nepal

55,90%

8

Afganistan

55,62%

9

Algieria

55,44%

10

Armenia

55,39%

11

Rosja

54,94%

12

Laos

54,77%

13

Irak

54,64%

14

Kazachstan

54,23%

15

Syria

53,00%

16

Tunezja

53,75%

17

Etiopia

53,44%

18

Ruanda

53,17%

19

Ukraina

53,01%

20

Kambodża

52,88%

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduły skanowania podczas dostępu i na żądanie, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne. Dane te obejmują wykrycia szkodliwych programów zlokalizowanych na komputerach użytkowników lub na nośnikach wymiennych podłączonych do komputerów, takich jak pamięć flash, karty pamięci w aparacie i telefonie czy zewnętrzne dyski twarde.
*Obliczenia te nie uwzględniają państw, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000).
**Odsetek unikatowych użytkowników w państwie posiadających komputery, które zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.

W II kwartale 2015 r. Bangladesz (60,53%) objął prowadzenie jako państwo o najwyższym poziomie infekcji komputerów, spychając Wietnam, który prowadził w rankingu przez prawie dwa lata. Pakistan (58,79%) awansował z 13 miejsca w poprzednim kwartale na 3 pozycję w II kwartale.

Wśród nowych państw w rankingu znalazła się Gruzja (5 miejsce z udziałem 57,8%), Rosja (11 miejsce z udziałem 55%), Tunezja (16 miejsce z udziałem 53,7%) oraz Ukraina (19 miejsce z udziałem 53%).

Najbezpieczniejszymi państwami pod względem ryzyka lokalną infekcją były Szwecja (19,7%), Dania (18,4%) oraz Japonia (15,5%).

malware_report_2015_en_18_auto.png

Średnio 40% komputerów na całym świecie zetknęło się z co najmniej jednym zagrożeniem lokalnym w II kwartale 2015 r., co stanowi o 0,2% punktów procentowych więcej niż w poprzednim kwartale.