Развитие информационных угроз во втором квартале 2023 года. Статистика по ПК

• Развитие информационных угроз во втором квартале 2023 года
• Развитие информационных угроз во втором квартале 2023 года. Статистика по ПК
• Развитие информационных угроз во втором квартале 2023 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов и сервисов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, во втором квартале 2023 года:

• Решения «Лаборатории Касперского» отразили 801 934 281 атаку с интернет-ресурсов, размещенных по всему миру.
• Зафиксировано 209 716 810 уникальных ссылок, на которых происходило срабатывание веб-антивируса.
• Запуск вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам предотвращен на компьютерах 95 546 уникальных пользователей.
• Атаки шифровальщиков отражены на компьютерах 57 612 уникальных пользователей.
• Наш файловый антивирус обнаружил 39 624 768 уникальных вредоносных и потенциально нежелательных объектов.

Финансовые угрозы

Статистика финансовых угроз

Во втором квартале 2023 года решения «Лаборатории Касперского» предотвратили запуск одного или нескольких зловредов, предназначенных для кражи денежных средств с банковских счетов, на компьютерах 95 546 уникальных пользователей.

Количество уникальных пользователей, атакованных финансовыми зловредами, Q2 2023 (скачать)

География атак финансового вредоносного ПО

Чтобы оценить, в какой степени компьютеры пользователей из разных стран/территорий подвергаются риску заражения банковскими троянцами и ATM/PoS-зловредами, мы подсчитали в каждой из них долю пользователей продуктов «Лаборатории Касперского», столкнувшихся с этой угрозой в отчетный период, от всех пользователей наших продуктов в заданной стране или на территории.

TOP 10 стран и территорий по доле атакованных пользователей

	Страна или территория*	%**
1	Афганистан	3,7
2	Туркменистан	3,6
3	Таджикистан	3,2
4	Китай	2,1
5	Швейцария	2,0
6	Йемен	1,8
7	Египет	1,7
8	Венесуэла	1,6
9	Азербайджан	1,5
10	Испания	1,4

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам финансовых зловредов, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TOP 10 семейств банковского вредоносного ПО

	Название	Вердикты	%*
1	Ramnit/Nimnul	Trojan-Banker.Win32.Ramnit	30,0
2	Zbot/Zeus	Trojan-Banker.Win32.Zbot	25,3
3	Emotet	Trojan-Banker.Win32.Emotet	11,9
4	CliptoShuffler	Trojan-Banker.Win32.CliptoShuffler	5,9
5	Trickster/Trickbot	Trojan-Banker.Win32.Trickster	5,5
6	Danabot	Trojan-Banker.Win32.Danabot	1,7
7	SpyEyes	Trojan-Spy.Win32.SpyEye	1,4
8	Tinba	Trojan-Banker.Win32.Tinba	1,4
9	Qbot/Qakbot	Trojan-Banker.Win32.Qbot	1,4
10	IcedID	Trojan-Banker.Win32.IcedID	0,6

* Доля уникальных пользователей, столкнувшихся с данным семейством зловредов, от всех пользователей, атакованных финансовым вредоносным ПО.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Эксплуатация уязвимостей в ПО MOVEit Transfer

Вымогательская группировка Clop начала активно эксплуатировать уязвимости в MOVEit Transfer — программном решении для защищенной передачи файлов, которым пользуются организации по всему миру. В конце мая злоумышленники из Clop стали эксплуатировать уязвимости (на тот момент — нулевого дня) в этом ПО, что позволило им скомпрометировать внутренние сети множества компаний и получить доступ к конфиденциальным данным. Впоследствии уязвимости в MOVEit Transfer, задействованные в данной серии инцидентов, получили идентификаторы CVE-2023-34362, CVE-2023-35708, CVE-2023-35036.

Атаки на муниципальные организации, образование и здравоохранение

Во втором квартале появилось множество сообщений об атаках вымогательских группировок на городские и муниципальные организации, а также на госпитали и университеты. В частности, стало известно о компрометации сетей и краже данных у Louisiana’s Office of Motor Vehicles (OMV) и Oregon DMV. Ответственность за это взяла на себя группировка Clop, причем атака произошла по вышеописанной схеме через уязвимость в MOVEit.

Город Огаста в штате Джорджия стал жертвой группы BlackByte, а Даллас, штат Техас, — группы Royal. Университет Блуфилд, штат Вирджиния, подвергся взлому группой Avos, а Открытый университет Кипра — группой Medusa.

Также, по данным ФБР, группировка Bloody в мае проводила атаки на образовательные организации с применением уязвимости CVE-2023-27350 в ПО PaperCut, которое десятки тысяч компаний используют для менеджмента печати документов на принтерах.

Некоторые вымогательские группировки ранее заявляли, что не будут выбирать своими целями подобные организации, но, как видим, далеко не все злоумышленники придерживаются этой стратегии.

Наиболее активные группировки

В этом разделе мы рассматриваем группировки вымогателей, которые занимаются так называемым двойным вымогательством — шифрованием файлов и кражей конфиденциальных данных. Такие группировки в большинстве своем атакуют крупные компании и часто ведут свой сайт (data leak site, DLS), где публикуют список атакованных организаций. Во втором квартале 2023 года список наиболее активных вымогательских групп выглядел следующим образом.

Наиболее активные группировки вымогателей, Q2 2023 (скачать)

На диаграмме указана доля жертв конкретной группировки (по данным сайта DLS конкретной группировки) среди жертв всех группировок, опубликованных на всех рассмотренных сайтах DLS.

Количество новых модификаций

Во втором квартале 2023 года мы обнаружили 15 новых семейств шифровальщиков и 1917 новых модификаций зловредов этого типа.

Количество новых модификаций шифровальщиков, Q2 2022 — Q2 2023 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

Во втором квартале 2023 года продукты и технологии «Лаборатории Касперского» защитили от атак шифровальщиков 57 612 пользователей.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q2 2023 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

	Страна или территория*	%**
1	Бангладеш	1,38
2	Южная Корея	1,25
3	Йемен	1,18
4	Тайвань	1,07
5	Мозамбик	0,55
6	Пакистан	0,41
7	Ирак	0,33
8	Материковый Китай	0,29
9	Нигерия	0,27
10	Ливия	0,26

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

	Название	Вердикты*	Доля атакованных пользователей**
1	WannaCry	Trojan-Ransom.Win32.Wanna	13,67
2	Magniber	Trojan-Ransom.Win64.Magni / Trojan-Ransom.Win32.Magni	13,58
3	(generic verdict)	Trojan-Ransom.Win32.Encoder	11,74
4	Stop/Djvu	Trojan-Ransom.Win32.Stop	6,91
5	(generic verdict)	Trojan-Ransom.Win32.Phny	6,01
6	(generic verdict)	Trojan-Ransom.Win32.Crypren	5,58
7	PolyRansom/VirLock	Trojan-Ransom.Win32.PolyRansom / Virus.Win32.PolyRansom	2,88
8	(generic verdict)	Trojan-Ransom.Win32.Agent	2,49
9	CryFile	Trojan-Ransom.Win32.CryFile	1,33
10	Lockbit	Trojan-Ransom.Win32.Lockbit	1,27

* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций майнеров

Во втором квартале 2023 года решения «Лаборатории Касперского» обнаружили 2184 новые модификации майнеров.

Количество новых модификаций майнеров, Q2 2023 (скачать)

Количество пользователей, атакованных майнерами

Во втором квартале мы обнаружили атаки с использованием программ-майнеров на компьютерах 384 063 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q2 2023 (скачать)

География атак майнеров

TОР 10 стран и территорий, подвергшихся атакам майнеров

	Страна или территория*	%**
1	Таджикистан	3,06
2	Казахстан	2,14
3	Кыргызстан	1,97
4	Узбекистан	1,89
5	Венесуэла	1,81
6	Мозамбик	1,68
7	Беларусь	1,54
8	Украина	1,47
9	Руанда	1,28
10	Эфиопия	1,28

* При расчетах мы исключили страны и территории, в которых число пользователей продуктов «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, атакованных майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Уязвимые приложения, используемые злоумышленниками в ходе кибератак

События квартала

Второй квартал 2023 года запомнился обнаружением ряда уязвимостей, которые повлияли на многие организации. Среди наиболее громких можно выделить вышеупомянутые уязвимости в MoveIT Transfer: CVE-2023-34362, CVE-2023-35036, CVE-2023-35708. Они используют SQL Injection и позволяют атакующему получить доступ к базе данных и даже выполнить код на стороне сервера.

Подобные критичные проблемы затронули ПО PaperCut для управления печатью: в нем была найдена уязвимость CVE-2023-27350. С ее помощью через специально сформированный запрос можно провести запуск команды в операционной системе с правами пользователя System. Уязвимость также использовалась злоумышленниками.

При детектировании атак на пользовательские системы уязвимости были также обнаружены в Google Chrome, Microsoft Windows и Microsoft Office. В продукте Google Chrome нашлись две уязвимости type confusion: CVE-2023-2033, CVE-2023-3079, и одна уязвимость integer overflow: CVE-2023-2136. Перечисленные уязвимости дают атакующему возможность выйти из «песочницы» браузера; все они активно эксплуатировались злоумышленниками. Исправления от разработчиков соответствующего ПО уже доступны.

Уязвимости нулевого дня были найдены для системы Windows в ходе предотвращения атак на пользователей; одну из них — CVE-2023-28252 — обнаружили исследователи «Лаборатории Касперского». Также во втором квартале были найдены: CVE-2023-29336 — уязвимость в подсистеме Win32k, которая позволяла повысить привилегии атакующего до пользователя System, и CVE-2023-24932 — уязвимость в процедуре безопасной загрузки операционной системы, позволяющая злоумышленнику подменять любые системные файлы. Для всех уязвимостей уже выпущены исправления от Microsoft, и мы настоятельно рекомендуем установить все необходимые патчи.

Статистика по уязвимостям

Продукты «Лаборатории Касперского» во втором квартале обнаружили порядка 300 тысяч попыток эксплуатации уязвимостей. Большинство срабатываний традиционно относилось к продуктам Microsoft Office, чья доля составила 75,53% от всего количества, что почти на 3 п. п. меньше по сравнению с предыдущим отчетным периодом.

Наиболее часто используемыми уязвимостями стали:

• CVE-2017-11882 и CVE-2018-0802 в компоненте Equation Editor, позволяющие вызвать повреждение памяти приложения при обработке формул и впоследствии запустить произвольный код в системе;
• CVE-2017-0199, которая эксплуатирует возможности пакета MS Office для загрузки вредоносных скриптов;
• CVE-2017-8570, которая позволяет подгружать в систему вредоносный скрипт HTA.

Следующими по популярности стали эксплойты для браузеров; доля этой категории составила 8,20%, что на 1 п. п. больше, чем в прошлом квартале.

Третье место заняла платформа Java (4,83%), четвертое и пятое места у платформ Android (4,33%) и Adobe Flash (4,10%), соответственно.

Распределение эксплойтов, использованных злоумышленниками, по типам атакуемых приложений, Q2 2023 (скачать)

Сетевые угрозы 2023 года за второй квартал традиционно включали в себя атаки, связанные с подбором паролей к сервисам MSSQL и RDP методом грубой силы. Также среди эксплойтов на сервисы операционных систем остаются популярными EternalBlue и EternalRomance. Стоит отметить, что в большом количестве фиксируются атаки и сканирования уязвимости типа log4j (CVE-2021-44228).

Атаки на macOS

Во втором квартале была найдена версия вымогателя Lockbit для macOS. Ранее этот зловред ориентировался на Linux-системы, однако теперь мошенники расширили сферу его применения.

Также появился Python-бэкдор JokerSpy, авторы которого во время атаки выкладывали на устройство модифицированные базы данных TCC, чтобы обойти ограничения при запуске приложений на устройстве пользователя.

