Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.
Цифры квартала
- По данным KSN, решения «Лаборатории Касперского» отразили 171 895 830 атак, которые проводились с интернет-ресурсов, размещенных в 191 стране мира.
- Зафиксировано 54 539 948 уникальных URL, на которых происходило срабатывание веб-антивируса.
- Нашим веб-антивирусом было обнаружено 16 119 489 уникальных детектируемых объектов (скрипты, эксплойты, исполняемые файлы и т.д.).
- Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам отражены на компьютерах 1 132 031 пользователя.
- Атаки шифровальщиков отражены на компьютерах 311 590 уникальных пользователей.
- Нашим файловым антивирусом зафиксировано 249 619 379 уникальных вредоносных и потенциально нежелательных объектов.
- Продуктами «Лаборатории Касперского» для защиты мобильных устройств было обнаружено:
- 3 626 458 вредоносных установочных пакетов;
- 27 403 установочных пакетов мобильных банковских троянцев;
- 83 048 установочных пакетов мобильных троянцев-вымогателей.
Мобильные угрозы
Во втором квартале 2016 года «Лабораторией Касперского» было обнаружено 3 626 458 вредоносных установочных пакетов – это в 1,7 раза больше, чем в предыдущем квартале.
Количество обнаруженных вредоносных установочных пакетов (Q3 2015 – Q2 2016)
Распределение детектируемых мобильных программ по типам
Начиная с этого квартала, мы рассчитываем распределение мобильных программ по типам, основываясь на количестве обнаруженных установочных пакетов, а не модификаций, как ранее.
Распределение новых детектируемых мобильных программ по типам, (Q1 2016 и Q2 2016)
В рейтинге обнаруженных во втором квартале 2016 года детектируемых объектов для мобильных устройств лидируют программы типа RiskTool – легальные приложения, которые потенциально опасны для пользователей. Их доля за квартал значительно выросла – с 31,6% до 45,1%, то есть практически в 1,5 раза.
Второе место в рейтинге заняли потенциально нежелательные рекламные приложения (AdWare). Их доля снизилась по сравнению с первым кварталом 2016 года на 1,4 п.п. и составила 14,2%.
В 1,7 раза упала доля Trojan-SMS – с 18,5% до 10,8%. В результате в этом рейтинге Trojan-SMS сместились со второго на третье место. Большая часть обнаруженных файлов типа Trojan-SMS является зловредами Trojan-SMS.AndroidOS.Agent.qu и Trojan-SMS.AndroidOS.Agent.f, на каждого приходится примерно по 30% от общего количества вредоносных файлов.
Практически так же упала доля Trojan-Dropper – c 14,5% в первом квартале до 9,2% во втором. Лидером среди этого типа программ стал Trojan-Dropper.AndroidOS.Agent.v – мы обнаружили более 50 000 установочный пакетов, относящихся к этому троянцу.
TOP 20 мобильных вредоносных программ
В приведенный ниже рейтинг вредоносных программ не входят потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.
Название | % атакованных пользователей* |
|
1 | DangerousObject.Multi.Generic | 80,87 |
2 | Trojan.AndroidOS.Iop.c | 11,38 |
3 | Trojan.AndroidOS.Agent.gm | 7,71 |
4 | Trojan-Ransom.AndroidOS.Fusob.h | 6,59 |
5 | Backdoor.AndroidOS.Ztorg.a | 5,79 |
6 | Backdoor.AndroidOS.Ztorg.c | 4,84 |
7 | Trojan-Ransom.AndroidOS.Fusob.pac | 4,41 |
8 | Trojan.AndroidOS.Iop.t | 4,37 |
9 | Trojan-Dropper.AndroidOS.Gorpo.b | 4,33 |
10 | Trojan.AndroidOS.Ztorg.a | 4,30 |
11 | Trojan.AndroidOS.Ztorg.i | 4,25 |
12 | Trojan.AndroidOS.Iop.ag | 4,00 |
13 | Trojan-Dropper.AndroidOS.Triada.d | 3,10 |
14 | Trojan-Dropper.AndroidOS.Rootnik.f | 3,07 |
15 | Trojan.AndroidOS.Hiddad.v | 3,03 |
16 | Trojan-Dropper.AndroidOS.Rootnik.h | 2,94 |
17 | Trojan.AndroidOS.Iop.o | 2,91 |
18 | Trojan.AndroidOS.Rootnik.ab | 2,91 |
19 | Trojan.AndroidOS.Triada.e | 2,85 |
20 | Trojan-SMS.AndroidOS.Podec.a | 2,83 |
* Процент уникальных пользователей, атакованных данным зловредом, от всех атакованных пользователей мобильного антивируса «Лаборатории Касперского».
Первое место в рейтинге занимает вердикт DangerousObject.Multi.Generic (80,87%), используемый для вредоносных программ, обнаруженных с помощью облачных технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.
Как и в прошлом квартале, во втором квартале 2016 года в TOP 20 попали шестнадцать троянцев, которые используют рекламу в качестве основного средства монетизации (выделены в таблице синим цветом). Их цель – доставить пользователю как можно больше рекламы различными способами, в том числе за счет установки новых рекламных программ. Эти троянцы могут воспользоваться правами суперпользователя для того, чтобы скрыться в системной папке, откуда удалить их будет очень сложно.
По итогам Q2 2016 решения «Лаборатории Касперского» отразили 171,9 млн. веб-атак #KLreport
Tweet
Троянец Trojan.AndroidOS.Iop.c (11,38%) переместился с третьего на второе место в TOP 20 и стал самым популярным зловредом во втором квартале 2016. В течение отчетного периода мы детектировали этот троянец в 180 странах, но большая часть атакуемых пользователей находилась в России, Индии и Алжире. Iop.c может использовать различные уязвимости в системе для получения прав суперпользователя. Основной способ монетизации – показ пользователю рекламы и установка (обычно скрытная) на устройство пользователя различных программ, среди которых встречаются и другие зловреды.
На четвертом и седьмом местах расположились представители семейства троянцев-вымогателей Trojan-Ransom.AndroidOS.Fusob. Эти троянцы блокируют устройство и требуют от жертв 100-200 долларов за разблокировку. Большая часть жертв зловреда находится в Германии и в США, всего же в течение второго квартала 2016 года мы зафиксировали атаки этого троянца более чем в 120 странах.
Trojan-SMS.AndroidOS.Podec.a (2,83%) входит в TOP 20 вредоносных мобильных угроз уже больше года, но последнее время стал терять свои позиции. Раньше он всегда попадал в первую пятерку мобильных угроз, но уже второй квартал подряд оказывается во второй десятке. Последнее время функционал этого троянца практически не менялся, все так же основная монетизация производится за счет подписки пользователя на платные сервисы.
География мобильных угроз
TOP 10 стран по проценту пользователей, атакованных мобильными зловредами:
Страна* | % атакованных пользователей** |
|
1 | Китай | 36,31 |
2 | Бангладеш | 32,66 |
3 | Непал | 30,61 |
4 | Узбекистан | 22,43 |
5 | Алжир | 22,16 |
6 | Нигерия | 21,84 |
7 | Индия | 21,64 |
8 | Индонезия | 21,35 |
9 | Пакистан | 19,49 |
10 | Иран | 19,19 |
* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10000).
** Процент уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.
Первое место в этом рейтинге досталось Китаю – более 36% пользователей в этой стране хотя бы раз в течение квартала сталкивались с мобильными зловредами. Напомним, что в прошлом квартале Китай также оказался на первой строчке рейтинга.
Во всех странах этого списка, за исключением Китая, популярны примерно одни и те же мобильные детектируемые объекты – рекламные троянцы, попавшие в TOP 20 мобильных вредоносных программ, и программы типа AdWare. Практически во всех этих странах самым популярным зловредом стал Trojan.AndroidOS.Iop.c. В Китае тоже популярны рекламные троянцы, но других семейств – в основном Backdoor.AndroidOS.GinMaster и Backdoor.AndroidOS.Fakengry. Троянец Trojan.AndroidOS.Iop.c в Китае занял лишь 16-е место.
Россия (10,4%) в этом рейтинге заняла 26-е место, Германия (8,5%) – 38-е, Италия (6,2%) – 49-е, Франция (5,9%) – 52-е. США (5,0%) оказались на 59-й строчке, Великобритания (4,6%) – на 64-й.
Самые безопасные страны по доле атакованных пользователей: Австрия (3,6%), Швеция (2,9%) и Япония (1,7%).
Мобильные банковские троянцы
Начиная с этого квартала, мы считаем количество банковских троянцев по количеству обнаруженных установочных пакетов, а не по количеству модификаций, как раньше. За отчетный период мы обнаружили 27 403 мобильных банковских троянца, что в 1,2 раза меньше, чем в прошлом квартале.
Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского» (Q3 2015 – Q2 2016)
Среди пяти самых популярных мобильных банковских троянцев во втором квартале 2016 года оказались представители всего двух семейств – Trojan-Banker.AndroidOS.Asacub и Trojan-Banker.AndroidOS.Svpeng.
Самым популярным у злоумышленников мобильным банковским троянцем в этом квартале стал Trojan-Banker.AndroidOS.Asacub.i. Этот троянец активно использует различные технологии для обмана пользователей и обхода ограничений ОС. В первом квартале нам удалось обнаружить версию этого троянца, которая перекрывала своим окном стандартный диалог получения прав администратора устройства так, что пользователь, нажимая на кнопку «Да», не представлял, на что согласился. Во втором квартале мы обнаружили модификацию, которая запрашивает у пользователя разрешение стать основным приложением для работы с SMS.
Диалог запроса троянца Trojan-Banker.AndroidOS.Asacub.i на получение прав стать основным приложением работы с SMS
Это позволяет троянцу обойти ограничения системы, появившиеся в Android 4.4, и скрывать от пользователя входящие SMS (как правило, скрываются сообщения от банков и платежных систем). Для того, чтобы пользователь оставил в настройках вредоносное приложение как основное для работы с SMS, авторам троянца помимо прочего пришлось реализовать интерфейс работы с сообщениями.
Интерфейс троянца Trojan-Banker.AndroidOS.Asacub.i для создания и отправки SMS
Asacub активно распространяется через SMS спам.
По числу атакованных мобильными банковскими троянцами пользователей лидируют Россия и Германия:
TOP 10 стран по проценту пользователей, атакованных мобильными банковскими троянцами
Страна* | % атакованных пользователей** |
|
1 | Россия | 1,51 |
2 | Австралия | 0,73 |
3 | Узбекистан | 0,45 |
4 | Корея | 0,35 |
5 | Китай | 0,34 |
6 | Украина | 0,33 |
7 | Дания | 0,28 |
8 | Германия | 0,24 |
9 | Турция | 0,23 |
10 | Киргизия | 0,17 |
* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в этой стране.
В втором квартале первое место заняла Россия (1,51%), где большая часть атак с использованием мобильных банкеров пришлась на троянцев семейств Trojan-Banker.AndroidOS.Asacub, Trojan-Banker.AndroidOS.Svpeng и Trojan-Banker.AndroidOS.Faketoken.
Китай (0,34%), занимавший первое место в прошлом квартале, спустился на пятое место.
Австралия (0,73%), как и в предыдущем квартале, заняла второе место в рейтинге, большая часть атак в этой стране пришлась на представителей семейств Trojan-Banker.AndroidOS.Marcher и Trojan-Banker.AndroidOS.Acecard.
В России и в Австралии у злоумышленников среди всех мобильных зловредов наиболее популярны именно банковские троянцы. В этих двух странах самые высокие доли пользователей, атакованных мобильными банкерами, среди всех атакованных пользователей, – 14%.
Мобильные троянцы-вымогатели
Начиная с этого квартала, мы считаем количество мобильных троянцев-вымогателей по количеству обнаруженных установочных пакетов, а не по количеству модификаций, как раньше.
В втором квартале 2016 года мы обнаружили 83 048 установочных пакетов мобильных троянцев-вымогателей, что примерно столько же, как и в прошлом квартале, и практически в 7 раз больше чем в четвертом квартале 2015 года.
Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского» (Q3 2015 – Q2 2016)
Резкий рост количества установочных пакетов мобильных вымогателей в 2016 году обусловлен активным распространением троянцев семейства Trojan-Ransom.AndroidOS.Fusob. В первом квартале 2016 года на это семейство пришлось боле 96% обнаруженных установочных пакетов мобильных зловредов типа Trojan-Ransom, во втором квартале их доля составила 85%.
В Q2 2016 веб-антивирус «Лаборатории Касперского» сработал на 54,5 млн. уникальных URL #KLreport
Tweet
Самым популярным троянцем-вымогателем во втором квартале стал Trojan-Ransom.AndroidOS.Fusob.h. С ним столкнулись без малого 60% пользователей, атакованных мобильными вымогателями. После запуска этот троянец запрашивает права администратора, собирает информацию об устройстве, в том числе GPS координаты и историю звонков, и загружает ее на сервер злоумышленников. После чего он может получить команду на блокировку устройства.Во втором квартале мы зафиксировали рост количества установочных пакетов, относящихся к троянцу Trojan-Ransom.AndroidOS.Congur.b: их доля выросла с 0,8 до 8,8%. Этот троянец, ориентированный на китайско-язычных пользователей, меняет пароль системы (PIN) или устанавливает его, если ранее пароля не было, делая таким образом невозможным использование устройства. Требование выкупа выводится на экран заблокированного устройства.
По числу атакованных мобильными вымогателей пользователей лидируют Германия, США и Россия:
Чтобы оценить и сравнить риск заражения мобильными троянцами-вымогателями в разных странах, мы составили рейтинг стран по доле пользователей, атакованных мобильными Trojan-Ransom, от общего количества пользователей в стране.
TOP 10 стран по проценту пользователей, атакованных мобильными троянцами-вымогателями
Страна* | % атакованных пользователей** |
|
1 | Канада | 2,01 |
2 | Германия | 1,89 |
3 | США | 1,66 |
4 | Швейцария | 1,63 |
5 | Мексика | 1,55 |
6 | Великобритания | 1,51 |
7 | Дания | 1,35 |
8 | Италия | 1,35 |
9 | Казахстан | 1,35 |
10 | Нидерланды | 1,15 |
* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент в стране уникальных пользователей, атакованных мобильными троянцами-вымогателями, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.
Во всех странах из этого TOP 10, кроме Казахстана, наиболее популярно семейство Fusob. В США помимо Fusob достаточно популярно семейство Trojan-Ransom.AndroidOS.Svpeng. Эти троянцы-вымогатели обычно требуют $100-$500 за разблокировку устройства.
В Казахстане основную угрозу для пользователей представляют троянцы-вымогатели семейства Small. Это достаточно простой троянец-вымогатель, который перекрывает своим окном все остальные окна на устройстве, таким образом блокируя его работу. За разблокировку злоумышленники обычно требуют от 10 долларов.
Уязвимые приложения, используемые злоумышленниками
Во втором квартале 2016 года были по-прежнему популярны эксплойты для Adobe Flash Player. За квартал было выявлено использование двух новых уязвимостей в данном программном продукте:
- СVE-2016-4117
- CVE-2016-4171
Эксплойт к уязвимости CVE-2016-4117 был добавлен в эксплойт-паки Magnitude и Neutrino. Уязвимость CVE-2016-4171 использовалась группой ScarCruft в таргетированных атаках. Более подробно о деятельности этой группы мы уже писали в середине июня.
Примечательным событием квартала стал уход эксплойт-паков Angler и Nuclear – бессменных лидеров рынка. Уход Angler заставил участников рынка переориентироваться на другие эксплойт-паки для распространения вредоносного ПО. В частности, мы зафиксировали небывалый рост популярности пака Neutrino.
По итогам второго квартала статистика использования эксплойтов имела следующий вид:
Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых приложений, второй квартал 2016 года
Из графика видно, что, несмотря на уход лидеров рынка, распределение осталось практически неизменным с прошлого квартала: на 1 п.п. уменьшились доли эксплойтов для уязвимостей Microsoft Office (14%) и Java (7%), на 2 п.п. выросла доля Android (24%). Из этого можно сделать вывод, что спрос на эксплойт-паки распределился на оставшихся игроков: RIG, Magnitude и Neutrino. Последний на конец квартала являлся безоговорочным лидером по количеству попыток загрузки вредоносного ПО.
Вредоносные программы в интернете (атаки через веб-ресурсы)
Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.
Во втором квартале 2016 года нашим веб-антивирусом было обнаружено 16 119 489 уникальных объектов (скрипты, эксплойты, исполняемые файлы и т.д.), и зафиксировано 54 539 948 уникальных URL, на которых происходило срабатывание веб-антивируса.
Онлайн-угрозы в финансовом секторе
Настоящая статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.
Количество пользователей, атакованных финансовым вредоносным ПО
Во втором квартале 2016 года в связи с постоянным появлением новых представителей банковских троянцев и изменением функциональности уже имеющихся мы существенно обновили список вердиктов, которые принадлежат классу банковских угроз. По этой причине по сравнению с данными, опубликованными в предыдущих кварталах, значительно изменилось количество жертв финансового вредоносного ПО. Для сравнения мы пересчитали статистику предыдущего квартала с учетом всех зловредов из обновленного списка.
Во втором квартале 2016 года решения «Лаборатории Касперского» отразили попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на компьютерах 1 132 031 пользователей. По сравнению с предыдущим кварталом (979 607) количество пользователей, атакованных финансовым вредоносным ПО, увеличилось на 15,6%.
Число пользователей, атакованных финансовым вредоносным ПО, второй квартал 2016
География атак
Чтобы оценить и сравнить степень риска заражения банковскими троянцами, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в отчетный период, от всех пользователей наших продуктов в стране.
TOP-10 стран по проценту атакованных пользователей
Страна* | % атакованных пользователей** | |
1 | Турция | 3,45 |
2 | Россия | 2,92 |
3 | Бразилия | 2,63 |
4 | Пакистан | 2,60 |
5 | Венесуэла | 1,66 |
6 | Тунис | 1,62 |
7 | Япония | 1,61 |
8 | Сингапур | 1,58 |
9 | Ливия | 1,57 |
10 | Аргентина | 1,48 |
Настоящая статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам банковских троянцев, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране
В втором квартале 2016 года лидером по доле пользователей, атакованных банковскими троянцами, стала Турция. Одной из причин высокого количества финансовых угроз в данной стране стал всплеск активности в данном регионе банковского трояна Gozi, разработчики которого объединили свои усилия с создателями трояна Nymaim.
В Q2 2016 более 1 млн. пользователей были атакованы банковским вредоносным ПО #KLreport
Tweet
В России с банковскими троянцами хотя бы раз в течение квартала столкнулись 2,92% пользователей, страна заняла второе место в рейтинге.
Бразилия замыкает тройку лидеров. Мы ожидаем всплеск активности финансовых угроз в странах Латинской Америки в следующем квартале из-за предстоящих Олимпийских игр, который пройдут в Бразилии. Очевидно, что олимпийская тема очень привлекательна для пользователей: в своих атаках киберпреступники постоянно используют популярные спортивные события как приманку для потенциальных жертв.
В TOP 5 стран с наименьшим процентом атакованных вошли Канада (0,33%), США (0,4%), Великобритания (0,4%), Франция (0,43%) и Нидерланды (0,5%).
Доля атакованных пользователей в Италии – 0,62%, в Испании – 0,83%, в Германии – 1,03%.
TOP 10 семейств банковского вредоносного ПО
TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга во втором квартале 2016 года (по проценту атакованных пользователей):
Название* | Процент атакованных пользователей** | |
1 | Trojan-Spy.Win32.Zbot | 15,72 |
2 | Trojan-Banker.Win32.Gozi | 3,28 |
3 | Trojan.Win32.Qhost | 2,35 |
4 | Trojan-Banker.Win32.Shiotob | 2,27 |
5 | Trojan-Banker.Win32.BestaFera | 2,12 |
6 | Trojan.Win32.Nymaim | 1,98 |
7 | Trojan-Banker.Win32.ChePro | 1,90 |
8 | Trojan-Banker.Win32.Banbra | 1,77 |
9 | Trojan.Win32.Neurevt | 0,67 |
10 | Backdoor.Win32.Shiz | 0,66 |
* Детектирующие вердикты продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей, атакованных финансовым вредоносным ПО.
Лидер данного рейтинга — Trojan-Spy.Win32.Zbot – стабильно занимает высокие позиции, и это неслучайно, поскольку исходные коды этого троянца утекли в открытый доступ еще в 2012 году. Это повлекло за собой появление новых банковских троянцев, которые позаимствовали фрагменты кода Zbot.
Во втором квартале 2016 года наблюдался всплеск активности зловреда Trojan.Win32.Nymaim, в результате которой троянец впервые попал в ТОР 10 и сразу занял шестое место. Изначально данный троянец разрабатывался злоумышленниками для блокирования доступа к ценным данным и последующего требования выкупа (ransomware), однако новая версия зловреда помимо своей штатной функциональности троянца-вымогателя имеет функциональность троянца-банкера, который осуществляет кражу финансовой информации. Данный факт объясняется тем, что создатели Nymaim и создатели Gozi (который, кстати, также оказался в TOP 10 финансовых угроз данного квартала) объединили усилия, и теперь владельцы Nymaim включили в исходный код своего детища фрагменты кода троянца-банкера Gozi, который открывает злоумышленникам удаленный доступ к зараженным компьютерам.
В Q2 2016 шифровальщики атаковали компьютеры 311 590 уникальных пользователей #KLreport
Tweet
Постоянные резиденты данного рейтинга и одна из причин высокой активности финансовых угроз в Бразилии – семейство троянцев Trojan-Banker.Win32.ChePro. Это банковские вредоносные программы, позволяющие делать снимки экрана, регистрировать клавиатурные нажатия и читать содержимое буфера копирования, т.е. имеющие функциональность, позволяющую использовать вредоносную программу для атаки практически на любые системы онлайн-банкинга. Злоумышленники стараются применять новые приемы, позволяющие как можно дольше избегать обнаружения. Некоторые троянцы данного семейства используют геолокацию или запрашивают у системы часовой пояс и версию Windows, чтобы заражать только пользователей определенного региона.
Еще одно семейство, впервые попавшее в TOP 10 самых активных финансовых угроз квартала, – Trojan.Win32.Neurevt. Представители данного семейства были впервые обнаружены в 2013 году и используются киберпреступниками не только с целью кражи платежных данных пользователя в системах онлайн-банкинга, но также для рассылки спама (некоторые образцы, например, отправляли спам-сообщения в Skype) и осуществления DDoS-атак (для этого злоумышленники реализовали функционал, отвечающий за реализацию сценария «Slowloris HTTP flooding»).
Вредоносные программы-шифровальщики
На сегодняшний день в коллекции «Лаборатории Касперского» содержится около 26 тысяч модификаций троянцев-шифровальщиков. При этом за один только второй квартал 2016 года мы обнаружили 9296 новых модификаций и 28 новых семейств шифровальщиков.
На следующей диаграмме хорошо виден рост количества новых версий троянцев-шифровальщиков за последний квартал:
Количество новых модификаций шифровальщиков, Q1 2016 и Q2 2016
Среди наиболее нашумевших или необычных троянцев, появившихся во втором квартале, можно выделить следующие:
-
- CryptXXX (Trojan-Ransom.Win32.CryptXXX)
Данный шифровальщик стал массово распространяться посредством эксплойт-паков начиная с апреля 2016. Ранние его версии содержали недоработки в алгоритме шифрования файлов, что позволило «Лаборатории Касперского» выпустить утилиту для их расшифровки. К сожалению, в последующих версиях злоумышленники внесли коррективы в свое творение, что сделало невозможной расшифровку файлов, пострадавших от более поздних версий CryptXXX.
- ZCryptor (Trojan-Ransom.MSIL.Zcryptor)
Этот зловред сочетает в себе нагрузку шифровальщика и метод распространения червя. Троянцы-вымогатели как правило не обладают инструментами для самораспространения, и ZCryptor как раз является примером исключения из этого правила. При заражении он, подобно «классическим» червям, создает копии своего тела на съемных носителях и генерирует файлы autorun.inf, чтобы осуществить автоматический запуск своего исполняемого файла при подключении носителя к другой системе (если, конечно, на ней не выключен автозапуск).
- RAA (Trojan-Ransom.JS.RaaCrypt)
Порой мы обнаруживаем шифровальщики, отличающиеся от других какими-то особенностями функциональности, а иногда взгляд аналитика привлекает необычная реализация. В случае RAA нетипичным оказался выбор языка программирования: зловред целиком написан на JavaScript. Всё тело зловреда помещается в единственном файле .js, приходящем жертве в виде вложения в спам-письме. При запуске троянец демонстрирует жертве документ с поддельным сообщением об ошибке, а сам тем временем шифрует пользовательские файлы.
- CryptXXX (Trojan-Ransom.Win32.CryptXXX)
- Bart (Trojan-Ransom.Win32.Bart)
Шифровальщик, который помещает файлы жертвы в запароленные ZIP-архивы, пароль же вычисляет на основе алгоритма Диффи-Хеллмана на эллиптической кривой. Внешний вид требований о выкупе и сайта оплаты Bart полностью копирует с небезызвестного Locky.
- Satana (Trojan-Ransom.Win32.Satan)
Комбинация MBR-блокировщика и файлового шифровальщика, явно вдохновленная аналогичной функциональностью известных троянцев Petya+Mischa. «Сатана», в отличие от «Пети», не шифрует MFT, да и вообще, его MBR-модуль явно не дописан, так как проверка введенного жертвой пароля не приводит ни к чему, кроме бесконечного цикла. Фрагмент кода, демонстрирующий это, приведен ниже.
Количество пользователей, атакованных троянцами-шифровальщиками
Количество уникальных пользователей, атакованных шифровальщиками, Q2 2016
Во втором квартале 2016 года шифровальщиками было атаковано 311 590 уникальных пользователей. Количество атакованных пользователей упало по сравнению с прошлым кварталом на 16%. Около 21% атак шифровальщиков пришлось на корпоративный сектор.
Важно помнить, что реальное число инцидентов выше: эта статистика отражает только результаты сигнатурного и эвристического обнаружения, тогда как большая часть троянцев-шифровальщиков детектируется продуктами «Лаборатории Касперского» поведенческими методами с выдачей общего Generic-вердикта, который не позволяет различать типы вредоносного ПО.
TOP 10 стран, подвергшихся атакам троянцев-шифровальщиков
Страна* | % пользователей, атакованных шифровальщиками** |
|
1 | Япония | 2,40 |
2 | Италия | 1,50 |
3 | Джибути | 1,46 |
4 | Люксембург | 1,36 |
5 | Болгария | 1,34 |
6 | Хорватия | 1,25 |
7 | Мальдивы | 1,22 |
8 | Корея | 1,21 |
9 | Нидерланды | 1,15 |
10 | Тайвань | 1,04 |
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.
Половину позиций в данном рейтинге занимают страны Европы.
На первое место в этом квартале поднялась Япония (2,40%), которая в прошлом квартале была на девятом месте. В этой стране детектировались по большей части Teslacrypt, а также Locky и Cryakl.
Новички в рейтинге – Джибути (1,46%), Корея (1,21%) и Тайвань (1,04%).
TOP 10 наиболее распространенных семейств троянцев-шифровальщиков
Название | Вердикты* | Процент пользователей** | |
1 | CTB-Locker | Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion | 14,59% |
2 | Teslacrypt | Trojan-Ransom.Win32.Bitman | 8,36% |
3 | Locky | Trojan-Ransom.Win32.Locky | 3,34% |
4 | Shade | Trojan-Ransom.Win32.Shade | 2,14% |
5 | Cryrar/ ACCDFISA | Trojan-Ransom.Win32.Cryrar | 2,02% |
6 | Cryptowall | Trojan-Ransom.Win32.Cryptodef | 1,98% |
7 | Cryakl | Trojan-Ransom.Win32.Cryakl | 1,93% |
8 | Cerber | Trojan-Ransom.Win32. Zerber | 1,53% |
9 | Scatter | Trojan-Ransom.BAT.Scatter/ Trojan-Downloader.JS.Scatter/ Trojan-Dropper.JS.Scatter/ Trojan-Ransom.Win32.Scatter |
1,39% |
10 | Rakhni | Trojan-Ransom.Win32.Rakhni/ Trojan-Downloader.Win32.Rakhni |
1,13% |
* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.
На первое место во втором квартале поднялось семействошифровальщиков CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). На втором месте расположилось семейство TeslaCrypt, которое в этом квартале представлено одним вердиктом – Trojan-Ransom.Win32.Bitman. Ассоциировавшийся ранее с TeslaCrypt троянец с вердиктом Trojan-Ransom.JS.Cryptoload для загрузки шифровальщика больше не используется исключительно для данного семейства. Шифровальщик TeslaCrypt хоть и внес значительный вклад в статистику, но к счастью, закончил свое существование в мае 2016 года – его владельцы отключили свои серверы и выложили master ключ для расшифровки файлов.
В первую десятку попали семейства Cerber и Cryrar, которых не было в TOP 10 в прошлом квартале.
Шифровальщик Cerber распространяется через спам и эксплойт-паки. Сайт шифровальщика в сети Tor переведен на множество языков. Среди особенностей Cerber можно отметить следующие:
- Дотошно исследует заражаемую систему: проверяет наличие антивируса, запуск под виртуальной машиной (Parallels, VmWare, QEMU, VirtualBox) или под эмулятором Wine, проверяет наличие различных утилит исследователей и аналитиков (для чего ищет определенные процессы и файлы на диске), даже имеет некий список запрещенных серийных номеров системного диска.
- Проверяет раскладку клавиатуры и IP-адрес заражаемой системы. Если обнаруживает, что машина находится в одной из стран СНГ, прекращает заражение.
- Пытается противодействовать антивирусам путем завершения их процессов, остановки сервисов, удаления файлов.
- Помимо оповещений пользователей о шифровании в виде TXT и HTML-файлов встречавшихся ранее у других семейств, запускает VBS-скрипт, который воспроизводит звуковое сообщение с текстом «Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!».
Шифровальщик Cryrar, известный также как «Anti Cyber Crime Department of Federal Internet Security Agency» (ACCDFISA), «Anti-Child Porn Spam Protection» и др., впервые появился еще в 2012 году. Отличительной его особенностью является то, что он помещает файлы жертвы в запароленные самораспаковывающиеся RAR-архивы. Как показала статистика KSN, этот «долгожитель» до сих пор не уступает позиции своим более новым соперникам.
Страны – источники веб-атак: TOP 10
Данная статистика показывает распределение по странам источников заблокированных продуктами «Лаборатории Касперского» интернет-атак на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.
Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).
Во втором квартале 2016 года решения «Лаборатории Касперского» отразили 171 895 830 атак, которые проводились с интернет-ресурсов, размещенных в 191 стране мира. Зафиксировано 54 539 948 уникальных URL, на которых происходило срабатывание веб-антивируса.
81% уведомлений о заблокированных веб-атаках были получены при блокировании атак с веб-ресурсов, расположенных в десяти странах мира.
Распределение по странам источников веб-атак, Q2 2016
Во втором квартале США (35,44%) вновь поднялись на первое место, причем с большим отрывом от России (10,28%), поднявшейся с третьего на второе место. Нидерланды (6,91%), занимавшие в начале года первое место, опустились на четвертое, потеряв 17,7 п.п. Замыкает первую тройку Германия (8,9%). Из рейтинга выбыла Болгария, а новичок рейтинга – Канада (0,96%) на девятом месте.
Страны, в которых пользователи подвергались наибольшему риску заражения через интернет
Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах.
Страна* | % уникальных пользователей** |
|
1 | Азербайджан | 32,10 |
2 | Россия | 30,80 |
3 | Китай | 29,35 |
4 | Словения | 27,54 |
5 | Украина | 27,46 |
6 | Казахстан | 27,03 |
7 | Вьетнам | 26,02 |
8 | Алжир | 25,63 |
9 | Армения | 25,09 |
10 | Беларусь | 24,60 |
11 | Бразилия | 24,05 |
12 | Франция | 22,45 |
13 | Молдова | 22,34 |
14 | Киргизия | 22,13 |
15 | Болгария | 22,06 |
16 | Италия | 21,68 |
17 | Чили | 21,56 |
18 | Катар | 20,10 |
19 | Индия | 20,00 |
20 | Португалия | 19,84 |
Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского», относительно мало (меньше 10 000).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.
Лидер рейтинга изменился по сравнению с прошлым кварталом – им стал Азербайджан (32,1%), который поднялся с четвертого на первое место. Россия (30,8%) опустилась с первого на второе место, а Казахстан (27,03%) со второго на шестое. Китай (29,35%) по-прежнему на третьем месте.
За Q2 2016 было обнаружено было обнаружено 83 048 мобильных троянцев-вымогателей #KLreport
Tweet
По сравнению с первым кварталом из TOP 20 выбыли Испания, Литва, Хорватия и Турция. Новички рейтинга: Болгария (22,06%), Чили (21,56%), Катар (20,10%) и Португалия (19,84%).
В числе самых безопасных для серфинга в интернете стран Канада (15%), Румыния (14,6%), Бельгия (13,7%), Мексика (13,2%), США (12,8%), Швейцария (12,4%), Новая Зеландия (12,1%), Чехия (12%), Аргентина (9,9%), Япония (9,5%), Нидерланды (8,3), Швеция (8,2%), Германия (8%).
В среднем в течение квартала 19,4% компьютеров пользователей интернета в мире хоть раз подвергались веб-атаке. По сравнению с первым кварталом 2016 года этот показатель уменьшился на 1,8 п.п.
Локальные угрозы
Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т.д.).
В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.
Во втором квартале 2016 года нашим файловым антивирусом было зафиксировано 249 619 379 уникальных вредоносных и потенциально нежелательных объектов.
Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения
Для каждой из стран мы подсчитали, какой процент пользователей продуктов «Лаборатории Касперского» столкнулся со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.
TOP 20 стран по уровню зараженности компьютеров
Страна* | % уникальных пользователей** |
|
1 | Сомали | 65,80 |
2 | Вьетнам | 63,33 |
3 | Таджикистан | 62,00 |
4 | Россия | 61,56 |
5 | Киргизия | 60,80 |
6 | Бангладеш | 60,19 |
7 | Афганистан | 60,00 |
8 | Армения | 59,74 |
9 | Украина | 59,67 |
10 | Непал | 59,66 |
11 | Эфиопия | 59,63 |
12 | Лаос | 58,43 |
13 | Казахстан | 57,72 |
14 | Руанда | 57,33 |
15 | Джибути | 56,07 |
16 | Йемен | 55,98 |
17 | Венесуэла | 55,76 |
18 | Алжир | 55,58 |
19 | Камбоджа | 55,56 |
20 | Ирак | 55,55 |
Настоящая статистика основана на детектирующих вердиктах модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.
В первом квартале 2016 года лидер рейтинга не изменился – им по-прежнему является Сомали (65,8%). Йемен (55,98%) опустился со второго на шестнадцатое место, Вьетнам (63,33%) поднялся с восьмого на второе место. Замыкает первую тройку Таджикистан (62%). Россия поднялась с пятого на четвертое место, хотя ее показатель снизился на 2,62 п.п. до 61,56%.
Новички рейтинга по сравнению с прошлым кварталом: Джибути (56,07%) на пятнадцатом месте, Венесуэла (55,76%) на семнадцатом, Камбоджа (55,56%) на девятнадцатом.
Страны с наименьшим уровнем заражения: Хорватия (29%), Сингапур (28,4%), Германия (28,1%), Норвегия (27,6%), США (27,1%), Швейцария (26,3%), Япония (22,1%), Дания (21,4%), Швеция (21,3%).
В среднем в мире хотя бы один раз в течение второго квартала локальные угрозы были зафиксированы на 43,3% компьютеров пользователей – это на 1,2 п.п. меньше, чем в первом квартале 2016 года.
Развитие информационных угроз во втором квартале 2016 года. Статистика
Александр
Почему Крым в инфографике по-прежнему украинский? 🙂 Пользуясь случаем, хочу передать привет всем бывшим коллегам!