Отчеты о вредоносном ПО

Развитие информационных угроз во втором квартале 2024 года. Статистика по ПК

Содержание

Представленная статистика основана на детектирующих вердиктах продуктов и сервисов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

Во втором квартале 2024 года:

  • решения «Лаборатории Касперского» отразили более 664 миллионов атак с различных интернет-ресурсов;
  • веб-антивирус среагировал на 113,5 миллионов уникальных ссылок;
  • файловый антивирус заблокировал более 27 миллионов вредоносных и нежелательных объектов;
  • почти 86 тысяч пользователей столкнулись с атаками шифровальщиков;
  • почти 12% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (data leak site) группировок, пострадали от группы вымогателей Play;
  • почти 340 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Успехи правоохранителей

В апреле 2024 года в Киеве был арестован злоумышленник, разрабатывавший упаковщик, который предположительно использовали группы Conti и LockBit для обхода детектирования антивирусным ПО. Также, по свидетельству полиции Нидерландов, по крайней мере в одном случае в 2021 году арестованный непосредственно участвовал в атаке с применением шифровальщика Conti. Злоумышленнику уже предъявили обвинения.

В мае один из участников группы REvil, арестованный еще в октябре 2021 года, был приговорен к 13 годам тюрьмы и выплате 16 млн долларов. Киберпреступник был участником более 2500 атак группы REvil на общую сумму более 700 млн долларов.

В июне ФБР заявило, что заполучило более 7000 ключей для расшифровки файлов, пострадавших от атак с использованием шифровальщика LockBit. Бюро предлагает жертвам обратиться в Центр жалоб на интернет-преступления (Internet Crime Complaint Center, IC3) по адресу ic3.gov.

По оценкам Национального агентства Великобритании по борьбе с преступностью (National Crime Agency, NCA) и Министерства юстиции США, группа LockBit получила до 1 млрд долларов в ходе своих атак с июня 2022 года по февраль 2024 года.

Атаки с эксплуатацией уязвимостей

Уязвимость для повышения привилегий CVE-2024-26169, исправленная Microsoft в марте 2024 года, вероятно, использовалась в атаках группы Black Basta. По некоторым признакам, на момент эксплуатации уязвимость еще не была исправлена, то есть была уязвимостью нулевого дня.

В июне 2024 была запущена массированная атака шифровальщика TellYouThePass, эксплуатирующая уязвимость CVE-2024-4577 в языке PHP. Под угрозой заражения этим шифровальщиком оказались Windows-серверы с определенной конфигурацией PHP (в том числе с установленным стеком XAMPP в конфигурации по умолчанию). Злоумышленники сканировали диапазоны публичных IP-адресов и автоматически заражали уязвимые серверы, после чего требовали у жертв выкуп в размере 0,1 BTC, что само по себе не очень много, но из-за массовости атак злоумышленники теоретически могли получить солидную сумму. В целом этот подход не так часто используется в последние годы ввиду затратности для атакующих, уступив место точечным атакам с личным участием операторов, но в этом случае злоумышленники использовали старый проверенный временем метод.

Наиболее активные группы

Рассмотрим наиболее активные вымогательские группы по количеству жертв, добавленных на DLS-сайты (data leak site) каждой из групп. Во втором квартале 2024 года наиболее активной оказалась группа Play, опубликовавшая данные 12% от общего числа новых жертв вымогателей. Второе место занимает группа Cactus (7,74%), третье — Ransom Hub (7,50%).

Доля жертв конкретной группы (по данным ее DLS-сайта) среди жертв всех групп, опубликованных на всех рассмотренных DLS-сайтах за отчетный период (скачать)

Количество новых модификаций

Во втором квартале 2024 года мы обнаружили пять новых семейств и 4456 новых модификаций шифровальщиков.

Количество новых модификаций шифровальщиков, Q2 2023 — Q2 2024 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

Во втором квартале 2024 года решения «Лаборатории Касперского» защитили от троянцев-шифровальщиков 85 819 уникальных пользователей.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q2 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

Страна/территория* % пользователей, атакованных шифровальщиками**
1 Пакистан 0,84%
2 Южная Корея 0,72%
3 Бангладеш 0,54%
4 Китай 0,53%
5 Иран 0,52%
6 Ливия 0,51%
7 Таджикистан 0,50%
8 Мозамбик 0,49%
9 Ангола 0,41%
10 Руанда 0,40%

*При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
**Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

Название Вердикты* Доля атакованных пользователей**
1 (generic verdict) Trojan-Ransom.Win32.Gen 22,12%
2 WannaCry Trojan-Ransom.Win32.Wanna 9,51%
3 (generic verdict) Trojan-Ransom.Win32.Encoder 6,94%
4 (generic verdict) Trojan-Ransom.Win32.Crypren 5,42%
5 LockBit Trojan-Ransom.Win32.Lockbit 4,71%
6 (generic verdict) Trojan-Ransom.Win32.Agent 2,88%
7 PolyRansom/VirLock Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom 2,80%
8 (generic verdict) Trojan-Ransom.Win32.Phny 2,61%
9 (generic verdict) Trojan-Ransom.Win32.Crypmod 2,58%
10 Stop/Djvu Trojan-Ransom.Win32.Stop 2,11%

*Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
**Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций

Во втором квартале 2024 года решения «Лаборатории Касперского» обнаружили 36 380 новых модификаций майнеров.

Количество новых модификаций майнеров, Q2 2024 (скачать)

Количество пользователей, атакованных майнерами

Во втором квартале мы обнаружили атаки с использованием программ-майнеров на компьютерах 339 850 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q2 2024 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам майнеров

Страна/территория* % пользователей, атакованных майнерами**
1 Таджикистан 2,40%
2 Венесуэла 1,90%
3 Казахстан 1,63%
4 Эфиопия 1,58%
5 Кыргызстан 1,49%
6 Беларусь 1,48%
7 Узбекистан 1,36%
8 Украина 1,05%
9 Панама 1,03%
10 Мозамбик 1,01%

*При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно невелико (менее 50 000).
**Доля уникальных пользователей, чьи компьютеры были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки на macOS

Во втором квартале было найдено множество различных образцов шпионского вредоносного ПО Trojan-PSW.OSX.Amos, также известного как Cuckoo. Его особенностью является запрос пароля администратора через osascript, показывающий фишинговое окно. Мошенники регулярно обновляют и повторно упаковывают свой троянец с целью избежать детектирования.

Также были обнаружены новые версии шпионского ПО LightRiver/LightSpy. Этот троянец скачивает с сервера модули с функциональностью шпиона и бэкдора. Например, они записывают экран или аудио, похищают историю браузера, выполняют произвольные консольные команды.

TOP 20 угроз для macOS

Доля уникальных пользователей, столкнувшихся с конкретным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS (скачать)

На первом месте среди активных угроз по-прежнему находится троянец, способный скачивать рекламные или другие вредоносные приложения. Также в список наиболее распространенных угроз продолжают попадать рекламные приложения и поддельные «ускорители устройств», требующие деньги за устранение несуществующих проблем.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

prev* new*
Испания 1,27% 1,14%
Мексика 0,88% 1,09%
Гонконг 0,73% 0,97%
Франция 0,93% 0,93%
США 0,81% 0,89%
Италия 1,11% 0,87%
Великобритания 0,75% 0,85%
Индия 0,56% 0,70%
Германия 0,77% 0,59%
Бразилия 0,66% 0,57%

*Доля уникальных пользователей, столкнувшихся с угрозами для macOS, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Наблюдается небольшой рост (0,1–0,2 п. п.) доли атакованных пользователей в Мексике, Гонконге, Великобритании и Индии. В Испании, Италии и Германии отмечено некоторое снижение.

Статистика IoT-угроз

Во втором квартале 2024 года распределение по используемым протоколам устройств, атакующих ловушки «Лаборатории Касперского», выглядело следующим образом:

Распределение атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки, Q1–Q2 2024 (скачать)

При этом доля атак по протоколу Telnet продолжила увеличиваться и достигла 98%.

Распределение рабочих сессий киберпреступников с ловушками «Лаборатории Касперского», Q1–Q2 2024 (скачать)

TOP 10 угроз, загружаемых на IoT-устройства

Доля конкретной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз (скачать)

Атаки на IoT-ханипоты

В распределении атак по протоколу SSH по странам увеличилась доля атак с территории Китая и Индии, активность из Южной Кореи немного снизилась.

SSH Q1 2024 Q2 2024
Китай 20,58% 23,37%
США 12,15% 12,26%
Южная Корея 9,59% 6,84%
Сингапур 6,87% 6,95%
Германия 4,97% 4,13%
Индия 4,52% 5,24%
Гонконг 3,25% 3,10%
Россия 2,84% 2,33%
Бразилия 2,36% 2,73%
Япония 2,36% 1,92%

Доля атак по протоколу Telnet с территории Китая вернулась на уровни 2023 года, а доля атак из Индии выросла.

Telnet Q1 2024 Q2 2024
Китай 41,51% 30,24%
Индия 17,47% 22,68%
Япония 4,89% 3,64%
Бразилия 3,78% 4,48%
Россия 3,12% 3,85%
Таиланд 2,95% 2,37%
Тайвань 2,73% 2,64%
Южная Корея 2,53% 2,46%
США 2,20% 2,66%
Аргентина 1,36% 1,76%

Атаки через веб-ресурсы

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной или зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Следующая статистика показывает распределение по странам и территориям источников интернет-атак на компьютеры пользователей, заблокированных продуктами «Лаборатории Касперского» (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

Во втором квартале 2024 года решения «Лаборатории Касперского» отразили 664 046 455 атак, которые проводились с интернет-ресурсов, размещенных по всему миру. Зафиксировано 113 535 455 уникальных URL, на которых происходило срабатывание веб-антивируса.

Распределение источников веб-атак по странам и территориям, Q2 2024 (скачать)

Страны и территории, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить риск заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях, для каждой из них мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры.

Следующая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламное ПО.

Страна/территория* % атакованных пользователей**
1 Молдова 11,3635
2 Греция 10,8560
3 Катар 10,4018
4 Беларусь 9,8162
5 Аргентина 9,5380
6 Болгария 9,4714
7 ЮАР 9,4128
8 Шри-Ланка 9,1585
9 Кыргызстан 8,8852
10 Литва 8,6847
11 Тунис 8,6739
12 Албания 8,6586
13 Северная Македония 8,6463
14 Босния и Герцеговина 8,6291
15 Ботсвана 8,6254
16 ОАЭ 8,5993
17 Германия 8,5887
18 Словения 8,5851
19 Египет 8,5582
20 Канада 8,4985

*При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (меньше 10 000).
**Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 7,38% компьютеров пользователей интернета в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации. Следующая статистика основана на детектирующих вердиктах модулей OAS (on-access scan, сканирование при обращении к файлу) и ODS (on-demand scan, сканирование, запущенное пользователем) антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или на съемных носителях, подключенных к компьютерам, — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.

Во втором квартале 2024 года нашим файловым антивирусом было зафиксировано 27 394 168 вредоносных и потенциально нежелательных объектов.

Страны и территории, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в разных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

Страна/территория* % атакованных пользователей**
1 Туркменистан 44,2517
2 Афганистан 39,4972
3 Куба 38,3242
4 Йемен 38,2295
5 Таджикистан 37,5013
6 Узбекистан 32,7085
7 Сирия 31,5546
8 Бурунди 30,5511
9 Бангладеш 28,3616
10 Южный Судан 28,3293
11 Танзания 28,0949
12 Камерун 28,0254
13 Нигер 27,9138
14 Алжир 27,8984
15 Бенин 27,6164
16 Мьянма 26,6960
17 Венесуэла 26,6944
18 Иран 26,5071
19 Вьетнам 26,3409
20 Конго 26,3160

*При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно невелико (менее 10 000).
**Доля уникальных пользователей, на чьих компьютерах были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире в течение второго квартала локальные угрозы класса Malware были зафиксированы хотя бы один раз на 14,2% компьютеров пользователей.

Показатель России в этом рейтинге составил 15,68%.

Развитие информационных угроз во втором квартале 2024 года. Статистика по ПК

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике