Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT w I kwartale 2017 r. Statystyki

Tagi:

I kwartał w liczbach

Według danych KSN, rozwiązania firmy Kaspersky Lab wykryły i odparły 479 528 279 szkodliwych ataków przeprowadzonych z zasobów online zlokalizowanych w 190 państwach na całym świecie. 

79 209 775 unikatowych adresów URL zostało zidentyfikowanych jako szkodliwe przez komponenty oprogramowania antywirusowego.  

Próby infekcji przez szkodliwe oprogramowanie, którego celem jest kradzież pieniędzy za pośrednictwem dostępu online do kont bankowych, zostały zarejestrowane na 288 tysiącach komputerów użytkowników.  

Ataki z wykorzystaniem oprogramowania kryptograficznego ransomware zostały zablokowane na 240 799 komputerach unikatowych użytkowników.

Ochrona antywirusowa systemu plików firmy Kaspersky Lab wykryła łącznie 174 989 956 unikatowych szkodliwych i potencjalnie szkodliwych niechcianych obiektów.   

Produkty bezpieczeństwa mobilnego firmy Kaspersky Lab wykryły:

  • 1 333 605 szkodliwych pakietów instalacyjnych;
  • 32038 mobilnych trojanów bankowych (pakiety instalacyjne);
  • 218 625 mobilnych trojanów ransomware (pakiety instalacyjne).

Zagrożenia mobilne

Wydarzenia w I kwartale

Pojawienie się szkodnika o nazwie Trojan-Ransom.AndroidOS.Egat

W pierwszym kwartale 2017 roku odnotowaliśmy drastyczny wzrost liczby ataków z udziałem mobilnego oprogramowania ransomware z rodziny Trojan-Ransom.AndroidOS.Egat: liczba użytkowników zaatakowanych przez tego rodzaju szkodliwe oprogramowanie wzrosła ponad 13-krotnie w stosunku do poprzedniego kwartału. Mimo że trojan ten jest nam znany od czerwca 2016 roku, tak duży wzrost liczby ataków miał miejsce dopiero teraz.      

Szkodnik ten posiada standardową funkcjonalność mobilnego oprogramowania ransomware: blokuje urządzenie, nakłada na wszystkie otwarte okna swoje własne okno, a następnie żąda pieniędzy w zamian za odblokowanie urządzenia. W większości przypadków, kwota okupu waha się pomiędzy 100 a 200 dolarami. Większość zaatakowanych użytkowników była zlokalizowana w Europie, głównie w Niemczech, Wielkiej Brytanii i we Włoszech.   

Revamped ZTorg

Wykryliśmy około 30 nowych trojanów z rodziny Ztorg w oficjalnym sklepie Google Play Store. Dla przypomnienia, jest to ta sama rodzina, która odpowiada za zainfekowane fałszywe przewodniki dla Pokémon GO. Wykryta w sklepie Google Play latem 2016 roku, została zainstalowana ponad 500 000 razy. Po zainstalowaniu Ztorg sprawdza, czy nie działa na wirtualnej maszynie. Po pozytywnej weryfikacji ze zdalnego serwera zostaje załadowany główny moduł. Wykorzystując lukę w zabezpieczeniach systemu, trojan próbuje uzyskać prawa super-użytkownika. Jeśli próba powiedzie się, instaluje swoje moduły w folderach systemowych i modyfikuje ustawienia urządzenia, aby umożliwiały mu pozostanie w nim – nawet po restarcie ustawień fabrycznych.      

1_auto.png

Trojan.AndroidOS.Ztorg.bp w oficjalnym sklepie Google Play Store

Trojan wykorzystuje kilka różnych modułów, które ukradkowo pobierają i instalują różne programy na urządzeniu, wyświetlają reklamy, a nawet kupują aplikacje. Należy zauważyć, że funkcjonalność tego szkodliwego oprogramowania nieco się zmieniła: zmniejszyła się liczba kontroli mających na celu zweryfikowanie, czy urządzenie jest prawdziwe; kod odpowiedzialny za pobieranie, odszyfrowywanie i ładowanie głównego modułu został umieszczony w bibliotece pobierania.     

Przebudzenie Asacuba

W pierwszym kwartale 2017 roku zauważyliśmy aktywne rozprzestrzenianie mobilnego szkodnika Trojan-Banker.AndroidOS.Asacub. W ciągu trzech miesięcy przedstawiciele tej rodziny zaatakowały ponad 43 000 urządzeń mobilnych – 2,5 raza więcej niż w poprzednim kwartale. Ponad 97% wszystkich zaatakowanych użytkowników było zlokalizowanych w Rosji. Asacub był rozprzestrzeniany głównie za pośrednictwem spamu SMS. Po kliknięciu szkodliwego odsyłacza użytkownicy byli przekierowywani na stronę, na której zachęcano ich do obejrzenia MMS-a, którzy w rzeczywistości zawierał trojana, który był następnie pobierany na urządzenie.               

Co ciekawe, otwarcie tego samego odsyłacza na urządzeniu z systemem Windows powodowało pobranie szkodnika Backdoor.Win32.Htbot.bs.   

2_auto.png

Strona, z której pobierany był Trojan-Banker.AndroidOS.Asacub

Warto zauważyć, że Trojan-Banker.AndroidOS.Asacub nieustannie rozszerza swoją funkcjonalność oprogramowania szpiegującego. Oprócz standardowych funkcji mobilnego trojana bankowego, takich jak kradzież i wysyłanie wiadomości tekstowych lub nakładanie okien phishingowych na różne aplikacje, trojan ten poluje na historię połączeń użytkownika, kontakty oraz lokalizację GPS.     

Statystyki dotyczące zagrożeń mobilnych

W pierwszym kwartale 2017 roku Kaspersky Lab wykrył 1 333 605 szkodliwych pakietów instalacyjnych, prawie tyle samo co w IV kwartale 2016 roku.

3_auto.png

Liczba wykrytych szkodliwych pakietów instalacyjnych (II kwartał 2016 – I kwartał 2017)

Rozkład mobilnego szkodliwego oprogramowania według typu

4_auto.png

Rozkład nowego mobilnego szkodliwego oprogramowania według typu (IV kwartał 2016 i I kwartał 2017)

W I kwartale 2017 roku najbardziej rozpowszechnionym typem był Trojan-Ransom – jego udział zwiększył się z 4,64% do 16,42%, czyli o 3,5 raza. Najszybszy wzrost pod względem liczby pakietów instalacyjnych odnotowała rodzina Trojan-Ransom.AndroidOS.Congur, o której będzie mowa w dalszej części.        

Na drugim miejscu uplasował się Trojan-Spyware: pod względem współczynnika wzrostu jego udział wynosił 10,27% (+1,83%). Było to spowodowane wzrostem liczby szkodliwych programów należących do rodzin Trojan-Spy.AndroidOS.SmForw oraz Trojan-Spy.AndroidOS.SmsThief, których celem jest kradzież SMS-ów.      

W pierwszym kwartale największy spadek wykazały programy Adware (7,32%) oraz Trojan-Dropper (6,99%) – ich udział zmniejszył się odpowiednio o 4,99% i 4,48%. Ponadto, udział niechcianych programów RiskTool zmniejszył się o 2,55%.      

TOP 20 mobilnych szkodliwych programów

Należy zauważyć, że przedstawiony ranking szkodliwych programów nie obejmuje potencjalnie niebezpiecznych lub niechcianych programów, takich jak RiskTool czy adware.

W I kwartale 2017 roku w rankingu TOP 20 znalazło się 14 trojanów, które wykorzystują reklamę jako główny sposób zarabiania pieniędzy (podkreślonych na niebiesko w tabeli). Ich celem jest dostarczenie użytkownikowi możliwie największej ilości reklam za pomocą różnych metod, takich jak instalacja nowego oprogramowania adware. Trojany te mogą wykorzystywać przywileje super-użytkownika w celu ukrycia się w folderze aplikacji systemowych, z których bardzo trudno je usunąć.

Nazwa

% zaatakowanych użytkowników*

1

DangerousObject.Multi.Generic

70,09

2

Trojan.AndroidOS.Hiddad.an

9,35

3

Trojan.AndroidOS.Boogr.gsh

4,51

4

Backdoor.AndroidOS.Ztorg.c

4,18

5

Trojan.AndroidOS.Sivu.c

4,00

6

Backdoor.AndroidOS.Ztorg.a

3,98

7

Trojan.AndroidOS.Hiddad.v

3,89

8

Trojan-Dropper.AndroidOS.Hqwar.i

3,83

9

Trojan.AndroidOS.Hiddad.pac

2,98

10

Trojan.AndroidOS.Triada.pac

2,90

11

Trojan.AndroidOS.Iop.c

2,60

12

Trojan-Banker.AndroidOS.Svpeng.q

2,49

13

Trojan.AndroidOS.Ztorg.ag

2,34

14

Trojan.AndroidOS.Ztorg.aa

2,03

15

Trojan.AndroidOS.Agent.eb

1,81

16

Trojan.AndroidOS.Agent.bw

1,79

17

Trojan.AndroidOS.Loki.d

1,76

18

Trojan.AndroidOS.Ztorg.ak

1,67

19

Trojan-Downloader.AndroidOS.Agent.bf

1,59

20

Trojan-Dropper.AndroidOS.Agent.cv

1,54

* Odsetek unikatowych użytkowników zaatakowanych przez dane szkodliwe oprogramowanie w stosunku do wszystkich użytkowników produktu bezpieczeństwa mobilnego firmy Kaspersky Lab, którzy zostali zaatakowani.

Na pierwszym miejscu znalazł się DangerousObject.Multi.Generic (70,09%) – werdykt odnoszący się do szkodliwych programów wykrywanych przy pomocy technologii opartych na chmurze. Technologie te działają wtedy, gdy antywirusowa baza danych nie zawiera ani sygnatur ani heurystyki, za pomocą których można wykryć szkodliwe oprogramowanie, ale informacje dotyczące obiektu są już zawarte w chmurze firmy antywirusowej. W ten sposób zasadniczo wykrywa się najnowsze szkodliwe oprogramowanie. 

Na drugim miejscu uplasował się Trojan.AndroidOS.Hiddad.an (9,35%). Szkodnik ten podszywa się pod różne popularne gry i programy. Co ciekawe, po uruchomieniu pobiera i instaluje aplikacje, pod którą podszywał się. W tym przypadku, aby nie zostać usuniętym, trojan żąda praw administratora. Podstawowym celem szkodnika jest agresywne wyświetlanie reklam, a jego podstawowa „grupa docelowa” znajdują się w Rosji (86% zaatakowanych użytkowników).

Na trzecim miejscu znalazł się Trojan.AndroidOS.Boogr.gsh (4,51%). Werdykt ten odnosi się do plików zidentyfikowanych jako szkodliwe przez nasz system w oparciu o systemy uczące się. Mimo że systemy te potrafią wykrywać wszelkie rodzaje szkodliwego oprogramowania, w I kwartale 2017 roku najpopularniejsze były trojany wyświetlające reklamy, które wykorzystywały przywileje super-użytkownika. 

Ósme miejsce w rankingu zajął Trojan-Dropper.AndroidOS.Hqwar.i (3,83%) – werdykt odnoszący się do trojanów chronionych przy użyciu określonego pakera/narzędzia zaciemniającego. W większości przypadków, nazwa ta kryje przedstawicieli rodzin mobilnych trojanów bankowych FakeToken i Svpeng.     

W rankingu znalazł się również Trojan-Banker.AndroidOS.Svpeng (2,49%), który uplasował się na dwunastym miejscu. Rodzina ta była aktywna przez trzy kwartały z rzędu i pozostaje najpopularniejszym trojanem bankowym w I kwartale 2017 roku.

Trojan.AndroidOS.Agent.bw uplasował się na szesnastym miejscu w rankingu (1,79%). Szkodnik ten, atakując głównie osoby w Indiach (ponad 92% zaatakowanych użytkowników), podobnie jak Trojan.AndroidOS.Hiddad.an, podszywa się pod popularne programy i gry, a po uruchomieniu pobiera i instaluje różne aplikacje z serwera oszustów. 

Rozkład geograficzny zagrożeń mobilnych

5_auto.png

Rozkład geograficzny prób infekcji przy użyciu mobilnego szkodliwego oprogramowania w I kwartale 2017 roku (odsetek wszystkich zaatakowanych użytkowników)

TOP 10 państw zaatakowanych przez mobilne szkodliwe oprogramowanie (uszeregowanych według odsetka zaatakowanych użytkowników)

Państwo*

% zaatakowanych użytkowników **

1

Iran

47,35

2

Bangladesz

36,25

3

Indonezja

32,97

4

Chiny

32,47

5

Nepal

29,90

6

Indie

29,09

7

Algieria

28,64

8

Filipiny

27,98

9

Nigeria

27,81

10

Gana

25,85

* W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktu bezpieczeństwa mobilnego firmy Kaspersky Lab jest stosunkowo niska (poniżej 10 000).
** Odsetek unikatowych użytkowników zaatakowanych w poszczególnych państwach w stosunku do wszystkich użytkowników produktu bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie.

W I kwartale 2017 roku Iran stanowił państwo o najwyższym odsetku użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie – 47,35%. Na drugim miejscu uplasował się Bangladesz: 36,25% użytkowników w tym państwie co najmniej raz w badanym kwartale zetknęło się z zagrożeniem mobilnym. Dalej uplasowały się Indonezja i Chiny; udział obu tych państw wynosił nieco powyżej 32%.   

Rosja (11,6%) uplasowała się na 40 miejscu w rankingu, Francja (8,1%) na 57, Stany Zjednoczone (6,9%) na 69, Włochy (7,1%) na 66, Niemcy (6,2%) na 72, natomiast Wielka Brytania (5,8%) na 75.

Do najbezpieczniejszych państw należała Finlandia (2,7%), Gruzja (2,5%) oraz Japonia (1,5%).

We wszystkich państwach z rankingu Top 20 wykrywane są te same obiekty mobilne – adware – przede wszystkim przedstawiciele rodziny AdWare.AndroidOS.Ewind oraz trojany wyświetlające reklamy.   

Mobilne trojany bankowe

W badanym okresie wykryliśmy 32 038 pakietów instalacyjnych dla mobilnych trojanów bankowych, co stanowi 1,1 raza ich liczby w IV kwartale 2016 roku.

6_auto.png

Liczba pakietów instalacyjnych dla mobilnych trojanów bankowych wykrytych przez rozwiązania firmy Kaspersky Lab (II kwartał 2016 – I kwartał 2017)

Trojan-Banker.AndroidOS.Svpeng trzeci kwartał z rzędu stanowił najpopularniejszego mobilnego trojana bankowego. Trojany z tej rodziny stosują okna phishingowe w celu kradzieży danych dotyczących kart kredytowych jak również loginów i haseł z kont bankowych online. Ponadto, oszuści kradną pieniądze za pośrednictwem usług SMS, łącznie z tymi dotyczącymi bankowości mobilnej. Tuż za trojanem Svpeng uplasował się Trojan-Banker.AndroidOS.Faketoken.z oraz Trojan-Banker.AndroidOS.Asacub.san. Warto zauważyć, że większość zaatakowanych użytkowników znajdowała się w Rosji.     

7_auto.png

Rozkład geograficzny mobilnych zagrożeń bankowych w I kwartale 2017 roku (odsetek wszystkich zaatakowanych użytkowników)

TOP 10 państw najczęściej atakowanych przez mobilne trojany bankowe (uszeregowanych według odsetka zaatakowanych użytkowników)

Państwo*

% zaatakowanych użytkowników **

1

Russia

1,64

2

Australia

1,14

3

Turkey

0,81

4

Uzbekistan

0,61

5

Tadżykistan

0,48

6

Mołdawia

0,43

7

Ukraina

0,41

8

Kazachstan

0,37

9

Kirgistan

0,32

10

Singapur

0,26

* W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktu bezpieczeństwa mobilnego firmy Kaspersky Lab jest stosunkowo niska (poniżej 10 000).
** Odsetek unikatowych użytkowników zaatakowanych w poszczególnych państwach w stosunku do wszystkich użytkowników produktu bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie.

Rodzina Svpeng, mimo swej pozycji na szczycie rankingu najpopularniejszych mobilnych trojanów bankowych w pierwszym kwartale 2017 roku, odnotowała aktywny spadek w porównaniu z trzecim kwartałem 2016 roku: udział użytkowników zaatakowanych przez takie szkodliwe programy w Rosji zmniejszył się niemal dwukrotnie – z 3,12% do 1,64%. Jednocześnie Rosja utrzymała prowadzenie w rankingu TOP 20.     

Na drugim miejscu znalazła się Australia (1,14%), gdzie najpopularniejszymi zagrożeniami były rodziny Trojan-Banker.AndroidOS.Acecard oraz Trojan-Banker.AndroidOS.Marcher. Pierwszą trójkę zamknęła Turcja (0,81%).

Mobilne oprogramowanie ransomware

W I kwartale 2017 roku wykryliśmy 218 625 pakietów instalacyjnych mobilnych trojanów ransomware – o 3,5 raza więcej niż w poprzednim kwartale.    

8_auto.png

Liczba pakietów instalacyjnych mobilnych trojanów ransomware wykrytych przez Kaspersky Lab (II kwartał 2016 – I kwartał 2017)

W pierwszej połowie 2016 roku zaobserwowaliśmy wzrost liczby pakietów instalacyjnych mobilnego oprogramowania ransomware spowodowany aktywnym rozprzestrzenianiem rodziny Trojan-Ransom.AndroidOS.Fusob. W drugiej połowie tego samego roku miał miejsce spadek aktywności tej rodziny, co znalazło odbicie w liczbie wykrytych pakietów instalacyjnych. Kolejny wzrost nastąpił w czwartym kwartale 2016 roku, gwałtownie przyspieszając w I kwartale 2017 roku. Przyczyną była rodzina Trojan-Ransom.AndroidOS.Congur - do której należało ponad 86% wykrytych pakietów instalacyjnych mobilnego oprogramowania ransomware. Zwykle przedstawiciele rodziny Congur posiadają bardzo prostą funkcjonalność – zmieniają lub wprowadzają hasło do systemu (PIN), uniemożliwiając tym samym dostęp do urządzenia, a następnie proszą użytkownika o skontaktowanie się z oszustami za pośrednictwem komunikatora QQ w celu odblokowania urządzenia. Warto zauważyć, że niektóre modyfikacje tego trojana potrafią wykorzystać istniejące przywileje super-użytkownika w celu zainstalowania swojego modułu w folderze systemowym.  

Mimo to, Trojan-Ransom.AndroidOS.Fusob.h pozostał najpopularniejszym mobilnym trojanem ransomware w pierwszym kwartale, odpowiadając za ataki na niemal 45% użytkowników przeprowadzone przez mobilne oprogramowanie ransomware. Po uruchomieniu trojan ten żąda praw administratora, gromadzi informacje dotyczące urządzenia, w tym współrzędne GPS i historię połączeń, i pobiera te dane na „szkodliwy” serwer. Następnie może otrzymać polecenie zablokowania urządzenia.   

9_auto.png

Rozkład geograficzny mobilnych trojanów ransomware w I kwartale 2017 roku (odsetek wszystkich zaatakowanych użytkowników)

TOP 10 państw zaatakowanych przez mobilne trojany ransomware (uszeregowanych według odsetka zaatakowanych użytkowników)

Państwo*

% zaatakowanych użytkowników**

1

Stany Zjednoczone

1,23

2

Uzbekistan

0,65

3

Kanada

0,56

4

Kazachstan

0,54

5

Włochy

0,44

6

Niemcy

0,37

7

Korea

0,35

8

Dania

0,30

9

Wielka Brytania

0,29

10

Hiszpania

0,28

*W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktu bezpieczeństwa mobilnego firmy Kaspersky Lab wynosi poniżej 10 000.
** Odsetek unikatowych użytkowników zaatakowanych w poszczególnych państwach w stosunku do wszystkich użytkowników produktu bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie.

Stany Zjednoczone znalazły się na szczycie rankingu dziesięciu państw zaatakowanych przez mobilnego trojana ransomware; najpopularniejszą rodzinę stanowił Trojan-Ransom.AndroidOS.Svpeng. Trojany te pojawiły się w 2014 roku jako modyfikacja rodziny mobilnych trojanów bankowych Trojan-Banker.AndroidOS.Svpeng. Żądają one od ofiar okupu w wysokości 100-500 dolarów w zamian za odblokowanie ich urządzeń.     

W Uzbekistanie (0,65%), który uplasował się na drugim miejscu, w większości ataków z udziałem mobilnego oprogramowania ransomware wykorzystano szkodnika o nazwie Trojan-Ransom.AndroidOS.Loluz.a. Jest to prosty trojan, który blokuje działanie urządzenia przy użyciu własnego okna i prosi użytkownika o telefoniczne skontaktowanie się z oszustami w celu odblokowania go.       

Dalsze miejsce zajął Kazahstan (0,54%). Główne zagrożenie dla użytkowników stanowiły przedstawiciele rodziny Small mobile Trojan-Ransom. Jest to dość prosty program ransomware, który blokuje działanie urządzenia poprzez nakładanie na wszystkie okna na urządzeniu własnego okna i żądanie 10 dolarów w celu odblokowania go.      

We wszystkich innych państwach z rankingu TOP 10 Fusob stanowił najpopularniejszą rodziną trojanów ransomware. 

Podatne na ataki aplikacje wykorzystywane przez cyberprzestępców

Pierwszy kwartał 2017 roku minął pod znakiem powrotu osłabionego zestawu tworzenia exploitów Neutrino, który zniknął z rynku cyberprzestępczego w trzecim kwartale. W ślad za Magnitude, Neutrino zmienia formę rozprzestrzeniania się i rezygnuje z przeprowadzanych na szeroką skalę kampanii, stając się „prywatnym” zestawem do tworzenia exploitów. Powstałą niszę bezskutecznie próbowało wypełnić kilka nowych graczy, takich jak Nebula, Terror czy inni: po krótkim wybuchu aktywności ich dystrybucja została szybko zahamowana. Obecnie RIG i jego modyfikacje pozostają najpopularniejszym i zaawansowanym publicznym zestawem tworzenia exploitów.                 

Statystyki dla I kwartału wskazują na niemal 10% spadek liczby zaatakowanych użytkowników. Wynika to głównie ze słabego środowiska zestawu do tworzenia exploitów, jak również ogólnego spadku skuteczności exploitów. Adobe Flash pozostał jedyną platformą, która odnotowała wzrost: chociaż nie wykryto żadnych nowych luk dla tej platformy, liczba zaatakowanych użytkowników wzrosła o 20%. Największy spadek odnotowały exploity dla różnych przeglądarek – stanowiły one cel jedynie 44% ataków (w stosunku do 54% w poprzednim kwartale).     

CVE-2016-0189, CVE-2014-6332 oraz CVE-2013-2551pozostają najpopularniejszymi lukami w zabezpieczeniach w pierwszym kwartale. Warto również wspomnieć o lukach w zabezpieczeniach w silniku Microsoft Edge Chakra, które zostały publicznie ujawnione na początku 2017 roku. Oprócz szczegółowego opisu luk badanie zawierało również gotowy do wykorzystania Proof of Concept, który niedługo po opublikowaniu został zintegrowany w zestawie do tworzenia exploitów Sundown, z którego został przeniesiony do Neutrino, Kaixin oraz innych. Jednak wykorzystywanie tych luk nie było wystarczająco niezawodne. Ponadto, jeszcze w listopadzie zostały opublikowane dla nich łaty wraz z aktualizacją MS16-129, dlatego też kuki te nie stały się szeroko rozpowszechnione i obecnie niemal w ogóle nie są wykorzystywane.       

10_auto.png

Rozkład exploitów wykorzystywanych w atakach według typu zaatakowanej aplikacji, I kwartał 2017 rok

W I kwartale 2017 roku, szczególną popularnością cieszyły się kampanie obejmujące masowe wysyłki zainfekowanych dokumentów – w celu ich dystrybucji wykorzystywane były exploity dla pakietu Microsoft Office. Chociaż udział zaatakowanych użytkowników pakietu Office nie odnotował znaczącej zmiany, ci sami użytkownicy zostali zaatakowani kilka razy – średnio, jeden zaatakowany użytkownik otrzymał 3 zainfekowane dokumenty w badanym kwartale.

Ogólna tendencja zmierza w kierunku wzrostu wykorzystywania socjotechniki podczas dostarczania szkodliwego oprogramowania na komputer potencjalnej ofiary. Kampanie obejmujące rozprzestrzenianie zainfekowanych wiadomości zawsze opierają się na nakłanianiu użytkownika do wykonania określonych działań: rozpakowania pliku z chronionego hasłem archiwum, wydania zgody na wykonanie makr z dokumentu itd. Metoda ta staje się obecnie wykorzystywana w exploitach dla przeglądarek. Na przykład, Magnitude proponuje użytkownikom aplikacji Internet Explorer 11 i Windows 10 pobranie szkodliwego pliku zamaskowanego pod postacią aktualizacji antywirusowej dla Microsoft Defender. Niektóre kampanie spamowe opierają się na imitowaniu strony aktualizacji Google Chrome. Uważamy, że trend ten utrzyma się również w przyszłości – tego rodzaju kampanie łatwiej utrzymać i wdrożyć, a ich poziom „penetracji” nieustannie wzrasta.            

Zagrożenia online (ataki WWW)

Zagrożenia online w sektorze bankowym

Statystyki te opierają się na werdyktach wykrywania produktów firmy Kaspersky Lab, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne. Począwszy od pierwszego kwartału 2017 roku, statystyki te obejmują szkodliwe programy dla bankomatów i terminali POS, nie uwzględniają jednak zagrożeń mobilnych. 

W I kwartale 2017 roku rozwiązania firmy Kaspersky Lab zablokowały próby uruchomienia jednego lub kilku szkodliwych programów zdolnych do kradzieży pieniędzy za pośrednictwem usług bankowości online na 288 000 komputerach. 

11_auto.png

Liczba użytkowników zaatakowanych przez finansowe szkodliwe oprogramowanie, styczeń – marzec 2017 r.

Rozkład geograficzny ataków

W celu oceny i porównania ryzyka infekcji przez trojany bankowe oraz szkodliwe oprogramowanie atakujące bankomaty i terminale POS na całym świecie obliczyliśmy odsetek użytkowników produktów firmy Kaspersky Lab w państwie, w którym w badanym okresie wystąpiło tego rodzaju zagrożenie w stosunku do wszystkich użytkowników naszych produktów w tym państwie.

12_auto.png

Rozkład geograficzny ataków przy użyciu szkodliwego oprogramowania bankowego w I kwartale 2017 (odsetek zaatakowanych użytkowników)

TOP 10 państw według odsetka zaatakowanych użytkowników

Państwo*

% zaatakowanych użytkowników**

1

Niemcy

1,70

2

Chiny

1,37

3

Libia

1,12

4

Kazachstan

1,02

5

Palestyna

0,92

6

Togo

0,91

7

Tunezja

0,89

8

Armenia

0,89

9

Wenezuela

0,88

10

Tajwan

0,87

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduł antywirusowy, otrzymanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na przekazanie swoich danych statystycznych.  

* W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktu firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000).

** Unikatowi użytkownicy, których komputery stanowiły cel ataków trojanów bankowych jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.  

W pierwszym kwartale 2017 roku Niemcy odnotowały najwyższy odsetek użytkowników zaatakowanych przez trojany bankowe (1,70%). Na kolejnym miejscu znalazły się Chiny (1,37%). Pierwszą trójkę zamknęła Libia (1,12%)    

Jeśli chodzi o udział innych państw europejskich w rankingu dla I kwartału, Hiszpania (0,24%), na przykład, znalazła się na 89 pozycji, a Wielka Brytania (0,15%) na 126.   

 TOP 10 rodzin szkodliwego oprogramowania bankowego

Tabela poniżej prezentuje TOP 10 rodzin szkodliwego oprogramowania wykorzystywanego w III kwartale 2016 roku podczas ataków online na użytkowników bankowości (jako odsetek zaatakowanych użytkowników):

Nazwa*

% zaatakowanych użytkowników**

1

Trojan-Spy.Win32.Zbot

45,93

2

Trojan.Win32.Nymaim

29,70

3

Trojan.Win32.Neurevt

3,31

4

Trojan-Banker.Win32.Gozi

3,15

5

Trojan-Spy.Win32.SpyEyes

2,71

6

Backdoor.Win32.ZAccess

2,11

7

Backdoor.Win32.Shiz

1,67

8

Trojan.Multi.Capper

1,67

9

Trojan.Win32.Tinba

1,00

10

Trojan.Win32.Shifu

1,00

*Werdykty wykrycia wygenerowane przez produkty firmy Kaspersky Lab otrzymane przez użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na udostępnienie swoich danych statystycznych.   

** Unikatowi użytkownicy, których komputery stanowiły cel danego szkodliwego oprogramowania, jako odsetek wszystkich użytkowników zaatakowanych przez finansowe szkodliwe oprogramowanie.  

Podobnie jak w zeszłym roku, w I kwartale 2017 roku na szczycie rankingu najpopularniejszych rodzin szkodliwego oprogramowania znalazł się Trojan-Spy.Win32.Zbot (45,93%). Jego kody źródłowe stały się publicznie dostępne w wyniku wycieku i są obecnie powszechnie wykorzystywane jako łatwe w użyciu narzędzie kradzieży danych płatniczych użytkownika. Nie jest niespodzianką, że szkodnik ten konsekwentnie występuje na pierwszym miejscu rankingu – cyberprzestępcy regularnie udoskonalają programy z tej rodziny o nowe modyfikacje, które są tworzone na podstawie kodu źródłowego i zawierają drobne zmiany w stosunku do oryginału.   

Na drugim miejscu znalazł się Trojan.Win32.Nymaim (29,70%). Pierwsze modyfikacje szkodliwego oprogramowania należącego do tej rodziny trojanów były downloaderami, które blokowały zainfekowaną maszynę przy pomocy pobranych programów, unikatowych dla każdego państwa. Następnie wykryto nowe modyfikacje programów z rodziny Trojan.Win32.Nymaim. Obejmowały one fragment Gozi, wykorzystywany przez cyberprzestępców do kradzieży danych płatniczych użytkowników w systemach bankowości online. W I kwartale 2017 roku Gozi (3,15%) znajdował się na 4 pozycji w rankingu.       

Pierwszą trójkę zamknął Trojan.Win32.Neurevt (3,31%). Jest to wielofunkcyjny trojan napisany w języku C ++. Wykorzystuje on technologie rootkit w celu ukrycia swojej obecności w systemie, wstrzykuje swój kod do wszystkich uruchomionych procesów, blokuje działanie niektórych programów antywirusowych i potrafi monitorować i blokować instalację innych popularnych trojanów.

Trojany ransomware

W I kwartale 2017 roku wykryto łącznie 11 nowych rodzin programów kryptograficznych i 55 679 nowych modyfikacji. 

13_auto.png

Liczba nowo utworzonych modyfikacji programów kryptograficznych, II kwartał 2016 – I kwartał 2017 roku 

Większość wykrytych modyfikacji należała do rodziny Cerber (werdykt Trojan-Ransom.Win32.Zerber). Ten program kryptograficzny, wykryty po raz pierwszy rok temu, nadal ewoluuje i regularnie wykrywamy jego nowe, udoskonalone wersje.

Liczba użytkowników zaatakowanych przez oprogramowanie ransomware

W I kwartale 2017 roku 240 799 unikatowych użytkowników systemu KSN zostało zaatakowanych przez programy kryptograficzne.  

14_auto.png

Liczba unikatowych użytkowników zaatakowanych przez trojana kryptograficznego wyłudzającego okup (I kwartał 2017 r.)

Liczba ta jest niemal dwukrotnie niższa niż w czwartym kwartale 2016 roku, nie można jednak mówić tu o zanikającym zagrożeniu. Występująca różnica wynika najprawdopodobniej ze stosowanej metodologii, podczas gdy rzeczywista liczba incydentów jest wyższa: statystyki oddają jedynie wyniki wykrywania opartego na sygnaturach i heurystyce, podczas gdy większość trojanów ransomware jest wykrywana przez produkty firmy Kaspersky Lab przy użyciu metod behawioralnych oraz werdyktu generycznego, który nie pozwala wyróżnić rodzajów szkodliwego oprogramowania.      

Rozkład geograficzny ataków

15_auto.png

Rozkład geograficzny ataków z udziałem trojana ransomware w I kwartale 2017 roku (odsetek zaatakowanych użytkowników)

Top 10 państw zaatakowanych przez programy kryptograficzne

Państwo*

% użytkowników zaatakowanych przez programy kryptograficzne**

1

Włochy

1,87%

2

Brazylia

1,07%

3

Japonia

0,99%

4

Wietnam

0,74%

5

Holandia

0,73%

6

Kambodża

0,70%

7

Uganda

0,66%

8

Filipiny

0,65%

9

Wenezuela

0,63%

10

Nigeria

0,60%

* W rankingu nie uwzględniliśmy państw, w których liczba użytkowników produktu firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 50 000).
** Unikatowi użytkownicy, których komputery stanowiły cel oprogramowania ransomware jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.  

Na pierwszym miejscu znalazły się Włochy (1,87%), które w trzecim kwartale 2016 roku nie zaklasyfikowały się do rankingu Top 10. Na drugim miejscu uplasowała się Brazylia (1,07%) – nowość w rankingu Top 10. Zgadza się  to z naszymi obserwacjami wskazującymi na wzrost liczby trojanów ransomware atakujących użytkowników w Brazylii. Jednym z przykładów takiego szkodliwego oprogramowania był Xpan, którego analizowaliśmy w zeszłym roku.        

Japonia (0,99%), która w drugim i trzecim kwartale 2016 r. znalazła się na pierwszym miejscu, spadła o dwie pozycje, ale nadal utrzymała się w czołówce rankingu.

Top 10 najbardziej rozpowszechnionych rodzin programów kryptograficznych

Nazwa

Werdykt*

% zaatakowanych użytkowników**

1

Cerber

Trojan-Ransom.Win32. Zerber

18,04%

2

Spora

Trojan-Ransom.Win32.Spora

7,59%

3

Locky

Trojan-Ransom.Win32.Locky

7,35%

4

Sage

Trojan-Ransom.Win32.SageCrypt

3,44%

5

Cryrar/ACCDFISA

Trojan-Ransom.Win32.Cryrar

3,20%

6

Shade

Trojan-Ransom.Win32.Shade

2,82%

7

(werdykt generyczny)

Trojan-Ransom.Win32.Gen

2,37%

8

Crysis/Dharma

Trojan-Ransom.Win32.Crusis

2,30%

9

CryptoWall

Trojan-Ransom.Win32.Cryptodef

2,25%

10

(werdykt generyczny)

Trojan-Ransom.Win32.Snocry

2,16%

* Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduł antywirusowy, otrzymanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na przekazanie swoich danych statystycznych.  
** Unikatowi użytkownicy, których komputery stanowiły cel określonej rodziny trojanów ransomware jako odsetek wszystkich użytkowników produktów firmy Kaspersky Lab zaatakowanych przez trojana ransomware.

Trojan Cerber (18,04%) stanowił najbardziej rozpowszechnione szkodliwe oprogramowanie pod względem liczby zaatakowanych użytkowników w pierwszym kwartale 2017 roku. Nie ma w tym nic dziwnego biorąc pod uwagę ogromną liczbę modyfikacji tego programu kryptograficznego oraz jego aktywne rozprzestrzenianie przez oszustów. 

Na drugim miejscu znalazł się program o nazwie Spora (7,59%). Ten nowy trojan został po raz pierwszy wykryty w styczniu 2017 roku i na początku swojej kariery atakował tylko rosyjsko-języcznych użytkowników. Jednak kilka tygodni po wykryciu Spora rozprzestrzenił się na całym świecie, a pod koniec pierwszego kwartału należał do trzech najpopularniejszych programów kryptograficznych. Na trzeciej pozycji znalazł się Locky (7,35%), który pojawił się około rok temu i nieco ograniczył swoją aktywność.        

Kolejnym nowym trojanem jest Sage (3,44%). Podobnie jak Spora, pojawił się w pierwszym kwartale 2017 roku i wyszedł na prowadzenie w rankingu obejmującym I kwartał. Pozostałe miejsca przypadły „starym dobrym znajomym”, którzy pojawili się w raportach dotyczących wcześniejszych kwartałów.  

Na specjalną wzmiankę zasługuje oprogramowanie kryptograficzne PetrWrap, które jest wykorzystywane przez cyberprzestępców w atakach ukierunkowanych na organizacje. Z danych statystycznych wynika, że tego rodzaju atak zyskuje na popularności.  

Top 10 państw, w których najwięcej zasobów online jest zainfekowanych szkodliwym oprogramowaniem

Poniższe statystyki opierają się na fizycznej lokalizacji zasobów online wykorzystywanych w atakach i zablokowanych przez nasze komponenty antywirusowe (strony WWW zwierające przekierowania do exploitów, strony zawierające exploity i inne szkodliwe programy, centra kontroli botnetów itd.). Każdy unikatowy host mógł stanowić źródło jednego lub większej liczby ataków WWW.  

W celu określenia geograficznego źródła ataków WWW nazwy domen są porównywane z rzeczywistymi adresami IP domen, a następnie określana jest lokalizacja geograficzna określonego adresu IP (GEOIP).

W I kwartale 2017 roku rozwiązania firmy Kaspersky Lab zablokowały 479 528 279 ataków przeprowadzonych z zasobów WWW zlokalizowanych w 191 krajach na całym świecie. 79 209 775 unikatowych adresów URL zostało zidentyfikowanych przez komponenty ochrony WWW jako szkodliwe.     

16_auto.png

Rozkład źródeł ataków WWW według państwa, I kwartał 2017 r.

Holandia (38%) objęła prowadzenie pod względem liczby źródeł ataków WWW. Stany Zjednoczone (30%), które wcześniej przez kilka kwartałów z rzędu znajdowały się na szczycie rankingu, spadły na drugie miejsce, chociaż udział tego państwa pozostał niemal niezmieniony w stosunku do danych dla 2016 roku. Pierwszą trójkę zamknęły Niemcy (9%).          

Na czwartym i piątym miejscu znalazły się odpowiednio Rosja (4%) i Francja (3%).

Państwa, w których użytkownicy byli narażeni na największe ryzyko infekcji online

W celu oszacowania ryzyka infekcji online, na jakie narażeni są użytkownicy w różnych państwach, obliczyliśmy odsetek użytkowników produktów firmy Kaspersky Lab w każdym państwie, w którym maszyny odnotowały w badanym kwartale werdykty wykrycia. Uzyskane dane określają agresywność środowiska, w których działają komputery w różnych państwach.  

Ranking ten obejmuje jedynie ataki z udziałem szkodliwych programów, które plasują się w kategorii Szkodliwe oprogramowanie. Nie uwzględnia wykryć potencjalnie niebezpiecznych lub niechcianych programów, takich jak RiskTool czy adware, przy pomocy modułu ochrony WWW.   

Państwo*

% zaatakowanych użytkowników**

1

Algieria

37,67

2

Białoruś

33,61

3

Tunezja

32,04

4

Ukraina

31,98

5

Kazachstan

29,96

6

Azerbejdżan

29,95

7

Albania

29,80

8

Bangladesz

29,51

9

Katar

29,41

10

Armenia

29,02

11

Grecja

28,21

12

Mołdawia

27,46

13

Wenezuela

27,37

14

Kirgistan

27,02

15

Wietnam

26,87

16

Rosja

26,67

17

Maroko

25,65

18

Sri Lanka

25,42

19

Brazylia

25,10

20

Serbia

24,18

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduł antywirusowy, otrzymanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na przekazanie swoich danych statystycznych.  

* Obliczenia te nie uwzględniają państw, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000 użytkowników). 
** Unikatowi użytkownicy, których komputery stanowiły cel ataków z udziałem oprogramowania z klasy Szkodliwe oprogramowanie jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.  

Średnio 20,05% komputerów połączonych z internetem na całym świecie stanowiło cel co najmniej jednego ataku WWW przy użyciu szkodliwego oprogramowania w badanym kwartale.

17_auto.png

Rozkład szkodliwych ataków WWW w I kwartale 2017 roku (uszeregowanych według odsetka zaatakowanych użytkowników)

Wśród państw o najbezpieczniejszych środowiskach surfowania online znalazły się Luksemburg (14,4%), Niemcy (13,9%), Norwegia (13,83%), Afryka Południowa (12,5%), Stany Zjednoczone (10,56%), Uganda (10,29%) oraz Japonia (9,18%).  

Zagrożenia lokalne

Lokalne statystyki dotyczące infekcji komputerów użytkowników stanowią bardzo istotny wskaźnik: odzwierciedlają zagrożenia, które przeniknęły systemy komputerowe na skutek zainfekowania plików lub nośników wymiennych lub przedostały się na komputer w postaci zaszyfrowanej (np. programy zintegrowane w złożonych instalatorach, zaszyfrowane pliki itd.).

Przedstawione w tej sekcji dane opierają się na analizie danych statystycznych stanowiących wynik skanowania antywirusowego plików na dysku twardym w momencie ich tworzenia lub uzyskania do nich dostępu, oraz wynik skanowania nośników wymiennych.  

W I kwartale 2017 roku ochrona antywirusowa firmy Kaspersky Lab wykryła 174 989 956 unikatowych szkodliwych i potencjalnie niechcianych obiektów. 

Państwa, w których użytkownicy byli narażeni na największe ryzyko infekcji lokalnej

Dla każdego państwa, obliczyliśmy odsetek użytkowników produktów firmy Kaspersky Lab, na których komputerach został uruchomiony moduł ochrony antywirusowej plików w badanym kwartale. Statystyki te odzwierciedlają poziom zainfekowania komputerów osobistych w różnych krajach.      

Ranking szkodliwych programów uwzględnia jedynie ataki przy użyciu szkodliwego oprogramowania (klasa Malware). Nie uwzględnia wykryć potencjalnie niebezpiecznych lub niechcianych programów, takich jak RiskTool czy adware, przy użyciu modułu ochrony WWW.

Państwo*

% zaatakowanych użytkowników**

1

Jemen

54,84

2

Afganistan

54,27

3

Uzbekistan

53,80

4

Tadżykistan

51,32

5

Etiopia

50,87

6

Dżibuti

50,03

7

Algieria

49,38

8

Wietnam

49,15

9

Turkmenistan

48,39

10

Rwanda

47,57

11

Mongolia

47,25

12

Somalia

46,96

13

Syria

46,96

14

Bangladesz

46,64

15

Irak

46,59

16

Sudan

46,35

17

Nepal

46,19

18

Kazachstan

46,00

19

Laos

45,39

20

Białoruś

43,45

Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduły antywirusowe podczas dostępu i na żądanie, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się dostarczyć swoje dane statystyczne. Dane obejmują wykrycia szkodliwych programów zlokalizowanych na komputerach użytkowników lub na nośnikach wymiennych połączonych z komputerem, takich jak pamięć flash, karta pamięci aparatu i telefonu czy zewnętrzny dysk twardy.    

* Z obliczeń tych wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000 użytkowników).   


** Odsetek unikatowych użytkowników posiadających komputery, które zablokowały lokalne zagrożenia klasy Malware,
jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.       

Średnio 23,63% komputerów na całym świecie stanowiło cel co najmniej jednego zagrożenia lokalnego z klasy Malware w badanym kwartale. Udział Rosji w rankingu stanowił 30,51%.        

18_auto.png

Najbezpieczniejsze państwa pod względem ryzyka infekcji lokalnej: Polska (14,85%), Singapur (12,21%), Włochy (13,30%), Francja (11,15%), Australia (10,51%), Wielka Brytania (9,08%), Kanada (8,66%), Republika Czeska (7,83%), Stany Zjednoczone (7,57%), Dania (6,35%) oraz Japonia (6,18%).