Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT w I kwartale 2016 r.

Tagi:

I kwartał w liczbach

  • Według danych KSN, rozwiązania firmy Kaspersky Lab wykryły i odparły 228 420 754 ataków przy użyciu szkodliwego oprogramowania przeprowadzonych z zasobów online zlokalizowanych w 195 państwach na całym świecie.  
  • 74 001 808 unikatowych adresów URL zostało zidentyfikowanych jako szkodliwe przez komponenty ochrony WWW.
  • Ochrona WWW firmy Kaspersky Lab wykryła 18 610 281 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd.   
  • Zarejestrowano 459 970 powiadomień dotyczących prób infekcji przy użyciu szkodliwego oprogramowania, których celem jest kradzież pieniędzy za pośrednictwem dostępu online do kont bankowych.   
  • Ataki przy użyciu oprogramowania ransomware zostały zablokowane na 372 602 komputerach unikatowych użytkowników.
  • Ochrona antywirusowa plików firmy Kaspersky Lab wykryła łącznie 174 547 611 unikatowych szkodliwych i potencjalnie niechcianych obiektów. 
  • Produkty bezpieczeństwa mobilnego firmy Kaspersky Lab wykryły:
    • 2 045 323 szkodliwych pakietów instalacyjnych;
    • 4 146 mobilnych trojanów bankowych;
    • 2 896 mobilnych trojanów ransomware.

Przegląd

W ciągu pierwszych trzech miesięcy 2016 roku odnotowaliśmy tyle samo cyberincydentów, ile kilka lat temu w ciągu całego roku. Główne trendy nie uległy zmianie, zarejestrowaliśmy natomiast znaczny wzrost w trendach związanych z tradycyjną cyberprzestępczością, zwłaszcza zagrożeniami mobilnymi i globalną epidemią ransomware.  

Oprogramowanie ransomware stało się głównym tematem kwartału, zepchnąwszy ataki ukierunkowane z pierwszego miejsca w rankingu najpopularniejszych zagrożeń. Niestety, sytuacja ta będzie pogłębiać się, a cyberprzestępców wyłudzających okup można określić mianem „problemu roku”.

Ataki ukierunkowane

BlackEnergy2/3

Najbardziej nagłośnionym incydentem był atak cybernetyczny BlackEnergy na ukraiński sektor energetyczny. Chociaż miał miejsce pod koniec zeszłego roku, dopiero przeprowadzona analiza pokazała szerzej, co tak naprawdę się zdarzyło. Co więcej, próby zorganizowania nowych ataków przez cyberprzestępców były kontynuowane w 2016 roku.   

Atak ten był unikatowy ze względu na wyrządzoną szkodę – hakerzy zdołali wyłączyć system rozdziału energii w Ukrainie Zachodniej, uruchomić program Wiper na atakowanych systemach i przeprowadzić telefoniczny atak DDoS na serwisy pomocy technicznej dotkniętych firm. 

Pojawiły się liczne publikacje dotyczące ataku, a eksperci z Kaspersky Lab ujawnili kilka aspektów działalności odpowiedzialnej za nie grupy. W szczególności, opublikowali analizę narzędzia wykorzystanego w celu przeniknięcia do systemu – szkodliwego pliku DOC.

Osobom, które chcą dowiedzieć się więcej na temat tego ataku, polecamy raport przygotowany przez instytut American SANS oraz ICS-CERT.

Poseidon

W lutym eksperci z Kaspersky Lab ujawnili szczegóły dotyczące działalności Poseidona – pierwszego portugalskojęzycznego ugrupowania stosującego ataki ukierunkowane, które stworzyło butik szkodliwego oprogramowania szytego na miarę

Chociaż raport został opublikowany dopiero w 2016 roku, ugrupowanie działa od długiego czasu. Kampanie wykorzystujące szkodliwe oprogramowanie, które były prawdopodobnie wspierane przez Poseidona, zostały wykryte już w 2005 roku, natomiast pierwsze próbki pochodzą z 2001 roku. Arsenał Poseidona koncentruje się głównie na systemach operacyjnych z rodziny Microsoft Windows: począwszy od wersji Windows 95, którą ugrupowanie atakowało na początku swojej działalności, do wersji Windows 8.1 i Windows Server 2012, które stanowiły cel najnowszych spośród wykrytych próbek szkodliwego oprogramowania.         

Scenariusz ataku jest precyzyjnie dobrany do ofiary. Chociaż pierwotna infekcja przebiega według tego samego scenariusza, na kolejnych etapach kampanii metoda infekcji zostaje dostosowana do każdej nowej ofiary. Dlatego właśnie specjaliści z Globalnego zespołu ds. badań i analiz (GReAT) postanowili określić Poseidona jako „butik szkodliwego oprogramowania szytego na miarę”.    

Po uzyskaniu dostępu do sieci korporacyjnej przestępcy poruszają się po sieci i zbierają możliwie jak najwięcej danych w celu eskalacji przywilejów, stworzenia mapy sieci i zidentyfikowania potrzebnego im komputera. Głównym celem ataku jest zwykle lokalny kontroler domen Windowsa. Mając nad nim kontrolę, osoby atakujące mogą ukraść własność intelektualną, dane, tajemnice handlowe oraz inne cenne informacje.

q1_2016_mw_en_1_auto.png

Informacje zebrane przez Poseidona były w większości przypadków wykorzystywane do szantażowania firm, aby zawarły umowę z ugrupowaniem Poseidon jako firmą świadczącą usługi bezpieczeństwa. Niezależnie od tego, czy umowa została podpisana, Poseidon pozostał w sieci.     

Hacking Team

W zeszłym roku ofiarą cyberataku padł inny „butik” tworzący narzędzia cyberszpiegowskie, tj. włoska firma Hacking Team. W wyniku tego ataku skradziono ogromną bazę danych zawierającą korespondencję e-mail pracowników jak również kody źródłowe projektów.

Incydent ten ukazał wiele problemów w działaniu tej firmy i wielu sądziło, że jej dalszy rozwój będzie bardzo trudny. Jednak na początku 2016 roku znaleziono nowe implanty Hacking Team dla OSX. To sugeruje, że ugrupowanie to nie ma zamiaru wstrzymywać swojej działalności i nieustannie rozwija się w dziedzinie niektórych systemów operacyjnych. To oznacza, że jego „twory” nadal będą stanowić problem dla użytkowników, którzy stali się przedmiotem zainteresowania klientów HT.

Innym epizodem związanym z ugrupowaniem Hacking Team było polowanie na Microsoft Silverlight 0-day. Informacje o potencjalnym istnieniu tej luki w zabezpieczeniach znaleziono w dokumentach tej włoskiej firmy. W oparciu o bardzo niewiele danych pierwotnych i wyposażeni w narzędzia Yara oraz VirusTotal, nasi eksperci zastawili pułapkę i czekali. Koniec końców wykryli exploita 0-day.  

Operacja BLOCKBASTER

Kaspersky Lab był jednym z uczestników operacji Blockbaster, wspólnego dochodzenia przeprowadzonego przez kilka wiodących firm bezpieczeństwa IT. Przedmiotem dochodzenia była aktywność the Lazarus Group, gangu cyberprzestępczego, pochodzącego prawdopodobnie z Korei Północnej, który był zamieszany w atak na Sony Pictures w 2014 roku.  

q1_2016_mw_en_2_auto.png

Ugrupowanie Lazarus istnieje od 2009 roku, ale od 2011 roku jego aktywność nabrała rozpędu. Gang ten jest odpowiedzialny za takie znane ataki jak Troy, Dark Seoul (Wiper) czy WildPositron. Podczas dochodzenia wykryto ponad 40 różnych typów szkodliwego oprogramowania, które stworzył na przestrzeni lat. W szczególności, ugrupowanie to wykorzystywało swoje szkodliwe oprogramowanie do ataków na firmy, instytucje finansowe radio i telewizję. Zidentyfikowano również wykorzystanie exploitów dla luk 0-day.   

Ataki na szpitale

Sekcja dotycząca ataków ukierunkowanych powinna uwzględnić badanie Sergieja Lożkina dotyczące sposobu przeniknięcia przez hakerów do wewnętrznej sieci szpitali oraz uzyskania pełnego dostępu do danych pacjentów za pośrednictwem publicznie dostępnych narzędzi i usług.

