Kaspersky Security Bulletin

Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

Содержание

  • Заключение
  •  Скачать PDF
     Скачать EPUB
     Скачать весь отчет в PDF
     Скачать весь отчет в EPUB

    1. Kaspersky Security Bulletin 2015. Развитие угроз в 2015 году
    2. Kaspersky Security Bulletin 2015. Эволюция угроз информационной безопасности в бизнес-среде
    3. Kaspersky Security Bulletin 2015. Основная статистика за 2015 год
    4. Kaspersky Security Bulletin 2015. Прогнозы на 2016 год

    Цифры года

    • В 2015 году решения «Лаборатории Касперского» отразили попытки атак вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на 1 966 324 компьютерах пользователей.
    • Программы-вымогатели обнаружены на 753 684 компьютерах уникальных пользователей, при этом программами-шифровальщиками было атаковано 179 209 компьютеров.
    • В течение года нашим веб-антивирусом было задетектировано 121 262 075 уникальных вредоносных объектов (скрипты, эксплойты, исполняемые файлы и т.д.).
    • Решения «Лаборатории Касперского» отразили 798 113 087 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.
    • 34,2% компьютеров пользователей интернета в течение года хотя бы раз подвергались веб-атаке.
    • Для проведения атак через интернет злоумышленники воспользовались 6 563 145 уникальными хостами.
    • 24% веб-атак, заблокированных нашими продуктами, проводились с использованием вредоносных веб-ресурсов, расположенных в США.
    • Нашим файловым антивирусом на компьютерах пользователей задетектировано 4 миллиона вредоносных и потенциально нежелательных программ.

    Уязвимые приложения, используемые злоумышленниками

    В 2015 году мы наблюдали использование новых техник маскировки эксплойтов, шеллкодов и полезной нагрузки с целью затруднить обнаружение заражения и анализ вредоносного кода. В частности, злоумышленники:

    Одним из знаменательных событий года стало обнаружение двух семейств критических уязвимостей под Android. Эксплуатация уязвимостей Stagefright позволяла атакующему, отправившему специально подготовленную MMS на номер жертвы, удаленно выполнить произвольный код на ее устройстве. Эксплуатация Stagefright 2 производилась с той же целью, но уже с помощью специально подготовленного медиафайла.

    В 2015 году продукты «ЛК» отразили атаки банкеров на без малого 2 млн. компьютерах #KLReport

    Tweet

    В 2015 году у вирусописателей пользовались популярностью эксплойты для Adobe Flash Player. Это можно объяснить тем, что в течение года было найдено большое количество уязвимостей в данном продукте. Кроме того, в результате утечки данных от Hacking Team в публичном доступе оказалась информация о неизвестных уязвимостях во Flash Player, чем и воспользовались злоумышленники.

    Разработчики различных эксплойт-паков оперативно реагировали на обнаружение новых уязвимостей в Adobe Flash Player и добавляли новые эксплойты в свои продукты. Вот «чертова дюжина» востребованных злоумышленниками уязвимостей в Adobe Flash Player, поддержка которых была добавлена в распространенные эксплойт-паки:

    Традиционно в некоторые известные эксплойт-паки входил эксплойт для уязвимости в Internet Explorer (CVE-2015-2419). Также в 2015 году было зафиксировано использование уязвимости в Microsoft Silverlight (CVE-2015-1671) для заражения пользователей. Впрочем, данный эксплойт не пользуется популярностью среди основных «игроков» на рынке эксплойтов.

    Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

    Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых приложений, 2015 год

    Рейтинг уязвимых приложений построен на основе данных о заблокированных нашими продуктами эксплойтах, используемых злоумышленниками как в атаках через интернет, так и при компрометации локальных приложений, в том числе на мобильных устройствах пользователей.

    Хотя доля эксплойтов для Adobe Flash Player в нашем рейтинге составляет всего 4%, «в дикой природе» они встречаются довольно часто. При рассмотрении данной статистики необходимо учитывать, что технологии «Лаборатории Касперского» детектируют эксплойты на различных этапах. В результате в категорию «Браузеры» (62%) попадают также детектирования лэндинг-страниц, которые «раздают» эксплойты. И по нашим наблюдениям, такие страницы чаще всего загружают именно эксплойты к Adobe Flash Player.

    В 2015 году программы-вымогатели были обнаружены на 753 684 компьютерах #KLReport

    Tweet

    В течение года мы наблюдали снижение количества случаев использования Java-эксплойтов. Если в конце 2014 года их доля среди всех заблокированных эксплойтов составляла 45%, то за этот год она постепенно уменьшилась на 32 п.п. – до 13%. Более того, на данный момент Java-эксплойты полностью исключены из всех известных эксплойт-паков.

    В то же время мы отметили рост использования эксплойтов для Microsoft Office – c 1 до 4%. Согласно нашим наблюдениям, в 2015 году эти эксплойты распространялись посредством массовых почтовых рассылок.

    Финансовое вредоносное ПО

    Настоящая статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

    Годовая статистика за 2015 год составлена на основе данных следующего отчетного периода: ноябрь 2014 – октябрь 2015.

    В 2015 году решения «Лаборатории Касперского» отразили попытки атак вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на 1 966 324 компьютерах пользователей. По сравнению с 2014 годом (1 910 520) данный показатель увеличился на 2,8%.

    Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

    Число пользователей, атакованных финансовым вредоносным ПО,
    ноябрь 2014 – октябрь 2015 года

    Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

    Число пользователей, атакованных финансовым вредоносным ПО в 2014 и 2015 годах

    В 2015 году активность финансового вредоносного ПО росла в период с февраля по апрель с максимальными показателями в марте-апреле. Еще один всплеск был зафиксирован в июне. В 2014 году больше всего пользователей было атаковано финансовыми зловредами в мае-июне. С июня по октябрь в 2014 и 2015 годах количество атакованных пользователей постепенно уменьшалось.

    География атак

    Чтобы оценить популярность финансового вредоносного ПО у злоумышленников и риск, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в отчетный период, от всех атакованных уникальных пользователей наших продуктов в стране.

    TOP-10 стран по проценту атакованных пользователей в 2015 году

    Страна* % атакованных пользователей**
    1 Сингапур 11,6
    2 Австрия 10,6
    3 Швейцария 10,6
    4 Австралия 10,1
    5 Новая Зеландия 10,0
    6 Бразилия 9,8
    7 Намибия 9,3
    8 Гонконг 9,0
    9 ЮАР 8,2
    10 Ливан 6,6

    * При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского», относительно мало (меньше 10 тысяч).
    ** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам финансовых зловредов, от всех атакованных уникальных пользователей продуктов «Лаборатории Касперского» в стране.

    Лидером этого рейтинга стал Сингапур. В этой стране из всех атакованных зловредами пользователей «Лаборатории Касперского» хотя бы раз в течение года с банковскими троянцами столкнулись 11,6% пользователей. Этот факт иллюстрирует популярность финансовых угроз по отношению ко всем угрозам в данной стране.

    В 2015 году программами-шифровальщиками было атаковано 179 209 компьютеров #KLReport

    Tweet

    В Испании с банковскими троянцами хотя бы раз в течение года столкнулись 5,4% атакованных пользователей, в Италии — 5,0%, в Британии – 5,1%, в Германии — 3,8%, во Франции – 2,9%, в США данный показатель составил 3,2%, в Японии – 2,5%.

    В России с банковскими троянцами столкнулись 2,0% атакованных пользователей.

    TOP 10 семейств банковского вредоносного ПО

    TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в 2015 году (по доле атакованных пользователей):

    Название* % атакованных пользователей**
    1 Trojan-Downloader.Win32.Upatre 42,36
    2 Trojan-Spy.Win32.Zbot 26,38
    3 Trojan-Banker.Win32.ChePro 9,22
    4 Trojan-Banker.Win32.Shiotob 5.10
    5 Trojan-Banker.Win32.Banbra 3,51
    6 Trojan-Banker.Win32.Caphaw 3,14
    7 Trojan-Banker.AndroidOS.Faketoken 2,76
    8 Trojan-Banker.AndroidOS.Marcher 2,41
    9 Trojan-Banker.Win32.Tinba 2,05
    10 Trojan-Banker.JS.Agent 1,88

    * Детектирующие вердикты продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
    ** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей, атакованных финансовым вредоносным ПО.

    Подавляющее большинство семейств зловредов, попавших в TOP 10, используют классическую для банковских троянцев технику внедрения произвольного HTML-кода в отображаемую браузером веб-страницу и последующего перехвата платежных данных, вводимых пользователем в оригинальные и добавленные троянцем веб-формы.

    Зловреды семейства Trojan-Downloader.Win32.Upatre на протяжении всего года лидируют в данном рейтинге. Размер троянцев не превышает 3,5 Кб, а их функции ограничиваются загрузкой «полезной нагрузки» на зараженный компьютер – чаще всего это троянцы-банкеры семейства, известного как Dyre/Dyzap/Dyreza. Основной задачей банковских троянцев этого семейства является кража платежных данных пользователя. Для этого Dyre использует перехват данных банковской сессии между браузером жертвы и веб-приложением онлайн-банкинга – другими словами, реализует технику «Man-in-the-Browser» (MITB). Отметим, что данный зловред активно распространяется и посредством специально сформированных электронных писем, в которых содержится вложение – документ с загрузчиком. Кроме того, летом 2015 года загрузчик Trojan-Downloader.Win32.Upatre был замечен на скомпрометированных домашних роутерах, что говорит о многоцелевом использовании этого троянца злоумышленниками.

    Другой бессменный резидент данного рейтинга — Trojan-Spy.Win32.Zbot (второе место), также уверенно держит свои позиции. Его постоянное присутствие на верхних строчках рейтинга неслучайно. Троянцы семейства Zbot одними из первых стали использовать веб-инжекты для компрометации платежных данных пользователей систем онлайн-банкинга и модификации содержимого банковских веб-страниц. Они использовали несколько уровней шифрования своих конфигурационных файлов и при этом сам расшифрованный файл конфигурации не хранится в памяти целиком, а загружается по частям.

    Представители семейства троянцев Trojan-Banker.Win32.ChePro были впервые обнаружены в октябре 2012 г. Тогда троянцы атаковали преимущественно пользователей из Бразилии, Португалии и России, в настоящее время его используют для атак на пользователей многих стран. Большинство образцов ChePro – загрузчики, которым для успешной атаки необходимы другие файлы. Как правило, это банковские вредоносные программы, позволяющие делать снимки экрана, регистрировать клавиатурные нажатия и читать содержимое буфера копирования, т.е. имеющие функционал, дающий возможность использовать вредоносную программу для атаки практически на любые системы онлайн-банкинга.

    Отметим, что в этом рейтинге присутствуют два семейства мобильных банковских троянцев: Faketoken и Marcher. Зловреды этих семейств воруют платежные данные с мобильных устройств под управлением операционной системы Android.

    В 2015 году наш веб-антивирус задетектировал более 121 млн. уникальных вредоносных объектов #KLReport

    Tweet

    Представители семейства Trojan-Banker.AndroidOS.Faketoken работают в паре с компьютерными банковскими троянцами. Для их распространения киберпреступники используют технологии социальной инженерии: когда клиент банка с зараженного компьютера посещает страницу онлайн-банкинга, троянец модифицирует эту страницу, предлагая загрузить Android-приложение, которое якобы будет защищать транзакции. На самом деле ссылка ведет на вредоносное приложение Faketoken. После того как зловред оказывается на смартфоне жертвы, преступники через зараженный банковским троянцем компьютер пользователя получают доступ к банковскому счету, а зараженное мобильное устройство позволяет им перехватывать одноразовый пароль двухфакторной аутентификации (mTAN).

    Второе семейство мобильных банковских троянцев – Trojan-Banker.AndroidOS.Marcher. Заразив мобильное устройство, зловреды отслеживают запуск всего двух приложений: клиента мобильного банкинга одного из европейских банков и Google Play. В случае если пользователь входит в магазин Google Play, Marcher демонстрирует пользователю фальшивое окно для ввода данных о платежной карте, которые затем попадают к злоумышленникам. Аналогичным образом троянец действует и в случае открытия пользователем банковского приложения.

    На десятом месте рейтинга находится семейство Trojan-Banker.JS.Agent – вредоносный JS-код, который является результатом процедуры инжекта в страницу онлайн-банкинга. Задача данного кода – перехватить платежные данные, которые пользователь вводит в формы на странице онлайн-банкинга.

    2015 – интересный год для программ–вымогателей

    Троянцы-вымогатели – это класс вредоносного ПО, которое вносит несанкционированные изменения в пользовательские данные (это, например, программы-шифровальщики) или блокирует нормальную работу компьютера. Для расшифровки данных и разблокировки компьютера владельцы вредоносных программ обычно требуют от жертв выплаты определенной суммы денег («выкупа»).

    С момента появления CryptoLocker в 2013 году, программы-вымогатели прошли длинный путь развития. Например, в 2014 году был обнаружен первый вымогатель для ОС Android. Всего через год уже 17% всех случаев заражения вымогателями приходилось на программы-вымогатели, созданные для ОС Android.

    В 2015 году появилась первая программа-вымогатель для Linux – она относится к классу Trojan-Ransom.Linux. К счастью, создатели зловреда допустили небольшую ошибку при реализации программы, что позволяет расшифровать данные без выплаты выкупа.

    К сожалению, такие ошибки при реализации допускаются все реже и реже. ФБР заявило по этому поводу следующее: «Программы-вымогатели сделаны настолько хорошо… Скажем прямо: мы часто рекомендуем просто заплатить требуемую сумму». То, что такой план не всегда разумен, стало понятно в этом году, когда голландская полиция смогла задержать двоих подозреваемых, связанных с вредоносной программой CoinVault. Чуть позже они выдали все 14 000 ключей шифрования, которые «Лаборатория Касперского» внесла в свой новый инструмент дешифровки. В результате все жертвы CoinVault смогли расшифровать свои файлы бесплатно.

    Кроме всего прочего, 2015 год ознаменовался появлением зловреда TeslaCrypt. Он известен в том числе благодаря использованию графических интерфейсов других семейств программ-вымогателей: сначала авторы зловреда позаимствовали интерфейс CryptoLocker, затем CryptoWall. В последнем случае они полностью скопировали HTML-страницу из CryptoWall 3.0, изменив только ссылки.

    Число пользователей, подвергшихся атакам

    На следующем графике представлен рост числа пользователей, ставших жертвами программ-вымогателей в прошедшем году:

    Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

    Число пользователей, атакованных троянцами-вымогателями (Q4 2014 г. – Q3 2015 г.)

    За весь 2015 год программы-вымогатели обнаружены на 753 684 компьютерах. Таким образом вымогатели становятся все большей проблемой.

    TOP 10 наиболее распространенных семейств троянцев-вымогателей

    Ниже представлен список десяти наиболее широко распространенных семейств троянцев-вымогателей. В список вошли семейства браузерных вымогателей, блокировщиков и некоторых хорошо известных шифровальщиков. Несколько лет назад были очень популярны так называемые блокировщики Windows, которые ограничивают доступ к системе (например, семейство Trojan-Ransom.Win32.Blocker) и требуют выкупа – начали они распространяться в России, а затем переместились на Запад. Но в наши дни они уже не так широко распространены и не попали в TOP 10.

    Название* Процент пользователей**
    1 Trojan-Ransom.HTML.Agent 38,0
    2 Trojan-Ransom.JS.Blocker 20,7
    3 Trojan-Ransom.JS.InstallExtension 8,0
    4 Trojan-Ransom.NSIS.Onion 5,8
    5 Trojan-Ransom.Win32.Cryakl 4,3
    6 Trojan-Ransom.Win32.Cryptodef 3,1
    7 Trojan-Ransom.Win32.Snocry 3,0
    8 Trojan-Ransom.BAT.Scatter 3,0
    9 Trojan-Ransom.Win32.Crypmod 1,8
    10 Trojan-Ransom.Win32.Shade 1,8

    * Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
    ** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

    На первом месте находится семейство Trojan-Ransom.HTML.Agent (38%), на втором – Trojan-Ransom.JS.Blocker (20,7%). Оба семейства блокируют браузер, демонстрируя веб-страницы с различным нежелательным контентом, который обычно включает сообщение с требованием выплаты денег (например, «предупреждение от правоохранительных органов») или содержит код JavaScript, блокирующий браузер вместе с сообщением.

    В 2015 году решения «Лаборатории Касперского» отразили 798 113 087 веб-атак из разных стран мира #KLReport

    Tweet

    На третьем месте находится Trojan-Ransom.JS.InstallExtension (8%) – это блокирующая браузер веб-страница, которая навязывает пользователю установку расширения Chrome. При попытке закрыть страницу часто проигрывается файл voice.mp3: «Чтобы закрыть страницу, нажмите кнопку «Добавить». Предлагаемые расширения не являются вредоносными, но сама страница так назойлива, что пользователю сложно отказаться. Такой вид продвижения расширений используется партнерской программой.

    Эти три вредоносных семейства особенно широко распространены в России и почти также широко представлены в некоторых странах постсоветского пространства.

    Если посмотреть, где класс троянцев-вымогателей наиболее широко распространен (весь класс, не только три семейства, указанные выше), то окажется, что в тройке лидеров – Казахстан, Россия и Украина.

    В третьем квартале 2015 года активизировался Cryakl – за день мы фиксировали до 2300 попыток заражения. Интересна схема шифрования Cryakl: вместо всего файла он шифрует первые 29 байт плюс три других блока, расположенных в файле случайным образом. Это делается, чтобы избежать распознавания поведенческими методами, тогда как шифрование первых 29 байт уничтожает заголовок.

    34,2% компьютеров пользователей хотя бы раз за 2015 год подвергались веб-атаке #KLReport

    Tweet

    Cryptodef – это пресловутый троянец-вымогатель Cryptowall. В отличие от других семейств вымогателей, о которых здесь идет речь, Cryptowall чаще всего обнаруживается в США – частота заражений в этой стране в три раза выше, чем в России. Cryptowall распространяется через спам-сообщения, содержащие заархивированный код JavaScript. При исполнении JavaScript загружает на компьютер Сryptowall, который начинает шифровать файлы. В сообщение с требованием выкупа злоумышленники внесли изменения: теперь жертв поздравляют с тем, что они «стали частью огромного сообщества Cryptowall».

    Шифровальщики могут быть реализованы не только в виде исполняемых файлов, но и в виде скриптов, написанных с использованием простых скриптовых языков, как в случае семейства Trojan-Ransom.BAT.Scatter. Это семейство появилось в 2014 г. и стало быстро развиваться, совмещая функции почтового червя и троянца, крадущего учетные данные с пораженного компьютера. При шифровании используются две пары асимметричных ключей, что позволяет шифровать пользовательские файлы без раскрытия секретного ключа. Для шифрования файлов используются легитимные утилиты под другими именами.

    Шифровальщик Trojan-Ransom.Win32.Shade, который тоже широко распространен в России, умеет запрашивать с командного сервера список, содержащий ссылки на дополнительные вредоносные программы. Далее он загружает эти зловреды и устанавливает их в систему. Все командные серверы шифровальщика расположены в сети Tor. Предположительно, данный троянец распространяется и через партнерскую программу.

    TOP 10 стран, подвергшихся атакам троянцев-вымогателей

    Страна* % пользователей, атакованных троянцем-вымогателем**
    1 Казахстан 5,47
    2 Украина 3,75
    3 Российская Федерация 3,72
    4 Нидерланды 1,26
    5 Бельгия 1,08
    6 Беларусь 0,94
    7 Кыргызстан 0,76
    8 Узбекистан 0,69
    9 Таджикистан 0,69
    10 Италия 0,57

    * При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
    ** Процент уникальных пользователей, компьютеры которых были атакованы троянцами-вымогателями, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

    Шифровальщики

    Хотя сегодня шифровальщики не настолько популярны среди киберпреступников, насколько были популярны блокировщики, они причиняют пользователям больше вреда. И их стоит рассмотреть отдельно.

    Число новых троянцев-шифровальщиков

    На следующей диаграмме представлен рост числа новых версий троянцев-шифровальщиков за последние несколько лет.

    Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

    Число модификаций троянцев-шифровальщиков в коллекции «Лаборатории Касперского» (2013-2015 гг.)

    На сегодняшний день в коллекции «Лаборатории Касперского» содержится около 11 тысяч модификаций троянцев-шифровальщиков. В 2015 году появилось десять новых семейств шифровальщиков.

    Число пользователей, атакованных шифровальщиками

    Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

    Число пользователей, атакованных троянцами-шифровальщиками (2012-2015 гг.)

    В 2015 году шифровальщиками было атаковано 179 209 уникальных пользователей. Около 20% атак пришлось на корпоративный сектор.

    Важно помнить, что реальное число инцидентов в несколько раз выше: статистика отражает только результаты сигнатурного и эвристического обнаружения, тогда как большая часть троянцев-шифровальщиков детектируется продуктами «Лаборатории Касперского» поведенческими методами.

    TOP 10 стран, подвергшихся атакам троянцев-шифровальщиков

    Страна* % пользователей, атакованных шифровальщиками**
    1 Нидерланды 1,06
    2 Бельгия 1,00
    3 Российская Федерация 0,65
    4 Бразилия 0,44
    5 Казахстан 0,42
    6 Италия 0,36
    7 Латвия 0,34
    8 Турция 0,31
    9 Украина 0,31
    10 Австрия 0,30

    * При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
    ** Процент уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

    Первое место занимают Нидерланды. В этой стране наиболее распространено семейство шифровальщиков CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). В 2015 году злоумышленниками была запущена партнерская программа, использующая CTB-Locker, были добавлены новые языки, в том числе голландский. Пользователи заражаются в основном через электронные сообщения с вредоносными вложениями. Вероятно, в кампании по заражению компьютеров участвует носитель голландского – сообщения написаны на довольно неплохом голландском.

    Похожая ситуация в Бельгии: здесь CTB-Locker тоже является самым распространенным троянцем-шифровальщиком.

    В России список шифровальщиков, заражающих компьютеры пользователей, возглавляет Trojan-Ransom.Win32.Cryakl.

    Вредоносные программы в интернете (атаки через веб-ресурсы)

    Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

    Угрозы в интернете: TOP 20

    Всего в течение года нашим веб-антивирусом было задетектировано 121 262 075 уникальных вредоносных объектов (скрипты, эксплойты, исполняемые файлы и т.д.).

    Мы выделили двадцать угроз, которые в 2015 году чаще всего встречались в интернете. Как и в прошлом году, рекламные программы и их компоненты заняли 12 позиций в этом TOP 20. В течение года рекламные программы и их компоненты были зафиксированы на 26,1% всех компьютеров пользователей, на которых сработал наш веб-антивирус. Увеличение количества рекламных программ, агрессивные способы их распространения и их противодействие детектированию со стороны антивирусов продолжают тренд 2014 года.

    В ходе веб-атак в 2015 году злоумышленники использовали более 6,5 млн. уникальных хостов #KLReport

    Tweet

    Хотя агрессивная реклама и доставляет неудобство пользователям, рекламные программы не наносят вреда компьютерам. Поэтому мы составили другой рейтинг, в который вошли только вредоносные объекты (в нем не учитываются программы классов Adware и Riskware). На эти вредоносные объекты пришлось 96,6% атак вредоносных программ.

    TOP 20 вредоносных объектов в интернете

    Название* % от всех атак**
    1 Malicious URL 75,76
    2 Trojan.Script.Generic 8,19
    3 Trojan.Script.Iframer 8,08
    4 Trojan.Win32.Generic 1,01
    5 Expoit.Script.Blocker 0,79
    6 Trojan-Downloader.Win32.Generic 0,69
    7 Trojan-Downloader.Script.Generic 0,36
    8 Trojan.JS.Redirector.ads 0,31
    9 Trojan-Ransom.JS.Blocker.a 0,19
    10 Trojan-Clicker.JS.Agent.pq 0,14
    11 Trojan-Downloader.JS.Iframe.diq 0,13
    12 Trojan.JS.Iframe.ajh 0,12
    13 Exploit.Script.Generic 0,10
    14 Packed.Multi.MultiPacked.gen 0,09
    15 Exploit.Script.Blocker.u 0,09
    16 Trojan.Script.Iframer.a 0,09
    17 Trojan-Clicker.HTML.Iframe.ev 0,09
    18 Hoax.HTML.ExtInstall.a 0,06
    19 Trojan-Downloader.JS.Agent.hbs 0,06
    20 Trojan-Downloader.Win32.Genome.qhcr 0,05

    * Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
    ** Процент от всех веб-атак вредоносных программ, которые были зафиксированы на компьютерах уникальных пользователей.

    В TOP 20 представлены по большей части вердикты, которые присваиваются объектам, использующимся, как правило, в drive-by атаках. Они детектируются эвристически как Trojan.Script.Generic, Expoit.Script.Blocker, Trojan-Downloader.Script.Generic и другие. Такие объекты занимают семь позиций в нашем рейтинге.

    Malicious URL – вердикт для ссылок из нашего списка запрещенных (ссылки на веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами, сайты-вымогатели и т.д.).

    Под вердиктом Trojan.JS.Redirector.ads (8-е место) детектируется скрипт, который злоумышленники размещают на зараженных веб-ресурсах. Он перенаправляет пользователей на другие веб-сайты, например, на сайты онлайн-казино. Попадание данного вердикта в рейтинг должно служить напоминанием администраторам веб-ресурсов о легкости автоматического заражения их сайтов даже не самыми сложными программами.

    Вредоносные веб-ресурсы США использовались в 24% заблокированных в 2015 году веб-атак #KLReport

    Tweet

    Вердикт Trojan-Ransom.JS.Blocker.a (9-е место) представляет собой скрипт, который с помощью циклического обновления страницы пытается блокировать браузер и выводит сообщение о необходимости оплаты «штрафа» за просмотр неподобающих материалов. Деньги пользователю надо перевести на указанный электронный кошелек. Встречается данный скрипт в основном на порносайтах, детектируется в России и странах СНГ.

    Скрипт с вердиктом Trojan-Downloader.JS.Iframe.diq (11-е место) также встречается на зараженных сайтах под управлением WordPress, Joomla и Drupal. Кампания по массовому заражению сайтов данным скриптом началась в августе 2015 года. Сначала он передает на сервер злоумышленников информацию о заголовке зараженной страницы, текущем домене и адресе страницы, с которой пользователь перешел на страницу со скриптом. После этого с помощью iframe в браузер пользователя загружается другой скрипт, который собирает информацию о системе на компьютере пользователя, временной зоне и наличии Adobe Flash Player. После этого и серий перенаправлений пользователь попадает на сайты, предлагающие установить под видом обновления Adobe Flash Player рекламную программу, либо предлагающие установить плагины для браузера.

    Страны — источники веб-атак: TOP 10

    Данная статистика показывает распределение по странам источников заблокированных антивирусом веб-атак на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальных хост мог быть источником одной и более веб-атак. В данной статистике мы не учитывали источники распространения рекламных программ и хосты, связанные с деятельностью рекламных программ.

    Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

    Для проведения 798 113 087 атак через интернет, заблокированных в 2015 году, злоумышленники воспользовались 6 563 145 уникальными хостами.

    80% нотификаций о заблокированных веб-атаках были получены при блокировании атак с веб-ресурсов, расположенных в десяти странах мира.

    8_RU

    Распределение по странам источников веб-атак, 2015 год

    Первые четыре места не изменились по сравнению с прошлым годом: США (24,15%), Германия (13,03%), Нидерланды (10,68%) и Россия (8,98%). Показатель каждой из этих стран уменьшился на несколько процентных пунктов. Франция (5,07%) набрала 2,08 п.п. и поднялась с седьмого места на пятое, Украина (4,16%) опустилась с пятого на седьмое место. Выбыли из топа Канада и Вьетнам, а новички – Китай (2,97%) и Швеция (1,95%) – разместились на девятом и десятом месте соответственно.

    Данный топ демонстрирует, что киберпреступники предпочитают вести свою деятельность и использовать хостинги в развитых странах, рынок хостинг-услуг в которых очень развит.

    Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

    Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение года пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах.

    20 стран, в которых отмечен наибольший риск заражения компьютеров через интернет

    Страна* % уникальных пользователей**
    1 Россия 48,90
    2 Казахстан 46,27
    3 Азербайджан 43,23
    4 Украина 40,40
    5 Вьетнам 39,55
    6 Монголия 38,27
    7 Беларусь 37,91
    8 Армения 36,63
    9 Алжир 35,64
    10 Катар 35,55
    11 Латвия 34,20
    12 Непал 33,94
    13 Бразилия 33,66
    14 Киргизия 33,37
    15 Молдова 33,28
    16 Китай 33,12
    17 Таиланд 32,92
    18 Литва 32,80
    19 ОАЭ 32,58
    20 Португалия 32,31

    Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.

    * При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч).
    ** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

    Первые три страны в данном рейтинге не изменились по сравнению с 2014 годом. Россия по-прежнему сохраняет лидерство, однако процент уникальных пользователей там уменьшился на 4,9 п.п.

    Покинули TOP 20 Германия, Таджикистан, Грузия, Саудовская Аравия, Австрия, Шри-Ланка и Турция. Среди новичков – Латвия, Непал, Бразилия, Китай, Таиланд, ОАЭ и Португалия.

    Все страны мира по степени риска заражения при серфинге в интернете можно распределить на три группы.

    1. Группа повышенного риска
      В эту группу с результатом выше 41% вошли первые три страны из TOP 20 – Россия, Казахстан и Азербайджан. Эта группа уменьшилась: по итогам 2014 года в нее входило 9 стран.

    2. Группа риска
      В эту группу с показателями 21-40,9% попали 109 стран, в том числе: Франция (32,1%), Германия (32,0%), Индия (31,6%), Испания (31,4%), Турция (31,0%), Греция (30,3%), Канада (30,2%), Италия (29,4%), Швейцария (28,6%), Австралия (28,0%), Болгария (27,0%), США (26,4%), Грузия (26,2%), Израиль (25,8%), Мексика (24,3%), Египет (23,9%), Румыния (23,4%), Великобритания (22,4%), Чехия (22,0%), Ирландия (21,6%), Япония (21,1%).

    3. Группа наиболее безопасных стран (0-20,9%)
      В эту группу попали 52 страны, в том числе: Кения (20,8%), Венгрия (20,7%), Мальта (19,4%), Нидерланды (18,7%), Норвегия (18,3%), Аргентина (18,3%), Сингапур (18,2%), Швеция (18%), Южная Корея (17,2%), Финляндия (16,5%), Дания (15, 2%).

    В 2015 году при серфинге в интернете веб-атакам хотя бы раз подверглись 34,2% компьютеров пользователей интернета.

    В среднем уровень опасности интернета за год снизился на 4,1 п.п. Данный тренд плавного снижения начался в 2014 году, и продолжается второй год подряд. Он может быть обусловлен несколькими факторами:

    • Во-первых, свой вклад в борьбу с вредоносными сайтами стали вносить браузеры и поисковые системы, разработчики которых обеспокоились безопасностью пользователей.
    • Во-вторых, все чаще пользователи отдают предпочтение для серфинга в интернете мобильным устройствам и планшетам.
    • В-третьих, многие эксплойт-паки стали проверять, стоит ли у пользователя наш продукт. Если продукт стоит, то эксплойты не пытаются атаковать компьютер пользователя.

    Локальные угрозы

    Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т.д.). Кроме того, в этой статистике учитываются объекты, которые были обнаружены на компьютерах пользователя после установки нашего продукта и первого сканирования системы файловым антивирусом.

    В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

    Всего в 2015 году было зафиксировано около 4 миллионов вредоносных и потенциально нежелательных программ. Это в два раза больше, чем в прошлом году.

    Вредоносные объекты, обнаруженные на компьютерах пользователей: TOP 20

    Мы выделили двадцать угроз, которые в 2015 году чаще всего детектировались на компьютерах пользователей. В данный рейтинг также не входят программы классов Adware и Riskware.

    Название* % уникальных атакованных пользователей**
    1 DangerousObject.Multi.Generic 39,70
    2 Trojan.Win32.Generic 27,30
    3 Trojan.WinLNK.StartPage.gena 17,19
    4 Trojan.Win32.AutoRun.gen 6,29
    5 Virus.Win32.Sality.gen 5,53
    6 Worm.VBS.Dinihou.r 5,40
    7 Trojan.Script.Generic 5,01
    8 DangerousPattern.Multi.Generic 4,93
    9 Trojan-Downloader.Win32.Generic 4,36
    10 Trojan.WinLNK.Agent.ew 3,42
    11 Worm.Win32.Debris.a 3,24
    12 Trojan.VBS.Agent.ue 2,79
    13 Trojan.Win32.Autoit.cfo 2,61
    14 Virus.Win32.Nimnul.a 2,37
    15 Worm.Script.Generic 2,23
    16 Trojan.Win32.Starter.lgb 2,04
    17 Worm.Win32.Autoit.aiy 1,97
    18 Worm.Win32.Generic 1,94
    19 HiddenObject.Multi.Generic 1,66
    20 Trojan-Dropper.VBS.Agent.bp 1,55

    Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

    * Детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
    ** Процент уникальных пользователей, на компьютерах которых файловый антивирус детектировал данный объект, от всех уникальных пользователей продуктов «Лаборатории Касперского», у которых происходило срабатывание антивируса на вредоносные программы.

    Первое место занимает вердикт DangerousObject.Multi.Generic (39,70%), используемый для вредоносных программ, обнаруженных с помощью облачных технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

    В 2015 году на ПК пользователей было обнаружено 4 млн. вредоносных и потенциально нежелательных программ #KLReport

    Tweet

    Продолжает падать доля вирусов: например, Virus.Win32.Sality.gen в прошлом году встречался у 6,69% пользователей, в 2015 – у 5,53%. Показатель Virus.Win32.Nimnul.a в 2014 году – 2,8%, в 2015 – 2,37%. Присутствующий в рейтинге на двадцатом месте вердикт Trojan-Dropper.VBS.Agent.bp представляет собой VBS-скрипт, который извлекает из себя и сохраняет на диск Virus.Win32.Nimnul.

    Помимо эвристических вердиктов и вирусов в TOP 20 представлены вердикты для червей, распространяющихся на съемных носителях, и их компонентов. Их попадание в двадцатку обусловлено характером их распространения и созданием множества копий. Червь может продолжать свое распространение на протяжении длительного времени, даже если его серверы управления уже не действуют.

    Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

    Для каждой из стран мы подсчитали, насколько часто в течение года пользователи в ней сталкивались со срабатыванием файлового антивируса. Учитывались детектируемые объекты, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, – флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

    TOP 20 стран по уровню зараженности компьютеров

    Страна* % уникальных пользователей**
    1 Вьетнам 70,83
    2 Бангладеш 69,55
    3 Россия 68,81
    4 Монголия 66,30
    5 Армения 65,61
    6 Сомали 65,22
    7 Грузия 65,20
    8 Непал 65,10
    9 Йемен 64,65
    10 Казахстан 63,71
    11 Ирак 63,37
    12 Иран 63,14
    13 Лаос 62,75
    14 Алжир 62,68
    15 Камбоджа 61,66
    16 Руанда 61,37
    17 Пакистан 61,36
    18 Сирия 61,00
    19 Палестинская территория 60,95
    20 Украина 60,78

    Настоящая статистика основана на детектирующих вердиктах файлового антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

    * При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч).
    ** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

    Первое место в этом рейтинге третий год подряд занимает Вьетнам (70,83%). Монголия и Бангладеш в 2015 году поменялись местами: Монголия (66,30%) опустилась со второго на четвертое место, а Бангладеш (69,55%) поднялся с четвертого на второе. Россия (68,81%), не вошедшая в TOP 20 в прошлом году, в 2015 году оказалась сразу на третьем месте.

    Покинули TOP 20 Индия, Афганистан, Египет, Саудовская Аравия, Судан, Шри-Ланка, Мьянма, Турция. Среди новичков – Россия, Армения, Сомали, Грузия, Иран, Руанда, Палестинская территория, Украина.

    В среднем в группе стран из TOP 20 вредоносный объект хотя бы раз был обнаружен на компьютере – на жестком диске или на съемном носителе, подключенном к нему, – у 67,7% пользователей KSN, предоставляющих нам информацию, тогда как в 2014 году – у 58,7%.

    В случае локальных угроз мы можем разделить все страны мира на несколько категорий.

    1. Максимальный уровень заражения (более 60%)
      В эту группу вошли 22 страны, в том числе: Киргизия (60,77%), Афганистан (60,54%).

    2. Высокий уровень заражения (41-60%)
      В эту группу попали 98 страны мира, в том числе Индия (59,7%), Египет (57,3%), Беларусь (56,7%), Турция (56,2%), Бразилия (53,9%), Китай (53,4%), ОАЭ (52,7%), Сербия (50,1%), Болгария (47,7%), Аргентина (47,4%), Израиль (47,3%), Латвия (45,9%), Испания (44,6%), Польша (44,3%), Германия (44,0%), Греция (42,8%), Франция (42,6%), Корея (41,7%), Австрия (41,7%).

    3. Средний уровень заражения (21-40,9%)
      В группу вошли 45 стран, в том числе
      Румыния (40,0%), Италия (39,3%), Канада (39,2%), Австралия (38,5%), Венгрия (38,2%), Швейцария (37,2%), США (36,7%), Великобритания (34,7%), Ирландия (32,7%), Нидерланды (32,1%), Чехия (31,5%), Сингапур (31,4%), Норвегия (30,5%), Финляндия (27,4%), Швеция (27,4%), Дания (25,8%), Япония (25, 6%).

    В десятку самых безопасных по уровню локального заражения стран попали:

    Страна % пользователей*
    1 Куба 20,8
    2 Сейшельские острова 25,3
    3 Япония 25,6
    4 Дания 25,8
    5 Швеция 27,4
    6 Финляндия 27,4
    7 Андорра 28,7
    8 Норвегия 30,5
    9 Сингапур 31,4
    10 Чехия 31,5

    * Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

    По сравнению с 2014 годом в этом списке произошли изменения – появились Андорра, покинула рейтинг Мартиника.

    В среднем в десятке самых безопасных стран мира хотя бы раз в течение года было атаковано 26,9% компьютеров пользователей. По сравнению с прошлым годом этот показатель увеличился на 3,9 п.п.

    Заключение

    На основе анализа статистики мы можем выделить основные направления развития деятельности киберкриминала:

    • Часть людей, занимавшихся киберкриминальной деятельностью, стремится минимизировать риски уголовного преследования и переключается с атак вредоносных программ на агрессивное распространение рекламного ПО.
    • В используемом в массовых атаках ПО растет доля относительно несложных программ. Такой подход позволяет злоумышленникам быстро обновлять вредоносное ПО, чем и достигается эффективность атак.
    • Злоумышленники освоили не-Windows платформы – Android и Linux: для этих платформ созданы и используются практически все виды вредоносных программ.
    • В ходе своей деятельности киберкриминал активно использует современные технологии анонимизации – Tor для сокрытия командных серверов и Биткойны для проведения транзакций.

    Все большая доля срабатывания антивируса приходится на «серую зону»: в первую очередь это различные рекламные программы и их модули. В нашем рейтинге веб-угроз 2015 года представители этого класса программ занимают двенадцать позиций в TOP 20. В течение года рекламные программы и их компоненты были зафиксированы на 26,1% всех компьютеров пользователей, на которых сработал наш веб-антивирус. Увеличение количества рекламных программ, агрессивные способы их распространения и их противодействие детектированию антивирусов продолжают тренд 2014 года. Распространение такого ПО приносит немалые деньги, и его создатели в погоне за наживой иногда используют приемы и технологии, характерные для вредоносных программ.

    В 2015 году у вирусописателей выросла популярность эксплойтов для Adobe Flash Player. По нашим наблюдениям, лэндинг-страницы с эксплойтами чаще всего загружают именно эксплойты к Adobe Flash Player. Это можно объяснить двумя причинами: во-первых, в течение года было найдено большое количество уязвимостей в данном продукте. Во-вторых, в результате утечки данных от Hacking Team в публичном доступе оказалась информация о неизвестных ранее уязвимостях во Flash Player, чем и воспользовались злоумышленники.

    В стане банковских троянцев произошло интересное изменение. Бесчисленные модификации троянца ZeuS, который долгие годы находился на первом месте, были вытеснены вредоносной программой Trojan-Banker.Win32.Dyreza. В течение 2015 года в рейтинге зловредов, нацеленных на кражу денег через системы интернет-банкинга, на первом месте был Upatre, закачивающий на компьютер жертвы троянцы-банкеры семейства, известного как Dyre/Dyzap/Dyreza. Среди всех банковских угроз доля атакованных Dyreza пользователей составила более 40%. Банкер использует эффективную схему веб-инъекций с целью воровства данных для доступа к системе онлайн-банкинга.

    Также отметим, что целых два семейства мобильных банковских троянцев – Faketoken и Marcher – попали в TOP 10 банковских зловредов по итогам года. Исходя из трендов, можно предположить, что в следующем году мобильные банкеры будут занимать куда больший процент в нашем рейтинге.

    В 2015 году произошел ряд изменений и в стане троянцев-вымогателей:

    1. В то время как популярность программ-блокеров постепенно падает, количество пользователей, атакованных программами-шифровальщиками за год выросло на 48,3%. Шифрование файлов вместо простой блокировки компьютера – метод, который в большинстве случаев не дает жертве возможности простым способом восстановить доступ к информации. Особенно активно злоумышленники используют шифровальщики в атаках на бизнес-пользователей, которые идут на оплату выкупа куда охотнее, чем обычные домашние пользователи. Подтверждением этого является и появление в 2015 году первого троянца-шифровальщика под Linux, нацеленного на веб-серверы.
    2. При этом крипторы становятся многомодульными и, помимо функционала собственно шифрования, обзаводятся функционалом кражи данных с компьютера.
    3. Если на Linux злоумышленники только-только обратили свое внимание, то первый троянец-вымогатель для Android был обнаружен еще в 2014 году. В 2015 число атак, нацеленных на Android OS, стремительно росло, и по итогам года 17% атак программ-вымогателей были заблокированы именно на устройствах под управлением Android OS.
    4. Угроза активно распространяется по всей планете: продукты «Лаборатории Касперского» обнаружили троянцев-вымогателей в 200 странах и территориях, то есть практически везде.

    В 2016 году мы ожидаем продолжения развития шифровальщиков, нацеленных на не-Windows платформы: увеличение доли Android и появление шифровальщиков, нацеленных на Mac OS. Учитывая, что Android активно используется и в бытовой электронике, могут произойти и первые атаки крипторов на «умные» устройства.

     

     

    Kaspersky Security Bulletin 2015. Основная статистика за 2015 год

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике