Развитие информационных угроз в первом квартале 2024 года. Статистика по ПК

Развитие информационных угроз в первом квартале 2024 года
Развитие информационных угроз в первом квартале 2024 года. Мобильная статистика
Развитие информационных угроз в первом квартале 2024 года. Статистика по ПК

Представленная статистика основана на детектирующих вердиктах продуктов и сервисов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

В первом квартале 2024 года:

• решения «Лаборатории Касперского» отразили более 658 миллионов атак с различных интернет-ресурсов;
• веб-антивирус среагировал почти на 153 миллиона уникальных ссылок;
• файловый антивирус заблокировал почти 32 миллиона вредоносных и нежелательных объектов;
• более 83 тысяч пользователей столкнулись с атаками шифровальщиков;
• Более 20% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (data leak site) группировок, пострадали от шифровальщика LockBit;
• более 394 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

BlackCat/ALPHV

В начале марта группировка BlackCat (также известная как ALPHV), занимающаяся распространением одноименного шифровальщика, объявила о своем уходе с киберпреступного рынка. Злоумышленники обвинили в своем решении Федеральное бюро расследований США (ФБР). Представитель группы опубликовал на подпольном форуме сообщение о том, что их якобы «нагрели федералы», а на сайте с данными жертв злоумышленников появился баннер, гласящий, что серверы были изъяты «в результате скоординированных действий правоохранительных органов». Однако представители ФБР отказались комментировать эту информацию, а Европол и Национальное агентство по борьбе с преступностью Великобритании (NCA) сообщили, что не принимали участия в каких-либо операциях против инфраструктуры BlackCat.

Представители BlackCat также опубликовали объявление о продаже исходного кода шифровальщика за 5 млн долларов. А несколькими днями ранее один из партнеров группы обвинил ее в краже выкупа в размере более 20 млн долларов, который он получил от одной из компаний-жертв. На фоне этого вполне вероятно, что заявления о скоординированной операции — попытка BlackCat исчезнуть с деньгами. Это не первый случай, когда создатели RaaS прекращают деятельность, присваивая средства партнеров — распространителей шифровальщиков.

LockBit

В феврале правоохранительные органы 10 стран в ходе совместной операции Operation Cronos захватили часть инфраструктуры LockBit — одной из самых активных вымогательских группировок. В результате операции были также арестованы два оператора LockBit и выдано несколько международных ордеров на арест других членов группировки.

Однако вскоре после этого разработчики LockBit возобновили работу серверов и продолжили атаки с помощью обновленной версии своего шифровальщика, что, очевидно, свидетельствует о незначительности урона, который понесла группировка в результате операции правоохранителей.

Наиболее активные группировки

В этом разделе мы рассматриваем наиболее активные вымогательские группы, которые не только шифруют файлы жертв, но и крадут и публикуют конфиденциальные данные (так называемое двойное вымогательство). Статистика основана на количестве новых жертв, добавленных на DLS-сайты каждой из группировок.

В первом квартале 2024 года наиболее активной была группа LockBit, опубликовавшая на своем DLS-сайте данные 20,34% от общего числа новых жертв вымогателей. На втором месте Black Basta (7,02%), на третьем — Play (6,75%).

Доля жертв конкретных группировок относительно всех жертв, чьи данные были опубликованы на всех рассматриваемых DLS-сайтах за отчетный период (скачать)

Количество новых модификаций троянцев-шифровальщиков

В первом квартале 2024 года мы обнаружили девять новых семейств и 7070 новых модификаций шифровальщиков.

Количество новых модификаций шифровальщиков, Q1 2023 — Q1 2024 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

В первом квартале решения «Лаборатории Касперского» защитили от троянцев-шифровальщиков 83 270 уникальных пользователей.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q1 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций майнеров

В первом квартале 2024 года решения «Лаборатории Касперского» обнаружили 6601 новую модификацию майнеров.

Количество новых модификаций майнеров, Q1 2024 (скачать)

Количество пользователей, атакованных майнерами

В первом квартале решения «Лаборатории Касперского» защитили от майнеров 394 120 уникальных пользователей по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q1 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам майнеров

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
** Процент уникальных пользователей, чьи компьютеры были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки на macOS

В мире macOS-троянцев 2024 год начался с обнаружения нового бэкдора SpectralBlur, предположительно связанного с группировкой Bluenoroff. Зловред обладает стандартными возможностями бэкдора и способен скачивать и удалять файлы, загружать данные на командный сервер и выполнять шелл-команды в псевдотерминале.

Затем мы обнаружили большой набор пиратских приложений, содержащих загрузчик Python-бэкдора. Основная его особенность — способность подменять приложения криптокошельков Bitcoin и Exodus на зараженные версии с целью кражи паролей и ключевых фраз.

Также мы нашли зараженные версии текстовых редакторов VNote и Notepad, содержащие загрузчик агента CobaltStrike. Они распространялись через китайские поисковые системы, в частности через рекламные баннеры.

Одной из последних угроз, обнаруженных в первом квартале, оказался Rust-бэкдор, который мимикрировал под средство обновления VisualStudio и распространялся под видом документов с информацией о вакансии. Бэкдор был нацелен на разработчиков и существовал в нескольких вариантах. По всей видимости, его основная задача — шпионаж за жертвами.

TOP 20 угроз для macOS

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS.

На первое место среди активных угроз вышел троянец, скачивающий другие опасные приложения. Чаще всего он доставляет на зараженное устройство различное рекламное ПО, однако никаких технических ограничений на скачивание у этого троянца нет, поэтому он может загрузить и произвольное вредоносное ПО.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

* Из рейтинга мы исключили страны и территории, где количество пользователей защитных решений «Лаборатории Касперского» для macOS относительно невелико (менее 10 000).
** Доля уникальных атакованных пользователей по отношению ко всем пользователям защитных решений «Лаборатории Касперского» для macOS в стране или на территории.

Материковый Китай, регулярно занимавший первые строчки по доле атакованных пользователей macOS, в этот раз не вошел в TOP 10. Чаще всего с угрозами для этой операционной системы сталкивались пользователи в Испании, Италии и Канаде.

Атаки на IoT

Статистика IoT-угроз

В первом квартале 2024 года устройства, атакующие ловушки «Лаборатории Касперского», с точки зрения используемого протокола оказались распределены следующим образом:

Таблица распределения атакуемых сервисов по числу уникальных IP-адресов устройств, откуда проводились атаки

Как можно увидеть, доля протокола Telnet еще более выросла по сравнению с SSH. Это подтверждают и данные по количеству атак с использованием обоих протоколов.

Таблица распределения рабочих сессий киберпреступников с ловушками «Лаборатории Касперского»

TOP 10 угроз, загружаемых на IoT-устройства

* Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз.

Атаки на IoT-ханипоты

В распределении атак по протоколу SSH по странам и территориям кардинальных изменений не произошло. Наиболее значительно увеличилась доля атак с территории Южной Кореи, Сингапура и Германии.

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу SSH.

Заметно участились атаки злоумышленников, использующих протокол Telnet, с территории материкового Китая.

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу Telnet.

Атаки через веб-ресурсы

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Данная статистика показывает распределение по странам и территориям источников интернет-атак на компьютеры пользователей, заблокированных продуктами «Лаборатории Касперского» (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

В первом квартале 2024 года решения «Лаборатории Касперского» отразили 658 181 425 атак, которые проводились с интернет-ресурсов, размещенных по всему миру. Зафиксировано 152 841 402 уникальных URL, на которые срабатывал веб-антивирус.

Распределение источников веб-атак по странам и территориям, Q1 2024 (скачать)

Страны и территории, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить риск заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях, для каждой из них мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского», относительно невелико (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 7,98% компьютеров пользователей интернета в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Настоящая статистика основана на детектирующих вердиктах модулей OAS (on-access scan, сканирование при обращении к файлу) и ODS (on-demand scan, сканирование, запущенное пользователем) антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, — USB-накопителях, картах памяти, телефонах, внешних жестких дисках.

В первом квартале 2024 года нашим файловым антивирусом было зафиксировано 31 817 072 вредоносного и потенциально нежелательного объекта.

Страны и территории, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в разных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 10 000).
** Процент уникальных пользователей, на чьих компьютерах были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение третьего квартала локальные угрозы класса Malware были зафиксированы хотя бы один раз на 15,04% компьютеров пользователей по всему миру.

Показатель России в этом рейтинге составил 17,99%.