Niestety instytucje medyczne stają się coraz częstszym celem takich ataków. W pierwszym kwartale 2016 roku miało miejsce kilka incydentów zainfekowania sieci szpitali przy użyciu różnych rodzajów trojanów ransomware, które szyfrują dane i żądają okupu za ich przywrócenie.

Ostatnim incydentem był atak na sieć MedStar, który dotknął 10 szpitali. Według oficjalnego raportu tej sieci, dane zostały „uratowane” bez konieczności płacenia okupu szantażystom, podczas gdy inny szpital w Kalifornii zapłacił 17 000 dolarów za klucz kryptograficzny ransomware.

Cyberprzestępczość

Adwind

Podczas szczytu analityków bezpieczeństwa 2016 SAS 2016 nasi eksperci z zespołu GReAT przedstawili wyniki swojego dochodzenia dotyczącego tego trojana, znanego jako Adwind RAT (Remote Access Tool). Zbadawszy aktywność szkodnika, badacze doszli do wniosku, że nawet historia stworzenia tego trojana była niezwykła.

Trojan był rozwijany w sposób ciągły przez kilka lat, przy czym pierwsze próbki pojawiły się w 2012 roku. W różnym czasie posiadał różne nazwy: w 2012 roku twórcy sprzedawali go pod nazwą Frutas; w 2013 roku był określany jako Adwind; w 2014 roku trojan ten posiadał nazwy Unrecom oraz AlienSpy; natomiast w 2015 roku występował jako JSocket.   

Eksperci z zespołu GReAT uważają, że Adwind i wszystkie jego wcielenia został stworzony przez jednego, pracowitego hakera, który przez cztery lata wypuszczał nowe funkcje i moduły.  

Platforma Adwind była początkowo dostępna tylko w języku hiszpańskim, później jednak dodano angielskojęzyczny interfejs, dzięki czemu mogli go ocenić cyberprzestępcy na całym świecie. Głównymi użytkownikami tego trojana są osoby dokonujące zaawansowanych cyberoszustw, bezwzględna konkurencja jak również tzw. najemnicy internetowi, którym płaci się za szpiegowanie ludzi i organizacji online. Adwin może być również wykorzystywany przez każdego, kto chce szpiegować swoich znajomych.

q1_2016_mw_en_3_auto.png

Pod względem geograficznym w ciągu czterech ostatnich lat zmieniła się również największa koncentracja ofiar. W 2013 roku cele ataków były zlokalizowane głównie w krajach hiszpańsko i arabskojęzycznych. Rok później cyberprzestępcy skupili się na Turcji i Indiach jak również Zjednoczonych Emiratach Arabskich, Stanach Zjednoczonych oraz Wietnamie. W 2015 roku na szczycie rankingu znalazła się Rosja, a tuż za nią Zjednoczone Emiraty Arabskie, Turcja, Stany Zjednoczone oraz Niemcy.

Na szczęście, nasze dochodzenie przyniosło efekty – kilka dni po publikacji raportu strona internetowa JSocket przestała działać, a autor Adwind zarzucił swoją aktywność. Od tego czasu nie pojawiły się żadne nowe wersje tego trojana. Być może należy spodziewać się kolejnego wcielenia szkodnika, równie dobrze może to być jednak koniec historii.

Zagrożenia bankowe

Podczas szczytu analityków bezpieczeństwa (SAS in 2016) Kaspersky Lab poinformował o odkryciu dwóch nowych gangów zamieszanych w napady na banki w stylu APT - Metel oraz GCMAN – oraz powrocie ugrupowania Carbanak z nowymi celami na swoim celowniku. 

W 2015 roku badacze z Kaspersky Lab przeprowadzili dochodzenia w ramach reagowania na incydent dla 29 organizacji zlokalizowanych w Rosji, które zostały zainfekowane przez te trzy grupy.

Istnieją również inne ugrupowania cyberprzestępcze, które atakują obecnie banki w Rosji, jednak te trzy są najaktywniejsze i były zamieszane w najgłośniejsze kradzieże pieniędzy zarówno z kont klientów banków jak i z samych banków.

Szczególnie interesująca jest aktywność grupy Carbanak 2.0. W grudniu 2015 roku, po wykryciu  śladów wskazujących na to ugrupowanie w firmie telekomunikacyjnej oraz organizacji finansowej, Kaspersky Lab potwierdził, że gang ten nadal jest aktywny.  Ciekawostką dotyczącą ugrupowania Carbanak 2.0 jest to, że wybiera inny rodzaj ofiar. Grupa ta odeszła od banków i atakuje teraz działy księgowe i budżetowe wszelkich interesujących ją organizacji przy użyciu tych samych narzędzi i technik w stylu APT.

q1_2016_mw_en_4_auto.png

W jednym godnym uwagi przypadku gang Carbanak 2.0 wykorzystał swój dostęp do instytucji finansowej, która przechowywała informacje dotyczące udziałowców, aby zmienić dane dotyczące własności dużej firmy. Informacje zostały zmodyfikowane w taki sposób, aby słup pieniężny był wskazany jako udziałowiec firmy.

FakeCERT

W pierwszym kwartale na pierwszy plan wysunął się kolejny gang przestępczy – Buhtrap. Ugrupowanie to jest odpowiedzialne nie tylko za kradzież setek milionów rubli z rosyjskich banków, ale również za zorganizowanie ataku ukierunkowanego na banki przy użyciu nazw i atrybutów FinCERT, specjalnego działu Centralnego Banku Rosji utworzonego w celu wykrywania cyberataków oraz powiadamiania banków. Był to pierwszy raz, gdy osoby atakujące wykorzystały „markę” FinCERT, a atak został dokładnie przygotowany; stworzono odpowiednią nazwę domeny i dokładnie zbadano identyfikatory wykorzystywane przez FinCERT.       

Szkodliwa wysyłka masowa dotknęła setki banków w Rosji. Osoby atakujące posiadają bazę adresów e-mail ich pracowników, łącznie z imionami i nazwiskami. Legalne narzędzie zdalnej administracji zostało wykorzystane jako moduł zdalnego dostępu zainstalowany w systemie.

Bangladesz

Na scenie globalnej najbardziej znaczącym atakiem na banki był atak na Centralny Bank Bangladeszu. Niezwykły był tu nie tylko cel ataku – Bank Centralny – ale również suma, jaką zdołali ukraść osoby atakujące, jak również ta, którą próbowali ukraść, ale nieskutecznie.   

Dochodzenie nadal trwa, ale z upublicznionych informacji można złożyć pełny obraz zdarzenia. Na początku lutego hakerom udało się uzyskać dostęp do stacji roboczych kilku pracowników narodowego banku. Przy pomocy ich identyfikatorów oszuści zaczęli wysyłać zlecenia przelewu pieniędzy z różnych banków, w tym Nowojorskiego Banku Rezerwy Federalnej. Mając pełny dostęp i podszywając się pod pracowników, zdołali ukraść około 80 milionów dolarów. Pieniądze zostały przelane na konta na Filipinach, a następnie przepuszczone przez machinę tzw. prania brudnych pieniędzy, obejmującą lokalne kasyna i brokerów Forex.  

Kolejne 20 milionów dolarów zostałoby przelane do Sri Lanki, ale hakerzy popełnili błąd w nazwie organizacji będącej odbiorcą przelewu; obudziło to podejrzenia Deutsche Banku, który był bankiem korespondentem Centralnego Banku Bangladeszu. W wyniku dochodzenia stwierdzono, że zlecenie płatnicze zostało złożone przez hakerów i około 900 milionów dolarów nadal czekało na przelanie.

Warto dodać, że Minister Finansów Bangladeszu dowiedział się o incydencie dopiero miesiąc później ze środków masowego przekazu. Szef Banku Centralnego został skłoniony do rezygnacji ze stanowiska, osoby prowadzące dochodzenie próbują wyśledzić tych, którzy przeprowadzili atak, a bank podejmuje działania, aby zwrócić przynajmniej część skradzionych środków. 

Trojany ransomware

Jak już wspominaliśmy wcześniej, trojany ransomware stanowiły główny temat kwartału i mogą stać się głównym problemem roku.

Sytuację pogarsza fakt, że wiele trojanów ransomware stało się dostępnych w formie kodu źródłowego dla każdego, kto posiada trochę cybernetycznego know-how. W efekcie, nawet przeciętny tzw. dzieciak skryptowy może zaimplementowac własną wersję trojana, która – wraz z aktywnym wykorzystywaniem bitcoinów do płacenia okupu, znacznie ułatwia bezkarne przeprowadzenie ataków.  

Co więcej, do użycia wszedł już termin Ransomware-as-a-Service (RaaS). Usługa ta polega na tym, że osoby atakujące oferują zapłatę za dystrybucję trojana, obiecując w zamian część otrzymanej kwoty okupu. Klientami takich usług są zwykle webmasterzy stron pornograficznych. Istnieją również serwisy, które działają w drugą stronę, oferując pełny zestaw narzędzi dla osoby szyfrującej, która bierze odpowiedzialność za dystrybucję trojana i pobiera 10% okupu jako prowizję.  

Według raportów kilku firm, w pierwszym kwartale 2016 roku miały miejsce incydenty, w których oprogramowanie ransomware było wykorzystywane przez wiele znanych ugrupowań APT, głównie chińskich. My również zidentyfikowaliśmy podobne przypadki, które nie dotyczyły tylko ugrupowań chińskich. Jeśli incydenty te staną się trendem, zagrożenie to osiągnie nowy poziom, ponieważ szkody spowodowane przez oprogramowanie ransomware nie różnią się bardzo od tych wyrządzonych przez trojany typu Wiper. W obu przypadkach, dane użytkownika stają się niedostępne.

Ponadto, trojany ransomware rozszerzają swoją sferę aktywności; w I kwartale 2016 roku CTB-Locker atakował serwery sieciowe.

Wcześniejsza wersja CTB-Lockera, znana jako krypto-ransomware Onion, różniła się od innych programów ransomware tym, że wykorzystywała anonimową sieć Tor w celu ochrony swoich serwerów kontroli przed wyłączeniem, ponieważ zwykle jedynie serwery statyczne można wyłączyć. Wykorzystanie sieci Tor pomogło również szkodnikowi uniknąć wykrycia i zablokowania. Dodatkowe zabezpieczenie operatorów CTB-Lockera stanowił również fakt, że płatność była przyjmowana jedynie w bitcoinach, zdecentralizowanej anonimowej kryptowalucie.    

Nowa wersja tego szkodnika szyfruje serwery sieciowe i żąda mniej niż połowę bitcoina (~ 150 dolarów) w ramach okupu. Jeśli pieniądze nie zostaną zapłacone na czas, kwota okupu wzrasta dwukrotnie do około 300 dolarów. Po tym, jak okup zostanie zapłacony, generowany jest klucz pozwalający odszyfrować pliki serwera sieciowego.  

Jednak największa epidemia kryptograficzna w I kwartale 2016 roku została wywołana przez trojana Locky (wykrywanego przez produkty Kaspersky Lab jako Trojan-Ransom.Win32.Locky).

Trojan ten nadal rozprzestrzenia się; produkty firmy Kaspersky Lab odnotowały próby zainfekowania użytkowników w 114 krajach na świecie.  

q1_2016_mw_en_5_auto.png

W celu rozprzestrzeniania trojana cyberprzestępcy wykorzystują masowe wysyłki, w których do wiadomości spamowych zostają dołączone szkodliwe programy ładujące. Pierwotnie, szkodliwe wiadomości spamowe zawierały załącznik w postaci pliku DOC z makro, które pobierało trojana Locky ze zdalnego serwera i uruchamiało go.

W momencie tworzenia tego raportu nadal wysyłano tego rodzaju szkodliwy spam, jednak obecnie zamiast załączonych plików DOC pojawiły się archiwa ZIP zawierające jeden lub więcej zaciemnionych skryptów w JavaScript. Wiadomości są w większości w języku angielskim, chociaż można spotkać również kilka wariantów dwujęzycznych.

Najistotniejszą innowacją techniczną w ransomware stanowiło pełne szyfrowanie dysku (a dokładniej, szyfrowanie tabeli systemu plików) zamiast szyfrowania pliku. Sztuczka ta została zastosowana przez trojana Petya (jego rosyjska nazwa niekoniecznie oznacza, że został stworzony przez rosyjskojęzycznych twórców szkodliwego oprogramowania).

Po zaszyfrowaniu głównej tabeli plików Petya ujawnia swoje prawdziwe oblicze – trupią czaszkę z piszczelami składającą się ze znaków ASCII. Następnie rozpoczyna się typowa procedura modułu szyfrującego: trojan żąda okupu od ofiary – w tym przypadku 0,9 bitcoinów (około 380 dolarów). 

q1_2016_mw_en_6_auto.png

Na tym etapie jedyną rzeczą, która odróżnia trojana Petya od innych programów ransomware, jest to, że działa on bez połączenia internetowego. Nie jest to jednak żadną niespodzianką, ponieważ Petya zasadniczo „zjada” system operacyjny, łącznie z jego możliwością połączenia się z internetem. To oznacza, że użytkownik musi skorzystać z innego komputera, aby zapłacić okup i odzyskać swoje dane.

W marcu został odkryty kolejny program szyfrujący dla systemu Mac OS X - Trojan-Ransom.OSX.KeRanger. Osoby atakujące wykorzystały go do zainfekowania dwóch instalatorów klienta BitTorrent z projektu Transmission w modelu open source, które były dostępne do pobrania na ich oficjalnej stronie internetowej. Strona projektu została najprawdopodobniej zhakowana, a pliki do pobrania zostały zastąpione szkodliwymi zrekompilowanymi wersjami. Moduł szyfrujący KeRanger Apple został podpisany przy użyciu ważnego certyfikatu firmy Apple i dlatego mógł obejść funkcję bezpieczeństwa Gatekeeper.  

Statystyki dotyczące trojanów szyfrujących

Programy szyfrujące należą do szkodliwego oprogramowania klasy Trojan-Ransom, tj. ransomware. Obecnie, oprócz programów szyfrujących, szkodniki tej klasy obejmują również tzw. oprogramowanie ransomware przeglądarki. W ogólnej liczbie wykrytych trojanów ransomware udział oprogramowania ransomware przeglądarki stanowi 25% i występuje głównie w Rosji i Wspólnocie Niepodległych Państw. W tej sekcji nie skupimy się na oprogramowaniu ransomware przeglądarki, ale przyjrzymy się dokładniej szkodliwym programom szyfrującym.  

Liczba nowych trojanów szyfrujących żądających okupu

Poniższy wykres pokazuje wzrost liczby nowo utworzonych modyfikacji programów szyfrujących na przestrzeni ostatnich dwóch kwartałów.

q1_2016_mw_en_7_auto.png

Liczba modyfikacji trojanów szyfrujących żądających okupu w kolekcji wirusów firmy Kaspersky Lab (IV kw. 2015 w porównaniu z I kw. 2016)

Łączna liczba modyfikacji programów szyfrujących w naszej Kolekcji wirusów wynosi obecnie co najmniej 15 000. W I kwartale wykryto dziewięć nowych rodzin programów szyfrujących i 2 900 nowych modyfikacji.

Liczba użytkowników zaatakowanych przez programy szyfrujące

q1_2016_mw_en_8_auto.png

Liczba użytkowników zaatakowanych przez trojany szyfrujące żądające okupu (I kw. 2016)

W I kwartale 2016 roku 372 602 użytkowników zostało zaatakowanych przez programy szyfrujące – o 30% więcej niż w poprzednim kwartale. Około 17% zaatakowanych reprezentowało sektor korporacyjny.

Trzeba pamiętać, że rzeczywista liczba incydentów jest kilkakrotnie wyższa: statystyki te odzwierciedlają jedynie wyniki wykryć opartych na sygnaturach i metodą heurystyczną, podczas gdy w większości przypadków produkty firmy Kaspersky Lab wykrywają trojany szyfrujące w oparciu o modele rozpoznawania zachowania i wydają werdykt Generyczny, w którym nie rozróżnia się typów szkodliwego oprogramowania.  

Top 10 państw zaatakowanych przez programy szyfrujące

Państwo*

% użytkowników zaatakowanych przez programy szyfrujące **

1

Włochy

3,06

2

Holandia

1,81

3

Belgia

1,58

4

Luksemburg

1,36

5

Bułgaria

1,31

6

Chorwacja

1,16

7

Ruanda

1,15

8

Liban

1,13

9

Japonia

1,11

10

Malediwy

1,11

*Wykluczyliśmy te państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).
**Użytkownicy, których komputery zostały zaatakowane przez trojany szyfrujące żądające okupu jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab w danym państwie.

W I kwartale pierwsze sześć miejsc w rankingu Top 10 zajmowały państwa europejskie. Na szczycie znalazły się Włochy (3,06%); najszerzej rozprzestrzenioną rodziną programów szyfrujących w tym państwie była Teslacrypt (Trojan-Ransom.Win32.Bitman). Za Włochami uplasowała się Holandia (1,81%) oraz Belgia (1,58%).    

Top 10 najbardziej rozprzestrzenionych rodzin programów szyfrujących

Nazwa

Werdykt*

Odsetek użytkowników **

1

Teslacrypt

Trojan-Ransom.Win32.Bitman/Trojan-Ransom.JS.Cryptoload

58,43%

2

CTB-Locker

Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion

23,49%

3

Cryptowall / Cryptodef

Trojan-Ransom.Win32.Cryptodef

3,41%

4

Cryakl

Trojan-Ransom.Win32.Cryakl

3,22%

5

Scatter

Trojan-Ransom.BAT.Scatter/Trojan-Downloader.JS.Scatter/Trojan-Dropper.JS.Scatter/Trojan-Ransom.Win32.Scatter

2,47%

6

Rakhni

Trojan-Ransom.Win32.Rakhni/Trojan-Downloader.Win32.Rakhni

1,86%

7

Locky

Trojan-Ransom.Win32.Locky

1,30%

8

Shade

Trojan-Ransom.Win32.Shade

1,21%

9

iTorLock / Troli

Trojan-Ransom.MSIL.Lortok

0,84%

10

Mor / Gulcrypt

Trojan-Ransom.Win32.Mor

0,78%

*Statystyki te opierają się na werdyktach wykrycia uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na udostępnienie swoich danych statystycznych.  
**Użytkownicy, których komputery stanowiły cel określonej rodziny trojanów ransomware jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab zaatakowanych przez trojany ransomware. 

Pierwsze miejsce w I kwartale zajęła rodzina Teslacrypt reprezentowana przez dwa werdykty: Trojan-Ransom.Win32.Bitman oraz Trojan-Ransom.JS.Cryptoload. Drugi werdykt jest typowy dla skryptów, które są wysyłane w archiwach ZIP w ramach wysyłek spamowych. W przeszłości skrypty te pobierały szkodliwe oprogramowanie, takie jak Fareit oraz Cryptowall, ostatnio jednak osoby atakujące przerzuciły się na TeslaCrypt. W pierwszym kwartale rozprzestrzeniane w ten sposób były nowe wersje tego programu szyfrującego z udoskonalonym algorytmem szyfrowania: autorzy zastosowali „niezawodny” RSA-4096 zamiast AES.   

Na drugim miejscu znalazła się rodzina CTB-Locker (Trojan-Ransom.Win32 / NSIS.Onion). Programy z tej rodziny są zwykle rozprzestrzeniane za pośrednictwem programu afiliowanego i obsługiwane w wielu językach. Jak już wspomniano wcześniej, w pierwszym kwartale 2016 roku wykryto nowy wariant trojana CTB-Locker, który atakuje wyłącznie serwery sieciowe. Zdołał już zaszyfrować pliki katalogu macierzystego na ponad 70 serwerach zlokalizowanych w 10 krajach.   

Na trzecim miejscu znalazła się rodzina Trojan-Ransom.Win32.Cryptodef, znana również jako Cryptowall. Jej przedstawiciele, jak w przypadku Teslacrypt, są rozprzestrzeniane za pośrednictwem masowych wiadomości spamowych.

Na piątym miejscu uplasowała się rodzina Scatter. Wcześniej tego roku zarejestrowano nową falę rozprzestrzeniania tego programu szyfrującego za pośrednictwem wiadomości spamowych. Wiadomości zawierały odsyłacz do skryptu JS, który został zamaskowany, aby skłonić użytkownika do pobrania i uruchomienia go lokalnie. Co ciekawe, gdy skrypt zostaje uruchomiony, oprócz Scattera zapisuje na dysku również dwa inne szkodliwe programy: Nitol (DDoS-bot) oraz Pony (trojan, którego celem jest kradzież informacji, głównie haseł).

Rodzina Locky, która w pierwszym kwartale znalazła się na siódmym miejscu w rankingu, wyróżniła się szerokim zasięgiem geograficznym, obejmującym głównie Europę. Zlokalizowana w sieci Tor, strona zawierająca żądania cyberprzestępców obsługuje ponad dwadzieścia języków, wśród których nie ma rosyjskiego ani innych języków Wspólnoty Niepodległych Państw. To może oznaczać, że cyberprzestępcy nie są zainteresowani atakami na osoby w tych krajach, co potwierdzają statystyki KSN.   

Statystyki

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane przy pomocy Kaspersky Security Network (KSN), rozproszonej sieci antywirusowej, która działa z różnymi komponentami ochrony antywirusowej. Dane zostały zebrane od użytkowników systemu KSN, którzy wyrazili zgodę na ich udostępnienie. Miliony użytkowników produktów firmy Kaspersky Lab z 213 państw i terytoriów na całym świecie uczestniczy w tej globalnej  wymianie informacji dotyczących szkodliwej aktywności. 

Zagrożenia mobilne

Cyberprzestępcy nieustannie doskonalą nowe techniki, które pozwalają im wywieść w pole użytkowników. W tym kwartale zidentyfikowaliśmy dwa trojany mobilne, które „zwalczają” standardowe mechanizmy bezpieczeństwa stosowane przez systemy operacyjne. Jedna wersja szkodnika o nazwie Trojan-Banker.AndroidOS.Asacub nakłada na standardowe okno systemu żądające przywilejów administratora urządzenia własne okno zawierające przyciski. Tym samym trojan ukrywa przed użytkownikiem fakt uzyskania wyższych przywilejów w systemie i nakłania użytkownika do zaakceptowania tych przywilejów. Innym trojanem wykorzystującym podobną metodę jest Trojan-SMS.AndroidOS.Tiny.aw. W najnowszych wersjach Androida system prosi o zgodę użytkownika, gdy SMS zostaje wysłany na numer premium. Trojan SMS Tiny nakłada na ten dialog własny ekran bez przykrywania przycisków w oryginalnym oknie.  

q1_2016_mw_en_9.png

Ekran żądania trojana Trojan-SMS.AndroidOS.Tiny.aw nakładany na komunikat o wysłaniu SMS-a na numer premium (Treść komunikatu: Czy chciałbyś wysłać żądanie, aby otrzymać bazę danych gier?)

Żądanie trojana jest przedstawiane w taki sposób, że użytkownik najprawdopodobniej zgodzi się wysłać SMS-a na numer premium, nie przeczuwając, co wydarzy się później.

W raporcie obejmującym III kwartał 2015 r. wspominaliśmy o trojanie bankowym Trojan-Banker.AndroidOS.Marcher. W badanym kwartale zdołaliśmy wykryć nową wersję Marchera, która zaatakowała niemal 40 aplikacji bankowych, w większości należących do banków europejskich. W przeciwieństwie do większości innych trojanów mobilnych, Marcher wykorzystuje phishingowe strony internetowe zamiast własnych ekranów w celu przykrywania ekranów aplikacji bankowych.  

W I kwartale odnotowaliśmy wzrost aktywności mobilnego trojana ransomware Trojan-Ransom.AndroidOS.Fusob.pac, który blokuje urządzenie użytkownika i żąda okupu w zamian za odszyfrowanie danych. W ciągu pierwszych trzech miesięcy 2016 roku Fusob stał się najpopularniejszym trojanem mobilnym tego typu – szkodnik ten odpowiadał za ponad 64% ataków przy użyciu mobilnego oprogramowania ransomware. Łączna liczba użytkowników zaatakowanych przez trojany mobilne ransomware wzrosła ponad 1,8 raza w stosunku do poprzedniego kwartału.  

Liczba nowych zagrożeń mobilnych

W I kwartale 2016 roku Kaspersky Lab wykrył 2 045 323 szkodliwych pakietów instalacyjnych – 11-krotnie więcej niż w IV kwartale 2015 roku i 1,2 raza więcej niż w III kwartale 2015 roku.

q1_2016_mw_en_10_auto.png

Liczba wykrytych pakietów szkodliwych instalacji (II kwartał 2015 r. – I kwartał 2016 r.)

Rozkład mobilnego szkodliwego oprogramowania według typu 

q1_2016_mw_en_11_auto.png

Rozkład nowego mobilnego szkodliwego oprogramowania według typu, I kwartał w stosunku do IV kwartału 2015 r.

W I kwartale 2016 roku programy adware nadal znajdowały się na szczycie rankingu wykrytych szkodliwych obiektów dla urządzeń mobilnych. Udział programów adware zwiększył się o 13 punktów procentowych w porównaniu z IV kwartałem 2015 r. i stanowił 42,7% - mniej niż w III kwartale 2015 r. (52,5%).    

Na drugim miejscu znajduje się trojan SMS. To już drugi kwartał z rzędu obserwujemy wzrost udziału wykrytych obiektów tego typu. W IV kwartale 2015 r. udział trojanów SMS znacząco zwiększył się, z 6,2% do 19,8%, natomiast w I kwartale 2016 r. wzrósł o kolejne 0,7 punktu procentowego i wynosił 20,5%.  

Tuż za trojanami SMS uplasowały się programy spyware, których udział wynosił 10%. Programy te kradną dane osobiste użytkownika, w tym wiadomości przychodzące z banków (mTANs).   

Oprogramowanie RiskTool, czy też legalne aplikacje, które są potencjalnie niebezpieczne dla użytkowników, od prawie dwóch lat zajmują pierwsze lub drugie miejsce w rankingu. Jednak od IV kwartału 2015 r. spadły na piątą pozycję. W IV kwartale 2014 roku ich udział stanowił 5,6%, natomiast w I kwartale 2016 - 7,4%. 

Udział trojanów bankowych nieustannie zwiększał się, wynosząc 1,2% w I kwartale 2016 r.

TOP 20 mobilnych szkodliwych programów

Przedstawiony ranking szkodliwych programów nie zawiera potencjalnie niebezpiecznych lub niechcianych programów, takich jak RiskTool lub adware.

Nazwa

% zaatakowanych użytkowników*

1

DangerousObject.Multi.Generic

73,7

2

Backdoor.AndroidOS.Ztorg.c

11,3

3

Trojan.AndroidOS.Iop.c

8,9

4

Trojan.AndroidOS.Ztorg.a

8,7

5

Trojan-Ransom.AndroidOS.Fusob.pac

6,2

6

Trojan-Dropper.AndroidOS.Agent.ar

4,6

7

Trojan-Clicker.AndroidOS.Gopl.a

4,5

8

Backdoor.AndroidOS.Ztorg.b

4,3

9

Trojan.AndroidOS.Iop.m

3,7

10

Trojan.AndroidOS.Agent.ej

3,7

11

Trojan.AndroidOS.Iop.q

3,5

12

Trojan.AndroidOS.Ztorg.i

3,3

13

Trojan.AndroidOS.Muetan.b

3,1

14

Trojan.AndroidOS.Agent.gm

3,1

15

Trojan-SMS.AndroidOS.Podec.a

3,1

16

Trojan-Downloader.AndroidOS.Leech.a

3,0

17

Trojan-Dropper.AndroidOS.Guerrilla.b

2,8

18

Exploit.AndroidOS.Lotoor.be

2,8

19

Backdoor.AndroidOS.Ztorg.a

2,8

20

Backdoor.AndroidOS.Triada.d

2,4

*Odsetek użytkowników zaatakowanych przez dane szkodliwe oprogramowanie w stosunku do wszystkich zaatakowanych użytkowników

Na pierwszym miejscu znajduje się werdykt DangerousObject.Multi.Generic (44,2%) obejmujący szkodliwe programy wykrywane przez technologie oparte na chmurze. Technologie te działają wtedy, gdy antywirusowa baza danych nie zawiera ani sygnatur ani heurystyki pozwalających wykryć szkodliwy program, za to informacje o obiekcie znajdują się już w chmurze firmy antywirusowej. W ten sposób wykrywane jest w głównej mierze najnowsze szkodliwe oprogramowanie. 

Coraz więcej pozycji w rankingu Top 20 zajmują trojany, które wykorzystują reklamę jako główny sposób zarabiania pieniędzy. Ich celem jest wyświetlanie użytkownikowi jak najwięcej reklam, wykorzystując w tym celu różne metody, w tym instalację nowego oprogramowania adware. Trojany te mogą wykorzystywać przywileje superużytkownika w celu ukrycia się w folderze aplikacji systemowych, z którego bardzo trudno będzie je usunąć. W I kwartale do rankingu TOP 20 zaklasyfikowało się 16 takich programów: trzy z rodziny Backdoor.AndroidOS.Ztorg, dwa z rodziny Trojan.AndroidOS.Ztorg, oraz następujące trojany: Trojan-Dropper.AndroidOS.Agent.ar, Trojan-Clicker.AndroidOS.Gopl.a, Trojan.AndroidOS.Agent.ej, Trojan.AndroidOS.Muetan.b, Trojan.AndroidOS.Agent.gm, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Guerrilla.b i Backdoor.AndroidOS.Triada.d.    

Backdoor.AndroidOS.Triada to nowość w rankingu TOP 20 mobilnego szkodliwego oprogramowania. Główną funkcją tego trojana jest przekierowywanie transakcji finansowych SMS, gdy użytkownik dokonuje płatności online w celu zakupu dodatkowej zawartości w legalnych aplikacjach. Pieniądze, zamiast do twórcy oprogramowania, trafiają do osób atakujących. Triada jest najbardziej złożonym ze znanych nam mobilnych szkodliwych programów. Jego cechą wyróżniającą jest wykorzystanie procesu Zygote w celu zaimplementowania swojego kodu w kontekście wszystkich aplikacji na urządzeniu. Triada przenika do praktycznie wszystkich aplikacji uruchomionych na zainfekowanym urządzeniu i występuje jedynie w pamięci RAM. Ponadto, oddzielnie uruchomione procesy trojana są ukryte przed użytkownikiem i innymi aplikacjami.

Na piątym miejscu (6,2%) znajduje się Trojan-Ransom.AndroidOS.Fusob.pac. Trojan ten żąda od ofiar okupu w wysokości 200 dolarów w zamian za odblokowanie ich urządzeń. Znaczna liczba ofiar jest zlokalizowana w Ameryce Północnej (Stany Zjednoczone i Kanada) oraz Europie (głównie w Niemczech, we Włoszech, Wielkiej Brytanii oraz Szwajcarii).

Trojan-SMS.AndroidOS.Podec.a (3%) figuruje na liście TOP 20 szkodliwego oprogramowania mobilnego już od ponad roku, chociaż obecnie zaczyna tracić pozycję. Wcześniej konsekwentnie znajdował się wśród 5 najbardziej rozpowszechnionych zagrożeń mobilnych, jednak w I kwartale 2016 roku uplasował się zaledwie w drugiej połowie rankingu. Liczba użytkowników zaatakowanych przez tego trojana zmniejszyła się o 1,7 raza w porównaniu z IV kwartałem 2015 r. Jego funkcjonalność praktycznie nie zmieniła się; głównym sposobem zarabiania pieniędzy nadal jest subskrypcja płatnych serwisów w imieniu użytkownika.   

Do rankingu dostał się również Exploit.AndroidOS.Lotoor.be – exploit wykorzystywany do uzyskania lokalnych praw super użytkownika.

Rozkład geograficzny zagrożeń mobilnych

q1_2016_mw_en_12_auto.png

Rozkład geograficzny prób infekcji przy użyciu mobilnego szkodliwego oprogramowania w I kwartale 2016 r. (odsetek wszystkich zaatakowanych użytkowników)

Top 10 państw zaatakowanych przez mobilne szkodliwe oprogramowanie (uszeregowanych według odsetka zaatakowanych użytkowników)

Państwo*

% zaatakowanych użytkowników **

1

Chiny

38,2

2

Bangladesz

27,6

3

Uzbekistan

21,3

4

Algieria

17,6

5

Nigeria

17,4

6

Indie

17,0

7

Filipiny

15,7

8

Indonezja

15,6

9

Ukraina

15,0

10

Malezja

14,0

*W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab jest niższa niż 10 000.
**Odsetek unikatowych użytkowników zaatakowanych w każdym z państw w stosunku do wszystkich użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie.

Na pierwszym miejscu rankingu znalazły się Chiny, gdzie 40% użytkowników trafiło na zagrożenie mobilne co najmniej raz w ciągu roku. W 2015 roku państwo to również znalazło się na szczycie rankingu.

We wszystkich państwach z pierwszej dziesiątki z wyjątkiem Chin najpopularniejsze mobilne szkodliwe oprogramowanie było to samo – trojany reklamujące, które pojawiły się w zestawieniu TOP 20 mobilnego szkodliwego oprogramowania, oraz oprogramowanie AdWare. W Chinach znaczny odsetek ataków również dotyczył trojanów reklamujących, jednak większość użytkowników trafiało na szkodniki z rodzin Backdoor.AndroidOS.GinMaster oraz Backdoor.AndroidOS.Fakengry. Popularne były również szkodniki z rodziny RiskTool.AndroidOS.SMSreg. W przypadku braku ostrożności z takimi programami z konta mobilnego mogły zniknąć pieniądze.   

Najbezpieczniejsze państwa to Tajwan (2,9%), Australia (2,7%) oraz Japonia (0,9%).

Mobilne trojany bankowe

W badanym okresie wykryliśmy 4 146 trojanów mobilnych, o 1,7 raza więcej niż w poprzednim kwartale.

q1_2016_mw_en_13_auto.png

Liczba mobilnych trojanów bankowych wykrytych przez rozwiązania firmy Kaspersky Lab (II kwartał 2015 r. – I kwartał 2016 r.)

q1_2016_mw_en_14_auto.png

Rozkład geograficzny mobilnych zagrożeń bankowych w I kwartale 2016 roku (liczba zaatakowanych użytkowników)

Liczba zaatakowanych użytkowników zależy od łącznej liczby użytkowników w danym państwie. W celu oceny ryzyka infekcji przy użyciu mobilnego trojana bankowego w danym kraju i porównania go z innymi państwami stworzyliśmy ranking państw według odsetka użytkowników zaatakowanych przez mobilne trojany bankowe.

Top 10 państw zaatakowanych przez mobilne trojany bankowe (uszeregowanych według odsetka zaatakowanych użytkowników)

Państwo*

% zaatakowanych użytkowników**

1

Chiny

0,45

2

Australia

0,30

3

Rosja

0,24

4

Uzbekistan

0,20

5

Ukraina

0,08

6

Francja

0,06

7

Białoruś

0,05

8

Turcja

0,05

9

Japonia

0,03

10

Kazachstan

0,03

*W rankingu nie uwzględniliśmy tych państw, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab jest mniejsza niż 10 000.
**Odsetek unikatowych użytkowników w każdym państwie zaatakowanych przez mobilne trojany bankowe w stosunku do wszystkich użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w tym państwie.

W I kwartale 2016 roku pierwsze miejsce zajęły Chiny, gdzie większość użytkowników zaatakowanych przez tego rodzaju zagrożenia trafiło na szkodniki z rodzin Backdoor.AndroidOS.GinMaster oraz Backdoor.AndroidOS.Fakengry. Na drugim miejscu znalazła się Australia, gdzie rodzinę Trojan-Banker.AndroidOS.Acecard zastąpiła rodzina Trojan-Banker.AndroidOS.Marcher jako najpopularniejsze zagrożenie.

TOP 10 państw według odsetka użytkowników zaatakowanych przy użyciu mobilnych trojanów bankowych w stosunku do wszystkich zaatakowanych użytkowników.

Stopień popularności mobilnych trojanów bankowych wśród cyberprzestępców w poszczególnych państwach wskazuje odsetek użytkowników, którzy w badanym kwartale zostali przynajmniej raz zaatakowani przez mobilne trojany bankowe, w stosunku do wszystkich użytkowników w danym państwie, których produkt bezpieczeństwa mobilnego został aktywowany przynajmniej jeden raz. Ranking ten różni się od wcześniejszego.

Państwo*

% zaatakowanych użytkowników **

1

Australia

13,4

2

Rosja

5,1

3

Wielka Brytania

1,6

4

Turcja

1,4

5

Austria

1,3

6

Francja

1,3

7

Polska

1,2

8

Chiny

1,1

9

Hong Kong

1

10

Szwajcaria

0,9

*W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab jest mniejsza niż 10 000.
**Odsetek unikatowych użytkowników w poszczególnych państwach, którzy zostali zaatakowani przez mobilne trojany bankowe, w stosunku do wszystkich użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie w danym państwie.

Podsumowując, Australia znalazła się wśród państw z pierwszej trójki pod względem najniższego odsetka użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie. Jednak w powyższym rankingu państwo to uplasowało się na pierwszej pozycji: ponad 13% wszystkich użytkowników zaatakowanych przez mobilne szkodliwe programy zostało zaatakowanych przez mobilne programy bankowe. Z kolei Chiny, które w poprzednim rankingu uplasowały się na pierwszym miejscu, tym razem znalazły się na dziesiątej pozycji. Innymi słowy, w Chinach mobilne trojany bankowe cyberprzestępców są mniej popularne niż inne rodzaje mobilnego szkodliwego oprogramowania. 

Mobilne trojany żądające okupu

W I kwartale 2016 roku wykryliśmy 2 896 próbek mobilnego oprogramowania ransomware, co stanowi wzrost o 1,4 raza w stosunku do wcześniejszego kwartału.

q1_2016_mw_en_15_auto.png

Liczba mobilnych trojanów ransomware wykrytych przez Kaspersky Lab (II kwartał 2015 r. – I kwartał 2016 r.)

TOP 10 państw zaatakowanych przez trojana ransomware jako odsetek zaatakowanych użytkowników:

Państwo*

% zaatakowanych użytkowników**

1

Kazachstan

0,92

2

Niemcy

0,83

3

Uzbekistan

0,80

4

Kanada

0,71

5

Włochy

0,67

6

Holandia

0,66

7

Wielka Brytania

0,59

8

Szwajcaria

0,58

9

USA

0,55

10

Hiszpania

0,36

*W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab jest mniejsza niż 10 000.
**Odsetek użytkowników w każdym państwie, którzy zostali zaatakowani przez mobilne trojany bankowe, w stosunku do wszystkich użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie w danym państwie.  

We wszystkich państwach z rankingu TOP 10, z wyjątkiem Kazachstanu i Uzbekistanu, najpopularniejszą rodziną trojanów ransomware jest Fusob, zwłaszcza jego modyfikacja Trojan-Ransom.AndroidOS.Fusob.pac (należy zauważyć, że szkodnik ten znalazł się na piątym miejscu w rankingu zagrożeń mobilnych).  

W Kazachstanie i Uzbekistanie, które uplasowały się odpowiednio na pierwszym i trzecim miejscu, główne zagrożenie dla użytkowników stanowiły przedstawiciele rodziny Small -mobilnych trojanów żądających okupu. Jest to dość prosty program ransomware, który blokuje działanie urządzenia poprzez nakładanie na wszystkie okna na urządzeniu własnego okna i żądanie okupu w wysokości 10 dolarów z zamian za odblokowanie go.   

Podatne na ataki aplikacje wykorzystywane przez cyberprzestępców

W I kwartale 2016 roku popularnością nadal cieszyły się exploity dla Adobe Flash Playera. W badanym okresie wykryto dwie nowe luki w zabezpieczeniach tego oprogramowania:  

  • CVE-2015-8651
  • CVE-2016-1001

Pierwszym pakietem exploitów zapewniającym obsługę tych luk był Angler.

Znaczącym wydarzeniem w pierwszym kwartale było wykorzystanie exploita dla Silverlight – CVE-2016-0034. W momencie publikacji tego artykułu luka ta była wykorzystywana przez pakiety exploitów Angler oraz RIG.

Tradycyjnie już niektóre popularne pakiety zawierały exploita dla luki Internet Explorer (CVE-2015-2419). 

Wykorzystywanie exploitów w pierwszym kwartale kształtuje się w następujący sposób:

q1_2016_mw_en_16_auto.png

Rozkład exploitów wykorzystywanych w atakach według rodzaju zaatakowanych aplikacji, I kwartał 2016 roku

Tak, jak spodziewaliśmy się, zmniejszył się udział exploitów dla Javy (-3 punkty procentowe), wzrosło natomiast wykorzystywanie exploitów Flasha (+1 punkt procentowy). Znacznie wzrósł również odsetek exploitów dla Microsoft Office’a (+10 punktów procentowych): w grupie tej znajdują się głównie exploity wykorzystujące luki w zabezpieczeniach aplikacji Microsoft Word. Za ten znaczący wzrost odpowiadają wysyłki spamowe zawierające te exploity.   

Ogólnie w pierwszym kwartale 2016 roku utrzymał się trend z wcześniejszych lat – cyberprzestępcy koncentrują się na exploitach dla Adobe Flash Playera i Internet Explorera. Na naszym wykresie ten drugi jest zaliczany do kategorii „Przeglądarki” wraz z wykryciami stron docelowych „rozprzestrzeniających” exploity.

Zagrożenia online (ataki oparte na sieci)

Zaprezentowane w tej sekcji dane statystyczne zostały dostarczone przez komponenty ochrony antywirusowej, które zabezpieczają użytkowników przed próbami pobrania szkodliwych obiektów ze szkodliwej/zainfekowanej strony internetowej. Szkodliwe strony internetowe są tworzone celowo przez szkodliwych użytkowników; wśród zainfekowanych stron znajdują się te zawierające treści pochodzące od użytkownika (np. fora) jak również zhakowane legalne zasoby.  

W pierwszym kwartale 2016 roku technologie ochrony WWW firmy Kaspersky Lab wykryły 18 610 281 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd. 74 001 808 unikatowych adresów URL zostało zidentyfikowanych jako szkodliwe przez komponenty technologii ochrony WWW.   

Zagrożenia online w sektorze bankowym

W okresie pierwszych trzech miesięcy 2016 roku rozwiązania firmy Kaspersky Lab zablokowały próby uruchomienia szkodliwego oprogramowania potrafiącego kraść pieniądze za pośrednictwem bankowości online na 459 970 komputerach. Obserwujemy spadek aktywności szkodliwego oprogramowania finansowego: jego udział w I kwartale jest o 23,3% niższy niż w poprzednim kwartale (597 415). Rok temu w I kwartale 2015 r. liczba ta wynosiła 699 652, co stanowi spadek liczby ofiar w ciągu zeszłego roku o 34,26%.      

q1_2016_mw_en_17_auto.png

Liczba ataków przy użyciu szkodliwego oprogramowania finansowego, I kwartał 2016 r.

Rozkład geograficzny ataków

W celu oszacowania i porównania stopnia ryzyka infekcji trojanami bankowymi na całym świecie obliczamy odsetek użytkowników produktów firmy Kaspersky Lab, którzy trafili na tego rodzaju zagrożenie w badanym okresie w danym państwie, w stosunku do wszystkich użytkowników naszych produktów w tym państwie. 

q1_2016_mw_en_18_auto.png

Rozkład geograficzny ataków przy użyciu szkodliwego oprogramowania bankowego w I kwartale 2016 roku (odsetek zaatakowanych użytkowników)

Top 10 państw według odsetka zaatakowanych użytkowników

Państwo*

% zaatakowanych użytkowników**

1

Brazylia

3,86

2

Austria

2,09

3

Tunezja

1,86

4

Singapur

1,83

5

Rosja

1,58

6

Wenezuela

1,58

7

Maroko

1,43

8

Bułgaria

1,39

9

Hong Kong

1,37

10

Zjednoczone Emiraty Arabskie

1,30

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduł antywirusowy, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na udostępnienie swoich danych statystycznych.  
*Nie uwzględniliśmy państw, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).  
**Unikatowi użytkownicy, których komputery stały się celem ataków przy użyciu trojanów bankowych, jako odsetek wszystkich unikatowych użytkowników produktów Kaspersky Lab w danym państwie.

W I kwartale 2016 r. Brazylia posiadała najwyższy odsetek użytkowników produktów Kaspersky Lab, którzy zostali zaatakowani przez trojany bankowe. Jedną z przyczyn wzrostu liczby zagrożeń finansowych w tym państwie było pojawienie się wieloplatformowych trojanów bankowych. Większość państw z rankingu TOP 10 odznacza się wysokim poziomem rozwoju technologicznego oraz/lub dobrze rozwiniętym systemem bankowym, co przyciąga cyberprzestępców.

W Rosji 1,58% użytkowników co najmniej jeden raz trafiło na trojana bankowego w badanym kwartale (wzrost o 1 punkt procentowy w porównaniu z poprzednim kwartałem). W Stanach Zjednoczonych odsetek ten wynosił 0,26%; w Hiszpanii – 0,84%; we Włoszech – 0,79%; w Niemczech – 0,52%; w Wielkiej Brytanii – 0,48%; natomiast we Francji – 0,36%.   

Top 10 rodzin szkodliwego oprogramowania bankowego  

Tabela poniżej zawiera 10 rodzin szkodliwego oprogramowania najczęściej wykorzystywanych w I kwartale 2016 r. do atakowania użytkowników bankowości online:

Nazwa

Liczba zaatakowanych użytkowników

1

Trojan-Spy.Win32.Zbot

419940

2

Trojan-Downloader.Win32.Upatre

177665

3

Trojan-Banker.Java.Agent

68467

4

Trojan-Banker.Win32.Gozi

53978

5

Trojan-Banker.Win32.BestaFera

25923

6

Trojan.Win32.Tinba

24964

7

Trojan-Banker.Win32.Banbra

22942

8

Trojan-Banker.AndroidOS.Agent

19782

9

Trojan-Banker.AndroidOS.Abacus

13446

10

Trojan-Banker.Win32.ChePro

9209

Na szczycie rankingu znalazł się Trojan-Spy.Win32.Zbot, który stanowi stałego rezydenta tego zestawienia i nie jest przypadkiem, że konsekwentnie zajmuje wiodącą pozycję. Trojany z rodziny Zbot były jednymi z pierwszych, które wykorzystały wstrzykiwania sieciowe w celu zmodyfikowania danych płatniczych użytkowników bankowości online oraz zawartości bankowych stron internetowych. Szkodniki te szyfrują swoje pliki konfiguracyjne na kilku poziomach; odszyfrowany plik konfiguracyjny nigdy nie jest przechowywany całkowicie w pamięci, ale ładowany w częściach.

Na drugim miejscu znalazła się rodzina szkodliwych programów o nazwie Trojan-Downloader.Win32.Upatre. Rozmiar tego szkodnika nie przekracza 3,5 KB, a jego działanie ogranicza się do pobierania szkodliwej funkcji na komputer ofiary, zwykle trojana bankera z rodziny Dyre/Dyzap/Dyreza. Głównym celem tej rodziny trojanów bankowych jest kradzież danych płatniczych użytkowników. W tym celu Dyre przechwytuje dane z sesji bankowej pomiędzy przeglądarką ofiary a aplikacją sieciową bankowości online. Innymi słowy, stosuje technikę “Man-in-the-Browser” (MITB).     

Warto zauważyć, że ogromna większość szkodliwych programów z pierwszej dziesiątki wykorzystuje technikę osadzania arbitralnego kodu HTML na stronie internetowej wyświetlanej przez przeglądarkę oraz przechwytywanie danych płatności podawanych przez użytkownika na oryginalnych i wstawionych formularzach sieciowych.

Wśród trzech najbardziej rozpowszechnionych zagrożeń w pierwszym kwartale 2016 roku znajduje się wieloplatformowe szkodliwe oprogramowanie bankowe napisane w języku Java. Brazylijscy cyberprzestępcy zaczęli aktywnie wykorzystywać trojany wieloplatformowe Javy.   Ponadto eksperci z Kaspersky Lab wykryli nowe szkodliwe oprogramowanie, które również zostało napisane w Javie i jest wykorzystywane do kradzieży informacji finansowych - Adwind RAT. Adwind został całkowicie napisany w języku Java, dlatego potrafi atakować wszystkie popularne platformy: Windows, Mac OS, Linux oraz Android. Ten szkodliwy program pozwala cyberprzestępcom gromadzić i wydobywać dane z systemu jak również zdalnie kontrolować zainfekowane urządzenie. Obecnie potrafi również wykonywać zrzuty ekranu, zapamiętywać wciśnięte klawisze, kraść hasła i dane przechowywane w przeglądarkach oraz formularzach sieciowych, robić zdjęcia i nakręcać filmy za pośrednictwem kamery internetowej, wykonywać nagrania audio przy użyciu wbudowanego w urządzenie mikrofonu, gromadzić ogólne dane dotyczące użytkownika i systemu, kraść certyfikaty VPN oraz klucze z portfeli kryptowaluty i zarządzać SMS-ami.           

Czwarte miejsce w rankingu TOP 10 zajmuje Trojan-Banker.Win32.Gozi, który przenika do procesów roboczych popularnych przeglądarek sieciowych w celu kradzieży informacji płatniczych. Niektóre próbki tego trojana mogą zainfekować główny rekord rozruchowy (MBR) i utrzymać się w systemie operacyjnym, nawet jeśli został przeinstalowany.

Jednym z najciekawszych szkodliwych programów stworzonych w celu kradzieży danych finansowych, które nie zakwalifikowały się do rankingu TOP 10, jest Gootkit. Został on stworzony przy użyciu platformy programowej NodeJS i posiada architekturę modułową. Interpreter szkodliwego kodu jest zawarty w jego ciele; w efekcie, ma duży rozmiar – około 5 MB. W celu kradzieży danych płatniczych Gootkit wykorzystuje przechwytywanie ruchu http i osadza się w przeglądarce. Inne standardowe funkcje trojana obejmują wykonywanie arbitralnych poleceń, automatyczną aktualizację oraz przechwytywanie zrzutów ekranu. Jednak ten trojan bankowy nie jest szeroko rozpowszechniony.        

Top 10 państw, w których znajduje się najwięcej szkodliwego oprogramowania w zasobach online

Poniższe statystyki opierają się na fizycznej lokalizacji zasobów online, które były wykorzystywane w atakach i zostały zablokowane przez komponenty naszego rozwiązania antywirusowego (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity i inne szkodliwe oprogramowanie, centra kontroli botnetów itd.). Każdy indywidualny host może stanowić źródło jednego lub większej liczby ataków.

W celu określenia źródła geograficznego ataków opartych na sieci nazwy domen porównuje się z rzeczywistymi adresami IP domen, a następnie ustalana jest lokalizacja geograficzna określonego adresu IP (GEOIP).

W I kwartale 2016 roku rozwiązania firmy Kaspersky Lab zablokowały 228 420 754 ataków przeprowadzonych z zasobów sieciowych zlokalizowanych w 195 państwach na świecie. 76% powiadomień dotyczących zablokowanych ataków sieciowych zostało aktywowanych przez ataki pochodzące z zasobów sieciowych zlokalizowanych w 10 państwach.  

q1_2016_mw_en_19_auto.png

Rozkład źródeł ataków sieciowych według państwa, I kwartał 2016 r.

W pierwszym kwartale na pierwszej pozycji uplasowała się Holandia (24,6%), która zastąpiła Stany Zjednoczone (21,44%). Rosja (7,45%) i Niemcy (6%), które znalazły się tuż za nią, również zamieniły się miejscami. Z pierwszej dziesiątki wypadł również Wietnam, podczas gdy Bułgaria po raz pierwszy weszła do rankingu, zajmując w nim ósme miejsce z udziałem 1,75%.   

Państwa, w których użytkownicy byli narażeni na największe ryzyko infekcji online

Aby ocenić ryzyko infekcji online, na jakie narażeni są użytkownicy w różnych państwach, oszacowaliśmy odsetek użytkowników produktów firmy Kaspersky Lab w każdym państwie, którzy w badanym kwartale mieli na swoich maszynach werdykty wykrycia. Dane te stanowią wskaźnik agresywności środowiska, w którym działają komputery w różnych państwach.

Państwo*

% unikatowych zaatakowanych użytkowników **

1

Rosja

36,28

2

Kazachstan

33,19

3

Chiny

32,87

4

Azerbejdżan

30,28

5

Ukraina

29,96

6

Białoruś

29,16

7

Słowacja

26,88

8

Armenia

26,27

9

Wietnam

25,14

10

Mołdawia

24,68

11

Kirgistan

24,46

12

Hiszpania

24,00

13

Indie

23,98

14

Brazylia

23,68

15

Włochy

22,98

16

Algieria

22,88

17

Litwa

22,58

18

Chorwacja

22,04

19

Turcja

21,46

20

Francja

21,46

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduł ochrony antywirusowej, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na udostępnienie swoich danych statystycznych.   

*W obliczeniach tych nie uwzględniono państw, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000 użytkowników).
**Unikatowi użytkownicy, których komputery stanowiły cel ataków sieciowych, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

Liderem rankingu nadal jest Rosja (której udział wynosi 36,3%). Od ostatniego kwartału Chile, Mongolia, Bułgaria oraz Nepal opuściły ranking Top 20. Nowości w zestawieniu stanowią z kolei Słowenia (26,9%), Indie (24%) oraz Włochy (23%). 

q1_2016_mw_en_20_auto.png

Wśród państw z najbezpieczniejszym środowiskiem surfowania online znalazły się Niemcy (17,7%), Kanada (16,2%), Belgia (14,5%), Szwajcaria (14%), Stany Zjednoczone (12,8%), Wielka Brytania (12,7%), Singapur (11,9%), Norwegia (11,3%), Honduras (10,7%), Holandia (9,6%) oraz Kuba (4,5%).

W badanym okresie średnio 21,42% komputerów na całym świecie połączonych z internetem stanowiło cel co najmniej jednego ataku sieciowego. Jest to spadek o 1,5 punktu procentowego w porównaniu z IV kwartałem 2015 roku.

Zagrożenia lokalne

Statystyki dotyczące infekcji lokalnych dla komputerów użytkowników stanowią bardzo istotny wskaźnik: odzwierciedlają zagrożenia, które przeniknęły do systemów komputerowych inaczej niż za pośrednictwem internetu, poczty e-mail czy portów sieciowych. 

Dane zawarte w tej sekcji opierają się na analizie danych statystycznych uzyskanych w wyniku skanowania antywirusowego plików znajdujących się na dysku twardym w momencie ich utworzenia lub uzyskiwania do nich dostępu oraz wyników skanowania wymiennych nośników pamięci.

W I kwartale 2016 roku ochrona antywirusowa plików firmy Kaspersky Lab wykryła łącznie 174 547 611 unikatowych szkodliwych i potencjalnie niechcianych obiektów.  

Państwa, w których użytkownicy byli narażeni na najwyższe ryzyko lokalnych infekcji

Dla każdego z państw obliczyliśmy odsetek użytkowników produktów firmy Kaspersky Lab, na których komputerach został uruchomiony moduł ochrony antywirusowej plików. Statystyki te odzwierciedlają poziom infekcji komputerów osobistych w różnych państwach.  

Top 20 państw z najwyższym poziomem infekcji komputerów

Państwo*

% unikatowych użytkowników**

1

Somalia

66,88%

2

Jemen

66,82%

3

Armenia

65,17%

4

Kirgistan

64,45%

5

Rosja

64,18%

6

Tadżykistan

64,06%

7

Bangladesz

63,00%

8

Wietnam

61,31%

9

Afganistan

60,72%

10

Kazachstan

60,62%

11

Nepal

59,60%

12

Uzbekistan

59,42%

13

Etiopia

59,23%

14

Ukraina

58,90%

15

Białoruś

58,51%

16

Laos

58,46%

17

Rwanda

58,10%

18

Irak

57,16%

19

Algieria

57,50%

20

Mołdawia

56,93%

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduły ochrony antywirusowej podczas dostępu i na żądanie, uzyskanych od użytkowników produktów Kaspersky Lab, którzy wyrazili zgodę na udostępnienie danych statystycznych. Dane te dotyczą wykrywania szkodliwych programów zlokalizowanych na komputerach użytkowników lub na nośnikach wymiennych podłączonych do komputerów, takich jak dyski flash, karty pamięci aparatów i telefonów lub zewnętrzne dyski twarde.

*W obliczeniach tych nie zostały uwzględnione państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000 użytkowników).

**Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery, które zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.

Nowym liderem rankingu w I kwartale została Somalia z udziałem 66,9%. Bangladesz, który stanowił lidera przez ostatnich kilka kwartałów, spadł na siódme miejsce (63,6%). Nowości w tym rankingu stanowią Uzbekistan, który uplasował się na 12 miejscu (59,4%), Ukraina na 14 miejscu (58,9%), Białoruś na 15 miejscu (58,5%), Irak na 18 miejscu (57,2%) oraz Mołdawia na 20 miejscu (57,0%). 

q1_2016_mw_en_21_auto.png

Najbezpieczniejsze państwa pod względem ryzyka infekcji lokalnej stanowiła Republika Czeska (27,2%), Dania (23,2%) oraz Japonia (21,0%).

Średnio 44,5% komputerów na całym świecie miało przynajmniej raz do czynienia z zagrożeniem lokalnym w I kwartale 2016 roku – o 0,8 punktu procentowego więcej niż w IV kwartale 2015 r.