Отчеты о вредоносном ПО

Развитие информационных угроз в первом квартале 2024 года. Статистика по ПК

Содержание

Развитие информационных угроз в первом квартале 2024 года
Развитие информационных угроз в первом квартале 2024 года. Мобильная статистика
Развитие информационных угроз в первом квартале 2024 года. Статистика по ПК

Представленная статистика основана на детектирующих вердиктах продуктов и сервисов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

В первом квартале 2024 года:

  • решения «Лаборатории Касперского» отразили более 658 миллионов атак с различных интернет-ресурсов;
  • веб-антивирус среагировал почти на 153 миллиона уникальных ссылок;
  • файловый антивирус заблокировал почти 32 миллиона вредоносных и нежелательных объектов;
  • более 83 тысяч пользователей столкнулись с атаками шифровальщиков;
  • Более 20% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (data leak site) группировок, пострадали от шифровальщика LockBit;
  • более 394 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

BlackCat/ALPHV

В начале марта группировка BlackCat (также известная как ALPHV), занимающаяся распространением одноименного шифровальщика, объявила о своем уходе с киберпреступного рынка. Злоумышленники обвинили в своем решении Федеральное бюро расследований США (ФБР). Представитель группы опубликовал на подпольном форуме сообщение о том, что их якобы «нагрели федералы», а на сайте с данными жертв злоумышленников появился баннер, гласящий, что серверы были изъяты «в результате скоординированных действий правоохранительных органов». Однако представители ФБР отказались комментировать эту информацию, а Европол и Национальное агентство по борьбе с преступностью Великобритании (NCA) сообщили, что не принимали участия в каких-либо операциях против инфраструктуры BlackCat.

Представители BlackCat также опубликовали объявление о продаже исходного кода шифровальщика за 5 млн долларов. А несколькими днями ранее один из партнеров группы обвинил ее в краже выкупа в размере более 20 млн долларов, который он получил от одной из компаний-жертв. На фоне этого вполне вероятно, что заявления о скоординированной операции — попытка BlackCat исчезнуть с деньгами. Это не первый случай, когда создатели RaaS прекращают деятельность, присваивая средства партнеров — распространителей шифровальщиков.

LockBit

В феврале правоохранительные органы 10 стран в ходе совместной операции Operation Cronos захватили часть инфраструктуры LockBit — одной из самых активных вымогательских группировок. В результате операции были также арестованы два оператора LockBit и выдано несколько международных ордеров на арест других членов группировки.

Однако вскоре после этого разработчики LockBit возобновили работу серверов и продолжили атаки с помощью обновленной версии своего шифровальщика, что, очевидно, свидетельствует о незначительности урона, который понесла группировка в результате операции правоохранителей.

Наиболее активные группировки

В этом разделе мы рассматриваем наиболее активные вымогательские группы, которые не только шифруют файлы жертв, но и крадут и публикуют конфиденциальные данные (так называемое двойное вымогательство). Статистика основана на количестве новых жертв, добавленных на DLS-сайты каждой из группировок.

В первом квартале 2024 года наиболее активной была группа LockBit, опубликовавшая на своем DLS-сайте данные 20,34% от общего числа новых жертв вымогателей. На втором месте Black Basta (7,02%), на третьем — Play (6,75%).

Доля жертв конкретных группировок относительно всех жертв, чьи данные были опубликованы на всех рассматриваемых DLS-сайтах за отчетный период (скачать)

Количество новых модификаций троянцев-шифровальщиков

В первом квартале 2024 года мы обнаружили девять новых семейств и 7070 новых модификаций шифровальщиков.

Количество новых модификаций шифровальщиков, Q1 2023 — Q1 2024 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

В первом квартале решения «Лаборатории Касперского» защитили от троянцев-шифровальщиков 83 270 уникальных пользователей.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q1 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

Страна/территория* %**
1 Южная Корея 0,75%
2 Бангладеш 0,63%
3 Ливия 0,57%
4 Пакистан 0,56%
5 Иран 0,49%
6 Китай 0,46%
7 Ирак 0,40%
8 Венесуэла 0,37%
9 Танзания 0,36%
10 Таджикистан 0,36%

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

Название Вердикты* Процент атакованных пользователей**
1 (generic verdict) Trojan-Ransom.Win32.Gen 22,92%
2 WannaCry Trojan-Ransom.Win32.Wanna 11,68%
3 (generic verdict) Trojan-Ransom.Win32.Encoder 8,63%
4 (generic verdict) Trojan-Ransom.Win32.Crypren 6,66%
5 Stop/Djvu Trojan-Ransom.Win32.Stop 6,46%
6 PolyRansom/VirLock Virus.Win32PolyRansom / Trojan-Ransom.Win32.PolyRansom 3,87%
7 (generic verdict) Trojan-Ransom.MSIL.Agent 3,66%
8 (generic verdict) Trojan-Ransom.Win32.Crypmod 3,01%
9 (generic verdict) Trojan-Ransom.Win32.Phny 3,00%
10 (generic verdict) Trojan-Ransom.Win32.Agent 2,40%

* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций майнеров

В первом квартале 2024 года решения «Лаборатории Касперского» обнаружили 6601 новую модификацию майнеров.

Количество новых модификаций майнеров, Q1 2024 (скачать)

Количество пользователей, атакованных майнерами

В первом квартале решения «Лаборатории Касперского» защитили от майнеров 394 120 уникальных пользователей по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q1 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам майнеров

Страна/территория* %**
1 Таджикистан 2,41
2 Венесуэла 1,91
3 Казахстан 1,88
4 Кыргызстан 1,80
5 Беларусь 1,69
6 Узбекистан 1,55
7 Эфиопия 1,46
8 Украина 1,34
9 Мозамбик 1,19
10 Шри-Ланка 1,12

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
** Процент уникальных пользователей, чьи компьютеры были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки на macOS

В мире macOS-троянцев 2024 год начался с обнаружения нового бэкдора SpectralBlur, предположительно связанного с группировкой Bluenoroff. Зловред обладает стандартными возможностями бэкдора и способен скачивать и удалять файлы, загружать данные на командный сервер и выполнять шелл-команды в псевдотерминале.

Затем мы обнаружили большой набор пиратских приложений, содержащих загрузчик Python-бэкдора. Основная его особенность — способность подменять приложения криптокошельков Bitcoin и Exodus на зараженные версии с целью кражи паролей и ключевых фраз.

Также мы нашли зараженные версии текстовых редакторов VNote и Notepad, содержащие загрузчик агента CobaltStrike. Они распространялись через китайские поисковые системы, в частности через рекламные баннеры.

Одной из последних угроз, обнаруженных в первом квартале, оказался Rust-бэкдор, который мимикрировал под средство обновления VisualStudio и распространялся под видом документов с информацией о вакансии. Бэкдор был нацелен на разработчиков и существовал в нескольких вариантах. По всей видимости, его основная задача — шпионаж за жертвами.

TOP 20 угроз для macOS

Вердикт %*
Trojan-Downloader.OSX.Agent.gen 11,49
AdWare.OSX.Amc.e 5,84
Trojan.OSX.Agent.gen 5,35
AdWare.OSX.Agent.ai 5,11
AdWare.OSX.Agent.gen 5,05
AdWare.OSX.Pirrit.ac 4,99
Monitor.OSX.HistGrabber.b 4,99
AdWare.OSX.Bnodlero.ax 4,27
AdWare.OSX.Agent.ap 3,73
AdWare.OSX.Pirrit.j 3,19
AdWare.OSX.Mhp.a 2,95
AdWare.OSX.Pirrit.gen 2,29
HackTool.OSX.DirtyCow.a 2,23
RiskTool.OSX.Spigot.a 2,17
AdWare.OSX.Pirrit.ae 2,05
Hoax.OSX.MacBooster.a 1,93
Trojan-Downloader.OSX.Lador.a 1,93
Trojan-Downloader.OSX.Agent.h 1,87
AdWare.OSX.Bnodlero.bg 1,87
Backdoor.OSX.Agent.l 1,81

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS.

На первое место среди активных угроз вышел троянец, скачивающий другие опасные приложения. Чаще всего он доставляет на зараженное устройство различное рекламное ПО, однако никаких технических ограничений на скачивание у этого троянца нет, поэтому он может загрузить и произвольное вредоносное ПО.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

Страна/территория* %**
Испания 1,27
Италия 1,11
Канада 1,02
Франция 0,93
Мексика 0,88
США 0,81
Германия 0,77
Великобритания 0,75
Гонконг 0,73
Бразилия 0,66

* Из рейтинга мы исключили страны и территории, где количество пользователей защитных решений «Лаборатории Касперского» для macOS относительно невелико (менее 10 000).
** Доля уникальных атакованных пользователей по отношению ко всем пользователям защитных решений «Лаборатории Касперского» для macOS в стране или на территории.

Материковый Китай, регулярно занимавший первые строчки по доле атакованных пользователей macOS, в этот раз не вошел в TOP 10. Чаще всего с угрозами для этой операционной системы сталкивались пользователи в Испании, Италии и Канаде.

Атаки на IoT

Статистика IoT-угроз

В первом квартале 2024 года устройства, атакующие ловушки «Лаборатории Касперского», с точки зрения используемого протокола оказались распределены следующим образом:

Протокол Q4 2023 Q1 2024
Telnet 91,88% 93,31%
SSH 8,12% 6,69%

Таблица распределения атакуемых сервисов по числу уникальных IP-адресов устройств, откуда проводились атаки

Как можно увидеть, доля протокола Telnet еще более выросла по сравнению с SSH. Это подтверждают и данные по количеству атак с использованием обоих протоколов.

Протокол Q4 2023 Q1 2024
Telnet 92,17% 96,48%
SSH 7,83% 3,52%

Таблица распределения рабочих сессий киберпреступников с ловушками «Лаборатории Касперского»

TOP 10 угроз, загружаемых на IoT-устройства

Угроза %* Q4 2023 %* Q1 2024
Trojan-Downloader.Linux.NyaDrop.b 19,40 37,26
Backdoor.Linux.Mirai.b 12,97 10,22
Trojan.Linux.Agent.nx 0,20 8,73
Backdoor.Linux.Mirai.ba 2,69 6,08
Backdoor.Linux.Mirai.cw 4,86 6,06
Backdoor.Linux.Gafgyt.a 1,19 3,53
Backdoor.Linux.Mirai.gp 0,05 2,81
Backdoor.Linux.Gafgyt.fj 0,05 1,97
Backdoor.Linux.Mirai.fg 2,52 1,57
Trojan-Downloader.Shell.Agent.p 0,99 1,54

* Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз.

Атаки на IoT-ханипоты

В распределении атак по протоколу SSH по странам и территориям кардинальных изменений не произошло. Наиболее значительно увеличилась доля атак с территории Южной Кореи, Сингапура и Германии.

Страна/территория %* Q4 2023 %* Q1 2024
Материковый Китай 21,33 20,58
США 11,65 12,15
Южная Корея 7,03 9,59
Сингапур 3,97 6,87
Германия 3,76 4,97
Индия 4,95 4,52
Гонконг 2,27 3,25
Россия 3,37 2,84
Бразилия 3,86 2,36
Япония 1,77 2,36

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу SSH.

Заметно участились атаки злоумышленников, использующих протокол Telnet, с территории материкового Китая.

Страна/территория %* Q4 2023 %* Q1 2024
Материковый Китай 32,96 41,51
Индия 17,91 17,47
Япония 3,62 4,89
Бразилия 4,81 3,78
Россия 3,84 3,12
Таиланд 1,08 2,95
Тайвань 2,29 2,73
Южная Корея 3,81 2,53
США 2,82 2,20
Аргентина 1,81 1,36

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу Telnet.

Атаки через веб-ресурсы

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Данная статистика показывает распределение по странам и территориям источников интернет-атак на компьютеры пользователей, заблокированных продуктами «Лаборатории Касперского» (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

В первом квартале 2024 года решения «Лаборатории Касперского» отразили 658 181 425 атак, которые проводились с интернет-ресурсов, размещенных по всему миру. Зафиксировано 152 841 402 уникальных URL, на которые срабатывал веб-антивирус.

Распределение источников веб-атак по странам и территориям, Q1 2024 (скачать)

Страны и территории, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить риск заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях, для каждой из них мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

Страна/территория* %**
1 Греция 14,09
2 Болгария 13,01
3 Мадагаскар 12,54
4 Албания 12,04
5 Северная Македония 12,00
6 Эквадор 11,90
7 Шри-Ланка 11,82
8 Катар 11,77
9 Непал 11,56
10 Бангладеш 11,36
11 Перу 11,24
12 Кения 11,02
13 Венесуэла 10,97
14 ЮАР 10,94
15 Алжир 10,87
16 Сербия 10,84
17 Тунис 10,77
18 Литва 10,66
19 Молдова 10,51
20 Словакия 10,50

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского», относительно невелико (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 7,98% компьютеров пользователей интернета в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Настоящая статистика основана на детектирующих вердиктах модулей OAS (on-access scan, сканирование при обращении к файлу) и ODS (on-demand scan, сканирование, запущенное пользователем) антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, — USB-накопителях, картах памяти, телефонах, внешних жестких дисках.

В первом квартале 2024 года нашим файловым антивирусом было зафиксировано 31 817 072 вредоносного и потенциально нежелательного объекта.

Страны и территории, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в разных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

Страна/территория* %**
1 Туркменистан 47,55
2 Йемен 43,57
3 Афганистан 42,37
4 Таджикистан 39,09
5 Куба 38,55
6 Сирия 34,70
7 Узбекистан 34,28
8 Бурунди 32,79
9 Бангладеш 31,62
10 Мьянма 30,97
11 Танзания 30,55
12 Нигер 30,45
13 Беларусь 29,84
14 Алжир 29,82
15 Южный Судан 29,80
16 Камерун 29,55
17 Бенин 29,41
18 Мадагаскар 28,77
19 Буркина-Фасо 28,77
20 Ирак 28,38

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 10 000).
** Процент уникальных пользователей, на чьих компьютерах были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение третьего квартала локальные угрозы класса Malware были зафиксированы хотя бы один раз на 15,04% компьютеров пользователей по всему миру.

Показатель России в этом рейтинге составил 17,99%.

Развитие информационных угроз в первом квартале 2024 года. Статистика по ПК

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике