Отчеты о вредоносном ПО

Финансовые киберугрозы в 2022 году

Финансовая выгода остается ключевой мотивацией киберпреступников. Прошлый год оказался богатым на события: мы наблюдали угрозы нового типа, включая новые схемы атак на системы бесконтактных платежей, а также появление новых группировок вымогателей. В то же время традиционные угрозы, такие как банковские вредоносные программы и финансовый фишинг, по-прежнему составляют значительную долю кибератак, совершаемых ради финансовой выгоды.

В 2022 году мы столкнулись с существенным обновлением печально известного ботнета Emotet: его операторы запускали масштабные кампании на протяжении всего года. Например, в апреле 2022 года в десять раз выросло количество вредоносных спам-кампаний, распространяющих вредоносное ПО Qbot и Emotet среди организаций. Кроме того, отмечено появление новых банковских троянцев, перехватывающих реквизиты, а также наращивание активности некоторых давно известных зловредов, таких как Dtrack, Zbot и Qbot.

Хорошая новость заключается в том, что даже на фоне такой настойчивости злоумышленников мы наблюдаем неуклонный спад атак с применением банковских троянцев. Это объясняется наличием встроенных в ОС решений безопасности, двухфакторной аутентификации и других мер проверки, которые помогли сократить число уязвимых пользователей. Кроме того, на многих рынках онлайн-банкинг постепенно уступает место мобильному банкингу, для которого появляются все более удобные и безопасные банковские приложения.

Криптовалюта стала более заметной мишенью для злоумышленников, ориентированных на заработок. Объем связанной с этим фишинговой активности значительно возрос в 2022 году — мошенникам удается обманывать пользователей с завидным постоянством благодаря бесчисленному множеству новых криптовалют, NFT, DeFi и других проектов на блокчейне. Утерянную криптовалюту трудно отследить; кроме того, в отличие от фиатной валюты, ее невозможно вернуть с помощью регулирующих органов, как в случае с банками. Вероятно, эта тенденция продолжит набирать обороты.

Некоторые APT-группы тоже начали осваивать рынок криптовалют. Ранее мы сообщали о группе Lazarus, которая разработала программу-вымогатель VHD с целью получения денежной выгоды. Это говорит о том, что APT-группы также перешли к махинациям с криптовалютой. Например, группа BlueNoroff реализовала изощренную фишинговую кампанию, нацеленную на стартапы, чтобы с помощью своего вредоносного ПО красть всю криптовалюту с учетной записи, привязанной к устройству. Они успешно выдавали себя за различных инвесторов и представителей венчурного рынка. Еще один пример продвинутой угрозы — кампания NaiveCopy, нацеленная на южнокорейских инвесторов, зарабатывающих на акциях и криптовалюте. Также в зоне потенциального риска — аппаратные кошельки и смарт-контракты.

Настоящий отчет освещает ситуацию с финансовыми киберугрозами в 2022 году. Он продолжает нашу серию ежегодных отчетов о финансовых угрозах (2018, 2019, 2020, 2021), посвященную актуальным тенденциям в этой сфере. Мы проанализировали фишинговые угрозы, с которыми чаще всего сталкивались пользователи и организации, а также динамику распространения финансового вредоносного ПО для Windows и Android.

Методология

В рамках данного отчета был проведен всесторонний анализ финансовых киберугроз в 2022 году. Основное внимание было уделено вредоносному программному обеспечению, предназначенному для атак на поставщиков финансовых услуг, включая онлайн-банкинг, платежные системы, службы электронных денег, криптовалютные системы и интернет-магазины. К этой категории финансовых зловредов также относятся инструменты для несанкционированного доступа к ИТ-инфраструктурам финансовых организаций.

В дополнение к финансовому вредоносному ПО мы проанализировали фишинговую активность. Для этого были изучены содержание и способы распространения веб-страниц и электронных писем финансовой тематики, которые маскировались под известные легитимные сайты и организации с целью обмануть потенциальных жертв и получить доступ к их личной информации.

Чтобы получить представление о ландшафте финансовых угроз, мы проанализировали данные о вредоносной активности на устройствах пользователей продуктов безопасности «Лаборатории Касперского». Пользователи этих продуктов добровольно предоставили свои данные через Kaspersky Security Network. Все данные, собранные с помощью Kaspersky Security Network, являются обезличенными.

Для определения ежегодных тенденций развития вредоносных программ мы сравнили данные за 2022 год с показателями предыдущего года. Также иногда мы ссылаемся более ранние годы, чтобы подробнее рассказать о тенденциях развития финансового вредоносного ПО.

Основные выводы

Фишинг

  • На финансовый фишинг в 2022 году пришлось 36,3% от всех фишинговых атак.
  • Бренды интернет-магазинов стали самыми популярными приманками — на них пришлось 15,56% попыток посещения фишинговых сайтов.
  • Среди электронных платежных систем PayPal практически полностью овладел вниманием злоумышленников: 84% фишинговых страниц были нацелены на эту платформу.
  • В 2022 году масштаб криптовалютного фишинга вырос на 40% в годовом исчислении: зарегистрировано 5 040 520 случаев по сравнению с 3 596 437 в 2021 году.

Вредоносное ПО для персональных компьютеров

  • В 2022 году число пользователей, пострадавших от финансового вредоносного ПО, продолжало снижаться, сократившись на 14% по сравнению с 2021 годом.
  • Среди семейств вредоносных программ доминировали Ramnit и Zbot, с которыми столкнулись более 50% пострадавших пользователей.
  • Основной целью финансовых киберугроз остались физические лица — на их долю пришлось 61,8% атак.

Вредоносное ПО для мобильных устройств

  • Количество пользователей Android, подвергшихся атакам банковского вредоносного ПО в 2022 году, сократилось на 55% по сравнению с предыдущим годом.
  • Семейство мобильных вредоносных программ Bian стало самым активным в 2022 году с 22% атак, превзойдя Agent с их 20%.
  • Согласно анализу географического распределения пользователей, пострадавших в 2022 году от вредоносных Android-приложений для банкинга, больше всего затронутых пользователей было в Испании — 1,96%. За ней следовали Саудовская Аравия с 1,11% и Австралия с 1,09%.

Финансовый фишинг

Фишинг остается одной из самых распространенных форм киберпреступности благодаря низкому порогу входа и высокой эффективности. Ранее мы уже рассказывали, что киберпреступники могут запускать фишинговые кампании с минимальными усилиями, приобретая готовые наборы для фишинга.

Классическая схема фишинга подразумевает создание поддельных веб-сайтов и электронных сообщений, которые имитируют настоящие организации. Пользователю предлагается перейти по ссылке на сайт, поделиться личной или платежной информацией, или загрузить программу, которая на самом деле является вредоносной. Злоумышленники могут выдавать себя за представителей любых сфер, включая банки, государственные органы, розничные компании и индустрию развлечений. Главное условие — наличие большой пользовательской базы.

Финансовые услуги особенно привлекательны для фишеров, так как они напрямую связаны с деньгами и платежными данными. Согласно исследованиям «Лаборатории Касперского», 36,3% от всех обнаруженных антифишинговыми технологиями атак в 2022 году были связаны именно с финансовым фишингом.

Распределение случаев финансового фишинга по типам в 2022 г. (скачать)

В данном отчете под финансовым фишингом подразумеваются операции, связанные с банковскими услугами, интернет-магазинами и платежными системами.

Под фишингом платежных систем понимаются фальшивые страницы, имитирующие известные платежные системы, такие как PayPal, MasterCard, Visa и American Express. Интернет-магазинами считаются различные онлайн-магазины и сайты-аукционы, такие как Amazon, Aliexpress, App Store и eBay.

В 2022 году самой популярной фишинговой приманкой стали бренды интернет-магазинов. 15,56% попыток посещения фишинговых сайтов, заблокированных «Лабораторией Касперского» в 2022 году, были связаны с интернет-магазинами. Если мы посмотрим на распределение по финансовому фишингу, то интернет-магазины составили 42% от всех инцидентов в этой категории. Следом за интернет-магазинами идут платежные системы (10,39%) и банки (10,39%). Распространение интернет-торговли во всем мире привело к увеличению числа брендов, которые имитируют фишеры, и регулярному появлению новых схем мошенничества.

Бренды интернет-магазинов, которые чаще всего использовались в финансовых фишинговых схемах в 2022 г. (скачать)

В 2022 году Apple оставался наиболее часто эксплуатируемым мошенниками брендом, на который приходилось почти 60% всех атак. Для многих пользователей искушение выиграть последнюю модель нового устройства оказалось непреодолимым, особенно в период глобального кризиса и роста цен. Всплески этих видов мошенничества наблюдались не только во время крупных мероприятий Apple, но и на фоне других значимых событий: например, мошенники предлагали новые модели iPhone в качестве призов за предсказание результатов матчей Чемпионата мира по футболу. Бренд Amazon остался на втором месте с 14,81% всех атак.

В сфере электронных платежных систем PayPal давно является популярной мишенью для мошенников. Прошлогодняя популярность PayPal переросла в этом году в практически безраздельное внимание фишеров к этой системе: на нее пришлись ошеломляющие 84,23% от всех фишинговых страниц платежных брендов. Это привело к резкому падению долей других платежных систем в 2022 году: MasterCard International — до 3,75%, Visa Inc. — до 3,10%, American Express — до 2,02%.

Платежные бренды, которые чаще всего использовались в финансовых фишинговых схемах в 2022 г. (скачать)

Пример фишинговой страницы, имитирующей страницу входа в PayPal

Пример фишинговой страницы, имитирующей страницу входа в PayPal

Криптофишинг

В 2022 году криптофишинг приобрел достаточные масштабы, чтобы его можно выделить в отдельную категорию финансовых киберугроз. Хотя количество попыток доступа к таким сайтам составляет лишь небольшую долю (0,87%) от всего фишинга, эта категория выросла за год на 40%: до 5 040 520 зафиксированных случаев в 2022 году по сравнению с 3 596 437 обнаружений в 2021 году. Этот рост криптофишинга может частично объясняться хаосом на крипторынке, который мы наблюдали в прошлом году. Тем не менее, пока неясно, сохранится ли эта тенденция, что в значительной степени зависит от доверия пользователей к криптовалютам.

Пример фишинговой страницы на криптовалютную тематику

Пример фишинговой страницы на криптовалютную тематику

Мошенники эксплуатируют популярность криптовалют, чтобы обманывать людей и красть их деньги, обещая высокую отдачу от инвестиций. Получили широкое распространение финансовые пирамиды, мошеннические схемы первичного размещения токенов (ICO), схемы с поддельными кошельками и криптофишинг.

Пример криптофишинговой страницы, запрашивающей платежные данные

Пример криптофишинговой страницы, запрашивающей платежные данные

Банковские вредоносные программы

В данном разделе проанализированы банковские вредоносные программы, которые нацелены на кражу учетных данных для доступа к онлайн-банкингу и платежным системам, а также на перехват одноразовых паролей для двухфакторной аутентификации.

Наш анализ финансовых киберугроз в 2022 году показал, что количество пользователей, пострадавших от финансового вредоносного ПО, продолжает снижаться — с 405 985 в 2021 году до 350 808 в 2022 году, что соответствует падению на 14%. Таким образом, наблюдается продолжение тенденции прошлых лет, в частности падение на 35% в 2021 году, на 20% в 2020 году и почти на 13% в 2019 году. Финансовое вредоносное ПО для персональных компьютеров становится менее актуальным из-за проблем и затрат, связанных с обслуживанием и развитием ботнета, способного эффективно атаковать пользователей. Для успешной атаки троянец должен дожидаться, пока пользователь самостоятельно авторизуется на сайте своего банка, но из-за роста популярности мобильных банковских приложений пользователи все реже посещают такие сайты. Кроме того, современные операционные системы поставляются со встроенными механизмами безопасности, а длительное нахождение вредоносных программ в системе повышает вероятность их обнаружения. Также это может свидетельствовать о переходе киберпреступников к продвинутым целевым атакам, где в приоритете крупные бизнес-цели.

В свете растущей популярности мобильного банкинга киберпреступники постепенно адаптируют свою тактику. Пользователи все чаще взаимодействуют с банками через смартфоны, и злоумышленники разрабатывают новые методы взлома и кражи конфиденциальной информации с мобильных устройств.

Изменение числа уникальных пользователей, атакованных банковскими вредоносными программами, 2021 – 2022 гг. (скачать)

Основные операторы банковского вредоносного ПО

Наш анализ финансовых киберугроз за 2022 год выявил несколько семейств банковских вредоносных программ с разными жизненными циклами. Самым распространенным семейством вредоносных программ является Ramnit, его доля составляет 34,4%, за ним следует Zbot с 16,2%. Более 50% затронутых пользователей пострадали только от этих двух семейств. Был зафиксирован существенный рост активности Ramnit по сравнению с предыдущим годом, когда его доля составляла всего 3,4%. Этот вредоносный червь распространяется через спам-сообщения со ссылками на зараженные веб-сайты и крадет финансовую информацию. Emotet, ранее названный Европолом самым опасным вредоносным ПО в мире, вернулся в тройку самых активных семейств зловредов после того, как правоохранительным органам удалось свернуть его деятельность в январе 2021 года.

Жизненный цикл Emotet ярко иллюстрирует постепенное развитие и расширение функционала семейств вредоносных программ для проникновения в финансовые системы и их компрометации.

TOP 10 семейств банковского вредоносного ПО для персональных компьютеров

Название Вердикты %*
Ramnit/Nimnul Trojan-Banker.Win32.Ramnit 34,4
Zbot/Zeus Trojan-Banker.Win32.Zbot 16,2
Emotet Trojan-Banker.Win32.Emotet 6,4
CliptoShuffler Trojan-Banker.Win32.CliptoShuffler 6,2
IcedID Trojan-Banker.Win32.IcedID 4,1
Trickster/Trickbot Trojan-Banker.Win32.Trickster 4,0
SpyEye Trojan-Spy.Win32.SpyEye 3,4
RTM Trojan-Banker.Win32.RTM 2,5
Gozi Trojan-Banker.Win32.Gozi 2,4
BitStealer Trojan-Banker.MSIL.BitStealer 1,6

* Доля уникальных пользователей, столкнувшихся с данным семейством зловредов, от всех пользователей, атакованных финансовым вредоносным ПО.

География атак

В нашем отчете за этот год мы проанализировали процент пользователей «Лаборатории Касперского», которые столкнулись с финансовыми киберугрозами в каждой стране, относительно общего числа пользователей, подвергшихся атакам с использованием финансового вредоносного ПО. Так можно выявить страны с наиболее высоким риском заражения компьютеров финансовыми вредоносными программами.

В отчете за 2022 год представлено распределение атак финансовых вредоносных программ в различных странах. Более 50% всех попыток заражения компьютеров приходится на страны, перечисленные в списке TOP 20 ниже.

ТОР 20 стран и территорий по доле атакованных пользователей

Страна или территория* %**
Туркменистан 6,6
Афганистан 6,5
Таджикистан 4,9
Китай 3,3
Узбекистан 3,3
Йемен 3,3
Судан 2,9
Мавритания 2,8
Египет 2,5
Азербайджан 2,5
Венесуэла 2,5
Парагвай 2,5
Швейцария 2,4
Сирия 2,4
Ливия 2,3
Алжир 2,2
Ирак 2,0
Индонезия 1,9
Бангладеш 1,8
Пакистан 1,8

* При расчетах мы исключили страны и территории с относительно небольшим количеством пользователей «Лаборатории Касперского» (менее 10 000).
** Доля уникальных пользователей, подвергшихся атакам финансовых зловредов, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

Согласно приведенным данным, в Туркменистане самая высокая доля атакованных пользователей — 6,6%. За ним следуют Афганистан и Таджикистан с 6,5% и 4,9% соответственно.

Типы атакованных пользователей

Статистика за 2022 год свидетельствует о стабильности распределения финансовых киберугроз, при этом основными целями по-прежнему оставались физические лица (61,8%), в то время как на корпоративных клиентов (38,2%) приходилось меньше атак. Рост в 2022 году был незначительным и составил менее 1%, что говорит об отсутствии значительных изменений в общем распределении атак.

Распределение атак с использованием вредоносного ПО по типам пользователей (среди физических лиц и корпоративных клиентов), 2021 – 2022 гг. (скачать)

Это можно объяснить тем, что появившийся вследствие пандемии новый формат труда уже стал привычным во всем мире, и многие компании сохранили практики удаленного или гибридного режима работы. Тенденция работать из дома или удаленно уже не нова, и многие компании адаптировались к ней, приняв соответствующие меры для обеспечения безопасности устройств и данных своего персонала. Сотрудники все чаще используют одни и те же устройства и средства безопасности как в личных, так и в рабочих целях, из-за чего киберпреступникам становится сложнее различать между собой физических лиц и корпоративных клиентов.

Банковские вредоносные программы для мобильных устройств

Уже на протяжении как минимум четырех лет мы наблюдаем устойчивую тенденцию к снижению числа пользователей Android, пострадавших от банковского вредоносного программного обеспечения. В 2022 году число таких пользователей сократилось до 57 219 человек, что на 55% или более чем в 2,5 раза меньше, чем в предыдущем году.

Эта тенденция сохраняется уже несколько лет: количество атакованных пользователей Android сократилось на 55% в 2020 году и почти на 50% в 2021 году, за который подверглось атакам 147 316 человек.

Количество уникальных пользователей, атакованных банковским вредоносным ПО для Android, 2020 – 2022 гг. (скачать)

Несмотря на устойчивое снижение числа атак, пользователям Android не следует снижать бдительность, поскольку киберпреступники продолжают совершенствовать свое вредоносное ПО и находить новые способы проведения атак. В 2022 году нами выявлено более 200 000 новых установщиков банковских троянцев, что в два раза больше, чем в предыдущем году.

Сравнивая наиболее активные семейства мобильных зловредов в 2021 и 2022 годах, мы отметили некоторые значительные изменения. В 2021 году самым распространенным мобильным вредоносным ПО был Agent, на долю которого приходилось 26,9% атак. Однако в 2022 году Bian превзошел Agent, став самым активным семейством мобильных вредоносных программ (24,25% атак против 21,57% у Agent).

Что касается других семейств в списке, Anubis (11,24%) и Faketoken (10,53%) сохранили свои прежние позиции в пятерке лидеров. Asacub также остался в пятерке лучших с почти 10% атак, но опустился на пятое место с третьего, которое он занимал в 2021 году.

TOP 10 семейств банковского вредоносного ПО для Android

Название Вердикты %*
Bian Trojan-Banker.AndroidOS.Bian 24,25
Agent Trojan-Banker.AndroidOS.Agent 21,57
Anubis Trojan-Banker.AndroidOS.Anubis 11,24
Faketoken Trojan-Banker.AndroidOS.Faketoken 10,53
Asacub Trojan-Banker.AndroidOS.Asacub 9,91
Svpeng Trojan-Banker.AndroidOS.Svpeng 6,08
Cebruser Trojan-Banker.AndroidOS.Cebruser 5,23
Gustuff Trojan-Banker.AndroidOS.Gustuff 3,13
Bray Trojan-Banker.AndroidOS.Bray 2,27
Sova Trojan-Banker.AndroidOS.Sova 2,14

* Доля уникальных пользователей, столкнувшихся с данным семейством зловредов, от всех пользователей, атакованных финансовым вредоносным ПО.

Семейство вредоносных программ Svpeng, занимавшее третье место по распространенности в 2021 году с долей в 21,4% атак, опустилось на шестое место в 2022 году, где его доля составила лишь 6,08% атак. Тем временем, список пополнили Cebruser, Gustuff, Bray и Sova.

География атак

Для оценки различий в географическом распределении пользователей, пострадавших от банковского вредоносного ПО для Android, были рассмотрены два списка с десятью ключевыми странами и регионами за 2021 и 2022 годы. В первом списке самый высокий процент целевых пользователей наблюдался в Японии — 2,18%, за ней следовала Испания — 1,55%. Во втором списке наибольший процент был обнаружен в Испании — 1,96%, за ней следовала Саудовская Аравия — 1,11%.

Австралия присутствует в обоих списках с долей 0,48% в первом списке и 1,09% во втором списке. Турция также имеется в обоих списках с долей 0,71% в первом списке и 0,99% во втором списке. У Италии была доля 0,29% в первом списке и 0,17% во втором списке. Тем временем доля Японии во втором списке составила лишь 0,30%.

TOP 10 стран и территорий, 2021 г.

Страна или территория* %**
Япония 2,18
Испания 1,55
Турция 0,71
Франция 0,57
Австралия 0,48
Германия 0,46
Норвегия 0,31
Италия 0,29
Хорватия 0,28
Австрия 0,28

* Из рейтинга мы исключили страны и территории c относительно небольшим количеством пользователей мобильных защитных решений «Лаборатории Касперского» (менее 25 000).
** Доля уникальных пользователей, атакованных мобильными банковскими троянцами в стране, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в этой стране.

TOP 10 стран и территорий, 2022 г.

Страна или территория* %**
Испания 1,96
Саудовская Аравия 1,11
Австралия 1,09
Турция 0,99
Швейцария 0,48
Япония 0,30
Колумбия 0,19
Италия 0,17
Индия 0,16
Южная Корея 0,16

* Из рейтинга мы исключили страны и территории c относительно небольшим количеством пользователей мобильных защитных решений «Лаборатории Касперского» (менее 25 000).
** Доля уникальных пользователей, атакованных мобильными банковскими троянцами в стране, по отношению ко всем пользователям мобильных защитных решений «Лаборатории Касперского» в этой стране.

В общем и целом, оба списка показывают, что банковское вредоносное ПО продолжает оставаться глобальной угрозой для пользователей в различных странах и регионах.

Заключение

Анализ 2022 года показал, что число атак на основе банковского вредоносного ПО продолжает снижаться как на персональных компьютерах, так и на мобильных устройствах. Тем не менее, количество таких атак остается значительным, и пользователям, как всегда, необходимо сохранять бдительность. В то же время, киберпреступники переключают свое внимание на криптовалюту, где атаки труднее отследить. Появление новых платежных систем обязательно будет сопровождаться новыми атаками, вероятно, с еще большим акцентом на криптовалюту.

Схемы финансового фишинга по-прежнему превалируют среди всех видов фишинга, и мошенники продолжают охотиться за банковскими и другими конфиденциальными данными, подражая известным брендам. Эта деятельность вряд ли утихнет, и мы продолжим регулярно наблюдать появление новых схем.

Для защиты от финансовых угроз «Лаборатория Касперского» рекомендует следующее:

  • Устанавливайте приложения только из надежных источников.
  • Прежде чем предоставить приложению запрошенные права и разрешения, убедитесь, что они ему действительно необходимы.
  • Никогда не переходите по ссылкам и не открывайте документы, прикрепленные к сообщениям, которых вы не ждали и которые выглядят подозрительно.
  • Применяйте надежное защитное решение, например Kaspersky Premium, которое обезопасит вас и вашу цифровую инфраструктуру от широкого спектра финансовых киберугроз.

Для защиты бизнеса от финансовых вредоносных программ специалисты «Лаборатории Касперского» по безопасности рекомендуют следующее:

  • Проводите тренинги по кибербезопасности — особенно для сотрудников, ответственных за финансовый учет — чтобы научить их отличать фишинговые страницы.
  • Повышайте цифровую грамотность персонала.
  • Установите политику «запрет по умолчанию» для критически важных пользователей — например, для финансовых подразделений — чтобы они могли посещать только легитимные веб-сайты.
  • Устанавливайте последние обновления и исправления для всего используемого ПО.

Финансовые киберугрозы в 2022 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике