Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT w I kwartale 2015 r.


Pierwszy kwartał w liczbach

  • Według danych pochodzących z systemu KSN, w pierwszym kwartale 2015 r. produkty firmy Kaspersky Lab wykryły i zneutralizowały łącznie 2 205 858 791 szkodliwych ataków na komputery i urządzenia mobilne.
  • Rozwiązania firmy Kaspersky Lab odparły 469 220 213 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie.
  • Technologie Kaspersky Lab służące do ochrony przed zagrożeniami online wykryły 28 483 783 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd.
  • Te same technologie zidentyfikowały 93 473 068 unikatowych adresów URL jako szkodliwych. 
  • 40% ataków online zneutralizowanych przez produkty firmy Kaspersky Lab zostało przeprowadzonych przy użyciu szkodliwych zasobów online zlokalizowanych w Rosji.
  • Rozwiązania antywirusowe firmy Kaspersky Lab wykryły łącznie 253 560 227 unikatowych szkodliwych i potencjalnie niechcianych obiektów.  
  • Produkty bezpieczeństwa mobilnego firmy Kaspersky Lab wykryły:
    • 147 835 pakietów instalacyjnych;
    • 103 072 nowych szkodliwych programów mobilnych;
    • 1 527 mobilnych trojanów bankowych.

Przegląd

Equation APT – najbardziej wyrafinowane ataki

Historia potężnego ugrupowania cyberszpiegowskiego Equation należy prawdopodobnie do najczęściej relacjonowanych w pierwszym kwartale. Ugrupowanie to od wielu lat współdziałało z innymi wpływowymi grupami, takimi jak Stuxnet czy Flame. Ataki przeprowadzone przez Equation można uznać za najbardziej wyrafinowane: jeden z modułów stworzonych przez to ugrupowanie może być wykorzystywany do modyfikowania oprogramowania firmware na dysku twardym. Od 2001 r. Equation zdołał zainfekować komputery tysięcy ofiar w Iranie, Rosji, Syrii, Afganistanie, Stanach Zjednoczonych oraz innych państwach. Ofiary wywodziły się z kręgów rządowych, instytucji dyplomatycznych, sektora telekomunikacyjnego, energetycznego itd. 

Ugrupowanie to wykorzystuje szereg różnych szkodliwych programów – niektóre z nich są jeszcze bardziej wyrafinowane niż niesławna platforma Regin. Znane metody rozprzestrzeniania i infekcji obejmują wykorzystywanie robaka Fanny rozprzestrzeniającego się za pośrednictwem nośników USB (w jego arsenale znalazły się dwie luki zero-day, które zostały później wykorzystane w Stuxnecie), szkodliwe instalatory na płytach CD-ROM oraz exploity sieciowe.

Carbanak – najbardziej udana cyberkampania

Wiosną 2014 r. Kaspersky Lab uczestniczył w analizie kryminalistycznej, gdy okazało się, że bankomaty jednego z banków wypłacają pieniądze bez fizycznego kontaktu odbiorcy z maszyną. W ten sposób rozpoczęliśmy nasze dochodzenie dotyczące kampanii Carbanak oraz analizę tytułowego szkodliwego programu.

Carbanak to backdoor oparty na kodzie szkodnika Carberp. Został stworzony w celu szpiegowania, wydobywania danych oraz sprawowania zdalnej kontroli nad każdym zainfekowanym przez siebie komputerem. Po tym, jak osoby atakujące przeniknęły do sieci ofiary, przeprowadzały jej rozpoznanie pod kątem możliwości włamania się do systemów o krytycznym znaczeniu – systemów przetwarzania, księgowych oraz bankomatów.  

Zidentyfikowaliśmy trzy metody przechwytywania pieniędzy:

  1. za pośrednictwem bankomatów,
  2. poprzez przelewanie pieniędzy na konta cyberprzestępców za pośrednictwem sieci SWIFT,
  3. poprzez zmianę baz danych w celu stworzenia fałszywych kont, a następnie skorzystanie z usług słupów w celu pobrania pieniędzy.

Infekcje zostały przeprowadzone przy użyciu typowych metod w stylu APT – za pośrednictwem spearphishingowych e-maili zawierających dokumenty kryjące exploity. E-maile zostały tak skonstruowane, aby nie wzbudzały podejrzeń. W niektórych przypadkach pochodziły z adresów pracowników atakowanej firmy.

Kaspersky Lab szacuje, że grupa ta zaatakowała około 100 organizacji finansowych, zlokalizowanych głównie w Europie Wschodniej, doprowadzając do strat finansowych o łącznej wysokości prawie 1 miliarda dolarów. Tym samym Carbanak zdobył niekwestionowane miano najbardziej skutecznej kampanii cyberprzestępczej w historii.

Desert Falcons – ataki na Bliskim Wschodzie

Podczas badania incydentu na Bliskim Wschodzie eksperci z Kaspersky Lab wykryli aktywność nieznanej wcześniej grupy przeprowadzającej ataki ukierunkowane. Nadano jej nazwę Desert Falcons. Jest to pierwsza ze znanych grup arabskojęzycznych przeprowadzających operacje cyberszpiegowskie na pełną skalę, a jej działalność jest prawdopodobnie związana z sytuacją polityczną w tym regionie. 

Pierwsze oznaki aktywności Desert Falcons zostały zaobserwowane w 2011 r., a pierwsze znane infekcje miały miejsce w 2013 r. Szczytowy okres działalności tej grupy przypadł na koniec 2014 r. i początek 2015 r. Członkowie tego ugrupowania z pewnością nie są nowicjuszami w tej branży: stworzyli od podstaw szkodliwe oprogramowanie dla systemu Windows oraz Android; ponadto umiejętnie zorganizowali ataki wykorzystujące wiadomości phishingowe, fałszywe strony internetowe oraz fałszywe konta na portalach społecznościowych.   

Ofiary omawianego ugrupowania znajdują się są zlokalizowane głównie w Palestynie, Egipcie, Izraelu oraz Jordanii. Znajdują się wśród nich aktywiści i przywódcy polityczni, organizacje wojskowe i rządowe, media, instytucje finansowe oraz inne organizacje. Ich liczba wynosi obecnie ponad 3 000; atakujący zdołali ukraść ponad milion plików i dokumentów. 

Oprócz wysoce wyrafinowanej i dokładnie zaplanowanej dystrybucji e-maili typu spear phishing mających infekować ofiary Desert Falcons stosował socjotechnikę na Facebooku. Osoby atakujące stworzyły specjalne konta, z których nawiązywały komunikację z potencjalnymi ofiarami, zdobywały ich zaufanie, a następnie wykorzystywały funkcję chatu, aby wysyłać wszystkim ofiarom szkodliwy program podszywający się pod grafikę. W celu przeprowadzania infekcji na większą skalę grupa wykorzystywała posty zawierające szkodliwe odsyłacze, stworzone przy użyciu zhakowanych lub fałszywych kont należących do przywódców politycznych.      

Animal Farm APT

W marcu 2014 roku francuska gazeta Le Monde opublikowała artykuł dotyczący zestawu narzędzi cyberszpiegowskich zidentyfikowanego przez Communications Security Establishment Canada (CSEC). Wspomniany zestaw narzędzi został wykorzystany podczas operacji Snowglobe, której celem były francuskojęzyczne media kanadyjskie, jak również Grecja, Francja, Norwegia oraz niektóre państwa afrykańskie. Na podstawie wyników swojej analizy CSEC uważa, że operacja ta mogła zostać zainicjowana przez francuskie agencje wywiadowcze. 

Na początku 2015 roku badacze opublikowali analizy pewnych szkodliwych programów (1, 2, 3), które miały wiele wspólnego ze Snowglobe. W szczególności, w badaniu zidentyfikowano próbki zawierające wewnętrzną nazwę Babar, taką samą jak nazwa programu wymienionego na slajdach CSEC.

Po przeanalizowaniu wykorzystanych w tej kampanii szkodliwych programów oraz zidentyfikowaniu istniejących między nimi powiązań eksperci z Kaspersky Lab nadali stojącemu za nią ugrupowaniu nazwę Animal Farm. Ustalono, że w jego arsenale znajdowały się dwie z trzech luk zero-day wykrytych przez Kaspersky Lab w 2004 r., które cyberprzestępcy wykorzystali w swoich atakach. W efekcie ataku, który został przeprowadzony ze zhakowanej strony internetowej Syryjskiego Ministerstwa Sprawiedliwości przy użyciu exploitów dla luki CVE-2014-0515, pobierane było narzędzie Animal Farm, znane również jako Casper. 

Ciekawym aspektem tej kampanii jest fakt, że celem NBOT – jednego ze szkodliwych programów wykorzystywanych przez grupę – jest przeprowadzanie ataków DDoS. Funkcjonalność ta nie jest powszechnie wykorzystywana przez typowe grupy APT. Ponadto, jedno ze szkodliwych “zwierząt” posiada dziwną nazwę Tafacalou – która jest prawdopodobnie słowem z języka oksytańskiego, którym posługują się między innymi mieszkańcy Francji.   

Upatre – aktywna dystrybucja trojana bankowego Dyre/Dyreza

W zeszłym kwartale najbardziej rozpowszechnionym przykładem trojana bankowego był Upatre – downloader finansowego szkodliwego oprogramowania Dyre, znanego również jako Dyreza. Trojan ten pojawił się po raz pierwszy w 2014 r. Jego celem są użytkownicy różnych organizacji finansowych. Szkodnik wykorzystuje technikę umożliwiającą obejście ochrony SSl w celu kradzieży informacji dotyczących płatności. Może być również wykorzystywany jako narzędzie zdalnej administracji (ang. RAT), które pozwala osobom atakującym wykonać ręcznie transakcje w imieniu użytkowników bankowości online.   

Downloader Upatre jest dostarczany użytkownikom w wiadomościach spamowych, z których wiele przypomina legalne wiadomości z instytucji finansowych. Wśród banków atakowanych przez trojana bankera Dyre, który jest pobierany przez Upatre, znajdują się Bank of America, Natwest, Citibank, RBS oraz Ulsterbank. Według badaczy, zdecydowana część aktywności Dyre obejmuje obecnie Wielką Brytanię.

PoSeidon – ataki na terminale PoS

Wykryto nowego trojana bankowego atakującego terminale PoS. PoSeidon skanuje pamięć systemu PoS w celu znalezienia informacji płatniczych przechowywanych w czystym tekście, a znalezione informacje wysyła osobom atakującym.

Badacze z Cisco Security Solutions zidentyfikowali trzy komponenty szkodliwego oprogramowania, które prawdopodobnie są związane z PoSeidonem: keylogger, loader oraz narzędzie do czyszczenia pamięci, które posiada również funkcjonalność keyloggera. Celem keyloggera jest kradzież danych uwierzytelniających dla aplikacji zdalnego dostępu LogMeIn. Usuwa on zaszyfrowane hasła i profile LogMeIna, które są przechowywane w rejestrze systemu, aby skłonić użytkowników do ich ponownego wpisania. Według badaczy, keylogger ten jest potencjalnie wykorzystywany do kradzieży danych uwierzytelniających zdalny dostęp, które są niezbędne do włamania się do systemów point-of-sale oraz zainstalowania PoSeidona.  

Jak tylko osoby stojące za PoSeidonem uzyskają dostęp do terminalu PoS, instalują loadera. Komponent ten pobiera plik o nazwie FindStr z serwerów kontroli grupy. FindStr jest wykorzystywany do wyszukiwania ciągów, które odpowiadają numerom kart płatniczych w pamięci uruchomionych procesów. Co ciekawe, szkodnik ten szuka tylko numerów kart rozpoczynających się od określonych cyfr.

 

Dane statystyczne

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane przy użyciu Kaspersky Security Network (KSN), rozproszonej sieci antywirusowej, która współpracuje z różnymi komponentami ochrony antywirusowej. Dane te pochodzą od użytkowników KSN, którzy zgodzili się je udostępnić. Miliony użytkowników produktów firmy Kaspersky Lab z 213 krajów oraz terytoriów na całym świecie uczestniczy w globalnej wymianie informacji dotyczących szkodliwej aktywności.

Zagrożenia mobilne

Głównym kierunkiem ewolucji mobilnego szkodliwego oprogramowania jest monetyzacja – twórcy szkodliwego oprogramowania próbują rozwijać programy, które przy użyciu różnych technik potrafią uzyskać pieniądze i dane bankowe użytkowników.

Coraz więcej trojanów SMS posiada funkcje, które pozwalają im atakować konta bankowe ofiar. Przykładem jest tutaj Trojan-SMS.AndroidOS.OpFake.cc, który potrafi atakować co najmniej 29 banków i aplikacji finansowych.

Twórcy szkodliwego oprogramowania zaczynają również wbudowywać funkcjonalność ransomware w swoje trojany SMS. W celu uzyskania danych dotyczących kart bankowych swoich ofiar Trojan-SMS.AndroidOS.FakeInst.ep wykorzystuje techniki typowe dla programów ransomware: otwierane przez szkodliwe oprogramowanie okna nie mogą zostać zamknięte, dopóki nie zostaną wprowadzone dane.

Użytkownik widzi komunikat, pochodzący rzekomo z Google, z żądaniem, aby otworzył  Google Wallet i przeszedł procedurę “personifikacji” poprzez podanie danych dotyczących jego karty kredytowej (co ciekawe, jednym z uzasadnień tego działania jest konieczność zwalczania cyberprzestępczości). Okna nie można usunąć, dopóki ofiara nie wprowadzi danych dotyczących karty kredytowej.

Q1_2015_MW_1_auto.jpg

Trojany szpiegujące, takie jak trojany SMS, są modyfikowane, tak aby potrafiły atakować konta bankowe ofiar. Na przykład, Trojan-Spy.AndroidOS.SmsThief.ay potrafi obecnie atakować pięć różnych aplikacji bankowych i finansowych.

W rezultacie, mobilne szkodliwe oprogramowanie wykorzystywane przez cyberprzestępców do polowania na pieniądze ofiar staje się coraz bardziej wszechstronne. Kradzieży pieniędzy z kont bankowych użytkowników poprzez atakowanie aplikacji bankowych mogą dokonać obecnie nie tylko wyspecjalizowane trojany bankowe, ale również niektóre trojany SMS czy nawet trojany szpiegujące. Być może dlatego w pierwszym kwartale 2015 r. wykryto stosunkowo niewiele mobilnych trojanów bankowych.  

Łącznie, mobilne szkodliwe oprogramowanie, którego celem jest kradzież lub wyłudzanie pieniędzy od użytkowników (trojany SMS, trojany bankowe oraz trojany ransomware) stanowiło 23,2% nowych mobilnych zagrożeń w pierwszym kwartale 2015 r. Wszystkie te trzy rodzaje są niezwykle niebezpieczne, a zainteresowanie pieniędzmi ofiar stanowi dla twórców szkodliwego oprogramowania bodziec do ich dalszego rozwoju i ewolucji.

Nowości twórców szkodliwego oprogramowania

1)      Ewoluował trojan bankowy Trojan-Banker.AndroidOS.Binka.d. Obecnie, potrafi on “podsłuchiwać” swoją ofiarę. Dźwięk jest nagrywany przy użyciu mikrofonu urządzenia i zapisywany w pliku, który jest przesyłany do serwera cyberprzestępców.  

2)      Technika oparta na łataniu aplikacji i osadzaniu w nich szkodliwego kodu stanowi obecnie jedną z głównych metod wykorzystywanych w celu rozprzestrzeniania trojanów. Na przykład, Trojan-SMS.AndroidOS.Chyapo.a został osadzony w aplikacji Unity Launcher Free. Różnica pomiędzy “czystymi” a szkodliwymi aplikacjami wyraża się w tym przypadku jedynie nowym żądaniem zgody – szkodliwa aplikacja wymaga dostępu do obsługi przychodzących wiadomości SMS. Inną ciekawostką dotyczącą tego trojana jest fakt hostowania jego serwera kontroli na stronie sites.google.com.

3)      Twórcy trojana SMS o nazwie Podec opanowali nową technikę dystrybucji – poprzez portal społecznościowy Vkontakte. Szkodliwy plik ostał wrzucony na serwery tego popularnego serwisu społecznościowego służącego do przechowywania treści użytkowników. W efekcie, trojan ten zakwalifikował się do pierwszej trójki ze względu na liczbę zaatakowanych użytkowników.

4)      Szkodliwe oprogramowanie aktywnie broniące się przed rozwiązaniami bezpieczeństwa nie jest wprawdzie nową technologią, ale zyskuje na popularności. Trojan-Banker.AndroidOS.Svpeng.f - trojan bankowy, który został po raz pierwszy wykryty w pierwszym kwartale - próbuje usuwać aplikacje trzech producentów rozwiązań antywirusowych: Avast, Eset oraz DrWeb.   

Statystyki dotyczące mobilnych zagrożeń

W pierwszym kwartale 2015 r. produkty firmy Kaspersky Lab służące do zapewnienia ochrony na urządzeniach mobilnych wykryły 103 072 nowe szkodliwe programy mobilne 3,3-krotnie więcej niż w IV kwartale 2014 r.

Liczba wykrytych pakietów instalacyjnych wynosiła 147 835 – 2,3-krotnie więcej w porównaniu z poprzednim kwartałem.

Q1_2015_MW_2_auto.jpg

Liczba wykrytych szkodliwych pakietów instalacyjnych oraz nowych szkodliwych programów mobilnych https://securelist.ru/files/2014/11/Q3_2014_MW_Report_ru_7.jpg (3 kwartał 2014 - 1 kwartał 2015)

Stosunek szkodliwych pakietów instalacyjnych do nowych szkodliwych programów zmniejszył się ostatnio. W trzecim kwartale 2014 roku na jeden szkodliwy program przypadało średnio 6,2 szkodliwych pakietów instalacyjnych, podczas gdy w czwartym kwartale – około dwa pakiety instalacyjne na jeden szkodliwy program. W pierwszym kwartale 2015 r. stosunek ten zmniejszył się do 1,4.

Rozkład mobilnego szkodliwego oprogramowania według typu

 Q1_2015_MW_3_auto.jpg

Rozkład nowego mobilnego szkodliwego oprogramowania według typu, I kwartał 2015 r.

Na szczycie rankingu szkodliwych obiektów dla urządzeń mobilnych w pierwszym kwartale 2015 r. znalazł się RiskTool (35,7%). Są to legalne aplikacje, które są potencjalnie niebezpieczne dla użytkownika – w przypadku nieostrożnego wykorzystania lub manipulacji przez cyberprzestępcę, mogą spowodować straty finansowe.    

Na drugim miejscu znalazły się trojany SMS (21%). Jak pisaliśmy w poprzednich raportach, w trzecim kwartale odsetek trojanów SMS w stosunku do wszystkich nowych zagrożeń mobilnych zmniejszył się z 22% do 14%. Jednak pod koniec 2014 roku ten rodzaj szkodliwego oprogramowania odzyskał straconą pozycję. Pod względem współczynnika wzrostu tego rodzaju zagrożenia mobilne znalazły się na trzecim miejscu: w pierwszym kwartale 2015 roku łączna liczba trojanów SMS w naszej kolekcji zwiększyła się o 18,7%.   

Trzecie miejsce w rankingu zajęły potencjalnie niechciane aplikacje reklamujące (15,2%). Liczba takich aplikacji w całym strumieniu nowych zagrożeń mobilnych stopniowo maleje.

Udział trojanów bankowych w stosunku do wszystkich mobilnych szkodliwych programów wykrytych po raz pierwszy w pierwszym kwartale znacznie zmniejszył się w porównaniu z wcześniejszymi kwartałami, spadając do 1,1%. Liczba nowych mobilnych bankerów w naszej kolekcji zwiększyła się w przeciągu kwartału o 6,5%. 

Warto również zwrócić uwagę na fakt, że trojany ransomware, które przez długi czas nie wchodziły w skład arsenału cyberprzestępców, wykazały najwyższy współczynnik wzrostu wśród wszystkich zagrożeń mobilnych. Liczba nowych próbek w naszej kolekcji wykrytych w pierwszym kwartale wynosiła 1113, co stanowiło wzrost o 65%. Jest to niebezpieczny trend: ponieważ działanie tego rodzaju szkodliwego oprogramowania polega na wyłudzaniu pieniędzy, może ono uszkodzić dane osobiste oraz zablokować zainfekowane urządzenia.      

Kolejnym rodzajem mobilnych zagrożeń, który wykazuje wysoki współczynnik wzrostu, jest spyware (Trojan-Spy). W pierwszym kwartale 2015 r. liczba takich programów w naszej kolekcji wzrosła o 35%.

 

Top 20 szkodliwych programów mobilnych

 

 

 

Nazwa

% ataków*

1

DangerousObject.Multi.Generic

10,90%

2

AdWare.AndroidOS.Viser.a

9,20%

3

Trojan-SMS.AndroidOS.Podec.a

7,92%

4

RiskTool.AndroidOS.MimobSMS.a

7,82%

5

Trojan-SMS.AndroidOS.OpFake.a

6,44%

6

Trojan.AndroidOS.Mobtes.b

6,09%

7

Adware.AndroidOS.MobiDash.a

5,96%

8

Exploit.AndroidOS.Lotoor.be

4,84%

9

RiskTool.AndroidOS.SMSreg.gc

4,42%

10

AdWare.AndroidOS.Xynyin.a

3,31%

11

AdWare.AndroidOS.Ganlet.a

2,63%

12

Exploit.AndroidOS.Lotoor.a

2,19%

13

AdWare.AndroidOS.Dowgin.l

2,16%

14

Trojan-SMS.AndroidOS.Stealer.a

2,08%

15

AdWare.AndroidOS.Kirko.a

2,04%

16

Trojan.AndroidOS.Rootnik.a

1,82%

17

Trojan.AndroidOS.Pawen.a

1,81%

18

Trojan-SMS.AndroidOS.Gudex.f

1,75%

19

RiskTool.AndroidOS.SMSreg.dd

1,69%

20

AdWare.AndroidOS.Kemoge.a

1,52%

* Odsetek użytkowników zaatakowanych przez dane szkodliwe oprogramowanie w stosunku do wszystkich zaatakowanych użytkowników.

Najwyższą pozycję w rankingu zajął DangerousObject.Multi.Generic (10,90%). Przy użyciu tej sygnatury technologie oparte na chmurze (Kaspersky Security Network) wykrywają nowe szkodliwe aplikacje, co pozwala naszym produktom znacznie skrócić czas reakcji na nowe i nieznane zagrożenia.

Potencjalnie niechciane aplikacje reklamowe odpowiadały za siedem pozycji w rankingu, w tym drugie miejsce, na którym znalazł się AdWare.AndroidOS.Viser.a (9,2%).   

Trojany SMS nadal tracą pozycję w rankingu Top 20 mobilnych zagrożeń: o ile w IV kwartale 2014 r. zajmowały dziewięć pozycji w rankingu, w I kwartale 2015 r. już tylko cztery.

Dzięki aktywnemu rozprzestrzenianiu Trojan-SMS.AndroidOS.Podec.a (7,92%) znajduje się w pierwszej trójce szkodliwych programów mobilnych już drugi kwartał z rzędu. Jak już wspominaliśmy, szkodnik ten był przesyłany na serwery przechowywania plików VKontakte – największego rosyjskiego portalu społecznościowego. Ponadto o trojanie tym wiadomo, że wykorzystuje najpotężniejsze z dostępnych dzisiaj komercyjnych narzędzi do zaciemniania.      

Szkodliwe oprogramowanie RiskTool zajmowało 6 pozycji w rankingu Top 20, przy czym na czwartym miejscu uplasował się RiskTool.AndroidOS.MimobSMS.a (7,82% zaatakowanych użytkowników). 

Mobilne trojany bankowe

W pierwszym kwartale 2015 r. wykryliśmy 1 527 mobilnych trojanów bankowych – 4,4-krotnie mniej niż w poprzednim kwartale.

Q1_2015_MW_4_auto.jpg

Liczba wykrytych mobilnych trojanów bankowych (I kw. 2014 – I kw. 2015)

 

Q1_2015_MW_5_auto.jpg

Rozkład geograficzny mobilnych zagrożeń bankowych w pierwszym kwartale 2015 r. (liczba zaatakowanych użytkowników)

96% ataków z udziałem mobilnych trojanów bankowych było skierowanych przeciwko użytkownikom zlokalizowanym w 10 państwach.

Top 10 państw zaatakowanych przez mobilne trojany bankowe:

 

Państwo

% wszystkich ataków*

1

Rosja

86,66%

2

Ukraina

2,27%

3

Stany Zjednoczone

2,21%

4

Kazachstan

1,87%

5

Niemcy

0,97%

6

Republika Korei

0,70%

7

Białoruś

0,64%

8

Wielka Brytania

0,37%

9

Uzbekistan

0,34%

10

Indie

0,21%

* Odsetek zaatakowanych użytkowników według państwa w stosunku do wszystkich zaatakowanych użytkowników

Rosja utrzymała swoją tradycyjnie najwyższą pozycję w rankingu. Ukraina wspięła się na drugie miejsce, spychając Stany Zjednoczone i Kazachstan odpowiednio na trzecie i czwarte miejsce, podczas gdy Białoruś spadła na siódmą pozycję.

Rozkład geograficzny zagrożeń mobilnych

W I kwartale 2015 r. ataki wykorzystujące mobilne szkodliwe oprogramowanie zostały wykryte co najmniej jeden raz w 213 państwach.

 Q1_2015_MW_6_auto.jpg

Rozkład geograficzny prób infekcji przy użyciu mobilnego szkodliwego oprogramowania w I kwartale 2015 r. (odsetek wszystkich zaatakowanych użytkowników)

Top 10 państw najczęściej atakowanych przez mobilne szkodliwe oprogramowanie:

 

Państwo

% ataków*

1

Rosja

41,92%

2

Indie

7,55%

3

Niemcy

4,37%

4

Brazylia

3,20%

5

Iran

3,12%

6

Kazachstan

2,88%

7

Stany Zjednoczone

2,84%

8

Ukraina

2,53%

9

Malezja

2,05%

10

Wietnam

1,87%

*Odsetek zaatakowanych użytkowników według państwa w stosunku do wszystkich zaatakowanych użytkowników

Na szczycie rankingu utrzymała się Rosja (42%), zostawiając inne państwa daleko w tyle. Na drugim miejscu uplasowały się Indie (7,5%).  

Podatne na ataki aplikacje wykorzystywane przez cyberprzestępców

Poniższy ranking aplikacji podatnych na ataki opiera się na informacjach dotyczących exploitów zablokowanych przez nasze produkty. Exploity te były wykorzystywane przez cyberprzestępców w atakach internetowych oraz próbach zhakowania aplikacji lokalnych, w tym zainstalowanych na urządzeniach mobilnych.  

Q1_2015_MW_7_auto.jpg

Rozkład exploitów wykorzystywanych w atakach według rodzaju zaatakowanej aplikacji, I kw. 2015 r.

 

Na najwyższej pozycji w rankingu dla I kwartału 2015 r. znalazła się kategoria przeglądarki (64%), która obejmuje exploity dla przeglądarki Internet Explorer. Kategoria ta prowadziła w ranking również w ostatnich trzech kwartałach 2014 r.  

W pierwszym kwartale miał miejsce znaczny spadek liczby exploitów dla Oracle Java (-7 punktów procentowych w stosunku do IV kwartału 2014 r.). Można to wyjaśnić tym, że exploity dla tych aplikacji zostały niemal całkowicie usunięte z wszystkich pakietów exploitów.

Warto zwrócić uwagę na rosnącą liczbę exploitów dla pakietu Microsoft Office (+2 punkty procentowe w stosunku do IV kwartału 2014 r.) oraz Adobe Flash Player (+ 1 punkt procentowy) w I kwartale 2015 r.

Wzrost liczby szkodliwych obiektów flash był spowodowany głównie dużą liczbą luk w zabezpieczeniach, które zostały wykryte w pierwszym kwartale 2015 r. Obecnie praktycznie wszystkie pakiety exploitów zawierają exploity wykorzystujące luki w Adobe Flash Player.

Zagrożenia online (ataki wykorzystujące Sieć)

Dane statystyczne zawarte w tej sekcji pochodzą z komponentów zapewniających ochronę przed zagrożeniami online w przypadku prób pobrania szkodliwych obiektów ze szkodliwych/zainfekowanych stron internetowych. Szkodliwe strony internetowe są celowo tworzone przez szkodliwych użytkowników; zainfekowane strony obejmują te zawierające treści dostarczane przez użytkowników (takie jak fora), jak również zhakowane legalne zasoby.

Zagrożenia online w sektorze bankowym

W pierwszym kwartale 2015 r. rozwiązania firmy Kaspersky Lab zablokowały próby uruchomienia szkodliwego oprogramowania potrafiącego kraść pieniądze za pośrednictwem serwisów bankowości online na komputerach 929 082 użytkowników. Liczba ta stanowi wzrost o 64,3% w porównaniu z poprzednim kwartałem (565 515).    

Q1_2015_MW_9.jpg

Liczba komputerów zaatakowanych przez finansowe szkodliwe oprogramowanie (I kw. 2015)

Rośnie liczba ataków przy użyciu szkodliwego oprogramowania finansowego. Gwałtowny wzrost liczby takich ataków miał miejsce w marcu 2015 r.

W pierwszym kwartale 2015 r. całkowita liczba powiadomień dotyczących szkodliwej aktywności programów, których celem jest kradzież pieniędzy za pośrednictwem dostępu online do kont bankowych, zarejestrowanych przez rozwiązania bezpieczeństwa firmy Kaspersky Lab wynosiła 5 106 804.

Rozkład geograficzny ataków

 Q1_2015_MW_9.jpg

Rozkład geograficzny ataków wykorzystujących szkodliwe oprogramowanie bankowe (I kw. 2014)

Top 10 według liczby zaatakowanych użytkowników

Państwo

Liczba zaatakowanych użytkowników

Brazylia

91 893

Rosja

85 828

Stany Zjednoczone

66 699

Niemcy

51 670

Wielka Brytania

25 269

Indie

22 085

Turcja

21 397

Australia

18 997

Włochy

17 663

Hiszpania

17 416

 

Brazylia nadal prowadziła w rankingu państw najbardziej dotkniętych przez szkodliwe oprogramowanie bankowe, przy czym liczba ataków wzrosła o 15% w porównaniu z poprzednim kwartałem (79 845).

 

Top 10 rodzin szkodliwego oprogramowania bankowego

 

Tabela poniżej pokazuje 10 programów najczęściej wykorzystywanych w atakach na użytkowników bankowości online w pierwszym kwartale 2015 r. w oparciu o liczbę zaatakowanych użytkowników:

 

Nazwa

Liczba powiadomień

Liczba zaatakowanych użytkowników

1

Trojan-Downloader.Win32.Upatre

3 127 365

349 574

2

Trojan-Spy.Win32.Zbot

865 873

182 966

3

Trojan-Banker.Win32.ChePro

355 735

91 809

4

Trojan-Banker.Win32.Banbra

35 182

16 363

5

Trojan.Win32.Tinba

94 972

15 719

6

Trojan-Banker.Win32.Agent

44 640

12 893

7

Trojan-Banker.Win32.Shiotob

60 868

12 283

8

Trojan-Banker.Win32.Banker

39 728

12 110

9

Trojan-Spy.Win32.SpyEyes

57 418

9 168

10

Backdoor.Win32.Papras

56 273

3 062

 

Ogromna większość szkodliwych programów z rankingu Top 10 wykorzystuje technikę opartą na wstrzykiwaniu arbitralnego kodu HTML do wyświetlanej przez przeglądarkę strony internetowej oraz przechwytywanie danych uwierzytelniających operacje płatnicze podawane przez użytkownika w oryginalnych i wstrzykniętych formularzy online.

W pierwszym kwartale 2015 r. Zeus (Trojan-Spy.Win32.Zbot), który według raportu dla 2014 r., stanowił najpopularniejsze szkodliwe oprogramowanie w tej kategorii, ustąpił miejsca szkodnikowi o nazwie Trojan-Downloader.Win32.Upatre. Szkodliwe programy z tej rodziny są stosunkowo proste, a ich rozmiar nie przekracza 3,5 KB. Zwykle pobierają trojana bankera należącego do rodziny Dyre/Dyzap/Dyreza. Lista instytucji finansowych zaatakowanych przez tego szkodnika zależy od pliku konfiguracyjnego, który jest pobierany z centrum kontroli.   

Trzecim szkodnikiem w pierwszej trójce najbardziej rozpowszechnionych trojanów bankowych jest Trojan-Banker.Win32.ChePro. Zagrożenie to rozprzestrzenia się za pośrednictwem wiadomości spamowych o temacie związanym z bankowością online (np. w polu temat wiadomości mogą zawierać wyrażenie “Faktura za usługi bankowości online”). Do takich wiadomości załączony jest dokument Word z osadzonym obrazem; po kliknięciu obrazu zostaje wykonany szkodliwy kod.

Zagrożenia finansowe

Zagrożenia finansowe nie ograniczają się do szkodliwego oprogramowania bankowego, które atakuje klientów bankowości online. 

Q1_2015_MW_10.jpg

Finansowe szkodliwe oprogramowanie: rozkład według typu szkodliwego oprogramowania

Drugim pod względem rozpowszechnienia zagrożeniem finansowym była kradzież portfela Bitcoin. Innym zagrożeniem związanym z kryptowalutą było wydobywanie bitmonet, tj. wykorzystywanie zainfekowanych komputerów do generowania bitcoinów.

 

Top 20 szkodliwych obiektów wykrytych online

W pierwszym kwartale 2015 r. technologie ochrony przed zagrożeniami online firmy Kaspersky Lab wykryły 28 483 783 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd.

Zidentyfikowaliśmy 20 najaktywniejszych szkodliwych obiektów wykorzystywanych w atakach online wymierzonych przeciwko komputerom użytkowników. Te 20 państw stanowiło 95,9% wszystkich ataków w internecie.  

Top 20 szkodliwych obiektów wykrytych online

 

Nazwa*

% wszystkich ataków**

1

Szkodliwy adres URL

37,55%

2

AdWare.JS.Agent.bg

36,06%

3

AdWare.Script.Generic

6,58%

4

Trojan.Script.Iframer

4,49%

5

AdWare.NSIS.AnProt.b

3,83%

6

Trojan.Script.Generic

2,91%

7

AdWare.JS.Agent.an

1,06%

8

AdWare.Win32.Yotoon.bfm

0,81%

9

Trojan.JS.Redirector.ads

0,47%

10

Exploit.Script.Blocker

0,33%

11

AdWare.Win32.Eorezo.eod

0,31%

12

Trojan.Win32.Generic

0,24%

13

Trojan-Downloader.Win32.Generic

0,22%

14

AdWare.Win32.ConvertAd.vo

0,17%

15

Trojan-Downloader.Script.Generic

0,16%

16

AdWare.NSIS.Agent.bx

0,16%

17

AdWare.NSIS.Agent.cv

0,13%

18

AdWare.AndroidOS.Xynyin.a

0,13%

19

AdWare.Win32.Yotoon.heur

0,12%

20

AdWare.Win32.SoftPulse.xvm

0,12%

*Dane te stanowią werdykty wykrywania pochodzące z modułu zapewniającego ochronę przed zagrożeniami online. Informacje te zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje lokalne dane statystyczne.

**Odsetek wszystkich ataków online zarejestrowanych na komputerach unikatowych użytkowników.

Ranking Top 20 tworzą w większości obiekty wykorzystywane w atakach drive-by jak również programy adware. 37,55% wszystkich werdyktów przypadło na odsyłacze, które znajdują się na czarnych listach.

Top 10 państw, w których znajduje się najwięcej zasobów z zaszytym szkodliwym oprogramowaniem 

Poniższe dane statystyczne opierają się na fizycznej lokalizacji zasobów online, które zostały użyte w atakach oraz zablokowane przez komponenty antywirusowe (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity oraz inne szkodliwe oprogramowanie, centra kontroli botnetów itd.). Każdy unikatowy host może być źródłem jednego ataku online lub ich większej liczby.

W celu określenia źródła geograficznego ataków online nazwy domen zostały porównane z adresami IT rzeczywistych domen, a następnie określono lokalizacje geograficzne określonych adresów IP (GEOIP).

W pierwszym kwartale 2015 r. rozwiązania firmy Kaspersky Lab zablokowały 469 220 213 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie. 90% powiadomień dotyczących zablokowanych ataków online zostało uruchomionych przez ataki pochodzące z zasobów online zlokalizowanych w 10 państwach.

Q1_2015_MW_11_auto.jpg

Rozkład źródeł ataków online według państwa, I kwartał 2015

Powyższy ranking Top 10 zwykle pozostaje niezmieniony przez dłuższy czas. Jednak w pierwszym kwartale 2015 r. nastąpiła zmiana lidera. Najwyższą pozycję zajmuje obecnie Rosja (niemal 40%), która awansowała na szczyt z czwartego miejsca. Stany Zjednoczone, które prowadziły w rankingu w poprzednim kwartale, znajdują się obecnie na drugim miejscu (18%).

Państwa, w których użytkownicy byli narażeni na największe ryzyko infekcji online 

W celu oceny ryzyka infekcji online, na jakie narażeni są użytkownicy w różnych państwach, obliczyliśmy odsetek użytkowników produktów Kaspersky Lab w każdym państwie, na komputerach których zarejestrowano werdykty wykrycia w badanym kwartale. Wyniki stanowią wskaźnik agresywności środowiska, w którym działają komputery w różnych państwach.  

 

Państwo*

% unikatowych zaatakowanych użytkowników **

1

Kazachstan

42,37%

2

Rosja

41,48%

3

Azerbejdżan

38,43%

4

Ukraina

37,03%

5

Chorwacja

37,00%

6

Armenia

35,74%

7

Mongolia

33,54%

8

Mołdawia

33,47%

9

Białoruś

33,36%

10

Kirgistan

32,20%

11

Algieria

32,12%

12

Katar

31,15%

13

Gruzja

30,69%

14

Zjednoczone Emiraty Arabskie

29,36%

15

Łotwa

28,69%

16

Tadżykistan

28,36%

17

Bośnia i Hercegowina

28,00%

18

Grecja

27,55%

19

Tunezja

27,54%

20

Bułgaria

27,44%

Statystyki te opierają się na werdyktach wykrywania wygenerowanych przez moduł ochrony online uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.

*Powyższe obliczenia nie uwzględniają państw, w których liczba użytkowników firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000 użytkowników).

**Unikatowi użytkownicy, których komputery stanowiły cel ataków online, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

W pierwszym kwartale 2015 r. najwyższe miejsce w rankingu zajmował Kazachstan, który zepchnął Rosję na drugie miejsce. Od poprzedniego kwartału Wietnam i Portugalia opuściły ranking Top 20. Nowości w rankingu stanowiły Bośnia i Hercegowina (28,00%) oraz Grecja (27,55%), które uplasowały się odpowiednio na 17 i 18 miejscu.

Państwa posiadające najbezpieczniejsze środowisko surfowania online obejmowały: Japonię (12,4%), Danię (12,7%), Singapur (14,3%), Finlandię (14,9%), Afrykę Południową (14,8%) oraz Holandię (15,2%).

 Q1_2015_MW_12_auto.jpg

Średnio 26,3% komputerów połączonych z internetem na całym świecie było celem przynajmniej jednego ataku online w ciągu analizowanych trzech miesięcy. 

 

Zagrożenia lokalne

Statystyki dotyczące infekcji lokalnych dla komputerów użytkowników stanowią bardzo istotny wskaźnik: odzwierciedlają zagrożenia, które przeniknęły do systemów komputerowych w inny sposób niż przez internet, pocztę e-mail czy porty sieciowe.

Dane w tej sekcji opierają się na analizie danych statystycznych wygenerowanych w wyniku skanowania antywirusowego plików na dysku twardym w momencie ich tworzenia lub uzyskiwania do nich dostępu oraz wyników skanowania nośników wymiennych.

W pierwszym kwartale 2015 roku moduły ochrony systemu plików firmy Kaspersky Lab wykryły 253 560 227 unikatowych szkodliwych i potencjalnie niechcianych obiektów.

Top 20 szkodliwych obiektów wykrytych na komputerach użytkownikach

 

 

Nazwa*

% unikatowych zaatakowanych użytkowników **

1

DangerousObject.Multi.Generic

22,56%

2

Trojan.WinLNK.StartPage.gena

17,05%

3

Trojan.Win32.Generic

15,06%

4

AdWare.Script.Generic

6,12%

5

WebToolbar.Win32.Agent.azm

4,49%

6

WebToolbar.JS.Condonit.a

4,20%

7

AdWare.Win32.Agent.heur

4,15%

8

RiskTool.Win32.BackupMyPC.a

3,83%

9

Downloader.Win32.Agent.bxib

3,74%

10

Trojan.Win32.AutoRun.gen

3,70%

11

Trojan.VBS.Agent.ue

3,64%

12

Downloader.Win32.MediaGet.elo

3,42%

13

AdWare.Win32.SearchProtect.ky

3,34%

14

Worm.VBS.Dinihou.r

3,31%

15

Virus.Win32.Sality.gen

3,18%

16

AdWare.Win32.DealPly.brj

2,86%

17

Trojan.Script.Generic

2,74%

18

AdWare.Win32.NewNext.a

2,70%

19

WebToolbar.JS.CroRi.b

2,66%

20

AdWare.MSIL.Kranet.heur

2,49%

*Statystyki te zostały skompilowane na podstawie werdyktów dotyczących wykrywania szkodliwego oprogramowania wygenerowanych przez moduły skanowania podczas dostępu oraz na żądanie na komputerach użytkowników wykorzystujących produkty firmy Kaspersky Lab, którzy zgodzili się udostępnić nam swoje dane statystyczne.

**Odsetek indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył te obiekty jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na których komputerach została aktywowana ochrona systemu plików. 

Ranking ten zwykle zawiera werdykty wydane dla programów adware i ich komponentów (takich jak na przykład Trojan.VBS.Agent.ue). W pierwszym kwartale 2015 r. takie werdykty zajmowały trzynaście miejsc w rankingu Top 20.

Nowość w rankingu, Trojan.WinLNK.StartPage.gena, od początku znajdował się na drugim miejscu. Jest to werdykt generowany dla plików LNK zawierających odsyłacz do przeglądarki, który wskazuje stronę, która ma zostać otwarta. Strony te zwykle posiadają nazwy podobne do nazw wyszukiwarek internetowych, w rzeczywistości jednak przekierowują użytkowników do stron zawierających wątpliwe treści. Niektóre z tych stron mogą być niebezpieczne i są nawet wykrywane przez rozwiązania antywirusowe. Liczba wykryć takich plików LNK osiągnęła najwyższą wartość w styczniu. 

Jedyny wirus w rankingu - Virus.Win32.Sality.gen – nadal traci pozycję. Odsetek maszyn użytkowników zainfekowanych tym wirusem od dłuższego czasu zmniejsza się. W pierwszym kwartale 2015 r. Sality znalazł się na 15 miejscu (3,18%).

Państwa, w których użytkownicy są narażeni na najwyższe ryzyko infekcji lokalnej

Dla każdego z państw obliczyliśmy odsetek użytkowników produktów Kaspersky Lab, na komputerach których został uruchomiony w badanym kwartale moduł wykrywający szkodliwe oprogramowanie w plikach. Statystyki te odzwierciedlają poziom infekcji komputerów osobistych w różnych państwach. 

Top 20 państw o najwyższym poziomie infekcji komputerów

 

Państwo*

% unikatowych użytkowników**

1

Wietnam

60,68%

2

Bangladesz

60,20%

3

Mongolia

57,28%

4

Jemen

55,91%

5

Somalia

55,64%

6

Nepal

55,01%

7

Afganistan

54,91%

8

Algieria

54,83%

9

Irak

54,38%

10

Kambodża

52,70%

11

Laos

52,54%

12

Armenia

52,44%

13

Pakistan

51,95%

14

Kazachstan

51,54%

15

Ruanda

51,36%

16

Etiopia

50,93%

17

Egipt

50,60%

18

Syria

50,11%

19

Indie

50,00%

20

Tadżykistan

49,80%

Powyższe statystyki opierają się na werdyktach wykrycia wygenerowanych perz moduły antywirusowe OAS i ODS uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne. Dane te obejmują wykrycia szkodliwych programów zlokalizowanych na komputerach użytkowników lub wymiennych nośnikach danych podłączonych do komputerów, takich jak pamięć flash, karty pamięci telefonu lub aparatu czy zewnętrzne dyski twarde. 

*Szacunki te nie uwzględniają państw, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niska (mniej niż 10 000 użytkowników).

**Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery, które zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.    

Przez długi czas wszystkie pozycje w tym rankingu zajmowały państwa w Afryce, na Bliskim Wschodzie oraz w Azji Południowo-Wschodniej. Jednak w pierwszym kwartale 2015 r. w zestawieniu pojawiły się takie nowości jak Armenia (12 miejsce), Kazachstan (14 miejsce) oraz Tadżykistan (20 pozycja).  

Od prawie dwóch lat na prowadzeniu znajduje się Wietnam (60,68%), podczas gdy Bangladesz (60,2%) i Mongolia (57,3%) utrzymały swoje pozycje trzeci kwartał z rzędu.

W Rosji zagrożenia lokalne zostały wykryte w pierwszym kwartale 2015 r. na komputerach 49,6% użytkowników.

Q1_2015_MW_13_auto.jpg

Najbezpieczniejsze państwa pod względem ryzyka infekcji lokalnej stanowiły Japonia (14,7%), Dania (20,1%), Szwecja (21,4%), Hong Kong (21,5%) oraz Finlandia (21,6%).

Średnio 39,8% komputerów na całym świecie było celem przynajmniej jednego zagrożenia lokalnego w pierwszym kwartale 2015 r. – co stanowi wzrost o 2 punkty procentowe w porównaniu z czwartym kwartałem 2014 r.