Развитие информационных угроз в первом квартале 2016 года

 PDF-версия отчета

Цифры квартала

• По данным KSN, решения «Лаборатории Касперского» отразили 228 420 754 атаки, которые проводились с интернет-ресурсов, размещенных в 195 странах мира;
• Зафиксировано 74 001 808 уникальных URL, на которых происходило срабатывание веб-антивируса.
• Нашим веб-антивирусом было обнаружено 18 610 281 уникальных детектируемых объектов (скрипты, эксплойты, исполняемые файлы и т.д.).
• Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам отражены на компьютерах 459 970 пользователей.
• Атаки шифровальщиков отражены на компьютерах 372 602 уникальных пользователей.
• Нашим файловым антивирусом зафиксировано 174 547 611 уникальных вредоносных и потенциально нежелательных объектов.
• Продуктами «Лаборатории Касперского» для защиты мобильных устройств было обнаружено:
  • 2 045 323 вредоносных установочных пакетов;
  • 4 146 мобильных банковских троянцев;
  • 2 896 мобильных троянцев-вымогателей.

Обзор ситуации

2016 год только начался, но событий в области кибербезопасности за первые три месяца произошло столько, что несколько лет назад их хватило бы на целый год. При сохранении всех существующих трендов, значительно усилились тренды, связанные с традиционной киберпреступностью, особенно в областях угроз для мобильных устройств и глобальных эпидемий программ-вымогателей.

Именно ransomware стали главной темой квартала, потеснив с первых полос целевые атаки. К сожалению, эта ситуация будет продолжать развиваться в этом же ключе и дальше, и вымогатели имеют все шансы стать «проблемой года».

Целевые атаки

BlackEnergy2/3

Самым громким инцидентом стала история с кибератакой BlackEnergy на предприятия энергетической сферы Украины. Хотя произошла она в самом конце прошлого года, полная и реальная картина случившегося проявилась только в ходе последующего анализа. Более того, попытки со стороны атакующих организовать новые атаки продолжались и в 2016 году.

Атака стала уникальной по причине ее последствий – хакерам удалось отключить системы распределения электроэнергии на Западной Украине, запустить в атакованные системы программу Wiper для удаления содержимого зараженных компьютеров и провести телефонный DDoS на службы поддержки атакованных компаний.

Публикаций о данной атаке было довольно много, эксперты «Лаборатории Касперского» также освещали ряд аспектов деятельности группы, стоящей за этим инцидентом. В частности, был опубликован анализ использовавшегося инструмента для проникновения в системы – вредоносного DOC-файла.

Для тех, кто хочет узнать больше деталей атаки, мы рекомендуем отчет американского SANS Institute, подготовленного вместе с ICS-CERT.

Poseidon

В феврале эксперты «Лаборатории Касперского» раскрыли детали работы португалоязычной киберпреступной группы, создавшей бутик таргетированных атак Poseidon.

Хотя отчет представлен только в 2016 году, кибергруппировка орудует уже давно. Вредоносные кампании, к которым, очевидно, приложили руку члены Poseidon, были обнаружены еще в 2005 году, а первый образец зловреда датируется 2001 годом. Инструментарий Poseidon нацелен исключительно на компьютеры под Windows: от Windows 95, которой группировка занималась в начале «карьеры», до Windows 8.1 и Windows Server 2012, для которых и были созданы самые свежие из обнаруженных образцов зловреда.

Сценарий атаки старательно адаптируется в соответствии с особенностями жертвы. Несмотря на то, что первоначальное заражение происходит по одному и тому же сценарию, последующие этапы кампании учитывают особенности, характерные для каждой новой жертвы. Именно поэтому специалисты Глобального центра исследований и анализа угроз (GReAT) решили назвать Poseidon «бутиком, производящим персонализированные зловреды» (custom-tailored malware boutique).

В Q1 2016 решения ЛК отразили более 228 млн. атак с веб-ресурсов, размещенных в 195 странах мира #KLreport

Tweet

Получив доступ к корпоративной сети, преступники перемещаются по ней и собирают побольше разных данных для того, чтобы повысить свои привилегии, составить карту сети и выявить нужный им компьютер. Главной целью атаки обычно является контроллер локального домена Windows, захватив который, злоумышленники могут похитить объекты интеллектуальной собственности, данные, составляющие коммерческую тайну, и другую ценную информацию.

Информация, которую собирал для своих хозяев Poseidon, в большинстве случаев использовалась для шантажа. С его помощью члены банды пытались заставить жертву подписать с ними контракт на услуги по обеспечению информационной безопасности. Независимо от того, заключалась ли сделка, Poseidon оставался в сети.

Hacking Team

Другой печально известный «бутик» по созданию инструментов кибершпионажа, итальянская компания Hacking Team, в прошлом году сама стала жертвой кибератаки, в ходе которой была украдена гигантская база почтовой переписки ее сотрудников, а также часть исходного кода проектов.

После этого события многие считали, что в результате инцидента, вскрывшего многие проблемы в работе компании, ее бизнесу будет крайне сложно развиваться дальше. Однако, уже в начале 2016 года были обнаружены новые модули бэкдоров Hacking Team для OSX. Это говорит о том, что группа не собирается прекращать свою работу и продолжает разработки в области второстепенных ОС. Следовательно, их «творения» и дальше будут оставаться проблемой для пользователей, ставших объектом интереса со стороны заказчиков продукции HT.

Еще одной историей, связанной с Hacking Team, стала наша охота за уязвимостью нулевого дня в Silverlight. Информация о том, что такая уязвимость, возможно, существует, была найдена в документах итальянской компании. Опираясь на очень небольшой объем исходных данных и вооружившись инструментами Yara и VirusTotal, наши эксперты закинули удочку и стали ждать. И им действительно удалось обнаружить эксплойт нулевого дня.

Операция «Blockbuster»

«Лаборатория Касперского» стала одним из участников операции «Blockbuster» – совместного исследования ряда крупных компаний в области кибербезопасности. Целью исследования стала деятельность Lazarus Group, предположительно имеющей северокорейское происхождение и причастной, в частности, к нашумевшей атаке на Sony Pictures в 2014 году.

Деятельность Lazarus Group прослеживается до 2009 года, однако настоящую активность они начали с 2011 года. Данная группа ответственна за такие известные атаки как Troy, Dark Seoul (Wiper), WildPositron. В ходе исследования было обнаружено более 40 различных видов вредоносных программ, созданных ими за годы проведения атак. С их помощью киберпреступники актаковали, в частности, предприятия, финансовые организации, радио и телевидение. Было отмечено и использование ими эксплойтов к уязвимостям нулевого дня.

Больницы под атакой

В раздел целевых атак мы отнесем и исследование Сергея Ложкина о том, как при помощи публичных общедоступных инструментов и сервисов – хакеры могут проникнуть во внутреннюю сеть клиники и получить полный доступ к данным пациентов.

К сожалению, именно медицинские учреждения все чаще и чаще становятся объектами таких атак. В первом квартале 2016 года произошло несколько инцидентов с заражением клиник различными троянскими программами-шифровальщиками, в результате чего данные были зашифрованы, и у организаций требовали выкуп за их восстановление.

Последним по времени стала атака на сеть MedStar, когда пострадало 10 клиник. Но, по официальному сообщению сети, в итоге данные удалось спасти без выплаты выкупа шантажистам. Другому же госпиталю в Калифорнии пришлось заплатить 17 тысяч долларов.

Киберпреступность

Adwind

На Security Analyst Summit 2016 (SAS 2016) специалисты из нашего Глобального центра исследований и анализа угроз (GReAT) представили подробности расследования деятельности троянца удаленного доступа Adwind RAT (Remote Access Tool). Изучив активность зловреда, исследователи пришли к выводу, что даже история создания троянца довольно необычна.

Троянец последовательно разрабатывали в течение нескольких лет, а первые образцы всплыли в 2012 году. В разное время троянец носил разные имена: в 2012 году преступники продавали свое детище под именем Frutas, в 2013 году — Adwind, в 2014 году троянец превратился в Unrecom и AlienSpy, а в 2015 году обрел имя JSocket.

Специалисты GReAT считают, что Adwind и все его инкарнации разрабатываются одним трудолюбивым хакером, уже четыре года выпускающим все новые функции и модули.

Вначале платформа Adwind была доступна только на испанском, но позднее обзавелась английским интерфейсом, что позволило оценить ее киберпреступникам со всего света. Основные пользователи троянца — это мошенники, занимающиеся продвинутыми кибераферами, недобросовестные конкуренты какого-нибудь бизнеса, а также интернет-наемники, которым платят за онлайн-шпионаж за людьми и организациями. Кроме того, программное обеспечение Adwind может использоваться любым человеком, желающим просто проследить за своими знакомыми.

С точки зрения географии места наибольшей концентрации жертв также менялись все эти четыре года. В 2013 году под огонь попали страны, где говорят на испанском и арабском языках. В следующем году преступники нацелились на Турцию и Индию, а также на ОАЭ, США и Вьетнам. В 2015 году на вершину топа вышла Россия, но ОАЭ, Турция, США и Германия дышали ей в затылок.

К счастью, мы можем сказать, что наше исследование не пропало даром – через несколько дней после публикации, сайт JSocket перестал работать, а автор Adwind свернул всю свою деятельность. С тех пор новых вариантов троянца не появлялось. Возможно, нас ждет очередная реинкарнация троянца, а может быть и так, что в этой истории поставлена окончательная точка.

Банковские угрозы

На Security Analyst Summit (SAS 2016) «Лаборатория Касперского» объявила об обнаружении двух новых группировок, связанных с APT-ограблениями банков: Metel и GCMAN, ― и о возобновлении деятельности группировки Carbanak с новыми целями.

В 2015 году сотрудники «Лаборатории Касперского» провели расследование инцидентов в 29 организациях, расположенных в России и атакованных этими тремя группировками.

Это не все текущие активные группы преступников в России, атакующих банки, а наиболее активные из них и причастные к самым громким хищениям денежных средств, как со счетов клиентов банков, так и с балансов самих банковских организаций.

Отдельный интерес представляет деятельность Carbanak 2.0. В декабре 2015 мы подтвердили, что группировка все еще активна. «Лаборатория Касперского» обнаружила признаки Carbanak в двух случаях вторжения ― в телекоммуникационной компании и в финансовой организации. Интересной особенностью группировки Carbanak 2.0 является другой профиль жертв. Группа больше не интересуется банками, теперь их цели ― это бюджетные и бухгалтерские отделы любой интересующей их организации, при этом они используют те же средства и техники, характерные для APT-атак.

В одном примечательном деле группировка Carbanak 2.0 использовала доступ к финансовой организации, в которой хранилась информация о держателях акций, чтобы изменить данные о владельцах большой компании. Информация о владельце компании была изменена на данные «дропа».

Бангладеш

Из общемировых событий, связанных с атаками на банки, ярко выделяется история, приключившаяся с Центральным банком Бангладеш. Примечателен не только объект атаки – Центральный банк, но и сумма денег, которую злоумышленникам удалось украсть, а также сумма которую они пытались украсть, но не смогли.

Расследование истории еще продолжается, но по тем сообщениям, которые были обнародованы, можно представить себе картину произошедшего. Еще в начале февраля хакеры смогли получить доступ к рабочим станциям нескольких сотрудников национального банка, после чего стали от их лица отправлять платежные поручения на перевод денег, хранящихся в различных банках – в том числе в Нью-Йоркском Федеральном Резервном Банке. Обладая полным доступом и выдавая себя за настоящих сотрудников, они смогли украсть около 80 миллионов долларов. Деньги были выведены на счета на Филиппинах, а затем пропущены через «отмывочный конвейер» с участием местных казино и форекс-брокеров.

Еще 20 миллионов долларов должны были быть выведены на Шри-Ланку, но тут хакеры допустили ошибку в названии организации-получателя денег, что вызвало подозрение у Deutche Bank, являвшегося банком-корреспондентом. В ходе разбирательства и было установлено, что платежное поручение инициировано хакерами, и в очереди на отправку стоит еще примерно 900 миллионов долларов.

Примечательно, что министр финансов Бангладеш узнал о произошедшем только спустя месяц – из средств массовой информации, которые написали об этой истории. Руководитель ЦБ был отправлен в отставку, следователи пытаются найти виновных, а банк предпринимает меры по возвращению хотя бы части украденных средств

Шифровальщики

Как мы уже сказали в начале обзора, троянцы-шифровальщики стали главной темой квартала и могут стать главной проблемой всего года.

Способствует ухудшению ситуации и то, что ряд шифовальщиков стал доступен всем желающим в виде исходных кодов. Как следствие, даже рядовые scriptkiddies могут реализовать собственный вариант троянца, что вкупе с активным использованием Bitcoin для оплаты выкупа дает им значительный уровень легкости в организации атак и последующей безнаказанности.

Более того, уже появился термин RaaS – Ransomware-as-a-Service. По этой схеме злоумышленники предлагают платить за распространение троянца, обещая за это процент от полученных денег. Клиентами таких сервисов в основном являются вебмастера различных порносайтов. Есть сервисы, которые работают по обратной схеме: они предлагают полный набор инструментов для работы шифровальщика и берут часть комиссии себе.

По сообщениям ряда компаний, в первом квартале были отмечены случаи использования ransomware со стороны ряда известных APT-группировок, в основном китайских. Мы также обнаружили подобные примеры, причем не только со стороны китайских групп. Если подобные приемы станут трендом, угроза выйдет на новый уровень, ведь по факту последствия работы шифровальщиков мало чем отличаются от последствий работы троянцев типа Wiper. И в том и в другом случае данные становятся недоступны для их владельца.

Кроме того, шифровальщики расширяют зону поражения. В первом квартале 2016 года объектами атак со стороны CTB-Locker стали веб-серверы.

В Q1 2016 было обнаружено 74 млн. уникальных URL, на которых происходило срабатывание веб-антивируса #KLreport

Tweet

Ранее CTB-Locker, он же шифровальщик-вымогатель Onion, отличался от других вымогателей тем, что использовал анонимную сеть Tor, чтобы защитить от отключения свои командные серверы, поскольку отключить, как правило, удается только статичные серверы. Использование Tor также помогало зловреду избегать обнаружения и блокирования. Ещё одно защищало операторов CTB-Locker: плата принималась только в биткойнах – децентрализованной анонимной криптовалюте.

Новая версия зловреда зашифровывает веб-серверы и требует в качестве выкупа менее половины биткойна (~ $150). Если деньги не заплачены вовремя, то размер выкупа удваивается примерно до 300 долларов. При уплате выкупа генерируется ключ для расшифровки файлов веб-сервера.

Однако, крупнейшей эпидемией шифровальщиков в первом квартале стала эпидемия Locky (вердикт «Лаборатории Касперского» – Trojan-Ransom.Win32.Locky).

Активность распространения зловреда не утихает и по сей день, продукты «Лаборатории Касперского» зафиксировали попытки заражения пользователей этим троянцем в 114 странах мира.

Для распространения троянца злоумышленники осуществляют массированные рассылки спама с прикрепленными вредоносными загрузчиками. Сначала вредоносные спамовые письма содержали во вложении DOC-файл с макросом, который загружал с удаленного сервера и запускал на исполнение троянец Locky.

В настоящее время рассылка вредоносного спама продолжается, но к письмам прикреплены уже не DOC-файлы, а ZIP-архивы, которые содержат один или несколько обфусцированных скриптов на языке JavaScript. Язык писем в основном английский, но встречаются и двуязычные варианты.

Самым значительным техническим новшеством в шифровальщиках стала функция шифрования не файлов как таковых, а жесткого диска в целом. Точнее, шифрование таблицы файловой системы. Этот трюк использовал троянец, названный «Petya» (что, впрочем, не обязательно означает, что его создали русскоязычные вирусописатели).

Закончив шифровать главную таблицу файлов, «Петя» показывает свое истинное лицо, которое выглядит как череп, составленный из символов ASCII. Дальше начинается стандартная для всех шифровальщиков часть: троянец требует у жертвы выкуп — в данном случае в размере 0,9 биткойна (примерно $380).

На данном этапе единственное, что отличает «Петю» от других вымогателей, — это то, что он работает без подключения к Сети. Но это, в общем-то, и неудивительно, поскольку «Петя» самостоятельно «съел» операционную систему вместе с возможностью подключиться к Интернету. Так что пользователю приходится искать другой компьютер, чтобы заплатить выкуп и вернуть данные.

В марте был обнаружен очередной шифровальщик для платформы MacOS X – Trojan-Ransom.OSX.KeRanger. Атакующие заразили шифровальщиком два инсталлятора BitTorrent клиента от open source проекта Transmission, которые были доступны для скачивания на их официальном сайте. Вероятнее всего, сайт проекта был взломан, и файлы для скачивания были подменены перекомпилированными зловредными версиями. Шифровальщик KeRanger был подписан валидным сертификатом Apple, и поэтому мог обойти проверку функции ОС Gatekeeper.

Статистика троянцев-шифровальщиков

Шифровальщики принадлежат к классу Trojan-Ransom, т.е. к троянцам-вымогателям. На сегодняшний день помимо них в этом классе представлены также так называемые браузерные вымогатели. В общем потоке детектирований Trojan-Ransom на браузерные вымогатели приходится 25%, и детектируются они в основном в России и странах СНГ. В этом разделе мы не будем останавливаться на браузерных вымогателях и подробнее расскажем только о вредоносных шифровальщиках.

Количество новых троянцев-шифровальщиков

На следующей диаграмме представлен рост числа новых версий троянцев-шифровальщиков за последние два квартала:

Количество новых модификаций шифровальщиков, Q4 2015 и Q1 2016

На сегодняшний день в коллекции «Лаборатории Касперского» содержится около 15 тысяч модификаций троянцев-шифровальщиков. При этом за один только первый квартал 2016 года мы обнаружили 2900 новых модификаций и девять новых семейств шифровальщиков.

Количество пользователей, атакованных троянцами-шифровальщиками

Количество уникальных пользователей, атакованных шифровальщиками, Q1 2016

В первом квартале 2016 года шифровальщиками было атаковано 372 602 уникальных пользователей. Количество атакованных пользователей выросло по сравнению с прошлым кварталом на 30%. Около 17% атак шифровальщиков пришлось на корпоративный сектор.

Важно помнить, что реальное число инцидентов выше: эта статистика отражает только результаты сигнатурного и эвристического обнаружения, тогда как большая часть троянцев-шифровальщиков детектируется продуктами «Лаборатории Касперского» поведенческими методами с выдачей общего Generic-вердикта, который не позволяет различать типы вредоносного ПО.

TOP 10 стран, подвергшихся атакам троянцев-шифровальщиков

* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

Первые шесть позиций в нашем ТОР 10 занимают страны Европы. На первом месте в первом квартале 2016 года оказалась Италия (3,06%); в этой стране наиболее распространено семейство шифровальщиков Teslacrypt (Trojan-Ransom.Win32.Bitman). За Италией следуют Нидерланды (1,81%) и Бельгия (1,58%).

TOP 10 наиболее распространенных семейств троянцев-шифровальщиков

* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

На первое место в первом квартале 2016 года с большим отрывом вышло семейство Teslacrypt, представленное двумя вердиктами – Trojan-Ransom.Win32.Bitman и Trojan-Ransom.JS.Cryptoload. Второй вердикт характерен для скриптов, которые рассылаются в ZIP-архиве в спам-рассылках. В прошлом эти скрипты скачивали такие вредоносные программы, как Fareit и шифровальщик Cryptowall, но в последнее время злоумышленники переключились на TeslaCrypt. Стоит отметить, что в первом квартале 2016 года таким способом распространялись новые версии данного шифровальщика с улучшенным алгоритмом шифрования: авторы перешли с AES на «надежный» RSA-4096.

Второе место заняло семейство шифровальщиков CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Для представителей данного семейства характерно распространение посредством партнерской программы и поддержка многих языков. Как уже было сказано выше, в первом квартале был обнаружен CTB-Locker для серверов. Данный вариант успешно атаковал и зашифровал серверные файлы более 70 серверов в 10 странах.

Третье место заняло семейство Trojan-Ransom.Win32.Cryptodef, также известное как Cryptowall. Распространяются его представители, как и в случае с Teslacrypt, через спам-рассылки.

На пятом месте расположилось семейство шифровальщиков Scatter. В начале этого года была зарегистрирована новая волна распространения данного шифровальщика посредством спам-рассылок. Письма содержали ссылку на JS-скрипт, замаскированный так, чтобы пользователь скачал его и запустил локально. Что интересно, при запуске скрипт сохраняет на диск не только шифровальщик Scatter, но и два других зловреда – Nitol (DDoS-бот) и Pony (троянец, крадущий информацию, – как правило, пароли).

Семейство шифровальщиков Locky, занявшее седьмое место, отличилось в этом квартале обширной географией распространения, преимущественно в странах Европы. Расположенный в сети Tor сайт злоумышленников, на котором они вывесили свои требования, поддерживает более двух десятков языков, среди которых нет русского и языков стран СНГ. Это может свидетельствовать об отсутствии у злоумышленников стремления атаковать жертв в соответствующих странах, что подтверждается статистикой KSN.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Мобильные угрозы

Злоумышленники продолжают совершенствовать новые техники обмана пользователей. В этом квартале нами были обнаружены два мобильных троянца, борющихся со стандартными механизмами защиты, используемыми операционными системами. Одна из модификаций Trojan-Banker.AndroidOS.Asacub перекрывает стандартное системное окно запроса прав администратора устройства своим окном с кнопками. Таким образом троянец скрывает от пользователя запрос на получение дополнительных прав в системе и обманом вынуждает его подтвердить эти права. Второй троянец, использующий похожие механизмы, – Trojan-SMS.AndroidOS.Tiny.aw. В последних версиях Android в случае отправки SMS на премиум-номер система спросит у пользователя разрешения. SMS-троянец Tiny поверх этого диалогового окна показывает свое, не перекрывая при этом кнопки в оригинальном окне.

Окно с запросом троянца Trojan-SMS.AndroidOS.Tiny.aw, перекрывающее предупреждение системы об отправке SMS

В отчете за третий квартал 2015 года мы упоминали банковский троянец Trojan-Banker.AndroidOS.Marcher. В этом квартале нам удалось обнаружить новые модификации Marcher, которые атакуют без малого 40 банковских приложений, большей частью от европейских банков. В отличие от большинства других мобильных троянцев, для перекрытия банковских приложений Marcher использует фишинговые веб-страницы, а не собственные окна.

В Q1 2016 веб-антивирусом ЛК было обнаружено более 18,6 млн. уникальных детектируемых объектов #KLreport

Tweet

В первом квартале мы наблюдали рост активности мобильного троянца-вымогателя Trojan-Ransom.AndroidOS.Fusob.pac, который блокирует устройство пользователя и требует выкуп за разблокировку. В первом квартале Fusob стал самым популярным мобильным троянцем этого типа – на него пришлось более 64% атакованных мобильными вымогателями пользователей. При этом суммарное количество пользователей, атакованных мобильными Trojan-Ransom, выросло более чем в 1,8 раз по сравнению с прошлым кварталом.

Количество новых мобильных угроз

В первом квартале 2016 года «Лабораторией Касперского» было обнаружено 2 045 323 вредоносных установочных пакета – это в 11 раз больше, чем в предыдущем квартале и в 1,2 раза больше, чем в позапрошлом.

Количество обнаруженных вредоносных установочных пакетов
(Q2 2015 – Q1 2016)

Распределение детектируемых мобильных программ по типам

Распределение новых детектируемых мобильных программ по типам
(Q1 2016 и Q4 2015)

В рейтинге обнаруженных в первом квартале 2016 года детектируемых объектов для мобильных устройств лидируют потенциально нежелательные рекламные приложения (Adware). Их доля выросла с по сравнению с четвертым кварталом 2015 года на 13 п.п. и достигла 42,7%. Отметим, что это меньше, чем аналогичный показатель третьего квартала 2015 года (52,5%).

Второе место досталось Trojan-SMS, причем мы уже второй квартал подряд наблюдаем рост доли детектируемых объектов этого типа. В четвертом квартале 2015 года доля Trojan-SMS в общем потоке мобильных угроз резко выросла с 6,2% до 19,8%, в первом квартале 2016 года набрала еще 0,7 п.п. и составила 20.5%.

Trojan-Spy (10%) следуют сразу за SMS-троянцами. Такие программы воруют персональные данные пользователей, в том числе входящие SMS (mTAN) от банков.

RiskTool — легальные приложения, которые потенциально опасны для пользователей, – почти два года занимали то первую, то вторую строчку в этом рейтинге. Однако начиная с четвертого квартала 2015 года, они сместились на пятое место. В последней четверти 2015 года их показатель составил 5,6%, в первом квартале 2016 – 7,4%.

Доля Trojan-Banker продолжает расти, в первом квартале 2016 года она составила 1,2%.

TOP 20 мобильных вредоносных программ

В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

* Процент уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильного антивируса «Лаборатории Касперского».

Первое место в рейтинге занимает вердикт DangerousObject.Multi.Generic (73,7%), используемый для вредоносных программ, обнаруженных с помощью облачных технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

Все больше позиций в TOP 20 занимают троянцы, которые используют рекламу в качестве основного средства монетизации. Их цель – доставить пользователю как можно больше рекламы различными способами, в том числе за счет установки новых рекламных программ. Эти троянцы могут воспользоваться правами суперпользователя для того, чтобы скрыться в системной папке, откуда удалить их будет очень сложно. В первом квартале 2016 года в TOP 20 попали шестнадцать таких программ: по три программы семейств Backdoor.AndroidOS.Ztorg и Trojan.AndroidOS.Iop, две программы семейства Trojan.AndroidOS.Ztorg, а также троянцы Trojan-Dropper.AndroidOS.Agent.ar, Trojan-Clicker.AndroidOS.Gopl.a, Trojan.AndroidOS.Agent.ej, Trojan.AndroidOS.Muetan.b, Trojan.AndroidOS.Agent.gm, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Guerrilla.b, Backdoor.AndroidOS.Triada.d.

Backdoor.AndroidOS.Triada в этом квартале впервые попал в TOP 20 мобильных вредоносных программ. Основная функциональность троянца – перенаправление SMS-транзакций, осуществляемых в ходе оплаты пользователем различного дополнительного контента в легитимных приложениях. В результате перехвата деньги пользователя после оплаты попадают к злоумышленникам. Triada – самый сложный из известных нам мобильных зловредов. Отличительной особенностью вредоносного приложения является использование процесса Zygote для внедрения своего кода в контекст всех приложений на устройстве. На зараженном устройстве Triada внедряется практически во все запущенные процессы и продолжает существовать только в оперативной памяти. Кроме того, все отдельно запущенные процессы троянца скрываются от пользователя и других приложений.

В Q1 2016 мы отразили атаки шифровальщиков на компьютерах 372 602 уникальных пользователей #KLreport

Tweet

На пятом месте расположился троянец вымогатель Trojan-Ransom.AndroidOS.Fusob.pac (6,2%). Этот троянец требует от жертв 200 долларов за разблокировку устройства. Значительная часть его жертв находится в Северной Америке (США и Канада), а также в Европе (большей частью в Германии, Италии, Великобритании. Испании и Швейцарии).

Trojan-SMS.AndroidOS.Podec.a (3%) входит в TOP 20 вредоносных мобильных угроз уже больше года, но последнее время стал терять свои позиции. Если раньше он всегда попадал в первую пятерку мобильных угроз, то в первом квартале 2016 года оказался уже во второй десятке. Количество атакованных этим троянцем пользователей уменьшилось в 1,7 раз по сравнению с четвертым кварталом 2015 года. Последнее время функционал этого троянца практически не менялся, все так же основная монетизация производится за счет подписки пользователя на платные сервисы.

Также в рейтинг попал Exploit.AndroidOS.Lotoor.be – эксплойт, применяемый для получения локальных прав суперпользователя.

География мобильных угроз

TOP 10 стран по проценту пользователей, атакованных мобильными зловредами:

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10000).
** Процент уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

Лидером этого рейтинга стал Китай – в нем практически 40% пользователей сталкивались с мобильными зловредами. Напомним, что по итогам 2015 года эта страна также оказалась на первой строчке рейтинга.

Во всех странах этого ТОР 10, за исключением Китая, популярны примерно одни и те же мобильные детектируемые объекты – рекламные троянцы, попавшие в TOP 20 мобильных вредоносных программ, и программы типа AdWare. В Китае тоже популярны рекламные троянцы, но других семейств – в основном Backdoor.AndroidOS.GinMaster и Backdoor.AndroidOS.Fakengry. Кроме того, в этой стране очень популярны программы семейства RiskTool.AndroidOS.SMSreg. Невнимательное использование этих программ может привести к списанию денег с мобильного счета пользователя.

Самые безопасные страны по доле атакованных пользователей: Тайвань (2,9%), Австралия (2,7%) и Япония (0,9%).

Мобильные банковские троянцы

За отчетный период мы обнаружили 4146 мобильных банковских троянцев, что в 1,7 раза больше, чем в прошлом квартале.

Количество мобильных банковских троянцев, обнаруженных «Лабораторией Касперского» (Q2 2015 – Q1 2016)

TOP 10 стран по проценту пользователей, атакованных мобильными банковскими троянцами

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в этой стране.

В этом квартале 2016 года первое место занял Китай, в котором большая часть атак с использованием мобильных банкеров пришлась на троянцев семейств Trojab-Banker.AndroidOS.Faketoken и Trojan-Banker.AndroidOS.Svpeng. Австралия заняла второе место в рейтинге, причем в этой стране сменилось семейство самых популярных троянцев: раньше это были представители семейства Trojan-Banker.AndroidOS.Acecard, а в первом квартале 2016 года они пропустили вперед представителей семейства Trojan-Banker.AndroidOS.Marcher.

TOP 10 стран по доле пользователей, атакованных мобильными банкерами, среди всех атакованных пользователей

Показателем популярности мобильных банковских троянцев у злоумышленников в каждой стране может быть отношение количества пользователей, атакованных хотя бы раз в течение квартала мобильными банкерами, ко всем пользователям в этой же стране, у которых хотя бы раз в квартал было зафиксировано срабатывание мобильного антивируса. Этот рейтинг отличается от приведенного выше:

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10000).
** Процент в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем атакованным мобильными зловредами пользователям мобильного антивируса «Лаборатории Касперского» в этой стране.

Напомним, что Австралия попала в тройку стран с наименьшим процентом атакованных мобильными зловредами пользователей. Однако в этом рейтинге Австралия заняла первое место: в этой стране более 13% всех пользователей, атакованных мобильными зловредами, были атакованы в том числе мобильными банкерами. А вот Китай, занявший первое место в предыдущем рейтинге, в этом TOP 10 занял последнюю строчку – то есть у злоумышленников в Китае мобильные банковские троянцы менее популярны, чем другие типы мобильных зловредов.

Мобильные троянцы-вымогатели

В первом квартале 2016 года мы обнаружили 2896 мобильных троянцев-вымогателей, что в 1,4 раза больше, чем в прошлом квартале.

Количество мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского» (Q2 2015 – Q1 2016)

TOP 10 стран по проценту пользователей, атакованных мобильными троянцами-вымогателями

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент в стране уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

Во всех странах из этого TOP 10, кроме Казахстана и Узбекистана, наиболее популярно семейство Fusob, особенно модификация Trojan-Ransom.AndroidOS.Fusob.pac (напомним, что этот зловред занял пятое место в рейтинге мобильных угроз).

В Казахстане и Узбекистане, которым достались первое и третье места соответственно, основную угрозу для пользователей представляют троянцы-вымогатели семейства Small. Это достаточно простой троянец-вымогатель, который перекрывает своим окном все остальные окна на устройстве, таким образом блокируя работу устройства. За разблокировку злоумышленники обычно требуют от 10 долларов.

Уязвимые приложения, используемые злоумышленниками

В первом квартале 2016 года были по-прежнему популярны эксплойты для Adobe Flash Player. За указанный квартал было выявлено использование двух новых уязвимостей в данном ПО:

• CVE-2015-8651
• CVE-2016-1001

Первым эксплойт-паком, который добавил поддержку данных уязвимостей стал Angler.

Знаменательным событием в первом квартале стало использование эксплойта для Silverlight – CVE-2016-0034. На момент публикации, данную уязвимость используют эксплойт-паки Angler и RIG.

Традиционно в некоторые известные паки входил эксплойт для уязвимости в Internet Explorer (CVE-2015-2419).

Общая картина использования эксплойтов в первом квартале выглядит следующим образом:

Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых приложений, первый квартал 2016 года

Ожидаемо мы видим снижение доли эксплойтов для Java (-3 п.п.) и увеличение частоты использования Flash-эксплойтов (+1 п.п.). Отдельно отметим значительное увеличение доли эксплойтов для офисного пакета Microsoft Office (+10 п.п.) – в этой группе, в основном, представлены эксплойты для уязвимостей в Microsoft Word. Их заметный рост связан с массовыми спам-рассылками, которые содержали в себе данное вредоносное ПО.

В Q1 2016 мобильные продукты ЛК обнаружили более 2 млн. вредоносных установочных файлов #KLreport

Tweet

В целом, в первом квартале 2016 года сохранился тренд, который мы наблюдаем на протяжении уже нескольких лет – спросом у злоумышленников в основном пользуются эксплойты для Adobe Flash Player и Internet Explorer. На нашем графике последний входит в категорию «Браузеры», куда попадают также детектирования лэндинг-страниц, которые «раздают» эксплойты.

Вредоносные программы в интернете (атаки через веб-ресурсы)

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

В первом квартале 2016 года нашим веб-антивирусом было обнаружено 18 610 281 уникальных объектов (скрипты, эксплойты, исполняемые файлы и т.д.), и зафиксировано 74 001 808 уникальных URL, на которых происходило срабатывание веб-антивируса.

Онлайн-угрозы в финансовом секторе

В первом квартале 2016 года решения «Лаборатории Касперского» отразили попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на компьютерах 459 970 пользователей. Мы наблюдаем снижение активности со стороны финансового вредоносного ПО: по сравнению с предыдущим кварталом (597 415) данный показатель снизился на 23,0%. В первом квартале 2015 года он составлял 699 652 компьютеров пользователей – за год число жертв снизилось на 34,26%.

Число пользователей, атакованных финансовым вредоносным ПО, первый квартал 2016

География атак

Чтобы оценить и сравнить степень риска заражения банковскими троянцами, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в отчетный период, от всех пользователей наших продуктов в стране.

TOP-10 стран по проценту атакованных пользователей

Настоящая статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского», относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам банковских троянцев, от всех уникальных пользователей продуктов «Лаборатории Касперского»в стране

В первом квартале 2016 года лидером по проценту пользователей «Лаборатории Касперского», атакованных банковскими троянцами, вновь стала Бразилия. Одной из причин роста финансовых угроз в данной стране стало появление кросс-платформенных троянцев-банкеров. Отметим, что в большинстве стран из TOP 10 высокий уровень технологического развития и/или развитая банковская система, что и привлекает к ним внимание киберпреступников.

В России с банковскими троянцами хотя бы раз в течение квартала столкнулись 1,58% пользователей (и этот показатель увеличился на 1 п.п. по сравнению с предыдущим кварталом), в США – 0,26%, в Испании – 0,84%, в Италии – 0,79%, в Германии – 0,52%, в Великобритании – 0,48%, во Франции – 0,36%.

TOP 10 семейств банковского вредоносного ПО

TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в первом квартале 2016 года (по количеству атакованных пользователей):

Trojan-Spy.Win32.Zbot уверенно держит лидирующую позицию в данном рейтинге. Его постоянное присутствие на верхних строчках рейтинга неслучайно. Троянцы семейства Zbot одними из первых стали использовать веб-инжекты для компрометации платежных данных пользователей систем онлайн-банкинга и модификации содержимого банковских веб-страниц. Они используют несколько уровней шифрования своих конфигурационных файлов и при этом сам расшифрованный файл конфигурации не хранится в памяти целиком, а загружается по частям.

Зловреды семейства Trojan-Downloader.Win32.Upatre в первом квартале 2016 года занял второе место в рейтинге. Размер троянцев не превышает 3,5 Кб, а их функции ограничиваются загрузкой «полезной нагрузки» на зараженный компьютер – чаще всего это троянцы-банкеры семейства, известного как Dyre/Dyzap/Dyreza. Основной задачей банковских троянцев этого семейства является кража платежных данных пользователя. Для этого Dyre использует перехват данных банковской сессии между браузером жертвы и веб-приложением онлайн-банкинга – другими словами, реализует технику «Man-in-the-Browser» (MITB).

Стоит отметить, что подавляющее большинство зловредов из TOP 10 используют технику внедрения произвольного HTML-кода в отображаемую браузером веб-страницу и перехвата платежных данных, вводимых пользователем в оригинальные и вставленные веб-формы.

В TOP 3 угроз в первом квартале 2016 года попало кроссплатформенное банковское вредоносное ПО, написанное на Java . Кроссплатформенные Java-троянцы стали активно использоваться бразильскими киберпреступниками. Кроме того, экспертами «Лаборатории Касперского» обнаружено новое вредоносное ПО, которое также написано на Java и, в том числе, используется для кражи финансовой информации – Adwind RAT. Adwind написан целиком на Java, именно поэтому он способен атаковать все распространенные платформы – Windows, Mac OS, Linux и Android. Вредоносная программа позволяет злоумышленникам собирать и извлекать из системы данные, а также удаленно управлять зараженным устройством. На сегодняшний день зловред способен делать снимки экрана, запоминать нажатия клавиш на клавиатуре, красть пароли и данные, хранящиеся в браузерах и веб-формах, фотографировать и осуществлять видеозапись с помощью веб-камеры, делать аудиозаписи при помощи микрофона, встроенного в устройство, собирать общие данные о пользователе и о системе, красть VPN-сертификаты, а также ключи от криптовалютных кошельков и, наконец, управлять SMS.

В Q1 2016 мобильные продукты ЛК обнаружили 2 896 мобильных троянцев-вымогателей #KLreport

Tweet

На четвертое место в рейтинге TOP-10 семейств попал банковский троянец Trojan-Banker.Win32.Gozi, который использует технику внедрения в работающие процессы популярных веб-браузеров для кражи платежной информации. Некоторые экземпляры этого троянца могут инфицировать MBR (Master Boot Record) и сохранять свое присутствие в операционной системе даже в том случае, если она была переустановлена.

Один из любопытных представителей вредоносного ПО для кражи финансовых данных, который не попал в TOP 10, – Gootkit. Интересен он прежде всего тем, что написан с использованием программной платформы NodeJS. Gootkit имеет модульную архитектуру. Интерпретатор кода зловреда содержится в его теле – как следствие, оно имеет внушительный размер (примерно 5Мб). Для кражи платежных данных Gootkit использует перехват http-трафика и внедрение в браузер. Среди стандартных функций троянца также выполнение произвольных команд, автообновление, создание снимков экрана. Однако широкого распространения этот банковский троянец не получил.

Страны – источники веб-атак: TOP 10

Данная статистика показывает распределение по странам источников заблокированных продуктами «Лаборатории Касперского» интернет-атак на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

В первом квартале 2016 года решения «Лаборатории Касперского» отразили 228 420 754 атаки, которые проводились с интернет-ресурсов, размещенных в 195 странах мира. 76% уведомлений о заблокированных веб-атаках были получены при блокировании атак с веб-ресурсов, расположенных в десяти странах мира.

Распределение по странам источников веб-атак, Q1 2016

По сравнению с прошлым кварталом США (21,44%) и Нидерланды (24,60%) поменялись местами. Следующие за ними Россия (7,45%) и Германия (6%) сделали то же самое. Из первой десятки выбыл Вьетнам, а новичок рейтинга – Болгария – оказалась на восьмом месте с показателем 1,75%.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах.

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.

* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского», относительно мало (меньше 10 000).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

Лидер рейтинга не изменился по сравнению с предыдущим кварталом – им по-прежнему является Россия (36,3%). По сравнению с четвертым кварталом из TOP 20 выбыли Чили, Монголия, Болгария и Непал. Новички рейтинга: Словения (26,9%), Индия (24%) и Италия (23%).

В числе самых безопасных для серфинга в интернете стран Германия (17,7%), Канада (16,2%), Бельгия (14,5%), Швейцария (14%), США (12,8%), Великобритания (12,7%), Сингапур (11,9%), Норвегия (11,3%), Гондурас (10,7%), Нидерланды (9,6%) и Куба (4,5%).

В среднем в течение квартала 21,2% компьютеров пользователей интернета в мире хоть раз подвергались веб-атаке. По сравнению с четвертым кварталом 2015 года этот показатель уменьшился на 1,5 п.п.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т.д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

В первом квартале 2016 года нашим файловым антивирусом было зафиксировано 174 547 611 уникальных вредоносных и потенциально нежелательных объектов.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран мы подсчитали, какой процент пользователей продуктов «Лаборатории Касперского» столкнулся со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

TOP 20 стран по уровню зараженности компьютеров

Настоящая статистика основана на детектирующих вердиктах модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.

* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

В первом квартале 2016 года изменился лидер рейтинга – им стала Сомали с показателем 66,9%. Лидер нескольких прошлых кварталов Бангладеш опустился на седьмое место (63,6%). Новички рейтинга по сравнению с прошлым кварталом: Узбекистан на 12-м месте (59,4%), Украина на 14-м месте (58,9%), Беларусь на 15-м (58,5%), Ирак на 18-м (57,2%) и Молдова на 20-м (57,0%).

Страны с наименьшим уровнем заражения: Чехия (27,2%), Дания (23,2%) и Япония (21,0%).

В среднем в мире хотя бы один раз в течение первого квартала локальные угрозы были зафиксированы на 44,5% компьютеров пользователей – это на 0,8 п.п. больше, чем в четвертом квартале 2015 года.