Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: I kwartał 2013

Tagi:

Spis treści


I kwartał w liczbach

  • Według danych dostarczonych przez usługę Kaspersky Security Network (KSN), w I kwartale 2013 r. produkty firmy Kaspersky Lab wykryły i zneutralizowały 1 345 570 352 zagrożeń.
  • W analizowanym okresie wykryto łącznie 22 750 nowych modyfikacji szkodliwych programów atakujących urządzenia mobilne – to o ponad 50% więcej niż łączna liczba modyfikacji wykrytych w całym 2012 roku.  
  • Celem około 40% exploitów zidentyfikowanych w pierwszym kwartale tego roku były produkty firmy Adobe.
  • Około 60% wszystkich szkodliwych hostów jest zlokalizowanych w trzech krajach: Stany Zjednoczone, Rosja i Holandia.

 

Przegląd

Pierwszy kwartał w 2013 roku okazał się pracowitym okresem w branży bezpieczeństwa IT. W raporcie tym zostały opisane najważniejsze wydarzenia. 

Cyberszpiegostwo i cyberbroń

Red October

Na samym początku roku Kaspersky Lab opublikował istotny raport zawierający wyniki badania dotyczącego globalnej operacji cyberszpiegowskiej pod nazwą Czerwony Październik. Celem badanych ataków były różne agencje rządowe, organizacje dyplomatyczne i firmy na całym świecie. Analiza plików i odtworzenie struktury ataku trwały kilka miesięcy. Jednak w wyniku przeprowadzonego badania udało nam się ustalić kilka kluczowych faktów.   

Osoby atakujące działały aktywnie przez ostatnie pięć lat. Stosując wielofunkcyjną platformę, cyberprzestępcy mogli szybko wykorzystywać nowe, rozszerzone moduły w celu gromadzenia informacji. Aby kontrolować i zarządzać zainfekowanymi systemami, stworzyli ponad 60 różnych nazw domen i kilka serwerów utrzymywanych w różnych krajach. Infrastruktura serwera kontroli składa się z łańcucha serwerów proxy.      

Oprócz tradycyjnych ataków ukierunkowanych na stacje robocze, Czerwony Październik potrafi również kraść dane z urządzeń mobilnych, gromadzić dane ze sprzętu sieciowego, pliki z urządzeń USB, kraść bazy e-maili z lokalnych archiwów Outlooka lub ze zdalnych serwerów POP/IMAP i rozpakowywać pliki z lokalnych serwerów FTP w Internecie.   

MiniDuke

W lutym FireEye opublikował analizę nowego szkodliwego programu, który przenika do systemów za pośrednictwem luki 0-day w aplikacji  Adobe Reader (CVE-2013-0640). Szkodnik ten stał się pierwszym exploitem potrafiącym obejść sandboksa Acrobata Readera. Pobierał backdoora stworzonego w celu kradzieży danych z zainfekowanego systemu. Po otrzymaniu próbek tego szkodnika do analizy nadaliśmy mu nazwę ItaDuke.    

Z czasem wykryliśmy kilka podobnych incydentów, w których wykorzystywana była ta sama luka, ale  stosowano różne zagrożenia. Wykorzystywany przez cyberprzestępców szkodliwy program otrzymał nazwę MiniDuke. Dochodzenie w sprawie tych incydentów przeprowadziła węgierska firma CrySys Lab. Ofiarami MiniDuke’a okazały się agencje rządowe zlokalizowane na Ukrainie, w Belgii, Portugalii, Rumunii, Republice Czeskiej oraz Irlandii, jak również organizacja badawcza na Węgrzech oraz instytut badawczy, dwa centra badawczo-naukowe i ośrodek medyczny w Stanach Zjednoczonych. Łącznie zidentyfikowaliśmy 59 ofiar w 23 krajach.    

Jedną z najbardziej interesujących cech ataków przy użyciu MiniDuke’a było połączenie zagrożenia, którego kod został napisany przy użyciu złożonej metody wywodzącej się z tzw. „starej szkoły” oraz stosunkowo nowych ale wypróbowanych technologii exploitów wykorzystujących luki w Adobe Readerze.  

Osoby atakujące rozesłały szkodliwe dokumenty PDF zawierające exploity dla Adobe Readera w wersji 9 – 11. Dokumenty te zawierały informacje na temat seminarium dotyczącego praw człowieka (ASEM), wiadomości z dziedziny polityki zagranicznej Ukrainy oraz plany państw NATO. Jeżeli atak exploita powiódł się, do komputera ofiary przenikał unikatowy backdoor, o rozmiarze jedynie 20 KB, napisany w Assemblerze.    

W opisywanym ataku cyberprzestępcy wykorzystali Twittera: w celu uzyskania adresów serwera kontroli, a następnie pobrania nowych szkodliwych modułów, backdoor szukał specjalnych tweetów z utworzonych wcześniej kont. Jak tylko zainfekowany system ustanowił połączenie z serwerem kontroli, zaczynał otrzymywać zaszyfrowane moduły (backdoory) powiązane z plikami GIF. Moduły te posiadały stosunkowo proste funkcje: kopiowanie, przemieszczanie i usuwanie plików, tworzenie folderów i pobieranie nowych szkodliwych programów.   

APT1

W lutym Mandiant opublikował obszerny raport PDF dotyczący ataków przeprowadzonych przez pewną grupę chińskich hekerów znanych pod nazwą APT1. Termin APT (Advanced Persistent Threat) to wciąż modne określenie. Czasami jednak odnosi się do zagrożeń lub ataków, które w rzeczywistości wcale nie są „zaawansowane”. Jednak w przypadku APT1, słowo „zaawansowany” nie jest stosowane na wyrost – ta prowadzona przez chińskich hakerów kampania charakteryzuje się ogromną skalą i nie należy jej lekceważyć.      

Raport Mandiant rozpoczyna się stwierdzeniem, że grupa APT1 prawdopodobnie jest oddziałem chińskiej armii. Firma ta wskazała nawet potencjalny adres fizyczny tego oddziału jak również oszacowała liczbę tworzących go osób i wykorzystywaną infrastrukturę. Mandiant uważa, że APT1 działa od 2006 roku i na przestrzeni 6 lat grupa ta zdołała ukraść terabajty danych z co najmniej 141 organizacji. Ofiary jej ataków zlokalizowane są głównie w państwach anglojęzycznych. Przeprowadzenie takich masowych ataków z pewnością nie byłoby możliwe bez realnego wsparcia setek osób oraz rozwiniętej, nowoczesnej infrastruktury.            

Chiny nie po raz pierwszy zostały oskarżone o udział w przeprowadzeniu cyberataków na agencje rządowe i organizacje w różnych państwach na świecie. Nie dziwi też fakt, że rząd chiński zdecydowanie zaprzecza twierdzeniom zawartym w raporcie firmy Mandiant.    

Należy zauważyć, że jak dotąd żadne państwo nie wzięło odpowiedzialności za żaden atak cyberszpiegowski  ani nie przyznało się do udziału w cyberszpiegostwie pod presją opinii publicznej lub dowodu dostarczonego przez agencję.

TeamSpy

W marcu 2013 roku pojawiły się informacje na temat ostatniego spośród złożonych ataków na znanych polityków i obrońców praw człowieka we Wspólnocie Niepodległych Państw oraz Europie Wschodniej. Operacja otrzymała nazwę „TeamSpy”, ponieważ w celu kontrolowania zaatakowanych komputerów osoby atakujące wykorzystały zdalny program administracyjny TeamViewer. Głównym celem tego ataku było zebranie informacji z komputerów użytkowników, począwszy od zrzutów ekranu a skończywszy na kopiach plików .pgp, łącznie z hasłami i kluczami szyfrowania.     

Mimo że narzędzia wykorzystane w operacji TeamSpy - a nawet sama operacja – nie wydawały się wcale tak zaawansowane czy profesjonalne w porównaniu z operacją Czerwony Październik, ataki grupy TeamSpy okazały się skuteczne.

Stuxnet 0.5

Incydenty, których zbadanie wymaga miesięcy nieustannego wysiłku, zdarzają się stosunkowo rzadko w branży antywirusowej. Jeszcze rzadziej występują incydenty, które pozostają aktualne nawet po trzech latach – jak na przykład wykrycie Stuxneta. Chociaż robak ten był analizowany przez wiele firm antywirusowych, wiele modułów zostało w niewielkim stopniu, o ile w ogóle, zbadanych. Warto pamiętać, że istniało kilka wersji Stuxneta i najwcześniejsze z nich pojawiły się jeszcze w 2009 roku. Eksperci wielokrotnie sugerowali, że istniały (lub nadal istnieją) jeszcze wcześniejsze wersje tego robaka, mimo że nie znaleziono żadnych twardych dowodów.          

Ostatecznie jednak przypuszczenia te zostały potwierdzone. Pod koniec lutego Symantec opublikował badanie dotyczące nowej „starej” wersji tego robaka - Stuxnet 0.5. Wersja ta okazała się najstarszą znaną modyfikacją Stuxneta i była aktywna od 2007 do 2009 roku. Co więcej, posiadała kilka bardzo interesujących cech:

  • Po pierwsze, została stworzona na tej samej platformie co Flame – a nie, jak w przypadku kolejnych modyfikacji Stuxneta, na platformie ‘Tilded’.
  • Po drugie, robak ten rozprzestrzeniał się za pośrednictwem zainfekowanych plików wygenerowanych przy użyciu Simatic Step 7 i nie zawierał żadnych exploitów dla produktów Microsoftu.
  • Po trzecie, Stuxnet 0.5 nie był rozprzestrzeniany po 4 lipca 2009 roku.
  • Wreszcie, to Stuxnet 0.5 był w pełni kompatybilny z Siemens 417 PLC (późniejsze wersje tego szkodnika nie posiadały tej funkcji w pełni).

Wyniki badania piątej wersji Stuxneta ujawniły kolejne informacje o tym szkodliwym programie. W przyszłości być może dowiemy się o nim jeszcze więcej. To samo można powiedzieć o przykładach cyberbroni wykrytych po Stuxnecie oraz szkodliwym oprogramowaniu wykorzystywanym w cyberszpiegostwie – wiele rzeczy nadal nie wiemy.

Ataki ukierunkowane

Ataki na aktywistów tybetańskich i ujgurskich

W pierwszym kwartale 2013 roku celem ataków ukierunkowanych nadal byli tybetańscy i ujugurscy aktywiści. Aby osiągnąć swoje cele, osoby atakujące wykorzystywały wszystko, co miały do dyspozycji, a ich ofiarami byli użytkownicy systemu OS X, Windows oraz Android.  

W okresie styczeń-luty Kaspersky Lab odnotował znaczący wzrost liczby ataków ukierunkowanych na aktywistów ujgurskich pracujących na systemie OS X. We wszystkich tych atakach wykorzystywana była luka CVE-2009-0562, którą Microsoft załatał niemal cztery lata temu. Exploit wykorzystujący tę lukę został rozesłany w dokumentach MS Office, które można było łatwo rozpoznać po autorskim tagu „captain”. W przypadku wykonania exploita, na komputer ofiary pobierany był backdoor dla systemu OS X w formie pliku Mach-O. Ten niewielki backdoor posiada bardzo specyficzną funkcję: instaluje kolejnego backdoora oraz program, który kradnie dane osobiste (kontakty).   

Kaspersky Lab wykrył ataki przeciwko tybetańskim aktywistom w połowie marca 2013 roku. Tym razem osoby atakujące wykorzystały wspomnianego wyżej exploita (CVE-2013-0640 – wykorzystanego wcześniej w atakach ItaDuke) w celu obejścia środowiska sandbox w aplikacji Acrobat Reader X i infekowania komputerów.   

Pod koniec marca 2013 r. ofiarą tej fali ataków padli również użytkownicy urządzeń z Androidem. W wyniku włamania się na konto znanego aktywisty tybetańskiego z jego adresu zaczęła wypływać poczta wraz z załącznikiem APK, który okazał się szkodliwym programem stworzonym dla Androida (produkty firmy Kaspersky Lab nadają mu nazwę Backdoor.AndroidOS.Chuli.a). Zagrożenie to powiadamia ukradkiem swój serwer kontroli o przeprowadzeniu udanej infekcji, a następnie zaczyna gromadzić przechowywane na urządzeniu dane: kontakty, dzienniki wywołań, wiadomości tekstowe, dane GPS oraz informacje dotyczące urządzenia. Następnie szkodliwy program szyfruje skradzione dane przy użyciu Base64 i wysyła je do serwera kontroli. Przeprowadzona przez Kaspersky Lab analiza serwera kontroli wykazała, że osoby atakujące mówią po chińsku.  

Zaledwie kilka dni po opublikowaniu wyników badania organizacja badawcza The Citizen Lab udostępniła wyniki badania podobnego incydentu. Celem analizowanego ataku były osoby w ten czy inny sposób powiązane z Tybetem i tybetańskimi aktywistami, a wykorzystany szkodliwy program posiadał podobną funkcję (kradzież informacji osobistych), ale stanowił zainfekowaną wersję komunikatora Kakao Talk.     

Ataki na sieci korporacyjne

Niestety, pierwszy kwartał roku obfitował w incydenty obejmujące ataki hakerskie na infrastrukturę korporacyjną oraz wycieki haseł. Wśród ich ofiar znalazła się między innymi firma Apple, portal Facebook, Twitter oraz Evernote.    

Na początku lutego Twitter wydał oficjalne oświadczenie, informując, że cyberprzestępcom udało się ukraść dane użytkowników (w tym hashe haseł) 250 000 członków tego portalu społecznościowego. Dwa tygodnie później Facebook przyznał, że komputery kilku pracowników tej firmy zostały zainfekowane exploitami.  Facebook określił ten incydent jako wyrafinowany, ukierunkowany atak, zaznaczając, że jego celem było przeniknięcie do sieci korporacyjnej Facebooka. Na szczęście, przedstawiciele firmy poinformowali, że Facebook zdołał uniknąć wycieku informacji użytkowników.     

Zaledwie kilka dni później Apple ogłosił, że kilku pracowników firmy padło ofiarą dokładnie tego samego ataku. Z danych tej firmy wynika, że nie doszło do żadnego wycieku informacji. Na początku marca firma Evernote doniosła, że jej wewnętrzna sieć padła ofiarą włamania i że szkodliwi użytkownicy próbowali uzyskać dostęp do jej danych.    

W 2011 r. miały miejsce masowe ataki hakerskie na różne firmy oraz masowe wycieki danych użytkowników. Mogłoby się wydawać, że ataki te przeprowadzono na próżno – jednak nic bardziej błędnego. Szkodliwi użytkownicy są równie żywo zainteresowani włamywaniem się do dużych firm i zdobywaniem poufnych danych, w tym danych o użytkowniku, co kiedyś.      

Zagrożenia mobilne

Raport firmy Kaspersky Lab dotyczący ewolucji zagrożeń atakujących smartfony, tablety oraz inne urządzenia mobilne w 2012 roku został opublikowany w lutym 2013 roku. Z naszych danych wynika, że w 2012 roku Android stał się celem numer 1 wśród twórców wirusów oraz że liczba zagrożeń w ciągu roku stale rosła. Czy w 2013 roku nadal obserwujemy wzrost liczby zagrożeń mobilnych? Odpowiedź brzmi tak.   

Kilka liczb

Styczeń to tradycyjnie spokojny miesiąc dla twórców wirusów mobilnych – w pierwszym miesiącu roku pojawiło się „tylko” 1 262 nowych modyfikacji. Jednak w ciągu ostatnich kilku miesięcy Kaspersky Lab wykrył ponad 20 000 nowych modyfikacji mobilnego szkodliwego oprogramowania. W lutym wykryliśmy ich 12 044, a w marcu kolejne 9 443. Dla porównania – w całym 2012 roku zidentyfikowaliśmy łącznie 40 059 modyfikacji szkodliwych programów.     

Trojany SMS, które wysyłają nieautoryzowane wiadomości tekstowe na krótkie numery premium, nadal stanowią najliczniejszą kategorię zagrożeń mobilnych i wynoszą obecnie 63,6% wszystkich ataków.

Platformę Android atakuje łącznie 99,9% wykrytych nowych zagrożeń mobilnych.

Według danych KSN, 20 najczęściej wykorzystywanych szkodliwych lub potencjalnie niechcianych programów dla Androida to: 

Miejsce

Nazwa

% wszystkich ataków

1

Trojan-SMS.AndroidOS.FakeInst.a

29,45%

2

Trojan.AndroidOS.Plangton.a

18,78%

3

Trojan-SMS.AndroidOS.Opfake.a

12,23%

4

Trojan-SMS.AndroidOS.Opfake.bo

11,49%

5

Trojan-SMS.AndroidOS.Agent.a

3,43%

6

Trojan-SMS.AndroidOS.Agent.u

2,54%

7

RiskTool.AndroidOS.AveaSMS.a

1,79%

8

Monitor.AndroidOS.Walien.a

1,60%

9

Trojan-SMS.AndroidOS.FakeInst.ei

1,24%

10

Trojan-SMS.AndroidOS.Agent.aq

1,10%

11

Trojan-SMS.AndroidOS.Agent.ay

1,08%

12

Trojan.AndroidOS.Fakerun.a

0,78%

13

Monitor.AndroidOS.Trackplus.a

0,75%

14

Adware.AndroidOS.Copycat.a

0,69%

15

Trojan-Downloader.AndroidOS.Fav.a

0,66%

16

Trojan-SMS.AndroidOS.FakeInst.ee

0,55%

17

HackTool.AndroidOS.Penetho.a

0,54%

18

RiskTool.AndroidOS.SMSreg.b

0,52%

19

Trojan-SMS.AndroidOS.Agent.aa

0,48%

20

HackTool.AndroidOS.FaceNiff.a

0,43%

 

Pierwsze miejsce w pierwszym kwartale zajął Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Zagrożenie to atakuje głównie rosyjskojęzycznych użytkowników internetu próbujących pobierać oprogramowanie dla urządzeń z Androidem z podejrzanych stron. Oczywiście cyberprzestępcy wykorzystują te strony do rozprzestrzeniania szkodników w przebraniu użytecznego oprogramowania. 

Na drugim miejscu znalazł się Trojan.AndroidOS.Plangton.a (18,78%) – trojan adware. Zagrożenie to występuje głównie w krajach europejskich, gdzie jest wykorzystywane przez twórców darmowego oprogramowania w celu zarabiania na produktach poprzez wyświetlanie reklam.      

Trzecie i czwarte miejsca zajęły trojany SMS z rodziny Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) oraz Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Pierwsze modyfikacje trojanów z rodziny Opfake podszywały się pod najnowszą wersję popularnej przeglądarki mobilnej Opera. Dzisiaj szkodliwe programy z tej rodziny kryją się pod postacią nowych wersji innych popularnych aplikacji (Skype, Angry Birds itd.).  

Incydenty

W pierwszym kwartale 2013 r. dwa najciekawsze incydenty związane z wirusami to:  

  • nowe zagrożenie pod nazwą Perkele lub Perkel, które poluje na kody mTAN, 
  • botnet MTK.

Kolejnym ważnym wydarzeniem, jakie miało miejsce w analizowanym okresie, były ataki ukierunkowane na użytkowników Androida, o których pisaliśmy wcześniej.

Perkel

W pierwszych dwóch tygodniach marca znany dziennikarz Brian Krebs znalazł informacje na rosyjskojęzycznych forach podziemia na temat nowego trojana bankowego atakującego urządzenia mobilne użytkowników w 69 państwach. Według krążących pogłosek, nowe zagrożenie zainfekowało już sporo urządzeń. Krebs sugerował, że trojan ten został rozwinięty przez rosyjskojęzycznych twórców wirusów, ponieważ kombinacja narzędzi, przy użyciu których został stworzony, jest dostępna na forach rosyjskojęzycznych.      

Wiadomość ta naturalnie zwróciła uwagę specjalistów od ochrony antywirusowej, jednak przez pewien czas nie pojawiły się żadne przykłady oprogramowania.       

Kilka dni później wykryto pierwsze modyfikacje Perkela. Po analizie przeprowadzonej przez Kaspersky Lab stało się jasne, że pojawiły się nowe nabytki w rodzinie szkodliwych programów stworzonych w celu kradzieży wiadomości tekstowych zawierających kody mTAN. Funkcje szkodników z rodziny Perkel są typowe dla tej grupy szkodników, z dwoma wyjątkami:   

  1. Perkel używa wiadomości tekstowych zamiast HTTP w celu komunikowania się z serwerem kontroli i przesyłania skradzionych danych (oprócz wiadomości tekstowych z kodami mTAN zagrożenie to zbiera również informacje dotyczące zainfekowanego urządzenia).
  2. Zagrożenie to potrafi samodzielnie aktualizować się poprzez pobieranie swojej nowej kopii ze zdalnego serwera.   

Botnet MTK

W połowie stycznia pojawiły się informacje o istnieniu botnetu, który zainfekował około milion urządzeń firmy Android należących głównie do użytkowników chińskich. Jak się okazało, pierwszym etapem tworzenia tego botnetu było rozprzestrzenianie szkodliwego programu w Chinach (Kaspersky Lab nadał temu szkodnikowi nazwę Trojan.AndroidOS.MTK). Szkodnik ten rozprzestrzeniał się za pośrednictwem nieoficjalnych chińskich sklepów z aplikacjami zawierających popularne, zhakowane gry. Oprócz kradzieży informacji dotyczących zainfekowanego smartfona, danych dotyczących kontaktów użytkownika oraz jego wiadomości zagrożenia z tej rodziny reklamują również różne aplikacje. W tym celu trojany ukradkiem pobierają i instalują aplikacje na urządzeniu mobilnym ofiary, a następnie przydzielają aplikacji najwyższą z możliwych ocen w sklepie. Następnie zgłaszają swoje działania zdalnemu serwerowi. Ponieważ liczba aplikacji dla Androida nieustannie rośnie, zdobycie popularności wśród użytkowników jest trudne – z tego powodu takie nielegalne taktyki stają się coraz bardziej rozpowszechnione.          

Zablokowanie certyfikatów TurkTrust

W pierwszym kwartale 2013 roku miał miejsce kolejny incydent związany z certyfikatami root. Microsoft, Mozilla oraz Google anulowały dwa certyfikaty root wydane przez centrum certyfikacji TurkTrust, a tym samym usunęły je ze swoich baz przeglądarek.  

Okazało się, że zamiast zwykłych certyfikatów SSL TurkTrust opublikował dla dwóch organizacji nadmiarowe certyfikaty root. Certyfikaty te mogły zostać wykorzystane do stworzenia certyfikatów SSL dla dowolnego zasobu w internecie, a przeglądarki, za pośrednictwem których uzyskiwano dostęp do tych zasobów, akceptowałyby te certyfikaty jako „zaufane”.    

W grudniu Google ustalił, że jeden z certyfikatów wydanych przez TurkTrust SSL dla *.google.com został wykorzystany w ataku typu „man-in-the-middle”. Naturalnie, to że Google został zaatakowany, oznacza, że wydane w ten sam sposób certyfikaty mogłyby zostać wykorzystane w atakach na inne firmy.     

Ostatni z serii najpoważniejszych incydentów związanych z certyfikatami root i kwestią zaufania pokazał, że wykorzystanie legalnych certyfikatów do szkodliwych celów zawsze wykrywano już po fakcie, ponieważ obecnie nie istnieją skuteczne metody zapobiegania tego typu incydentom.      

Statystyki

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane z opartej na chmurze usługi Kaspersky Security Network (KSN). Statystyki zostały dostarczone przez użytkowników KSN, którzy zgodzili się udostępnić informacje o zagrożeniach wykrytych na ich komputerach. W globalnej wymianie informacji dotyczącej szkodliwej aktywności uczestniczą miliony użytkowników produktów firmy Kaspersky Lab z 213 państw.     

Zagrożenia online

Podane w tej sekcji dane statystyczne pochodzą z modułu Ochrona WWW firmy Kaspersky Lab, który chroni użytkowników, gdy szkodliwy kod próbuje pobrać się z zainfekowanych stron. Zainfekowane strony internetowe mogą być tworzone przez szkodliwych użytkowników lub mogą składać się z tworzonej przez użytkowników zawartości (takiej jak fora) oraz z legalnych zasobów, które zostały zhakowane.        

Wykrywalne zagrożenia online

W pierwszym kwartale tego roku rozwiązania firmy Kaspersky Lab zneutralizowały 821 379 647 ataków przeprowadzonych z zasobów online na świecie.   

Top 20 wykrywalnych zagrożeń online  

Miejsce

Nazwa*

% wszystkich ataków **

1

Malicious URL

91,44%

2

Trojan.Script.Generic

2,79%

3

AdWare.Win32.Bromngr.b

1,91%

4

Trojan.Script.Iframer

0,73%

5

Exploit.Script.Blocker

0,70%

6

Trojan.JS.Redirector.xa

0,33%

7

Hoax.SWF.FakeAntivirus.i

0,22%

8

Trojan.Win32.Generic

0,17%

9

AdWare.Win32.MegaSearch.am

0,13%

10

Trojan-Downloader.Win32.Generic

0,09%

11

Exploit.Script.Blocker.u

0,07%

12

AdWare.Win32.IBryte.heur

0,05%

13

Exploit.JS.Retkid.a

0,05%

14

Exploit.Script.Generic

0,05%

15

Hoax.HTML.FraudLoad.i

0,04%

16

Exploit.Win32.CVE-2011-3402.c

0,04%

17

Packed.Multi.MultiPacked.gen

0,04%

18

Trojan-Clicker.HTML.Agent.bt

0,04%

19

WebToolbar.Win32.BetterInstaller.gen

0,03%

20

Trojan.JS.Redirector.xb

0,03%

*Statystyki te przedstawiają werdykty wykrycia wygenerowane przez moduł ochrony WWW i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o zagrożeniach wykrywanych na ich komputerach. 

**Łączna liczba unikatowych incydentów zarejestrowanych przez komponent ochrony WWW na komputerach użytkowników.

Pierwsze miejsce na liście Top 20 wykrywalnych zagrożeń online w pierwszym kwartale po raz kolejny zajęły szkodliwe odsyłacze umieszczone na czarnej liście. Ich udział zwiększył się o 0,5 punktu procentowego w stosunku do czwartego kwartału 2012 roku i ogólnie, odsyłacze te stanowiły 91,4% wszystkich wykryć dokonanych przez moduł ochrony WWW. Wykorzystanie narzędzi KSN w celu dostarczania natychmiastowych aktualizacji na komputery użytkowników za pośrednictwem chmury pomogło produktom firmy Kaspersky Lab zablokować 6,6% szkodliwych odsyłaczy. Odsyłacze te prowadziły do zhakowanych niedawno stron internetowych lub stron, które użytkownicy zaczęli odwiedzać, a które zostały specjalnie stworzone przez cyberprzestępców.         

Po raz kolejny w pierwszej piątce znalazł się Trojan.Script.Generic (2 miejsce) i Trojan.Script.Iframer (4 miejsce). Zagrożenia te są blokowane podczas prób ataków drive-by, które stanowią jedną z najpowszechniejszych metod stosowanych obecnie w celu infekowania komputerów użytkowników.   

Na siódmym miejscu uplasował się Hoax.SWF.FakeAntivirus.i. Zasadniczo, zagrożenie to jest fałszywym programem antywirusowym umieszczanym na różnych stronach internetowych o podejrzanej zawartości. W momencie odwiedzenia takich stron przeglądarka użytkownika wyświetla animację flash imitującą operacje oprogramowania antywirusowego. Po przeprowadzeniu „skanowania” komputer wyświetli użytkownikowi komunikat, że jest „zainfekowany” dużą liczbą niebezpiecznych zagrożeń. W celu pozbycia się tych wirusów cyberprzestępcy oferują specjalne rozwiązania bezpieczeństwa, które zostaną udostępnione użytkownikowi, po tym jak wyśle wiadomość tekstową na krótki numer. Następnie użytkownik otrzyma odsyłacz umożliwiający pobranie rzekomego oprogramowania.      

Hoax.HTML. FraudLoad.i - który utrzymywał się w rankingu Top 20 przez kilka miesięcy - w pierwszym kwartale 2013 roku zajął 15 miejsce. Na zagrożenie to mogą natknąć się głównie użytkownicy, którzy pobierają filmy, programy telewizyjne oraz oprogramowanie z podejrzanych zasobów. Hoax.HTML.FraduLoad jest wykrywany na stronach internetowych, które użytkownicy mogą odwiedzić w celu pobrania określonej zawartości, wcześniej jednak muszą wysłać płatną wiadomość tekstową lub podać swój numer telefonu w celu wypełnienia płatnego formularza subskrypcyjnego. Jeżeli użytkownik spełni wszystkie wymagania, otrzyma żądaną zawartość w postaci pliku tekstowego z instrukcjami dotyczącymi korzystania z wyszukiwarek lub – w gorszym przypadku – szkodliwy program.       

Exploit.Win32.CVE-2011-3402.c znalazł się tym razem na 16 miejscu. Zagrożenie to wykorzystuje lukę w rejestrze win32k.sys (luka TrueType Font Parsing). Była to ta sama luka, która została wykorzystana do rozprzestrzeniania robaka Duqu.    

Państwa, w których znajduje się najwięcej szkodliwego oprogramowania w zasobach online

Dane te wskazują państwa, w których fizycznie zlokalizowane są strony internetowe, w których znajduje się najwięcej szkodliwych programów. W celu określenia geograficznego źródła ataków internetowych wykorzystano metodę, w której nazwy domen zostały porównane z rzeczywistymi adresami IP domen, a następnie określono położenie geograficzne danego adresu IP (GEOIP).     

Około 81% zasobów online wykorzystywanych do rozprzestrzeniania szkodliwych programów jest zlokalizowanych w 10 państwach. W ciągu ostatnich sześciu miesięcy wskaźnik ten spadł o 5 punktów procentowych – o 3 punkty procentowe w pierwszym kwartale 2013 roku i o 2 punkty procentowe w czwartym kwartale 2012 roku.     

q1_malware2013_pic01_auto.png

Rozkład zasobów online, w których znajduje się najwięcej szkodliwych programów, I kwartał 2013 r. 

Rosja i Stany Zjednoczone po raz kolejny zamieniły się miejscami w rankingu szkodliwych serwisów hostingowych – Stany Zjednoczone odzyskały utracone w poprzednim kwartale pierwsze miejsce. Udziały innych państw pozostały mniej więcej niezmienione w stosunku do czwartego kwartału 2013 roku. 

Państwa, w których użytkownicy byli najbardziej narażeni na ryzyko infekcji online

W celu oszacowania poziomu ryzyka infekcji online, na które narażone są komputery użytkowników w różnych państwach, obliczyliśmy, jak często moduł ochrony WWW produktów firmy Kaspersky Lab wykrywał zagrożenia na komputerach użytkowników w trzech pierwszych miesiącach roku.     

q1_malware2013_pic02_auto.png
Top 20 państw* o największym ryzyku infekcji online** w pierwszym kwartale 2013 r.

*Dla celów obliczeniowych wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000). 
**Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery z zainstalowanym produktem firmy Kaspersky Lab, który zablokował zagrożenia internetowe. 

Lista Top 10 państw, w których użytkownicy najczęściej natrafiają na szkodliwe programy, niewiele zmieniła się od ostatniego kwartału 2012 roku i nadal zawiera państwa z byłego Związku Radzieckiego. Na trzecim miejscu znalazła się Rosja (57%). Można jednak zauważyć kilka zmian, takich jak pojawienie się Tunezji (43,1%) i Algierii (39%). Jedynym państwem z Europy Zachodniej, które znalazło się na tej liście, były Włochy (39,9%, 16 miejsce).          

Wszystkie państwa można podzielić na cztery główne grupy:

  1. Grupa maksymalnego ryzyka: W grupie tej znajdują się państwa, w których w badanym okresie ponad 60% użytkowników przynajmniej raz trafiło na szkodliwe oprogramowanie online. W pierwszym kwartale 2013 roku jedynym przedstawicielem tej grupy był Tadżykistan (60,4%).   
  2. Grupa wysokiego ryzyka: Grupa ta obejmuje państwa, w których 41 – 60% użytkowników przynajmniej raz zetknęło się ze szkodliwym oprogramowaniem online. W badanym okresie w kategorii tej znalazło się 13 państw z listy Top 20 (tyle samo co w czwartym kwartale 2012 r.). Z wyjątkiem Wietnamu, Tunezji oraz Sri Lanki większość państw z tej grupy to kraje byłego Związku Radzieckiego, zwłaszcza Armenia (59,5%), Rosja (57%), Kazachstan (56,8%), Azerbejdżan (56,7%), Białoruś (49,9%) oraz Ukraina (49%).        
  3. Grupa umiarkowanego ryzyka: W grupie tej znajdują się państwa, w których 21-40% użytkowników internetu natknęło się na szkodliwe oprogramowanie – łącznie 102 państw, w tym Włochy (39,9%), Niemcy (36,6%), Francja (35,8%), Belgia (33,8%), Sudan (33,1%), Hiszpania (32,5%), Katar (31,9%), Stany Zjednoczone (31,6%), Irlandia (31,5%), Wielka Brytania (30,2%), Zjednoczone Emiraty Arabskie (28,7%) oraz Holandia (26,9%).     
  4. Grupa niskiego ryzyka: W pierwszym kwartale 2013 r. w grupie tej (w której 12,5 – 21% użytkowników trafiło na szkodliwy program) znalazło się 28 państw, głównie z Afryki, gdzie internet nadal znajduje się w powijakach. Wyjątek stanowiła Japonia (15,6%) i Słowacja (19,9%).      

 

q1_malware2013_pic03.png
Ryzyko infekcji online na świecie, I kwartał 2013 r.

W pierwszym kwartale 2013 r. średnio 39,1% komputerów należących do sieci KSN przynajmniej raz padło ofiarą ataku podczas surfowania w Sieci przez użytkownika. Średni odsetek zaatakowanych komputerów w badanym okresie zwiększył się o 1,5 punktu procentowego w porównaniu z czwartym kwartałem 2012 roku.     

Zagrożenia lokalne

Ta część raportu zawiera analizę danych statystycznych w oparciu o dane dostarczone przez skaner on-access oraz statystyki ze skanowania różnych dysków, łącznie z nośnikami wymiennymi (skaner na żądanie).

Zagrożenia wykryte na komputerach użytkowników

W pierwszym kwartale 2013 roku rozwiązania bezpieczeństwa firmy Kaspersky Lab skutecznie zablokowały  490 966 403 prób lokalnych infekcji na komputerach użytkowników należących do sieci Kaspersky Security Network. 

TOP 20 zagrożeń wykrytych na komputerach użytkowników

 

 

 

Miejsce

Nazwa

%  indywidualnych użytkowników *

1

DangerousObject.Multi.Generic

18,51%

2

Trojan.Win32.Generic

16,04%

3

Trojan.Win32.AutoRun.gen

13,60%

4

Virus.Win32.Sality.gen

8,43%

5

Exploit.Win32.CVE-2010-2568.gen

6,93%

6

Trojan.Win32.Starter.yy

5,11%

7

Net-Worm.Win32.Kido.ih

3,46%

8

HiddenObject.Multi.Generic

3,25%

9

Trojan.Win32.Hosts2.gen

3,17%

10

Virus.Win32.Nimnul.a

3,13%

11

Virus.Win32.Generic

3,09%

12

Net-Worm.Win32.Kido.ir

2,85%

13

Trojan.Script.Generic

2,54%

14

AdWare.Win32.Bromngr.b

2,51%

15

Exploit.Java.CVE-2012-1723.gen

2,38%

16

Trojan.Win32.Starter.lgb

2,38%

17

Trojan-Downloader.Win32.Generic

2,13%

18

AdWare.Win32.Bromngr.h

2,11%

19

Hoax.Win32.ArchSMS.gen

2,09%

20

Trojan-Dropper.VBS.Agent.bp

1,97%

 

 

 

 

 

Statystyki te są tworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez moduły skanera on-access i on-demand na komputerach użytkowników posiadających zainstalowane produkty firmy Kaspersky Lab, którzy zgodzili się na udostępnienie swoich danych statystycznych.
* Odsetek indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył takie obiekty jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na których komputerach wykryto szkodliwe oprogramowanie.

Podobnie jak wcześniej, trzy werdykty znajdują się w ścisłej czołówce aktualnego rankingu  Top 20.

W pierwszym kwartale 2013 r. na pierwszym miejscu znalazły się szkodliwe programy zaklasyfikowane jako DangerousObject.Multi.Generic, wykryte przy użyciu technologii chmury, których udział wynosił 18,51% (o 1,8 punktu procentowego więcej niż w czwartym kwartale 2012 r.). Technologie oparte na chmurze stosowane są wtedy, gdy nadal nie istnieją odpowiednie sygnatury w antywirusowych bazach danych, ani heurystyka umożliwiająca wykrywanie szkodliwych programów, a chmura firmy Kaspersky Lab posiada już dane o takim zagrożeniu. Głównie w ten sposób wykrywane są najnowsze szkodliwe programy.  

Drugie miejsce zajął Trojan.Win32.Generic z udziałem 16% na podstawie werdyktów analizy heurystycznej podczas proaktywnego wykrywania wielu szkodliwych programów. Na trzecim miejscu znalazł się Trojan.Win32.AutoRun.gen (13,6%), który obejmuje szkodliwe programy wykorzystujące funkcję autorun.

Oprogramowanie adware z rodziny AdWare.Win32.Bromngr zadebiutowało w rankingu Top 20 na 8 miejscu w czwartym kwartale 2012 r. W analizowanym okresie zajęło dwa miejsca (14 i 18). Wszystkie modyfikacje tego modułu adware to katalogi DLL, które zasadniczo stanowią dodatki do powszechnie wykorzystywanych przeglądarek (Internet Explorer, Mozilla Firefox i Google Chrome). Podobnie jak zdecydowana większość tego rodzaju programów, moduł ten zmienia ustawienia wyszukiwania użytkownika, stronę domową  i okresowo wyświetla różne reklamy w okienkach wyskakujących.       

Państwa, w których użytkownicy są najbardziej zagrożeni lokalną infekcją

Wykresy poniżej pokazują średni współczynnik infekcji wśród komputerów użytkowników w różnych krajach. Spośród uczestników sieci KSN, którzy dostarczają Kaspersky Lab informacje, przynajmniej jeden szkodliwy plik został wykryty na co trzecim (31,4%) komputerze, na dysku twardym lub podłączonym do komputera dysku wymiennym. Jest to spadek o 0,8 punktu procentowego w porównaniu z poprzednim kwartałem.

q1_malware2013_pic04_auto.png

Poziomy infekcji komputerów według państwa* - ranking TOP 20 ** dla pierwszego kwartału 2013 r.

*Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia internetowe.  
** Podczas obliczeń wyłączyliśmy państwa, w których znajduje się mniej niż 10 000 użytkowników produktów firmy Kaspersky Lab. 

Już czwarty kwartał z rzędu 20 najwyższych pozycji w tej kategorii zajmują państwa w Afryce, na Bliskim Wschodzie i w Azji Południowo-Wschodniej. Najwyższy odsetek komputerów, na których zablokowano szkodliwy kod, posiada Bangladesz. Jednak państwo to po raz kolejny odnotowało spadek, tym razem o 11,8 punktu procentowego. Ostatecznie wyniósł on 67,8% (o 90,9% mniej niż w trzecim kwartale 2012 roku).    

Współczynniki lokalnych infekcji można podzielić na cztery grupy w zależności od poziomu ryzyka:

  1. Maksymalny współczynnik infekcji lokalnych (ponad 60%): w grupie tej znalazły się tylko dwa państwa: Bangladesz (67,8%) oraz Wietnam (60,2%). 
  2. Wysoki współczynnik infekcji lokalnych (41-60%): 41 państw, w tym Irak (50,9%), Syria (45,5%), Myanmar (44,5%), Angola (42,3%) oraz Armenia (41,4%).
  3. Umiarkowany współczynnik infekcji lokalnych (21 - 40%): 60 państw, w tym Chiny (37,6%), Katar (34,6%), Rosja (34,3%), Ukraina (33,6%), Liban (32,4%), Chorwacja (26,1%), Hiszpania (26%), Włochy (23,8%), Francja (23,4%) oraz Cypr (23,3%).
  4. Najniższy współczynnik infekcji lokalnych (do 21%): 31 państw, w tym Belgia (19,3%), Stany Zjednoczone (19%), Wielka Brytania (18,6%), Australia (17,5%), Niemcy (17,7%), Estonia (17,8%), Holandia (16,2%), Szwecja (14,6%), Dania (12,1%) oraz Japonia (9,1%).

q1_malware2013_pic05.png
Ryzyko lokalnej infekcji w różnych państwach, pierwszy kwartał 2013 r.

 

10 najbezpieczniejszych miejsc pod względem współczynnika infekcji lokalnych to:

Japonia

9,1%

Dania

12,1%

Finlandia

13,6%

Szwecja

14,6%

Republika Czeska

14,8%

Szwajcaria

15,1%

Irlandia

15,2%

Holandia

16,2%

Nowa Zelandia

16,6%

Norwegia

16,8%

 

Nowość w rankingu stanowią dwa państwa, Holandia i Norwegia, które wypchnęły z rankingu Luksemburg i Puerto Rico. 

Luki w zabezpieczeniach

W pierwszym kwartale tego roku na komputerach użytkowników należących do sieci KSN wykryto łącznie 30 901 713 dziurawych programów i plików. Na każdym podatnym na ataki komputerze zidentyfikowano średnio osiem różnych luk.  

10 najbardziej rozpowszechnionych luk zostało zestawionych w tabeli poniżej.

    №    Identyfikator Secunia – unikatowy numer luki            Nazwa luki i odsyłacz do opisu         Na co luka zezwala szkodliwym użytkownikom               Odsetek użytkowników, u których wykryto lukę*             Data publikacji    Poziom zagrożenia    
    1        SA 50949          Oracle Java Multiple Vulnerabilities         Ataki DoS, uzyskanie dostępu do systemu, ujawnienie poufnych informacji oraz manipulowanie danymi       45,26%    17.10.2012        Wysoce krytyczna
    2        SA 51771          Adobe Flash Player / AIR Integer Overflow Vulnerability     Uzyskanie dostępu do systemu          22,77%    08.01.2013        Wysoce krytyczna
    3        SA 51090          es Adobe Shockwave Player Multiple Vulnerabiliti     Uzyskanie dostępu do systemu         18,19%    24.10.2012        Wysoce krytyczna
    4        SA 51280          Oracle Java Two Code Execution Vulnerabilities       Uzyskanie dostępu do systemu         17,15%    10.01.2013        Niezwykle krytyczna       
    5        SA 47133          Adobe Reader/Acrobat Multiple Vulnerabilities       Uzyskanie dostępu do systemu         16,32%    07.12.2011        Niezwykle krytyczna       
    6        SA 51692          VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities       Uzyskanie dostępu do systemu          14,58%    28.12.2012        Wysoce krytyczna
    7        SA 51226          Apple QuickTime Multiple Vulnerabilities     Uzyskanie dostępu do systemu          14,16%    08.11.2012        Wysoce krytyczna
    8        SA 43853          Google Picasa Insecure Library Loading Vulnerability         Uzyskanie dostępu do systemu          12,85%    25.03.2011        Wysoce krytyczna
    9        SA 46624          Winamp AVI / IT File Processing Vulnerabilities     Uzyskanie dostępu do systemu          11,30%    03.08.2012        Wysoce krytyczna
    10        SA 41917          Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu, ujawnienie poufnych informacji oraz obejście systemu bezpieczeństwa   11,21%    28.10.2010        Niezwykle krytyczna 

*Odsetek wszystkich użytkowników, na komputerach których została wykryta przynajmniej jedna luka.

Najbardziej rozpowszechnione luki zostały zidentyfikowane w Javie i wykryte na 45,26% wszystkich komputerów. W rankingu znalazł się również stosunkowo stara, ale bardzo niebezpieczna luka w aplikacji Adobe Flash Player. Luka ta została wykryta jeszcze w październiku 2010 r., ale Kaspersky Lab nadal wykrywa ją na 11,21% niezałatanych komputerów.    

Pięć najbardziej rozpowszechnionych luk w zabezpieczeniach jest wykrywanych w produktach firmy Oracle i Adobe i – jak zauważyliśmy wcześniej – na szczycie rankingu znajduje się firma Adobe. Miejsca od szóstego do dziewiątego zajęły luki zidentyfikowane w oprogramowaniu różnych firm. 

q1_malware2013_pic06.png

Producenci produktów posiadających 10 najbardziej rozpowszechnionych luk w zabezpieczeniach w pierwszym kwartale 2013

Wykorzystanie dowolnej luki z rankingu Top 10 prowadzi do wykonania dowolnego kodu w systemie.

q1_malware2013_pic07.png
Rozkład Top 10 luk według rodzaju oddziaływania na system, pierwszy kwartał 2013 r.

Luki te są najczęściej wykorzystywane przez szkodliwych użytkowników, a stworzone dla nich exploity są cenniejsze niż inne dostępne na czarnym rynku.