Развитие информационных угроз во втором квартале 2024 года. Статистика по ПК

Представленная статистика основана на детектирующих вердиктах продуктов и сервисов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

Во втором квартале 2024 года:

• решения «Лаборатории Касперского» отразили более 664 миллионов атак с различных интернет-ресурсов;
• веб-антивирус среагировал на 113,5 миллионов уникальных ссылок;
• файловый антивирус заблокировал более 27 миллионов вредоносных и нежелательных объектов;
• почти 86 тысяч пользователей столкнулись с атаками шифровальщиков;
• почти 12% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (data leak site) группировок, пострадали от группы вымогателей Play;
• почти 340 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Успехи правоохранителей

В апреле 2024 года в Киеве был арестован злоумышленник, разрабатывавший упаковщик, который предположительно использовали группы Conti и LockBit для обхода детектирования антивирусным ПО. Также, по свидетельству полиции Нидерландов, по крайней мере в одном случае в 2021 году арестованный непосредственно участвовал в атаке с применением шифровальщика Conti. Злоумышленнику уже предъявили обвинения.

В мае один из участников группы REvil, арестованный еще в октябре 2021 года, был приговорен к 13 годам тюрьмы и выплате 16 млн долларов. Киберпреступник был участником более 2500 атак группы REvil на общую сумму более 700 млн долларов.

В июне ФБР заявило, что заполучило более 7000 ключей для расшифровки файлов, пострадавших от атак с использованием шифровальщика LockBit. Бюро предлагает жертвам обратиться в Центр жалоб на интернет-преступления (Internet Crime Complaint Center, IC3) по адресу ic3.gov.

По оценкам Национального агентства Великобритании по борьбе с преступностью (National Crime Agency, NCA) и Министерства юстиции США, группа LockBit получила до 1 млрд долларов в ходе своих атак с июня 2022 года по февраль 2024 года.

Атаки с эксплуатацией уязвимостей

Уязвимость для повышения привилегий CVE-2024-26169, исправленная Microsoft в марте 2024 года, вероятно, использовалась в атаках группы Black Basta. По некоторым признакам, на момент эксплуатации уязвимость еще не была исправлена, то есть была уязвимостью нулевого дня.

В июне 2024 была запущена массированная атака шифровальщика TellYouThePass, эксплуатирующая уязвимость CVE-2024-4577 в языке PHP. Под угрозой заражения этим шифровальщиком оказались Windows-серверы с определенной конфигурацией PHP (в том числе с установленным стеком XAMPP в конфигурации по умолчанию). Злоумышленники сканировали диапазоны публичных IP-адресов и автоматически заражали уязвимые серверы, после чего требовали у жертв выкуп в размере 0,1 BTC, что само по себе не очень много, но из-за массовости атак злоумышленники теоретически могли получить солидную сумму. В целом этот подход не так часто используется в последние годы ввиду затратности для атакующих, уступив место точечным атакам с личным участием операторов, но в этом случае злоумышленники использовали старый проверенный временем метод.

Наиболее активные группы

Рассмотрим наиболее активные вымогательские группы по количеству жертв, добавленных на DLS-сайты (data leak site) каждой из групп. Во втором квартале 2024 года наиболее активной оказалась группа Play, опубликовавшая данные 12% от общего числа новых жертв вымогателей. Второе место занимает группа Cactus (7,74%), третье — Ransom Hub (7,50%).

Доля жертв конкретной группы (по данным ее DLS-сайта) среди жертв всех групп, опубликованных на всех рассмотренных DLS-сайтах за отчетный период (скачать)

Количество новых модификаций

Во втором квартале 2024 года мы обнаружили пять новых семейств и 4456 новых модификаций шифровальщиков.

Количество новых модификаций шифровальщиков, Q2 2023 — Q2 2024 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

Во втором квартале 2024 года решения «Лаборатории Касперского» защитили от троянцев-шифровальщиков 85 819 уникальных пользователей.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q2 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

*При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
**Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

*Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
**Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций

Во втором квартале 2024 года решения «Лаборатории Касперского» обнаружили 36 380 новых модификаций майнеров.

Количество новых модификаций майнеров, Q2 2024 (скачать)

Количество пользователей, атакованных майнерами

Во втором квартале мы обнаружили атаки с использованием программ-майнеров на компьютерах 339 850 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q2 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам майнеров

*При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
**Доля уникальных пользователей, чьи компьютеры были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки на macOS

Во втором квартале было найдено множество различных образцов шпионского вредоносного ПО Trojan-PSW.OSX.Amos, также известного как Cuckoo. Его особенностью является запрос пароля администратора через osascript, показывающий фишинговое окно. Мошенники регулярно обновляют и повторно упаковывают свой троянец с целью избежать детектирования.

Также были обнаружены новые версии шпионского ПО LightRiver/LightSpy. Этот троянец скачивает с сервера модули с функциональностью шпиона и бэкдора. Например, они записывают экран или аудио, похищают историю браузера, выполняют произвольные консольные команды.

TOP 20 угроз для macOS

Доля уникальных пользователей, столкнувшихся с конкретным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS (скачать)

На первом месте среди активных угроз по-прежнему находится троянец, способный скачивать рекламные или другие вредоносные приложения. Также в список наиболее распространенных угроз продолжают попадать рекламные приложения и поддельные «ускорители устройств», требующие деньги за устранение несуществующих проблем.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

*Доля уникальных пользователей, столкнувшихся с угрозами для macOS, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Наблюдается небольшой рост (0,1–0,2 п. п.) доли атакованных пользователей в Мексике, Гонконге, Великобритании и Индии. В Испании, Италии и Германии отмечено некоторое снижение.

Статистика IoT-угроз

Во втором квартале 2024 года распределение по используемым протоколам устройств, атакующих ловушки «Лаборатории Касперского», выглядело следующим образом:

Распределение атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки, Q1–Q2 2024 (скачать)

При этом доля атак по протоколу Telnet продолжила увеличиваться и достигла 98%.

Распределение рабочих сессий киберпреступников с ловушками «Лаборатории Касперского», Q1–Q2 2024 (скачать)

TOP 10 угроз, загружаемых на IoT-устройства

Доля конкретной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз (скачать)

Атаки на IoT-ханипоты

В распределении атак по протоколу SSH по странам увеличилась доля атак с территории Китая и Индии, активность из Южной Кореи немного снизилась.

Доля атак по протоколу Telnet с территории Китая вернулась на уровни 2023 года, а доля атак из Индии выросла.

Атаки через веб-ресурсы

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной или зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Следующая статистика показывает распределение по странам и территориям источников интернет-атак на компьютеры пользователей, заблокированных продуктами «Лаборатории Касперского» (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

Во втором квартале 2024 года решения «Лаборатории Касперского» отразили 664 046 455 атак, которые проводились с интернет-ресурсов, размещенных по всему миру. Зафиксировано 113 535 455 уникальных URL, на которых происходило срабатывание веб-антивируса.

Распределение источников веб-атак по странам и территориям, Q2 2024 (скачать)

Страны и территории, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить риск заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях, для каждой из них мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры.

Следующая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламное ПО.

*При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (меньше 10 000).
**Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 7,38% компьютеров пользователей интернета в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации. Следующая статистика основана на детектирующих вердиктах модулей OAS (on-access scan, сканирование при обращении к файлу) и ODS (on-demand scan, сканирование, запущенное пользователем) антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или на съемных носителях, подключенных к компьютерам, — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.

Во втором квартале 2024 года нашим файловым антивирусом было зафиксировано 27 394 168 вредоносных и потенциально нежелательных объектов.

Страны и территории, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в разных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

*При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 10 000).
**Доля уникальных пользователей, на чьих компьютерах были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире в течение второго квартала локальные угрозы класса Malware были зафиксированы хотя бы один раз на 14,2% компьютеров пользователей.

Показатель России в этом рейтинге составил 15,68%.