TOP 20 угроз для macOS

	Вердикт	%*
1	AdWare.OSX.Agent.ai	8,90
2	AdWare.OSX.Agent.gen	8,54
3	AdWare.OSX.Pirrit.ac	7,44
4	AdWare.OSX.Amc.e	6,65
5	AdWare.OSX.Bnodlero.ax	6,44
6	Monitor.OSX.HistGrabber.b	6,20
7	AdWare.OSX.Agent.ap	4,62
8	AdWare.OSX.Pirrit.j	4,62
9	Trojan.OSX.Agent.gen	4,33
10	Hoax.OSX.MacBooster.a	4,12
11	AdWare.OSX.Pirrit.ae	3,28
12	Trojan-Downloader.OSX.Agent.h	2,90
13	AdWare.OSX.Bnodlero.bg	2,80
14	AdWare.OSX.Agent.ao	2,78
15	Downloader.OSX.InstallCore.ak	2,46
16	Monitor.OSX.Agent.a	2,20
17	AdWare.OSX.Pirrit.aa	2,06
18	Backdoor.OSX.Twenbc.g	1,89
19	Backdoor.OSX.Twenbc.h	1,77
20	Hoax.OSX.IOBooster.gen	1,75

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS.

Пользователи macOS во втором квартале снова сталкивались преимущественно с рекламными приложениями и «ускорителями» системы, выпрашивающими деньги за устранение несуществующих проблем.

География угроз для macOS

ТОР 10 стран и территорий по доле атакованных пользователей

	Страна или территория*	%**
1	Гонконг	1,40
2	Материковый Китай	1,19
3	Италия	1,16
4	Франция	1,06
5	США	1,04
6	Мексика	0,98
7	Испания	0,96
8	Австралия	0,86
9	Великобритания	0,81
10	Россия	0,81

* Из рейтинга мы исключили страны и территории, где количество пользователей защитных решений «Лаборатории Касперского» для macOS относительно мало (менее 10 000).
** Доля уникальных атакованных пользователей по отношению ко всем пользователям защитных решений «Лаборатории Касперского» для macOS в стране или на территории.

Наибольшая доля атакованных пользователей macOS в этом квартале находилась в Гонконге (1,40%) и материковом Китае (1,19%). Снизилась частота атак в Италии, Испании, Франции, России, Мексике и Канаде. В остальных странах изменения были незначительны.

Атаки на IoT

Статистика IoT-угроз

Во втором квартале 2023 года большинство устройств, атаковавших ловушки «Лаборатории Касперского», снова использовали протокол Telnet.

Telnet	75,49%
SSH	24,51%

Таблица распределения атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки, Q2 2023

С точки зрения количества сессий абсолютное большинство также относилось к протоколу Telnet.

Telnet	95,63%
SSH	4,37%

Таблица распределения рабочих сессий киберпреступников с ловушками «Лаборатории Касперского», Q2 2023

Атаки на IoT-ханипоты

Во втором квартале основными источниками SSH-атак традиционно стали США (11,50%) и страны и территории Азиатско-Тихоокеанского региона. Особенно заметно выросла доля материкового Китая – с 6,80% до 12,63%.

TOP 10 стран и территорий — источников атак по протоколу SSH

Страна или территория	%*
	Q1 2023	Q2 2023
Материковый Китай	6,80	12,63
США	12,05	11,50
Южная Корея	7,64	6,21
Сингапур	3,63	5,32
Индия	4,45	5,01
Тайвань	12,13	4,85
Бразилия	5,08	4,57
Германия	4,00	4,21
Россия	3,36	3,73
Вьетнам	3,95	3,39
Другие	36,91	41,96

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу SSH.

Заметно снизилась доля атак, исходящих с территории острова Тайвань — как по протоколу SSH, так и по протоколу Telnet. Доля Telnet-атак с территории материкового Китая также снизилась (до 35,38%), но страна по-прежнему занимает в топе первую позицию. Доля Вьетнама, наоборот, значительно выросла: с 0,88% до 5,39%. Второе и третье места, как и в предыдущем квартале, заняли Индия (14,03%) и Бразилия (6,36%).

TOP 10 стран и территорий — источников атак по протоколу Telnet

Страна или территория	%*
	Q1 2023	Q2 2023
Материковый Китай	39,92	35,38
Индия	12,06	14,03
Бразилия	4,92	6,36
Вьетнам	0,88	5,39
США	4,30	4,41
Россия	4,82	4,33
Тайвань	7,51	2,79
Южная Корея	2,59	2,51
Аргентина	1,08	2,24
Пакистан	1,41	2,17
Другие	19,58	20,40

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу Telnet.

TOP 10 угроз, загружаемых на IoT-устройство по Telnet

	Вердикт	%*
1	Trojan-Downloader.Linux.NyaDrop.b	53,82
2	Backdoor.Linux.Mirai.b	40,72
3	Backdoor.Linux.Mirai.ew	2,31
4	Backdoor.Linux.Mirai.ek	0,85
5	Backdoor.Linux.Mirai.es	0,47
6	Backdoor.Linux.Mirai.fg	0,32
7	Backdoor.Linux.Mirai.cw	0,22
8	Backdoor.Linux.Mirai.gen	0,17
9	Trojan-Downloader.Shell.Agent.p	0,14
10	Backdoor.Linux.Gafgyt.gi	0,13

* Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки по Telnet, от общего количества загруженных угроз.

Атаки через веб-ресурсы

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Злоумышленники создают такие сайты целенаправленно; зараженными могут быть веб-ресурсы, где контент создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Данная статистика показывает, как распределены по странам и территориям источники интернет-атак, заблокированных продуктами «Лаборатории Касперского», на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атаки использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

Во втором квартале 2023 года решения «Лаборатории Касперского» отразили 801 934 281 атаку с интернет-ресурсов, размещенных по всему миру. Зафиксировано 209 716 810 уникальных URL, на которых происходило срабатывание веб-антивируса.

Распределение по странам и территориям источников веб-атак, Q2 2022 (скачать)

Страны и территории, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах/территориях мира, мы подсчитали в каждой стране/территории долю пользователей продуктов «Лаборатории Касперского», на устройствах которых веб-антивирус срабатывал как минимум один раз за отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах или на территориях.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware; при подсчетах мы не брали во внимание срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

	Страна или территория*	%**
1	Греция	13,65
2	Турция	13,62
3	Тайвань	13,02
4	Алжир	12,97
5	Албания	12,89
6	Сербия	12,72
7	Катар	12,41
8	Палестина	12,05
9	Шри-Ланка	11,97
10	Непал	11,96
11	Тунис	11,74
12	Португалия	11,71
13	Бангладеш	11,47
14	Венгрия	11,44
15	Беларусь	11,29
16	Болгария	11,03
17	Панама	10,99
18	Йемен	10,87
19	Словакия	10,80
20	ОАЭ	10,67

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 8,68% компьютеров интернет-пользователей в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы модулей OAS и ODS продуктов «Лаборатории Касперского». Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к ним (флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках), либо изначально попавшие на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

Во втором квартале 2023 года наш файловый антивирус зафиксировал 39 624 768 вредоносных и потенциально нежелательных объектов.

Страны и территории, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали, какая доля пользователей продуктов «Лаборатории Касперского» столкнулась со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах/территориях мира.

В данном рейтинге учитываются только атаки вредоносных объектов класса Malware; при подсчетах мы не брали во внимание срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

	Страна или территория*	%**
1	Туркменистан	43,95
2	Афганистан	43,39
3	Йемен	40,68
4	Таджикистан	40,20
5	Мьянма	36,25
6	Бурунди	36,23
7	Сирия	35,70
8	Бенин	35,50
9	Буркина-Фасо	35,15
10	Руанда	34,76
11	Чад	34,23
12	Камерун	33,98
13	Южный Судан	33,91
14	Демократическая Республика Конго	33,90
15	Гвинея	33,82
16	Республика Конго	33,55
17	Бангладеш	33,42
18	Алжир	33,36
19	Нигер	33,28
20	Мали	33,14

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире хотя бы один раз в течение второго квартала локальные угрозы класса Malware были зафиксированы на 15,74% компьютеров пользователей. Показатель России в этом рейтинге составил 16,49%.