Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT w I kwartale 2018 r. Statystyki

Tagi:

Liczby dla I kwartału

Według danych KSN:

  • Rozwiązania firmy Kaspersky Lab zablokowały 796 806 112 ataków przeprowadzonych z zasobów online zlokalizowanych w 194 państwach na całym świecie.
  • 282 807 433 unikatowych adresów URL zostało zidentyfikowanych jako szkodliwe przez komponenty ochrony WWW.
  • Próby infekcji szkodliwym oprogramowaniem w celu kradzieży pieniędzy za pośrednictwem dostępu online do kont bankowych zostały zarejestrowane na komputerach 204 448 użytkowników.
  • Ataki przy użyciu oprogramowania ransomware zostały zarejestrowane na komputerach 179 934 unikatowych użytkowników.
  • Nasz moduł ochrony plików zarejestrował 187 597 494 unikatowych szkodliwych i potencjalnie niechcianych obiektów.
  • Produkty firmy Kaspersky Lab przeznaczone dla urządzeń mobilnych wykryły:
    • 1 322 578 szkodliwych pakietów instalacyjnych
    • 18 912 pakietów instalacyjnych dla mobilnych trojanów bankowych
    • 8 787 pakietów instalacyjnych dla Trojanów mobilnych ransomware

Zagrożenia mobilne

Wydarzenia I kwartału

W I kwartale 2018 r. zidentyfikowano wykorzystywanie nowej metody rozprzestrzeniania mobilnego szkodliwego oprogramowania na urządzeniach z systemem Android – przechwytywanie DNS. W wyniku włamania się do ruterów i zmiany ustawień DNS użytkownicy byli przekierowywani do adresów IP należących do cyberprzestępców. Na takich stronach nakłaniano ich do pobrania szkodliwego oprogramowania podszywającego się np. pod aktualizacje dla przeglądarki. W ten sposób rozprzestrzeniany był między innymi koreański trojan bankowy Wroba.

180511-it-threats-q1-18-statistics-1.png

Ten szkodliwy zasób pokazuje fałszywe okno, przy czym w pasku adresu wyświetlana jest poprawna strona

Nie był to atak typu drive-by-download, ponieważ jego powodzenie w dużej mierze zależało od działań podjętych przez ofiarę, takich jak zainstalowanie i uruchomienie trojana. Interesujące w tym przypadku jest wykorzystanie pewnych urządzeń (rutery) do atakowania innych urządzeń (smartfonów) – a wszystko to okraszone szczyptą socjotechniki dla większej skuteczności.   

Jednak za znacznie większą rewelację w I kwartale odpowiadają twórcy pozornie legalnej aplikacji o nazwie GetContact.  

180511-it-threats-q1-18-statistics-2_aut

Na początek nakreślmy nieco tła. Różne rodziny i klasy szkodliwych aplikacji gromadzą dane z zainfekowanych urządzeń: to może być stosunkowo niewinny numer IMEI, zawartość książki telefonicznej, korespondencja SMS, czy nawet rozmowy przez WhatsApp.  Wszystko to (i wiele innych rzeczy) są informacje osobiste, nad którymi kontrolę powinien posiadać jedynie właściciel telefonu komórkowego. Jednak twórcy GetContact opracowali umowę licencyjną uprawniającą ich do pobrania na swoje serwery książki telefonicznej użytkownika i udzielenia do niej dostępu wszystkim swoim subskrybentom. W efekcie, każdy mógł się dowiedzieć, pod jaką nazwą użytkownicy GetContact zapisali jego numer telefonu, co często skutkowało nieprzyjemnościami. Miejmy nadzieję, że twórcom aplikacji przyświecał szlachetny cel ochrony użytkowników przed spamem telefonicznym oraz telefonami od oszustów, tyle tylko że próbowali użyć niewłaściwych narzędzi.       

Statystyki dotyczące zagrożeń mobilnych

W I kwartale 2018 r. Kaspersky Lab wykrył 1 322 578 szkodliwych pakietów instalacyjnych – o 11% mniej w porównaniu z poprzednim kwartałem.

180511-it-threats-q1-18-statistics-3_aut

Liczba wykrytych szkodliwych pakietów instalacyjnych, II kwartał 2017 r. a I kwartał 2018

 

Rozkład wykrytych aplikacji mobilnych według rodzaju

180511-it-threats-q1-18-statistics-4_aut

Rozkład nowo wykrytych aplikacji mobilnych według rodzaju, IV kwartał 2017 r. a I kwartał 2018 r.

Spośród wszystkich zagrożeń wykrytych w I kwartale 2018 r. przeważająca większość należała do kategorii potencjalnie niechcianych aplikacji RiskTool (49,3%); w stosunku do poprzedniego kwartału ich udział zmniejszył się o 5,5%. Najliczniejsi w tej kategorii byli członkowie rodziny RiskTool.AndroidOS.SMSreg.  

Drugie miejsce zajęły zagrożenia z kategorii Trojan-Dropper (21%), których udział zwiększył się dwukrotnie. Większość wykrytych plików tego typu pochodziła z rodziny Trojan-Dropper.AndroidOS.Piom.

Aplikacje wyświetlające reklamy, które w IV kwartale 2017 r. uplasowały się na drugiej pozycji, spadły o jedno miejsce. Ich udział zmniejszył się o 8% i stanowił 11% wszystkich wykrytych zagrożeń.

Z kolei wzrost odnotowały zagrożenia dla bankowości mobilnej. Spowodowane to było masowym rozprzestrzenianiem się szkodnika o nazwie Trojan-Banker.AndroidOS.Faketoken.z.

20 najbardziej rozpowszechnionych mobilnych szkodliwych programów

Trzeba zaznaczyć, że przedstawiony ranking szkodliwego oprogramowania nie zawiera potencjalnie niebezpiecznych lub niechcianych programów takich jak RiskTool czy Adware.

Werdykt

%*

1

DangerousObject.Multi.Generic

70,17

2

Trojan.AndroidOS.Boogr.gsh

12,92

3

Trojan.AndroidOS.Agent.rx

5,55

4

Trojan-Dropper.AndroidOS.Lezok.p

5,23

5

Trojan-Dropper.AndroidOS.Hqwar.ba

2,95

6

Trojan.AndroidOS.Triada.dl

2,94

7

Trojan-Dropper.AndroidOS.Hqwar.i

2,51

8

Trojan.AndroidOS.Piom.rfw

2,13

9

Trojan-Dropper.AndroidOS.Lezok.t

2,06

10

Trojan.AndroidOS.Piom.pnl

1,78

11

Trojan-Dropper.AndroidOS.Agent.ii

1,76

12

Trojan-SMS.AndroidOS.FakeInst.ei

1,64

13

Trojan-Dropper.AndroidOS.Hqwar.gen

1,50

14

Trojan-Ransom.AndroidOS.Zebt.a

1,48

15

Trojan.AndroidOS.Piom.qmx

1,47

16

Trojan.AndroidOS.Dvmap.a

1,40

17

Trojan-SMS.AndroidOS.Agent.xk

1,35

18

Trojan.AndroidOS.Triada.snt

1,24

19

Trojan-Dropper.AndroidOS.Lezok.b

1,22

20

Trojan-Dropper.AndroidOS.Tiny.d

1,22

* Unikatowi użytkownicy zaatakowani przez dane szkodliwe oprogramowanie jako odsetek wszystkich zaatakowanych użytkowników oprogramowania Kaspersky Lab do ochrony urządzeń mobilnych.

Podobnie jak wcześniej, na pierwszym miejscu w naszym zestawieniu TOP 20 znalazł się werdykt DangerousObject.Multi.Generic (70,17%), który obejmuje szkodliwe programy wykrywane przy pomocy technologii chmury. Technologie chmury są wykorzystywane w przypadku gdy antywirusowe bazy danych nie zawierają danych umożliwiających wykrycie szkodliwego oprogramowania, za to informacje na temat danego obiektu są już dostępne w chmurze firmy antywirusowej. W ten sposób wykrywane są w większości najnowsze szkodliwe programy.

Na drugiej pozycji uplasował się Trojan.AndroidOS.Boogr.gsh (12.92%). Werdykt ten obejmuje pliki rozpoznawane jako szkodliwe przez nasz system w oparciu o systemy uczące się.

Trzecie miejsce przypadło szkodnikowi o nazwie Trojan.AndroidOS.Agent.rx (5,55%). Zadaniem tego trojana, działającego w tle, jest ukradkowe odwiedzanie stron internetowych zgodnie z poleceniami z serwera kontroli. 

Szóste miejsce w rankingu zajął nietypowy trojan Triada.dl (2,94%) z rodziny modułowo zaprojektowanego szkodliwego oprogramowania Trojan.AndroidOS.Triada, o której pisaliśmy już wielokrotnie. Trojan ten wyróżniał się swoim wysoce wyrafinowaną metodą ataków: modyfikował główną bibliotekę systemową libandroid_runtime.so, tak aby szkodliwy kod został uruchomiony w momencie zapisania wyników debuggowania w dzienniku zdarzeń systemowych. Urządzenia ze zmodyfikowaną biblioteką trafiły na półki sklepowe, przez co infekcja rozpoczęła się wcześnie. Trojan Triada.dl posiada niemal nieograniczone możliwości: może zostać osadzony w zainstalowanych już aplikacjach i wykradać z nich dane, jak również wyświetlać użytkownikowi fałszywe dane w „niezainfekowanych” aplikacjach.

Na 14 pozycji uplasował się trojan żądający okupu Trojan-Trojan-Ransom.AndroidOS.Zebt.a (1,48%). Posiada on dość osobliwy zestaw funkcji obejmujący ukrywanie ikonki przy uruchomieniu i żądanie praw na poziomie administratora urządzenia umożliwiających cofanie usuwania. Podobnie jak inne tego rodzaju mobilne oprogramowanie ransomware, szkodnik ten jest rozprzestrzeniany pod przykrywką aplikacji do wyświetlania treści pornograficznych. 

Innym interesującym okazem w rankingu TOP 20 jest Trojan-SMS.AndroidOS.Agent.xk (1,35%), który przypomina trojany SMS z 2011 r. Szkodnik wyświetla ekran powitalny oferujący różne usługi, zwykle dostęp do treści. Na dole znajduje się informacja małym drukiem, z której wynika, że usługi są płatne, a ich subskrypcja odbywa się za pośrednictwem SMS.

Rozkład geograficzny zagrożeń mobilnych

180511-it-threats-q1-18-statistics-5_aut

Mapa prób infekcji przy użyciu mobilnego szkodliwego oprogramowania w I kwartale 2018 r.   (odsetek zaatakowanych użytkowników w danym państwie)

Ranking 10 państw o największym udziale użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie:

 

Państwo*

%**

1

Chiny

34,43

2

Bangladesz

27,53

3

Nepal

27,37

4

Wybrzeże Kości Słoniowej

27,16

5

Nigeria

25,36

6

Algieria

24,13

7

Tanzania

23,61

8

Indie

23,27

9

Indonezja

22,01

10

Kenia

21,45

* Z rankingu wyłączono państwa o stosunkowo niewielkiej liczbie użytkowników oprogramowania Kaspersky Lab do ochrony urządzeń mobilnych (poniżej 10 000).
** Unikatowi użytkownicy zaatakowani w danym kraju jako odsetek wszystkich użytkowników oprogramowania Kaspersky Lab do ochrony urządzeń mobilnych w danym kraju.

W I kwartale 2018 r. Chiny (34,43%) uplasowały się na szczycie listy państw o największym udziale zaatakowanych użytkowników mobilnych. Warto zauważyć, że państwo to jest stałym bywalcem tego zestawienia: w 2017 r. uplasowało się na szóstym miejscu, natomiast w 2016 na czwartym.     Podobnie jak w 2017 r. drugie miejsce zajął Bangladesz (27,53%). Największy awans odnotował Nepal (27,37%) – z dziewiątego miejsca w zeszłym roku wskoczył na trzecie. 

W badanym kwartale Rosja (8,18%) spadła na 39 miejsce, plasując się za Katarem (8,22%) oraz Wietnamem (8,48%).  

Do najbezpieczniejszych państw (w oparciu o odsetek zaatakowanych użytkowników mobilnych) należy Dania (1,85%) oraz Japonia (1%).

Mobilne trojany bankowe

W badanym okresie wykryliśmy 18 912 pakietów instalacyjnych dla mobilnych trojanów bankowych - o 1,3 raza więcej niż w IV kwartale 2017 r.

180511-it-threats-q1-18-statistics-6_aut

Liczba pakietów instalacyjnych dla mobilnych trojanów bankowych wykrytych przez Kaspersky Lab, II kwartał 2017 – I kwartał 2018

Werdykt

%*

1

Trojan-Banker.AndroidOS.Asacub.bj

12,36

2

Trojan-Banker.AndroidOS.Svpeng.q

9,17

3

Trojan-Banker.AndroidOS.Asacub.bk

7,82

4

Trojan-Banker.AndroidOS.Svpeng.aj

6,63

5

Trojan-Banker.AndroidOS.Asacub.e

5,93

6

Trojan-Banker.AndroidOS.Hqwar.t

5,38

7

Trojan-Banker.AndroidOS.Faketoken.z

5,15

8

Trojan-Banker.AndroidOS.Svpeng.ai

4,54

9

Trojan-Banker.AndroidOS.Agent.di

4,31

10

Trojan-Banker.AndroidOS.Asacub.ar

3,52

* Unikatowi użytkownicy zaatakowani przez dane szkodliwe oprogramowanie jako odsetek wszystkich użytkowników rozwiązania Kaspersky Lab do ochrony urządzeń mobilnych, którzy zostali zaatakowani przez zagrożenia dla bankowości.

Najpopularniejszym mobilnym trojanem bankowym w I kwartale był Asacub.bj (12,36%), który wyprzedził znajdującego się na drugim miejscu Svpeng.q (9,17%). Oba te trojany stosują okna phishingowe w celu kradzieży danych kart bankowych i uwierzytelniających wykorzystywanych w bankowości onilne. Kradną również pieniądze za pośrednictwem usług SMS, w tym bankowości mobilnej.

Należy zauważyć, że zestawienie 10 najbardziej rozpowszechnionych zagrożeń dla bankowości mobilnej w I kwartale w większości składa się z członków rodzin Asacub (4 na 10) oraz Svpeng (3 na 10). Jednak na liście tej znalazł się również Trojan-Banker.AndroidOS.Faketoken.z. Szkodnik ten posiada szerokie możliwości szpiegowania: potrafi instalować inne aplikacje, przechwytywać wiadomości przychodzące (lub tworzyć je na polecenie), wykonywać połączenia oraz wysyłać żądania USSD, i naturalnie otwierać odsyłacze do stron phishingowych.

180511-it-threats-q1-18-statistics-7_aut

Rozkład geograficzny mobilnych zagrożeń bankowych w I kwartale 2018 r. (odsetek zaatakowanych użytkowników)

TOP 10 państw według udziału użytkowników zaatakowanych przez mobilne trojany bankowe

 

Państwo*

%**

1

Rosja

0,74

2

USA

0,65

3

Tadżykistan

0,31

4

Uzbekistan

0,30

5

Chiny

0,26

6

Turcja

0,22

7

Ukraina

0,22

8

Kazachstan

0,22

9

Polska

0,17

10

Mołdawia

0,16

* Z rankingu wyłączone zostały państwa o stosunkowo niewielkiej liczbie użytkowników rozwiązań Kaspersky Lab do ochrony urządzeń mobilnych (poniżej 10 000).
** Unikatowi użytkownicy zaatakowani przez mobilne trojany bankowe w danym państwie jako odsetek wszystkich użytkowników rozwiązania Kaspersky Lab do ochrony urządzeń mobilnych w danym państwie.

W I kwartale 2018 r. przedstawiony ranking w dużym stopniu odzwierciedlał sytuację w całym 2017 r.: na pierwszym miejscu utrzymała się Rosja (0,74%).   

Brązowy i srebrny medal zdobyły odpowiednio Stany Zjednoczone (0,65%) oraz Tadżykistan (0,31%). Najpopularniejszymi trojanami bankowości mobilnej w tych państwach były różne modyfikacje rodziny Trojan-Banker.AndroidOS.Svpeng, jak również Trojan-Banker.AndroidOS.Faketoken.z.   

Mobilne trojany ransomware

W I kwartale 2018 r. wykryliśmy 8 787 pakietów instalacyjnych dla trojanów mobilnych ransomware, co stanowi nieco ponad połowę liczby takich pakietów odnotowanych w poprzednim kwartale oraz 22 razy mniej niż w II kwartale 2017 r. Ten znaczący spadek spowodowany był głównie tym, że osoby atakujące zaczęły w większym stopniu wykorzystywać droppery, aby utrudnić wykrywanie i ukryć szkodliwą funkcję. W efekcie, tego rodzaju szkodniki są wykrywane jako droppery (np. z rodziny Trojan-Dropper.AndroidOS.Hqwar), chociaż mogą zawierać mobilne oprogramowanie ransomware lub „bankera”.  

180511-it-threats-q1-18-statistics-8_aut

Liczba pakietów instalacyjnych dla mobilnych trojanów ransomware wykrytych przez Kaspersky Lab (II kwartał 2017 – I kwartał 2018)

Warto podkreślić, że mimo spadku całkowitej liczby trojany ransomware nadal stanowią poważne zagrożenie – pod względem technicznym są one obecnie znacznie bardziej zaawansowane i groźne. Na przykład, Trojan-Trojan-Ransom.AndroidOS.Svpeng uzyskuje prawa na poziomie administratora urządzenia i blokuje ekran smartfona przy użyciu PIN-u, jeżeli zostanie podjęta próba usunięcia go. Jeśli PIN nie został ustawiony (może to być również blokada graficzna, numeryczna lub biometryczna), urządzenie jest zablokowane. W takim przypadku, smartfon można przywrócić do działania jedynie poprzez przywrócenie ustawień fabrycznych.

Najbardziej rozpowszechnionym mobilnym oprogramowaniem ransomware w I kwartale był Trojan-Ransom.AndroidOS.Zebt.a – ze szkodnikiem tym zetknęła się ponad połowa wszystkich użytkowników. Na drugim miejscu znalazł się długoletni zwycięzca Trojan-Ransom.AndroidOS.Fusob.h. Popularny kiedyś Trojan-Ransom.AndroidOS.Svpeng.ab zdołał uplasować się dopiero na piątym miejscu, za trojanami Trojan-Ransom.AndroidOS.Egat.d oraz Trojan-Ransom.AndroidOS.Small.snt. W rzeczywistości, Egat.d to okrojona wersja trojana Zebt.a – oba mają tych samych twórców.   

180511-it-threats-q1-18-statistics-9_aut

Rozkład geograficzny mobilnych trojanów ransomware w I kwartale 2018 r. (odsetek zaatakowanych użytkowników)

 

10 państwa o największej liczbie użytkowników zaatakowanych przez mobilne trojany ransomware:

 

Państwo*

%**

1

Kazachstan

0,99

2

Włochy

0,64

3

Irlandia

0,63

4

Polska

0,61

5

Belgia

0,56

6

Austria

0,38

7

Rumunia

0,37

8

Węgry

0,34

9

Niemcy

0,33

10

Szwajcaria

0,29

* Z rankingu wyłączone zostały państwa o stosunkowo niewielkiej liczbie użytkowników rozwiązań Kaspersky Lab do ochrony urządzeń mobilnych (poniżej 10 000).
** Unikatowi użytkownicy zaatakowani przez mobilne trojany bankowe jako odsetek wszystkich użytkowników rozwiązania Kaspersky Lab do ochrony urządzeń mobilnych w danym państwie.

Pierwsze miejsce w zestawieniu TOP 10 po raz kolejny zajął Kazachstan (0,99%); najaktywniejszą rodziną w tym państwie okazał się Trojan-Ransom.AndroidOS.Small. Na drugiej pozycji uplasowały się Włochy (0,64%), gdzie za większość ataków odpowiadał Trojan-Ransom.AndroidOS.Zebt.a, który stanowi również najpopularniejsze mobilne oprogramowanie ransomware w znajdującej się na trzecim miejscu Irlandii (0,63%). 

Podatne na ataki aplikacje wykorzystywane przez cyberprzestępców

W I kwartale 2018 r. miało miejsce kilka znaczących zmian w rozkładzie exploitów. Udział exploitów dla pakietu Microsoft Office (47,15%) zwiększył się niemal dwukrotnie w stosunku do średniej dla 2017 r. Ich liczba była również dwukrotnie większa niż liczba exploitów dla przeglądarek (23,47%), które pod względem liczebności dominowały w ostatnich latach. Przyczyna tego gwałtownego skoku jest jasna: w minionym roku w aplikacjach Office znaleziono i wykorzystano tak dużą liczbę luk w zabezpieczeniach, że możemy ją porównać jedynie z liczbą luk w Adobe Flash zidentyfikowanych w przeszłości. Ostatnio jednak udział exploitów dla Flasha odnotował spadek (2,57% w I kwartale), ponieważ Adobe i Microsoft robią, co w ich mocy, aby utrudnić wykorzystanie Flash Playera.         

180511-it-threats-q1-18-statistics-10_au

Rozkład exploitów wykorzystywanych w atakach według rodzaju zaatakowanej aplikacji, I kwartał 2018 r.

Najczęściej wykorzystywaną luką w zabezpieczeniach pakietu Microsoft Office w I kwartale była luka CVE-2017-11882 – luka typu „przepełnienie stosu” w Edytorze równań, dość starym komponencie w pakiecie Office. Ataki z wykorzystaniem tej luki stanowią około jedną szóstą wszystkich ataków opartych na exploitach. Wynika to prawdopodobnie z tego, że wykorzystywanie luki CVE-2017-11882 jest dość skuteczne. A dodatkowo, przetwarzany przez Edytor równań kod bajtowy umożliwia zastosowanie różnych technik zaciemniania kodu, co zwiększa szanse obejścia ochrony i przeprowadzenia udanego ataku. Inną luką w zabezpieczeniach wykrytą w Edytorze równań w badanym kwartale była luka CVE-2018-0802. Ona również jest wykorzystywana, jednak na mniejszą skalę.  

Jeśli chodzi o exploity dnia zerowego w I kwartale, luka CVE-2018-4878 została zgłoszona przez południowokoreański CERT oraz kilka innych źródeł pod koniec stycznia. Jest to luka w Adobe Flash, po raz pierwszy wykorzystana w atakach ukierunkowanych (prawdopodobnie przez ugrupowanie Scarcruft). Pod koniec kwartału exploit wykorzystujący tę lukę pojawił się w szeroko rozpowszechnionych zestawach exploitów GreenFlash Sundown, Magnitude oraz RIG. W atakach ukierunkowanych obiekt Flash z tym exploitem został osadzony w dokumencie Word, podczas gdy zestawy exploitów rozprzestrzeniają go za pośrednictwem stron internetowych.     

W ciągu badanego kwartału stosowano na szeroką skalę exploity sieciowe wykorzystujące luki, które zostały załatane przy okazji aktualizacji MS17-010. Eksploity MS17-010 stanowią ponad 25% wszystkich zarejestrowanych przez nas ataków sieciowych.      

Szkodliwe programy online (ataki za pośrednictwem zasobów sieciowych)

Przedstawione w tym rozdziale dane statystyczne opierają się na technologii ochrony WWW, która zabezpiecza użytkowników, kiedy szkodliwe obiekty są pobierane ze szkodliwych/zainfekowanych stron internetowych. Szkodliwe strony internetowe są specjalnie tworzone przez cyberprzestępców; infekowane mogą być zasoby WWW zawierające treści tworzone przez użytkowników (np. fora) jak również zhakowane legalne zasoby.  

Zagrożenia online w sektorze finansowym

Zdarzenia w I kwartale

Na początku 2018 r. szczególną aktywnością wykazali się właściciele trojana Dridex. Podczas swojego wieloletniego „życia” szkodnik ten dorobił się solidnej infrastruktury. Obecnie jego głównym obszarem aktywności jest nielegalne uzyskiwanie danych uwierzytelniających dla serwisów bankowości online w celu kradzieży środków z kont bankowych. Szkodnik ten działa ze wspólnikiem - innym trojanem bankowym o nazwie Emotet. Wykryty w 2014 r., należy on do nowego typu trojanów bankowych tworzonych od zera. Emotet został zlokalizowany w tej samej infrastrukturze sieciowej co Dridex, co sugeruje bliskie pokrewieństwo między tymi dwiema rodzinami. Obecnie jednak Emotet nie posiada funkcjonalności bankowej i jest wykorzystywany przez osoby atakujące jako bot spamowy oraz loader, pobierając trojana Dridex. Wcześniej tego roku pojawiły się doniesienia, że ta sama grupa, która odpowiada za szkodnika Dridex, stworzyła oprogramowanie szyfrujące o nazwie BitPaymer (wykryte w zeszłym roku). W rezultacie, nazwa szkodnika została zmieniona na FriedEx.           

W I kwartale miało miejsce aresztowanie przywódcy ugrupowania przestępczego odpowiedzialnego za ataki przy użyciu szkodliwego oprogramowania Carbanak oraz Cobalt – jak donosił Europol. Począwszy od 2013 r. ugrupowanie to zaatakowało ponad 40 organizacji, narażając branżę finansową na straty szacowne na ponad 1 miliard Euro. Głównym celem ataku było przeniknięcie do sieci organizacji poprzez wysyłanie pracownikom spersonalizowanych wiadomości phishingowych zawierających szkodliwe załączniki. Po przeniknięciu do sieci wewnętrznej za pośrednictwem zainfekowanych komputerów cyberprzestępcy uzyskali dostęp do serwerów kontroli bankomatów, a poprzez nie do samych bankomatów. Dzięki dostępowi do infrastruktury, serwerów oraz bankomatów cyberprzestępcy mogli wypłacić gotówkę bez użycia kart bankowych, przelać pieniądze z organizacji na swoje konta i zwiększyć jego saldo przy użyciu słupów pieniężnych wykorzystywanych do odbierania środków.    

Statystyki dotyczące zagrożeń finansowych

Statystyki te opierają się na werdyktach wykrycia produktów Kaspersky Lab otrzymywanych od użytkowników, którzy zgodzili się dostarczać dane statystyczne. Od I kwartału 2017 r. obejmują one szkodliwe programy dla bankomatów i terminali POS, nie zawierają jednak mobilnych zagrożeń.

W I kwartale 2018 r. rozwiązania firmy Kaspersky Lab zablokowały próby uruchomienia jednego lub większej liczby szkodliwych programów stworzonych w celu kradzieży pieniędzy z kont bankowych na komputerach 204 448 użytkowników. 

180511-it-threats-q1-18-statistics-11_au

Liczba unikatowych użytkowników zaatakowanych przez finansowe szkodliwe oprogramowanie, I kwartał 2018 r.

 
Rozkład geograficzny ataków

Aby ocenić i porównać ryzyko infekcji przez trojany bankowe oraz szkodliwe oprogramowanie dla bankomatów/terminali POS na całym świecie, dla każdego państwa obliczyliśmy udział użytkowników produktów firmy Kaspersky Lab, którzy zetknęli się z tym zagrożeniem w badanym okresie, w stosunku do wszystkich użytkowników naszych produktów w tym państwie. 

180511-it-threats-q1-18-statistics-12.pn

Rozkład geograficzny ataków przy użyciu szkodliwego oprogramowania bankowego w I kwartale 2018 (odsetek zaatakowanych użytkowników)

 

10 państw o największej liczbie zaatakowanych użytkowników

Państwo*

% zaatakowanych użytkowników**

1

Kamerun

2,1

2

Niemcy

1,7

3

Korea Południowa

1,5

4

Libia

1,5

5

Togo

1,5

6

Armenia

1,4

7

Gruzja

1,4

8

Mołdawia

1,2

9

Kirgistan

1,2

10

Indonezja

1,1

Statystyki te opierają się na werdyktach wykrycia przy użyciu technologii antywirusowych uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się dostarczyć swoje dane statystyczne.

Wyłączone zostały państwa o stosunkowo niewielkiej licznie użytkowników produktów firmy Kaspersky Lab (poniżej 10 000). 
** Unikatowi użytkownicy, których komputery stanowiły cel trojanów bankowych jako odsetek wszystkich unikatowych użytkowników produktów Kaspersky Lab w danym państwie. 

10 najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania

10 rodzin szkodliwego oprogramowania wykorzystywanych do atakowania użytkowników bankowości online w I kwartale 2018 r. (według udziału zaatakowanych użytkowników):

Nazwa

Werdykty*

% zaatakowanych użytkowników**

1

Zbot

Trojan.Win32. Zbot

28,0%

 

2

Nymaim

Trojan.Win32. Nymaim

20,3%

 

3

Caphaw

Backdoor.Win32. Caphaw

15,2%

 

4

SpyEye

Backdoor.Win32. SpyEye

11,9%

 

5

NeutrinoPOS

Trojan-Banker.Win32.NeutrinoPOS

4,5%

 

6

Emotet

Backdoor.Win32. Emotet

2,4%

 

7

Neurevt

Trojan.Win32. Neurevt

2,3%

 

8

Shiz

Backdoor.Win32. Shiz

2,1%

 

9

Gozi

Trojan.Win32. Gozi

1,9%

 

10

ZAccess

Backdoor.Win32. ZAccess

1,3%

 

* Werdykty wykrycia produktów firmy Kaspersky Lab. Informacje zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się dostarczyć dane statystyczne.
** Unikatowi użytkownicy zaatakowani przez dane szkodliwe oprogramowanie jako odsetek wszystkich użytkowników zaatakowanych przez finansowe szkodliwe oprogramowanie.

W I kwartale 2018 r. ranking opuścił TrickBot, a na jego miejscu uplasował się Emotet (2,4%) znany również jako Heodo. Na prowadzeniu utrzymały się Trojan.Win32.Zbot (28%) oraz Trojan.Win32.Nymaim (20,3%), podczas gdy Trojan.Win32.Neurevt (2,3%), znany również jako Betabot, odnotował poważny spadek. Z kolei szkodniki Caphaw (15,2%) oraz NeutrinoPOS (4,5%) awansowali znacząco, odnotowując jednocześnie wzrost aktywności w I kwartale.    

Programy kryptograficzne (cryptoware)

Wydarzenia w I kwartale

I kwartał 2018 r. minął bez poważniejszych incydentów czy epidemii oprogramowaniem cryptoware na skalę masową. Na wzmiankę zasługuje jedynie pojawienie się i szerokie rozpowszechnienie nowego trojana o nazwie GandCrab. Szczególne cechy tego szkodliwego oprogramowania obejmują:   

  • Wykorzystanie serwerów kontroli w strefie domeny .bit (ta domena najwyższego poziomu jest wspierana przez alternatywny zdecentralizowany system DNS oparty na technologii Namecoin)
  • Żądania okupu w kryptowalucie Dash

GandCrab został wykryty po raz pierwszy w styczniu. Stojący za nim cyberprzestępcy wykorzystywali wiadomości spamowe i zestawy do tworzenia exploitów w celu dostarczania oprogramowania kryptograficznego na komputery ofiar.    

RaaS (ransomware jako usługa), jako model dystrybucji, nadal przyciąga twórców szkodliwego oprogramowania. W lutym, na przykład, pojawiło się nowe szkodliwe oprogramowanie ransomware o nazwie Data Keeper, które mogło być rozprzestrzeniane przez dowolnego cyberprzestępcę, który miał na to ochotę. Przy użyciu specjalnego zasobu w sieci Tor twórcy Data Keeper umożliwili generowanie plików wykonywalnych trojana w celu dalszego rozprzestrzeniania ich za pośrednictwem członków „programu partnerskiego”. Niebezpieczną właściwością tego szkodliwego oprogramowania są jego możliwości automatycznego rozprzestrzeniania wewnątrz lokalnej sieci. Mimo to zasięg rozpowszechnienia szkodnika Data Keeper w I kwartale nie był zbyt duży.    

Jeden istotny sukces w walce z oprogramowaniem cryptoware miał miejsce w Europie: z pomocą firmy Kaspersky Lab belgijska policja zlokalizowała i skonfiskowała serwer wykorzystywany przez osoby odpowiedzialne za trojana Cryakl. W wyniku tej operacji firmie Kaspersky Lab dostarczono kilka prywatnych kluczy RSA niezbędnych do odszyfrowania plików zaszyfrowanych przy użyciu określonych wersji trojana. Dzięki temu zdołaliśmy opracować narzędzie, aby pomóc ofiarom.     

Liczba nowych modyfikacji

W I kwartale 2018 r. pojawiło się kilka nowych programów kryptograficznych, ale tylko jeden, GandCrab, został zaklasyfikowany do nowej rodziny w naszej klasyfikacji. Pozostałe, które nie są szeroko rozpowszechnione, nadal są wykrywane przy użyciu werdyktów generycznych.

180511-it-threats-q1-18-statistics-13_au

Liczba nowych modyfikacji oprogramowania kryptograficznego, II kwartał 2017 – I kwartał 2018

 

Liczba nowych modyfikacji znacząco zmniejszyła się w stosunku do wcześniejszych kwartałów. Trend ten świadczy o spadku aktywności cyberprzestępców wykorzystujących tego typu szkodliwe oprogramowanie. 

Liczba użytkowników zaatakowanych przez trojany kryptograficzne

W badanym okresie produkty firmy Kaspersky Lab zablokowały ataki przy użyciu oprogramowania cryptoware na komputerach 179 934 unikatowych użytkowników. Mimo mniejszej liczby nowych modyfikacji trojanów liczba zaatakowanych użytkowników nie zmniejszyła się w porównaniu z III kwartałem.  

180511-it-threats-q1-18-statistics-14_au

Liczba unikatowych użytkowników zaatakowanych przez programy kryptograficzne, I kwartał 2018 r.

Rozkład geograficzny ataków

180511-it-threats-q1-18-statistics-15_au

10 państw zaatakowanych przez trojanów kryptograficznych

Państwo*

% użytkowników zaatakowanych przez programy kryptograficzne**

1

Uzbekistan

1,12

2

Angola

1,11

3

Wietnam

1,04

4

Wenezuela

0,95

5

Indonezja

0,95

6

Pakistan

0,93

7

Chiny

0,87

8

Azerbejdżan

0,75

9

Bangladesz

0,70

10

Mongolia

0,64

* Wyłączone zostały państwa o stosunkowo niewielkiej liczbie użytkowników produktów Kaspersky Lab (poniżej 50 000) 
** Unikatowi użytkownicy, których komputery zostały zaatakowane przez trojany kryptograficzne, jako odsetek wszystkich unikatowych użytkowników produktów Kaspersky Lab w danym państwie.

Skład powyższego rankingu różni się znacząco w stosunku do 2017 r. Ponownie, większość pozycji zajęły państwa azjatyckie, Europa z kolei nie posiadała ani jednego przedstawiciela wśród 10 państw o największej liczbie użytkowników zaatakowanych przez programy kryptograficzne.  

Na pierwszym i drugim miejscu uplasowały się odpowiednio Uzbekistan (1,12%) i Angola (1,11%) – państwa, które nie zakwalifikowały się do rankingu w zeszłym roku. Wietnam (1,04%) spadł z drugiego miejsca na trzecie, Indonezja (0,95%) z trzeciego miejsca na piąte, Chiny (0,87%) z piątego na siódme, natomiast Wenezuela (0,95%) awansowała z ósmej pozycji na czwartą.

10 najbardziej rozpowszechnionych rodzin kryptograficznych

Nazwa

Werdykt*

% zaatakowanych użytkowników**

1

WannaCry

Trojan-Ransom.Win32.Wanna

38,33

 

2

PolyRansom/VirLock

Virus.Win32.PolyRansom

4,07

 

3

Cerber

Trojan-Ransom.Win32.Zerber

4,06

 

4

Cryakl

Trojan-Ransom.Win32.Cryakl

2,99

 

5

(werdykt generyczny)

Trojan-Ransom.Win32.Crypren

2,77

 

6

Shade

Trojan-Ransom.Win32.Shade

2,61

 

7

Purgen/GlobeImposter

Trojan-Ransom.Win32.Purgen

1,64

 

8

Crysis

Trojan-Ransom.Win32.Crusis

1,62

 

9

Locky

Trojan-Ransom.Win32.Locky

1,23

 

10

(werdykt generyczny)

Trojan-Ransom.Win32.Gen

1,15

 

* Statystyki opierają się na werdyktach wykrycia produktów firmy Kaspersky Lab. Informacje zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy zgodzili się dostarczać dane statystyczne. 
** Unikatowi użytkownicy produktów Kaspersky Lab zaatakowani przez określoną rodzinę trojanów kryptograficznych jako odsetek wszystkich użytkowników zaatakowanych przez trojany kryptograficzne.

W badanym kwartale na szczycie rankingu po raz kolejny znalazł się WannaCry (38,33%), zwiększając swoje i tak już imponujące prowadzenie. Drugie miejsce zajął obecny już od jakiegoś czasu PolyRansom (4,07%), znany również jako VirLock. Szkodnik ten zastępuje pliki użytkownika zmodyfikowanymi kopiami własnego ciała i umieszcza wewnątrz takich kopii dane ofiary w zaszyfrowanej formie. Ze statystyk wynika, że wykryta w grudniu nowa modyfikacja natychmiast zaczęła atakować komputery użytkowników.       

Pozostałe pozycje w zestawieniu TOP 10 zajmują trojany znane już z poprzednich raportów: Cerber, Cryakl, Purgen, Crysis, Locky oraz Shade.

Państwa stanowiące źródła ataków WWW: pierwsza dziesiątka

Poniższe statystyki pokazują rozkład państw stanowiących największe źródła ataków internetowych zablokowanych przez produkty firmy Kaspersky Lab na komputerach użytkowników (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity oraz inne szkodliwe programy, centra kontroli botnetów, etc.). Każdy unikatowy host może stanowić źródło jednego lub większej liczby ataków.  

W celu określenia geograficznego źródła ataków WWW nazwy domen są porównywane z rzeczywistymi adresami IP domeny, a następnie ustalana jest lokalizacja geograficzna określonego adresu IP (GEOIP). 

W I kwartale 2018 r. rozwiązania firmy Kaspersky Lab zablokowały 796 806 112 ataków przeprowadzonych z zasobów internetowych zlokalizowanych w 194 państwach na świecie. 282 807 433 unikatowych adresów URL zostało uznanych za szkodliwe przez komponenty ochrony WWW. Liczby te są znacznie wyższe niż w poprzednich kwartałach.  

180511-it-threats-q1-18-statistics-16_au

Rozkład źródeł ataków WWW według państwa, I kwartał 2018 r.

W badanym kwartale moduł ochrony WWW był najbardziej aktywny w zasobach zlokalizowanych w Stanach Zjednoczonych (39,14%). Kanada, Chiny, Irlandia oraz Ukraina wypadły z pierwszej dziesiątki, a w ich miejsce uplasowały się Luksemburg (1,33%), Izrael (0,99%), Szwecja (0,96%) oraz Singapur (0,91%).

Państwa, w których użytkownicy byli najbardziej narażeni na infekcję online

Aby ocenić ryzyko infekcji online, na jakie narażeni są użytkownicy w różnych państwach, dla każdego z nich obliczyliśmy odsetek użytkowników Kaspersky Lab, na komputerach których został uruchomiony komponent ochrony WWW. Otrzymane dane stanowią wskaźnik agresywności środowiska, w którym działają komputery w różnych państwach.   

W rankingu uwzględniono wyłącznie szkodliwe programy klasy Malware; nie zawiera on potencjalnie niebezpiecznych czy niechcianych programów, takich jak RiskTool czy adware.

Państwo*

% zaatakowanych użytkowników**

1

Białoruś

40,90

2

Ukraina

40,32

3

Algieria

39,69

4

Albania

37,33

5

Mołdawia

37,17

6

Grecja

36,83

7

Armenia

36,78

8

Azerbejdżan

35,13

9

Kazachstan

34,64

10

Rosja

34,56

11

Kirgistan

33,77

12

Wenezuela

33,10

13

Uzbekistan

31,52

14

Gruzja

31,40

15

Łotwa

29,85

16

Tunezja

29,77

17

Rumunia

29,09

18

Katar

28,71

19

Wietnam

28,66

20

Serbia

28,55

Powyższe statystyki opierają się na werdyktach wykrycia przy użyciu modułu ochrony WWW uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się dostarczyć swoje dane statystyczne.
* Wyłączone zostały państwa o stosunkowo niewielkiej liczbie użytkowników Kaspersky Lab (poniżej 10 000).
** Unikatowi użytkownicy będący celem ataków klasy Malware jako odsetek wszystkich unikatowych użytkowników produktów Kaspersky Lab w danym państwie.

Średnio, 23,69% komputerów użytkowników internetu na całym świcie doświadczyło co najmniej jednego ataku klasy Malware.

180511-it-threats-q1-18-statistics-17_au

Rozkład geograficzny ataków WWW przy użyciu szkodliwego oprogramowania w I kwartale  2018 r. (odsetek zaatakowanych użytkowników)

 

Wśród państw o najbezpieczniejszym środowisku surfowania znajdują się (9,06%), Singapur (8,94%), Puerto Rico (6,67%), Nigeria (5,14%) oraz Kuba (4,44%). 

Zagrożenia lokalne

Statystyki dotyczące infekcji lokalnych dla komputerów użytkowników stanowią istotny wskaźnik: odzwierciedlają zagrożenia, które przeniknęły do systemów komputerowych poprzez infekowanie plików lub nośników wymiennych, lub pierwotnie przedostały się na komputer w formie zaszyfrowanej (np. programy zintegrowane w złożonych instalatorach, zaszyfrowanych plikach itd.).

Przedstawione w tej sekcji dane opierają się na analizie danych statystycznych generowanych przez skanery działające w odniesieniu do plików na dysku twardym w momencie ich tworzenia lub uzyskiwania do nich dostępu, jak również wyników skanowania nośników wymiennych.  

W I kwartale 2018 r. moduł ochrony plików wykrył 187 597 494 szkodliwych i potencjalnie niechcianych obiektów.

Państwa, w których użytkownicy byli najbardziej narażeni na lokalna infekcję

Dla każdego państwa obliczyliśmy odsetek użytkowników produktów firmy Kaspersky Lab, na komputerach których został uruchomiony moduł ochrony plików w badanym okresie. Statystyki te odzwierciedlają poziom infekcji komputerów osobistych w poszczególnych państwach.

Ranking uwzględnia tylko ataki klasy Malware. Nie obejmuje wykrytych za pomocą komponentu ochrony plików potencjalnie niebezpiecznych lub niechcianych programów takich jak RiskTool czy adware.

Państwo*

% zaatakowanych użytkowników**

1

Uzbekistan

57,03

2

Afganistan

56,02

3

Jemen

54,99

4

Tadżykistan

53,08

5

Algieria

49,07

6

Turkmenistan

48,68

7

Etiopia

48,21

8

Mongolia

46,84

9

Kirgistan

46,53

10

Sudan

46,44

11

Wietnam

46,38

12

Syria

46,12

13

Rwanda

46,09

14

Laos

45,66

15

Libia

45,50

16

Dżibuti

44,96

17

Irak

44,65

18

Mauretania

44,55

19

Kazachstan

44,19

20

Bangladesz

44,15

Statystyki te opierają się na werdyktach wykryć wygenerowanych przez moduły skanowania podczas dostępu oraz na żądanie, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się dostarczać swoje dane statystyczne. Dane te obejmują wykrycia szkodliwych programów zlokalizowanych na komputerach użytkowników lub podłączonych do nich nośników wymiennych, takich jak dyski flash, karty pamięci aparatu i telefonu, oraz zewnętrznych dysków twardych.    

 
* Wyłączone zostały państwa posiadające stosunkowo niewielką liczbę użytkowników Kaspersky Lab (poniżej 10 000).
** Unikatowi użytkownicy, na komputerach których zostały zablokowane lokalne zagrożenia klasy Malware jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

Średnio, w I kwartale 23,39% komputerów na całym świecie zetknęło się z co najmniej jednym zagrożeniem lokalnym klasy Malware.

180511-it-threats-q1-18-statistics-18_au

Wśród najbezpieczniejszych państw pod względem ryzyka infekcji znajdowały się: Estonia (15,86%), Singapur (11,97%), Nowa Zelandia (9,24%), Republika Czeska (7,89%), Irlandia (6,86%) oraz Japonia (5,79%).