Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: II kwartał 2013 r.

Tagi:


II kwartał w liczbach

  • Według danych KSN, w drugim kwartale 2013 r. produkty firmy Kaspersky Lab wykryły i zneutralizowały łącznie 983 051 408 zagrożeń.
  • Rozwiązania firmy Kaspersky Lab wykryły 577 159 385 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie.
  • Programy antywirusowe firmy Kaspersky Lab skutecznie zablokowały łącznie 400 604 327 prób lokalnej infekcji komputerów użytkowników połączonych z Kaspersky Security Network.
  • Wykryto łącznie 29 695 nowych modyfikacji szkodliwego oprogramowania atakującego urządzenia mobilne.

 

Przegląd

 

Cyberszpiegostwo i ataki ukierunkowane

 

NetTraveler

Na początku czerwca Kaspersky Lab poinformował o odkryciu, które otworzyło zupełnie nowy rozdział w dziedzinie cyberszpiegostwa.

Rodzina szkodliwych programów o nazwie NetTraveler, wykorzystywana w zaawansowanych, długotrwałych atakach ukierunkowanych (APT) zainfekowała ponad 350 ofiar w 40 krajach, wśród których znalazły się ważne instytucje i znane osobistości. Cele NetTraveler obejmowały zarówno sektor prywatny jak i publiczny, w tym instytucje rządowe, ambasady, branżę naftową i gazową, ośrodki badawcze, firmy pracujące dla wojska oraz aktywistów.   

Zagrożenie to, aktywne od początku 2004 roku, kradnie dane związane z eksploracją przestrzeni kosmicznej, nanotechnologią, wywarzaniem energii, energią nuklearną, laserami, medycyną oraz komunikacją.   

Osoby atakujące infekowały ofiary poprzez wysyłanie wiadomości e-mail typu spear-phishing ze szkodliwymi załącznikami pakietu Microsoft Office, zawierającymi dwie powszechnie wykorzystywane luki w zabezpieczeniach (CVE-2012-0158 oraz CVE-2010-3333). Luki te – mimo że Microsoft opublikował już na nie łaty - nadal są często wykorzystywane w atakach ukierunkowanych i – co więcej - okazują się skuteczne.  

Dane pobierane z zainfekowanych maszyn obejmowały głównie listy systemów plików, dzienniki wciskanych klawiszy oraz różne rodzaje plików, w tym PDF, arkusze Excela, dokumenty i pliki Worda. Ponadto, zestaw narzędzi NetTraveler potrafił instalować dodatkowe oprogramowanie kradnące informacje działające jak „tylne drzwi” i mógł kraść inne rodzaje poufnych informacji, takich jak dane dotyczące konfiguracji dla aplikacji lub pliki projektowania wspomaganego komputerowo.

Oprócz analizy danych dostarczonych przez centrum kontroli (C&C) analitycy z Kaspersky Lab wykorzystali również usługę Kaspersky Security Network (KSN) w celu uzyskania dodatkowych danych statystycznych dotyczących infekcji. Do 10 krajów, w których znajdowało się najwięcej ofiar zidentyfikowanych przez KSN, należała Rosja, Indie, Kazachstan, Kirgistan, Chiny, Korea Południowa, Hiszpania i Niemcy.  

Winnti

Na początku kwietnia Kaspersky Lab opublikował szczegółowy raport dotyczący długotrwałej kampanii cyberszpiegowskiej prowadzonej przez grupę cyberprzestępczą o nazwie „Winnti”. Grupa ta atakuje firmy z branży gier internetowych od 2009 roku i oprócz kradzieży własności intelektualnej koncentruje się na kradzieży certyfikatów cyfrowych podpisanych przez producentów legalnego oprogramowania. Grupa Winnti kradła również kod źródłowy projektów gier online.  

Trojan wykorzystywany do takich ataków jest biblioteką DLL skompilowaną dla środowisk 64-bitowego systemu Windows. Szkodnik wykorzystywał poprawnie podpisany szkodliwy sterownik i działał jako w pełni funkcjonalne narzędzie zdalnej administracji, które zapewnia osobom atakującym możliwość kontrolowania komputera ofiary bez wiedzy użytkownika. Odkrycie tego szkodnika miało istotne znaczenie, ponieważ trojan ten był pierwszym szkodliwym programem w 64-bitowych wersjach systemu Microsoft Windows, który posiadał ważny podpis cyfrowy.     

Gdy eksperci z Kaspersky Lab zaczęli analizować kampanię prowadzoną przez Winnti, odkryli, że zainfekowanych zostało ponad 30 firm z branży gier internetowych - w większości były to firmy zajmujące się rozwojem oprogramowania tworzące internetowe gry wideo z Azji Południowo-Wschodniej. Jednak ofiarami tej grupy padły również firmy z Niemiec, Stanów Zjednoczonych, Japonii, Chin, Rosji, Brazylii, Peru oraz Białorusi. 

Grupa Winnti wciaż jest aktywna, a Kaspersky Lab nadal prowadzi dochodzenie dotyczące jej aktywności. 

Ciąg dalszy historii Winnti – skradzione ceryfikaty wykorzystane w atakach tybetańskich i ujgurskich

Zaledwie tydzień po opublikowaniu raportu dotyczącego grupy Winnti nasz zespół badawczy wykrył exploita dla Flash Playera na stronie organizacji pomocy dzieciom, które zbiegły z Tybetu. Strona została zaatakowana w celu dystrybucji backdoorów podpisanych przy użyciu certyfikatów skradzionych w atakach z udziałem grupy Winnti.

Był to klasyczny przykład tzw. ataku „watering hole”, w którym osoby atakujące identyfikowały preferowane strony internetowe ofiar i włamały się na nie w celu zainfekowania ich maszyn. Oprócz wymienionej wcześniej strony zaatakowane zostały również inne portale związane z aktywistami tybetańskimi i ujgurskimi, które w efekcie rozprzestrzeniały exploita "Exploit.SWF.CVE-2013-0634.a".  

Szkodliwe oprogramowanie i ataki hakerskie w drugim kwartale

Historia Carberpa

W marcu i kwietniu tego roku aresztowano członków różnych grup cyberprzestępczych w związku z kradzieżą środków z kont bankowych w Rosji i na Ukrainie.

Aresztowana szajka składała się z użytkowników i twórców trojana Carberp, który jest klasycznym przykładem szkodnika wykorzystywanego zarówno podczas oszustw z dziedziny bankowości online jak i tworzenia setek botnetów na całym świecie. Autorzy tego trojana przez lata aktywnie sprzedawali go na forach „podziemia”, często tworząc go na zamówienie. Szkodnik ten przeniknął nawet do świata mobilnego, przechwytując numery autoryzacji transakcji (TAN) i wysyłając je za pośrednictwem SMS-ów.  

W czerwcu 2013 r. zostało publicznie udostępnione 2 GB archiwum zawierające kod źródłowy trojana Carberp. Mimo spadku liczby ataków z wykorzystaniem modyfikacji trojana Carberp nie jest to niestety koniec tej historii. Podobnie jak we wcześniejszych przypadkach wycieku kodu źródłowego popularnego szkodliwego oprogramowania, można przypuścić, że rywalizujący cyberprzestępcy będą ponownie wykorzystywać jego fragmenty, aby ulepszać własne twory i zwiększyć „udziału w rynku” jak również tworzyć własne warianty Carberpa - tak jak obserwowaliśmy po wycieku kodu źródłowego ZeuSa w 2011 r.      

Szaleństwo z Bitcoinem w tle

Wartość Bitcointów znacząco wzrosła w ciągu ostatniego roku. Wcześniej równowartość jednej monety wynosiła mniej niż jeden cent, po czym nagle wrosła do 130 dolarów. Mimo niestabilności tej waluty jej kurs nadal stopniowo rośnie. Niestety, tam, gdzie można zarobić pieniądze, będzie kwitła przestępczość. Dotyczy to również Bitcoinów.

Bitcoin to popularna waluta w świecie cyberprzestępczym, ponieważ jest trudniejsza do monitorowania przez organy ścigania, przez co stanowi bezpieczniejszą, anonimową metodę płatności.

W kwietniu zespół badawczy firmy Kaspersky Lab wykrył kampanię, w której cyberprzestępcy wykorzystywali Skype’a do dystrybucji szkodliwego oprogramowania w celu wydobywania Bitcoinów. Cyberprzestępcy stosowali socjotechnikę jako początkowy wektor ataku i pobierali kolejne szkodliwe oprogramowanie do zainstalowania na maszynie ofiary. Współczynnik kliknięć w kampanii wynosił 2 000 na godzinę. Bitcoiny wydobywane przez zainfekowane maszyny były następnie wysyłane na konto cyberprzestępcy stojącego za tą kampanią.  

Miesiąc później nasz zespół badawczy zidentyfikował brazylijską kampanię phishingową, której celem były Bitcoiny. Phisherzy włamywali się na legalne strony i umieszczali na nich ramki iFrame w celu uruchomienia apletu Javy, który z kolei przekierowywał użytkowników na fałszywą stronę internetową MtGox przy użyciu plików PAC. MtGox to japońska platforma wymiany Bitcoinów, która – jak podaje – obsługuje ponad 80% wszystkich transakcji Bitcoinów. Celem wspomnianej kampanii było przechwycenie danych uwierzytelniających logowanie ofiary i kradzież Bitcoinów.

Bezpieczeństwo sieciowe i incydenty naruszenia poufności danych

W drugim kwartale 2013 roku odnotowaliśmy również pewien odsetek przypadków naruszenia poufności danych, w tym dotyczących użytkowników. 

Niestety ryzyko stania się ofiarą naruszenia poufności danych wzrasta, zwłaszcza w przypadku użytkowników posiadających wiele kont – każdego miesiąca tego kwartału odnotowywaliśmy incydenty, których celem były znane organizacje lub osoby.

Poniżej kilka przykładów:

Pod koniec maja Drupal poinformował swoich użytkowników, że hakerom udało się uzyskać dostęp do takich danych jak: nazwy użytkowników, adresy e-mail oraz zahashowane hasła. W ramach prewencji twórca systemów zarządzania zawartością zresetował wszystkie hasła. Na szczęście hasła były w większości przechowywane z wykorzystaniem hasha oraz ciągu zaburzającego. Podczas włamania, wykrytego przy okazji audytu bezpieczeństwa, wykorzystano lukę w oprogramowaniu firmy trzeciej, zainstalowanym na portalu internetowym Drupala. Według Drupala, sprawcy nie uzyskali dostępu do informacji dotyczących karty kredytowej.    

19 czerwca przeglądarka internetowa Opera dostarczała swoim użytkownikom szkodliwe aktualizacje na skutek włamania się do jej wewnętrznej sieci i kradzieży certyfikatu do podpisu kodu. Chociaż w momencie ataku certyfikat utracił już swoją ważność, nadal mógł przyczyniać się do infekcji, ponieważ nie wszystkie wersje Windowsa wystarczająco dokładnie sprawdzają certyfikaty. Mimo że szkodliwa funkcja była aktywna przez krótki czas, aktualizacja mogła trafić do kilku tysięcy użytkowników Opery. Kaspersky Lab wykrywa wykorzystywanego w tym ataku trojana ze zdolnościami keyloggera i możliwością kradzieży danych pod nazwą Trojan-PSW.Win32.Tepfer.msdu.     

Specjalności botnetowe

Ataki na instalacje Wordpressa przy użyciu botnetu

Na początku kwietnia GatorHost poinformował o istnieniu botnetu składającego się z ponad 90 000 unikatowych adresów IP, który był wykorzystywany do przeprowadzenia globalnego ataku „brute force” na instalacje Wordpress. Osoby atakujące chciały prawdopodobnie umieścić backdoora na serwerach w celu przyłączenia ich do istniejącego bonetu. W niektórych przypadkach udało się zaimplementować zestaw exploitów BlackHole.  

Cyberprzestępcy mogą wiele ugrać na posiadaniu dostępu do serwerów Wordpressa i wykorzystywaniu ich do szkodliwych celów ze względu na większą przepustowość i wydajność w porównaniu z większością komputerów stacjonarnych. Trzeba dodać tu jeszcze możliwość dalszego rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem popularnych blogów posiadających stałych czytelników. 

Botnet IRC wykorzystuje niezałataną lukę w aplikacji Plesk

Dwa miesiące po atakach na instalacje Wordpressa za pośrednictwem botnetu, analitycy wykryli botnet IRC wykorzystujący lukę w aplikacji Plesk – panelu sterowania stosowanym powszechnie do prowadzenia usług hostingowych. Wykorzystanie tej luki (CVE-2012-1823) umożliwiało zdalne wykonanie kodu z prawami użytkownika Apache. Luka ta dotyczyła aplikacji Plesk 9.5.4 oraz wcześniejszych wersji. Według Ars Technica, zagrożonych było 360 000 instalacji.     

Botnet IRC infekował serwery sieciowe zawierające niezałatane luki, wykorzystując do tego backdoora, który łączył się z serwerem kontroli. Co ciekawe, sam serwer kontroli był podatny na tę samą lukę w aplikacji Plesk. Analitycy wykorzystali ją do monitorowania botnetu i zidentyfikowali około 900 prób połączeń przez zainfekowane serwery sieciowe. Stworzono narzędzie do leczenia serwerów zombie i zdemontowania nowego botnetu.  

Nadal rośnie ilość mobilnego szkodliwego oprogramowania

Stały wzrost jakości, ilości i różnorodności

Android stał się ulubionym celem cyberprzsetępców jeżeli chodzi o mobilne systemy operacyjne i może być uznawany za ekwiwalent Windowsa w świecie mobilnym.

W drugim kwartale praktycznie wszystkie próbki mobilnego szkodliwego oprogramowania , które zostały wykryte w świecie mobilnym, atakowały Androida – podobnie jak w pierwszym kwartale bieżącego roku. Pod koniec kwartału przekroczony został symboliczny próg – 30 czerwca liczba modyfikacji dobiła do 100 000 (629 rodzin szkodliwego oprogramowania).  

Należy zaznaczyć, że liczba ta obejmuje nie poszczególne szkodliwe aplikacje, ale próbki szkodliwego kodu. Jednak te próbki kodu są w większości wykorzystywane w wielu strojanizowanych aplikacjach, co znacznie zwiększa liczbę szkodliwych aplikacji, które czekają na pobranie. Powszechnie stosowana przez cyberprzestępców procedura obejmuje pobieranie legalnych aplikacji, dodawanie szkodliwego kodu i wykorzystywanie ich jako narzędzia dystrybucji. Przepakowane aplikacje są następnie ponownie wrzucane do zasobów, zwłaszcza sklepów z aplikacjami. Cyberprzestępcy wykorzystują w szczególności popularne aplikacje, żerując na ich reputacji. Użytkownicy aktywnie poszukują takich aplikacji, co ułatwia życie cyberprzestępców.         

Pod względem statystycznym, w drugim kwartale odnotowaliśmy stały wzrost w stosunku do pierwszego (łącznie 29 695 modyfikacji, dla porównania w pierwszym kwartale 2013 r. liczba ta wynosiła 22 749). W kwietniu liczba modyfikacji wynosiła 7 141, co stanowi najniższą wartość w drugim kwartale. Z kolei zarówno w maju jak i w czerwcu Kaspersky Lab wykrył ponad 11 000 modyfikacji – odpowiednio 11 399 i 11 155. Ogólnie, w 2013 roku miał miejsce ogromny wzrost liczby nowych modyfikacji mobilnego szkodliwego oprogramowania.     

q2malware2013_pic01.png

Liczba próbek w naszej kolekcji

Chociaż trojany SMS tradycyjnie stanowią najpowszechniej wykorzystywany rodzaj mobilnego szkodliwego oprogramowania w atakach, ich odsetek w naszej kolekcji próbek nie potwierdza tego.

q2malware2013_pic02.png

Na pierwszym miejscu znajdują się backdoory (32,3%), za którymi uplasowały się trojany (23,2%) i trojany SMS. Na trzecim miejscu znalazły się trojany szpiegujące (4,9%). Pod względem możliwości i elastyczności, trendy odnoszące się do mobilnego szkodliwego oprogramowania pokrywają się z tymi dotyczącymi szkodliwego oprogramowania atakującego komputery PC. Współczesne próbki wykorzystują technologie zaciemniania w celu uniknięcia wykrycia i często zawierają wiele szkodliwych funkcji w celu przedłużenia infekcji, wydobycia dodatkowych informacji lub pobrania i zainstalowania dodatkowego szkodliwego oprogramowania.

Obad – najbardziej wyrafinowany trojan dla Androida

W drugim kwartale 2013 r. wykryliśmy prawdopodobnie najbardziej wyrafinowanego jak dotąd trojana dla Androida. Szkodnik ten potrafi wysyłać wiadomości SMS na numery premium, pobierać i instalować inne szkodliwe oprogramowanie na zainfekowanym urządzeniu i/lub wysłać je za pośrednictwem Bluetootha, jak również zdalnie wykonywać polecenia z konsoli. Produkty firmy Kaspersky Lab wykrywają ten szkodliwy program jako Backdoor.AndroidOS.Obad.a.    

Twórcy programu Backdoor.AndroidOS.Obad.a znaleźli lukę w popularnym programie dex2jar wykorzystywanym przez analityków do konwertowania plików APK do formatu JAR, który jest łatwiejszy pod względem analizy i pracy z nim. Wykryta przez cyberprzestępców luka przerywa konwersję kodu Dalvik do kodu Java, utrudniając przeprowadzenie analizy tego trojana.    

Cyberprzestępcy wykryli również błąd w systemie Android dotyczący parsowania pliku AndroidManifest.xml, który jest obecny w każdej aplikacji dla Androida i służy do opisywania struktury aplikacji, określania jej parametrów uruchamiania itd. Twórcy tego szkodliwego oprogramowania zmodyfikowali plik AndroidManifest.xml w taki sposób, że nie jest zgodny ze standardem określonym przez Google’a, ale z powodu luki w zabezpieczeniach, jest błędnie parsowany na smartfonie. Znacznie komplikuje to dynamiczną analizę trojana.

Twórcy programu Backdoor.AndroidOS.Obad.a wykorzystali jeszcze inny nieznany wcześniej błąd w systemie Android OS, dzięki któremu szkodliwy program może uzyskać rozszerzone przywileje administratora urządzenia bez pojawienia się na liście aplikacji posiadających takie przywileje. W ten sposób szkodliwe oprogramowanie nie może zostać usunięte z urządzenia mobilnego.     

Szkodnik ten wykorzystuje łącznie trzy nieznane jak dotąd luki. Nigdy wcześniej nie spotkaliśmy się z czymś podobnym w mobilnym szkodliwym oprogramowaniu. 

Rozszerzone przywileje administratora urządzenia mogą być wykorzystywane przez trojana, aby zablokować na krótko ekran urządzenia (nie dłużej niż 10 sekund). Następuje to zwykle po podłączeniu do darmowej sieci Wi-Fi lub aktywowaniu Bluetootha, który może być wykorzystywany przez szkodliwe oprogramowanie do wysyłania swoich kopii i i innych szkodliwych aplikacji na inne znajdujące się w pobliżu urządzenia. Możliwe, że Backdoor.AndroidOS.Obad.a próbuje w ten sposób uniemożliwić użytkownikowi zauważenie szkodliwej aktywności. 

W celu wysłania informacji o zainfekowanym urządzeniu oraz wykonanej „pracy”  Backdoor.AndroidOS.Obad.a wykorzystuje aktywne w danym czasie połączenia internetowe. Jeżeli nie jest dostępne żadne połączenie, trojan szuka pobliskich sieci Wi-Fi, które nie wymagają uwierzytelnienia i łączy się z jedną ze znalezionych sieci. 

Po pierwszym uruchomieniu szkodliwa aplikacja zbiera następujące dane: adres MAC urządzenia z technologią Bluetooth, nazwę operatora, numer telefonu oraz IMEI, saldo na koncie, czas lokalny oraz informacje o tym, czy uzyskano przywileje administratora urządzenia lub superużytkownika (root). Wszystkie powyższe informacje są wysyłane do serwera kontroli. Szkodliwe oprogramowanie dostarcza również do serwera kontroli aktualne tabele z numerami premium i prefiksami do wysyłania wiadomości SMS, listę zadań oraz listę serwerów kontroli (C&C). Podczas pierwszej sesji komunikacyjnej do serwera kontroli wysyłana jest pusta tabela oraz lista serwerów C&C; podczas sesji trojan może uzyskać uaktualnioną tabelę numerów premium oraz nową listę adresów C&C.    

Cyberprzestępcy mogą kontrolować trojana przy użyciu wiadomości tekstowych: trojan może otrzymywać z serwera ciągi kluczy określające pewne akcje (key_con, key_url, key_die); następnie przeszukuje przychodzące wiadomości tekstowe w celu znalezienia tych ciągów kluczy. Wszystkie wiadomości przychodzące są sprawdzane pod kątem obecności każdego z takich ciągów kluczy. W przypadku znalezienia klucza, wykonywane jest odpowiednie działanie: key_con – natychmiast połącz się z serwerem; key_die – usuń zadania z bazy danych; key_url – przełącz się na inny serwer kontroli (tekst powinien zawierać nowy adres serwera C&C). Pozwala to cyberprzestępcom stworzyć nowy serwer kontroli i wysłać jego adres za pośrednictwem wiadomości SMS zawierającej klucz key_url, w efekcie czego wszystkie zainfekowane urządzenia przełączą się na nowy serwer.      

Trojan otrzymuje polecenia z centrum kontroli i wpisuje je do bazy danych. Każdy znajdujący się w niej wpis zawiera numer polecenia, określony przez serwer czas wykonania oraz jego parametry. Poniżej znajduje się lista akcji, które mogą być wykonywane przez trojana po otrzymaniu poleceń:     

  • Wyślij wiadomość tekstową. Parametry obejmują liczbę celów oraz tekst, który zostanie wysłany. Odpowiedzi są usuwane;
  • Ping;
  • Uzyskaj saldo poprzez USSD;
  • Działaj jak serwer proxy;
  • Połącz się z wyznaczonym adresem;
  • Pobierz i zainstaluj plik z serwera;
  • Wyślij do serwera listę aplikacji zainstalowanych na urządzeniu;
  • Wyślij informacje o aplikacji określone przez serwer kontroli;
  • Wyślij do serwera kontakty użytkownika;
  • Zdalna powłoka. Wykonaj polecenia określone przez cyberprzestępcę z konsoli.
  • Wyślij plik do wszystkich wykrytych urządzeń z Bluetoothem.

FakeDefender: oprogramowanie ransomware dla Androida

W czerwcu krążyły pogłoski o tym, że pojawiło się oprogramowanie ransomware dla urządzeń mobilnych, lub dokładniej, krzyżówka między fałszywym oprogramowaniem antywirusowym a oprogramowaniem ransomware. Powiązana aplikacja nosi nazwę „Free Calls Update”. Po zainstalowaniu i uruchomieniu aplikacja ta próbuje uzyskać prawa administratora urządzenia, aby zmienić na nim ustawienia i włączyć/wyłączyć sieć Wi-Fi oraz internet 3G. Plik instalacyjny zostanie usunięty po instalacji w celu utrudnienia działania rzeczywistego oprogramowania antywirusowego, jeżeli zostało zainstalowane w systemie. Sama aplikacja stanowi fałszywe oprogramowanie antywirusowe, które udaje skanowanie w celu wykrycia szkodliwego oprogramowania i informuje o nieistniejącym w rzeczywistości zagrożeniu, skłaniając ofiarę do zakupu licencji w celu uzyskania pełnej wersji – sztuczka dobrze znana na komputerach PC.       

Podczas surfowania aplikacja wyświetla okienko wyskakujące i straszy użytkownika, że szkodliwe oprogramowanie próbuje ukraść z jego telefonu treści pornograficzne; komunikat ten jest uporczywy i blokuje całe urządzenie. Jeżeli zostały przyznane prawa administratora urządzenia, każda próba usunięcia aplikacji lub uruchomienia innych aplikacji jest blokowana przez FakeDefendera. 

Statystyki

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane z opartej na chmurze sieci Kaspersky Security Network (KSN). Dane te zostały pobrane od użytkowników KSN, którzy zgodzili się udostępnić dane dotyczące szkodliwej aktywności na ich komputerach. Miliony użytkowników produktów Kaspersky Lab z 213 krajów uczestniczą w globalnej wymianie informacji dotyczących szkodliwej aktywności.

Zagrożenia online

Zawarte w tej sekcji dane statystyczne pochodzą z komponentów przeznaczonych do ochrony przed zagrożeniami internetowymi, które zabezpieczają użytkowników na wypadek, gdyby szkodliwy kod próbował pobrać się z zainfekowanych stron. Zainfekowane strony mogą być tworzone przez szkodliwych użytkowników lub składać się z treści dodawanych przez użytkowników (np. fora) oraz zhakowanych legalnych zasobów. 

Wykrywanie zagrożeń online

W drugim kwartale tego roku produkty firmy Kaspersky Lab wykryły 577 159 385 ataków przeprowadzonych z zasobów online na całym świecie.

20 najczęściej wykrywanych zagrożeń online

Nazwa*

% wszystkich ataków**

Malicious URL

91,52%

Trojan.Script.Generic

3,61%

Trojan.Script.Iframer

0,80%

AdWare.Win32.MegaSearch.am

0,54%

Exploit.Script.Blocker

0,41%

Trojan-Downloader.Script.Generic

0,27%

Exploit.Java.Generic

0,16%

Trojan.Win32.Generic

0,16%

Exploit.Script.Blocker.u

0,12%

AdWare.Win32.Agent.aece

0,11%

Trojan-Downloader.JS.JScript.cb

0,11%

Trojan.JS.FBook.q

0,10%

Trojan-Downloader.Win32.Generic

0,09%

Exploit.Script.Generic

0,08%

Trojan-Downloader.HTML.Iframe.ahs

0,05%

Packed.Multi.MultiPacked.gen

0,05%

Trojan-Clicker.HTML.Iframe.bk

0,05%

Trojan.JS.Iframe.aeq

0,04%

Trojan.JS.Redirector.xb

0,04%

Exploit.Win32.CVE-2011-3402.a

0,04%


*Statystyki te stanowią werdykty wykrycia pochodzące z zestawu technologii ochrony przed zagrożeniami sieciowymi i zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić dane statystyczne dotyczące szkodliwej aktywności na ich komputerach.

** Odsetek unikatowych incydentów wykrytych przez zestaw technologii ochrony przed zagrożeniami sieciowymi na komputerach użytkownika.

Pierwsze miejsce na liście 20 najczęściej wykrywanych zagrożeń w II kwartale 2013 r. po raz kolejny zajęły szkodliwe odsyłacze umieszczone na czarnej liście. Ich odsetek zwiększył się o 0,08% w stosunku do pierwszego kwartału tego roku i ostatecznie wynosił 91,55% wszystkich wykryć przy pomocy zestawu technologii ochrony przed zagrożeniami sieciowymi.    

W tym kwartale werdykty identyfikujące programy Trojan.Script.Generic (2 miejsce) i Trojan.Script.Iframer (3 miejsce) nadal znajdowały się w pierwszej piątce najczęściej wykrywanych zagrożeń. Zagrożenia te są blokowane podczas prób ataków drive-by, które obecnie stanowią jedną z najpowszechniejszych metod wykorzystywanych do atakowania komputerów użytkowników. Odsetek wykryć szkodnika o nazwie Trojan.Script.Generic zwiększył się o 0,82%, podczas gdy   Trojan.Script.Iframer zwiększył swój udział o 0,07%.      

W II kwartale 2013 r. prawie wszystkie zagrożenia z pierwszej dwudziestki, które mogą być wykrywane przez komponenty ochrony przed zagrożeniami sieciowymi, stanowiły szkodliwe programy w jakiś sposób wykorzystywane w atakach drive-by.    

Państwa, w których w zasobach online znajduje się najwięcej szkodliwego oprogramowania

Wskaźnik ten określa państwa, w których fizycznie zlokalizowane są strony internetowe, na których znajduje się najwięcej szkodliwego oprogramowania. W celu określenia źródła geograficznego ataków sieciowych wykorzystano metodę polegającą na zestawianiu nazw domen z adresami IP rzeczywistych domen, a następnie ustalano geograficzną lokalizację określonego adresu IP (GEOIP).    

Około 83% zasobów online wykorzystywanych do rozprzestrzeniania szkodliwych programów jest zlokalizowanych w 10 państwach. W II kwartale 2013 r. liczba ta zwiększyła się o 2%. 

 q2malware2013_pic03_auto.png

Rozkład zasobów online, w których w II kwartale 2013 r. znajdowało się najwięcej szkodliwych programów  

Rozkład państw o największej liczbie szkodliwych usług hostingowych zmienił się nieznacznie od pierwszego kwartału tego roku. Podczas gdy Stany Zjednoczone (24,4%) i Rosja (20,7%) utrzymały czołowe pozycje, z pierwszej dziesiątki wypadła Irlandia, a zamiast niej na siódmym miejscu znalazł się Wietnam (którego udział wynosił 2,1%).   

Państwa, w których użytkownicy są narażeni na największe ryzyko infekcji online

Aby ocenić poziom ryzyka infekcji online, na jakie narażeni są użytkownicy w różnych państwach, obliczyliśmy, jak często w ciągu minionych trzech miesięcy technologie ochrony przed zagrożeniami sieciowymi wykrywały takie incydenty na komputerach użytkowników korzystających z produktów firmy Kaspersky Lab.

Armenia

53,92%

Rosja

52,93%

Kazachstan

52,82%

Tadżykistan

52,52%

Azerbejdżan

52,38%

Wietnam

47,01%

Mołdawia

44,80%

Białoruś

44,68%

Ukraina

43,89%

Kirgistan

42,28%

Gruzja

39,83%

Uzbekistan

39,04%

Sri Lanka

36,33%

Grecja

35,75%

Indie

35,47%

Tajlandia

34,97%

Austria

34,85%

Turcja

34,74%

Libia

34,40%

Algieria

34,10%

20 państw* o najwyższym poziomie ryzyka infekcji** w II kwartale 2013

*Podczas obliczeń wykluczyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

**Odsetek unikatowych użytkowników w państwie, w którym znajdują się produkty firmy Kaspersky Lab, które zablokowały zagrożenia internetowe.

Lista 10 państw, w których użytkownicy najczęściej natrafiają na szkodliwe programy, prawie całkowicie, z wyjątkiem Wietnamu, składa się z krajów byłego Związku Radzieckiego. Na drugim miejscu znalazła się Rosja (52,9%). W II kwartale tego roku na liście Top 20 znalazło się również kilka nowości: Libia (34,4%), Austria (34,9%) oraz Tajlandia (35%).      

Wszystkie te państwa można podzielić na cztery podstawowe grupy.

  1. W minionym kwartale żadne państwo nie zaklasyfikowało się do Grupy maksymalnego ryzyka (państwa, w których 60% użytkowników przynajmniej raz trafiło na zagrożenie online). 

 

  1. Wysokie ryzyko. Grupa ta zawierała pierwszych dziesięć państw z listy Top 20 (o trzy mniej niż w pierwszym kwartale). Wśród nich znalazł się Wietnam i państwa byłego Związku Radzieckiego, zwłaszcza Armenia (53,9%), Rosja (52,9%), Kazachstan (52,8%), Mołdawia (44,8%), Białoruś (44,7%) oraz Ukraina (43,9%).    

 

  1. Ryzyko umiarkowane. Grupa ta obejmuje państwa, w których 21-40,9% wszystkich użytkowników trafiło na co najmniej jedno zagrożenie online. W II kwartale tego roku liczyła 82 kraje. Wśród nich znalazły się Włochy (29,2%), Niemcy (33,7%), Francja (28,5%), Sudan (28,2%), Hiszpania (28,4%), Katar (28,2%), Stany Zjednoczone (28,6%), Irlandia (27%), Wielka Brytania (28,3%), Zjednoczone Emiraty Arabskie (25,6%) oraz Holandia (21,9%).   

 

  1. Niskie ryzyko. W II kwartale 2013 r. grupa niskiego ryzyka składała się z 52 państw (odsetek użytkowników, którzy przynajmniej raz trafili na zagrożenie online wahał się od 9 do 20,9%). Najniższy odsetek (poniżej 20%) ataków sieciowych odnotowano w państwach afrykańskich, gdzie internet nadal jest słabo spopularyzowany. Wyjątek stanowiła Dania (18,6%) i Japonia (18,1%).       

q2malware2013_pic04_auto.png

Ryzyko infekcji online na świecie w II kwartale 2013.

Średnio 35,2% komputerów połączonych z siecią KSN zostało wystawionych na co najmniej jeden atak podczas surfowania po internecie w ostatnich trzech miesiącach – jest to o 3,9% więcej niż w pierwszym kwartale tego roku.

Zagrożenia lokalne

Sekcja ta zawiera analizę statystyk opartych na danych otrzymanych ze skanera aktywowanego podczas dostępu oraz statystyk skanowania dla różnych dysków, w tym nośników wymiennych.  

Zagrożenia wykrywane na komputerach użytkowników

W II kwartale 2013 r. rozwiązania antywirusowe firmy Kaspersky Lab skutecznie zablokowały 400 604 327 prób lokalnych infekcji na komputerach użytkowników należących do sieci Kaspersky Security Network.

Top 20 zagrożeń wykrytych na komputerach użytkowników

 

 

Nazwa

% indywidualnych użytkowników*

DangerousObject.Multi.Generic

34,47%

Trojan.Win32.Generic

28,69%

Trojan.Win32.AutoRun.gen

21,18%

Virus.Win32.Sality.gen

13,19%

Exploit.Win32.CVE-2010-2568.gen

10,97%

AdWare.Win32.Bromngr.i

8,89%

Trojan.Win32.Starter.lgb

8,03%

Worm.Win32.Debris.a

6,53%

Virus.Win32.Generic

5,30%

Trojan.Script.Generic

5,11%

Virus.Win32.Nimnul.a

5,10%

Net-Worm.Win32.Kido.ih

5,07%

HiddenObject.Multi.Generic

4,79%

Net-Worm.Win32.Kido.ir

4,27%

Exploit.Java.CVE-2012-1723.gen

3,91%

AdWare.Win32.Yotoon.e

3,62%

AdWare.JS.Yontoo.a

3,61%

DangerousPattern.Multi.Generic

3,60%

Trojan.Win32.Starter.lfh

3,52%

Trojan.WinLNK.Runner.ea

3,50%


Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez skaner aktywowany podczas dostępu oraz na żądanie na komputerach użytkowników korzystających z produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić dane statystyczne dotyczące szkodliwej aktywności.     

*Odsetek indywidualnych użytkowników, na których komputerach moduł ochrony przed szkodliwymi programami wykrył takie obiekty, jako odsetek wszystkich indywidualnych użytkowników produktów Kaspersky Lab, na których komputerach wykryto szkodliwy program.   

Podobnie jak wcześniej, w rankingu można wyróżnić trzech wyraźnych liderów.

Na pierwszym miejscu uplasowały się szkodliwe programy sklasyfikowane jako DangerousObject.Multi.Generic, wykryte przy pomocy technologii opartych na chmurze. Ich udział wynosił 34,47% - czyli był prawie dwukrotnie wyższy niż odsetek odnotowany w I kwartale. Technologie oparte na chmurze są wykorzystywane wtedy, gdy antywirusowe bazy danych nie zawierają jeszcze odpowiednich sygnatur i nie istnieje heurystyka umożliwiająca wykrycie szkodliwych programów, a informacje o danym zagrożeniu są już dostępne w chmurze firmy Kaspersky Lab. Zasadniczo w ten sposób wykrywane są najnowsze szkodliwe programy.      

Zagrożenie Trojan.Win32.Generic uplasowało się na drugim miejscu (28,69%) w oparciu o werdykty analizy heurystycznej. Na trzeciej pozycji znalazł się Trojan.Win32.AutoRun.gen (21,18%), który obejmuje szkodliwe programy wykorzystujące funkcję automatycznego uruchamiania się.   

Państwa, w których użytkownicy są narażeni na największe ryzyko lokalnej infekcji

Poniższe dane liczbowe ilustrują średni współczynnik infekcji wśród komputerów użytkowników w różnych krajach. Co najmniej jeden szkodliwy plik został wykryty na niemal co trzecim komputerze użytkowników należących do sieci KSN – na dysku podłączonym do komputera przenośnym. To o 1,5% mniej niż w poprzednim kwartale.    

Wietnam

59,88%

Bangladesz

58,66%

Nepal

54,20%

Mongolia

53,54%

Afganistan

51,79%

Sudan

51,58%

Algieria

50,49%

Indie

49,46%

Pakistan

49,45%

Kambodża

48,82%

Laos

48,60%

Malediwy

47,70%

Dżibuti

47,07%

Irak

46,91%

Mauretania

45,71%

Jemen

45,23%

Indonezja

44,52%

Egipt

44,42%

Maroko

43,98%

Tunezja

43,95%


Poziom* infekcji komputerów według państwa — lista Top 20 w II kwartale 2013**

* Odsetek unikatowych użytkowników w danym kraju posiadających komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia internetowe.  

** Podczas obliczeń wykluczyliśmy państwa, w których znajduje się mniej niż 10 000 użytkowników produktów firmy Kaspersky Lab.

Już piąty kwartał z rzędu 20 najwyższych miejsc w tej kategorii zajęły państwa zlokalizowane w Afryce, na Bliskim Wschodzie i w Azji Południowo-Wschodniej. Na pierwszym miejscu pod względem odsetka komputerów, na których zablokowano szkodliwy kod (59,9%), uplasował się Wietnam, natomiast Bangladesz, który znajdował się na prowadzeniu w poprzednim kwartale, tym razem uplasował się na drugim miejscu (z odsetkiem 58,7%, czyli niższym o 9,1 punktów procentowych niż w I kwartale 2013 r.).     

Współczynniki infekcji lokalnych można podzielić na cztery grupy ze względu na poziom ryzyka:

  1. Maksymalny współczynnik infekcji lokalnych (ponad 60%). Na szczęście, w ostatnich trzech miesiącach żadne państwo nie zaklasyfikowało się do tej kategorii.
  2. Wysoki współczynnik infekcji lokalnych (41-60%). W II kwartale 2013 r. w grupie tej znalazły się w sumie 34 państwa, w tym Wietnam, (59,9%), Bangladesz (58,7%), Nepal (54,2%), Indie (49,5%) oraz Iran (42,6%).    

 

  1. Umiarkowany współczynnik infekcji lokalnych (21-40,9%). Łącznie 77 państw, w tym: Liban (40%), Chiny (36,7%), Katar (34,1%), Rosja (30,5%), Ukraina (30,1%), Hiszpania (23,9%), Włochy (21,2%) oraz Cypr (21,6%).
  2. Niski współczynnik infekcji lokalnych (poniżej 21%). Łącznie 33 państwa, w tym Francja (19,6%), Belgia (17,5%), Stany Zjednoczone (17,9%), Wielka Brytania (17,5%), Australia (17,5%), Niemcy (18,5%), Estonia (15,2%), Holandia (14,6%), Szwecja (12,1%), Dania (9,7%) oraz Japonia (9,1%).

 

q2malware2013_pic05_auto.png

Ryzyko lokalnej infekcji na świecie — II kwartał 2013 r.

Lista Top 10 państw o najniższym ryzyku infekcji lokalnej:

Japonia

9,01%

Dania

9,72%

Finlandia

11,83%

Szwecja

12,10%

Republika Czeska

12,78%

Martynika

13,94%

Norwegia

14,22%

Irlandia

14,47%

Holandia

14,55%

Słowenia

14,70%

 

W II kwartale 2013 r. na liście tej pojawiły dwa nowe państwa – Martynika i Słowenia, które zajeły miejsce Szwajcarii i Nowej Zelandii.