Развитие информационных угроз в третьем квартале 2023 года. Статистика по ПК

• Развитие информационных угроз в третьем квартале 2023 года
• Развитие информационных угроз в третьем квартале 2023 года. Статистика по ПК
• Развитие информационных угроз в третьем квартале 2023 года. Мобильная статистика

Представленная статистика основана на детектирующих вердиктах продуктов и сервисов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

По данным Kaspersky Security Network, в третьем квартале 2023 года:

• Решения «Лаборатории Касперского» отразили 694 400 301 атаку с интернет-ресурсов, размещенных по всему миру.
• Зафиксировано 169 194 807 уникальных ссылок, на которых происходило срабатывание веб-антивируса.
• Запуск вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам предотвращен на компьютерах 76 551 уникального пользователя.
• Атаки шифровальщиков отражены на компьютерах 46 872 уникальных пользователей.
• Наш файловый антивирус обнаружил 33 847 517 уникальных вредоносных и потенциально нежелательных объектов.

Финансовые угрозы

Статистика финансовых угроз

В третьем квартале 2023 года решения «Лаборатории Касперского» предотвратили запуск одного или нескольких зловредов, предназначенных для кражи денежных средств с банковских счетов, на компьютерах 76 551 уникального пользователя.

Количество уникальных пользователей, атакованных финансовыми зловредами, Q3 2023 (скачать)

География атак финансового вредоносного ПО

Чтобы оценить, в какой степени компьютеры пользователей из разных стран и с разных территорий подвергаются риску заражения банковскими троянцами и ATM/PoS-зловредами, мы подсчитали для каждой из них долю пользователей продуктов «Лаборатории Касперского», столкнувшихся с этой угрозой в отчетный период, от всех пользователей наших продуктов в заданной стране или на заданной территории.

TOP 10 стран и территорий по доле атакованных пользователей

	Страна или территория*	%**
1	Афганистан	3,9
2	Туркменистан	3,5
3	Китай	2,4
4	Таджикистан	2,1
5	Йемен	1,7
6	Египет	1,5
7	Таиланд	1,5
8	Венесуэла	1,4
9	Сирия	1,4
10	Парагвай	1,2

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам финансовых зловредов, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TOP 10 семейств банковского вредоносного ПО

	Название	Вердикты	%*
1	Ramnit/Nimnul	Trojan-Banker.Win32.Ramnit	34,0
2	Zbot/Zeus	Trojan-Banker.Win32.Zbot	16,0
3	Emotet	Trojan-Banker.Win32.Emotet	12,6
4	CliptoShuffler	Trojan-Banker.Win32.CliptoShuffler	7,1
5	SpyEyes	Trojan-Spy.Win32.SpyEye	3,0
6	Danabot	Trojan-Banker.Win32.Danabot	2,4
7	Qbot/Qakbot	Trojan-Banker.Win32.Qbot	2,1
8	Gozi	Trojan-Banker.Win32.Gozi	0,9
9	Tinba	Trojan-Banker.Win32.Tinba	0,8
10	IcedID	Trojan-Banker.Win32.IcedID	0,6

* Доля уникальных пользователей, столкнувшихся с данным семейством зловредов, от всех пользователей, атакованных финансовым вредоносным ПО.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Эксплуатация уязвимостей

В третьем квартале стало известно об атаках вымогательских группировок, эксплуатирующих уязвимости в различном серверном ПО. Так, уязвимость выполнения удаленного кода CVE-2023-3519 в Citrix NetScaler использовали злоумышленники, предположительно связанные с группировкой BlackCat/ALPHV. Уязвимость CVE-2023-20269 в Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD) стала способом компрометации сети жертв для распространителей Akira и Lockbit. Группировка Cuba применяла в своих атаках эксплойт для уязвимости CVE-2023-27532 в Veeam Backup & Replication (VBR), который позволял атакующим извлекать учетные данные из конфигурационных файлов этого ПО. Также были обнаружены атаки неизвестного шифровальщика на непропатченные серверы Openfire с CVE-2023-32315. Эта уязвимость позволяет неаутентифицированному злоумышленнику создать административный аккаунт на сервере и установить произвольное вредоносное ПО в виде JAR-плагина.

Продолжаются атаки на здравоохранение

В отчете за второй квартал мы уже отмечали значительное количество сообщений в СМИ об атаках вымогателей на госпитали, университеты и муниципальные организации. В третьем квартале эта тенденция продолжилась. Примерами громких атак на сферу здравоохранения стали инциденты в следующих организациях: McLaren HealthCare (группировка BlackCat/ALPHV взяла на себя ответственность за эту атаку и опубликовала информацию о ней на своем сайте DLS); Prospect Medical Holdings (группировка Rhysida разместила на своем сайте заявление о том, что они украли у жертвы 1 ТБ документов и базу данных с персональными данными размером 1,3 ТБ); PhilHealth (группировка Medusa вымогала у организации выкуп в размере, эквивалентном $300 000, а через некоторое время начала публиковать конфиденциальные данные, украденные в ходе атаки).

Наиболее активные группировки

В этом разделе мы рассматриваем группировки вымогателей, которые занимаются так называемым двойным вымогательством — шифрованием файлов и кражей конфиденциальных данных. Такие группировки в большинстве своем атакуют крупные компании и часто ведут свой сайт (data leak site, DLS), где публикуют список атакованных организаций. В третьем квартале 2023 года список наиболее активных вымогательских групп выглядел следующим образом.

Наиболее активные группировки вымогателей, Q3 2023 (скачать)

На диаграмме указана доля жертв конкретной группировки (по данным ее сайта DLS) среди жертв всех группировок, опубликованных на всех рассмотренных сайтах DLS.

Количество новых модификаций

В третьем квартале 2023 года мы обнаружили 9 новых семейств шифровальщиков и 11 387 новых модификаций зловредов этого типа.

Количество новых модификаций шифровальщиков, Q3 2022 — Q3 2023 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

В третьем квартале 2023 года продукты и технологии «Лаборатории Касперского» защитили от атак шифровальщиков 46 872 пользователей.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q3 2023 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

	Страна или территория*	%**
1	Йемен	1,63
2	Бангладеш	1,39
3	Южная Корея	0,65
4	Пакистан	0,51
5	Мозамбик	0,51
6	Ирак	0,27
7	Тайвань	0,27
8	Материковый Китай	0,26
9	Нигерия	0,26
10	Ливия	0,23

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

	Название	Вердикты*	Доля атакованных пользователей**
1	(generic verdict)	Trojan-Ransom.Win32.Gen	16,80
2	WannaCry	Trojan-Ransom.Win32.Wanna	14,45
3	(generic verdict)	Trojan-Ransom.Win32.Encoder	11,98
4	(generic verdict)	Trojan-Ransom.Win32.Phny	7,26
5	Stop/Djvu	Trojan-Ransom.Win32.Stop	5,69
6	(generic verdict)	Trojan-Ransom.Win32.Crypren	5,69
7	Magniber	Trojan-Ransom.Win64.Magni / Trojan-Ransom.Win32.Magni	4,06
8	PolyRansom/VirLock	Trojan-Ransom.Win32.PolyRansom / Virus.Win32.PolyRansom	3,43
9	(generic verdict)	Trojan-Ransom.Win32.Agent	2,72
10	Lockbit	Trojan-Ransom.Win32.Lockbit	2,39

* Статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций майнеров

В третьем квартале 2023 года решения «Лаборатории Касперского» обнаружили 2199 новых модификаций майнеров.

Количество новых модификаций майнеров, Q3 2023 (скачать)

Количество пользователей, атакованных майнерами

В третьем квартале мы обнаружили атаки с использованием программ-майнеров на компьютерах 363 120 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q3 2023 (скачать)

География атак майнеров

TОР 10 стран и территорий, подвергшихся атакам майнеров

	Страна или территория*	%**
1	Таджикистан	2,38
2	Казахстан	1,96
3	Узбекистан	1,69
4	Венесуэла	1,57
5	Кыргызстан	1,56
6	Мозамбик	1,44
7	Пакистан	1,44
8	Беларусь	1,43
9	Шри-Ланка	1,30
10	Украина	1,19

* При расчетах мы исключили страны и территории, в которых число пользователей продуктов «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, атакованных майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Уязвимые приложения, используемые злоумышленниками в ходе кибератак

События квартала

Третий квартал 2023 года был достаточно насыщенным по части обнаруженных в дикой природе (in-the-wild, ITW) уязвимостей. Среди них хотим отметить следующие:

• CVE-2023-36884 — уязвимость в MS Office, которая позволяет выполнять команды с привилегиями пользователя в обход режима Protected View.
• CVE-2023-38831 — уязвимость в ПО WinRAR. Для ее эксплуатации злоумышленник использует специально созданный архив, при открытии которого через графический интерфейс WinRAR запускается вредоносный файл.
• CVE-2023-4762 — уязвимость типа type confusion в движке V8 Google Chrome. Ее эксплуатация позволяет выйти за пределы «песочницы».
• CVE-2023-4863 — уязвимость в инструменте обработки изображений формата WebP браузера Google Chrome. Она также позволяет злоумышленнику выйти за пределы «песочницы».
• CVE-2023-5217 — уязвимость в функциональности обработки видео VP8 браузера Google Chrome, эксплуатация которой тоже делает возможным выход за пределы «песочницы».

Поскольку каждая из уязвимостей была найдена ITW, рекомендуем установить актуальные обновления указанного ПО.

Статистика по уязвимостям

На первом месте по числу попыток эксплуатации уязвимостей в третьем квартале традиционно оказался пакет Microsoft Office (80,14%), который получил дополнительные 4,5 п. п. Злоумышленники продолжают пользоваться старыми уязвимостями, позволяющими атаковать непропатченные корпоративные системы. Среди наиболее популярных уязвимостей этой платформы отметим:

• CVE-2017-11882 и CVE-2018-0802 в компоненте Equation Editor, позволяющие вызвать повреждение памяти приложения при обработке формул и запустить произвольный код в системе;
• CVE-2017-0199 — использование возможностей пакета MS Office для загрузки вредоносных скриптов;
• CVE-2017-8570 — уязвимость, позволяющая подгружать в систему вредоносный HTA-скрипт.

Распределение эксплойтов, использованных злоумышленниками, по типам атакуемых приложений, Q3 2023 (скачать)

Второе место заняли браузеры (5,85%), чья доля уменьшилась на 2 п. п. относительно предыдущего квартала. Замыкает первую тройку платформа Android (4,70%): по сравнению с прошлым периодом эксплойты для нее прибавили 0,37 п. п.

Сетевые угрозы за третий квартал 2023 года состоят из атак, которые позволяют подбирать пароли к сервисам MSSQL и RDP методом грубой силы. Стоит отметить, что среди эксплойтов к сервисам операционных систем остаются популярными EternalBlue и EternalRomance. Также мы наблюдали сканирования уязвимости типа Log4j (CVE-2021-44228), атаки на эту уязвимость и тестирования систем на небезопасную десериализацию для платформы Java.

Атаки на macOS

В этом квартале появилась новая версия XLoader, которая маскировалась под популярное приложение для просмотра и редактирования документов. Как и в предыдущих версиях, троянец похищает данные из буфера обмена и данные авторизации из браузеров Chrome и Firefox.

TOP 20 угроз для macOS

	Вердикт	%*
1	AdWare.OSX.Agent.ai	9,08
2	AdWare.OSX.Pirrit.ac	6,84
3	Hoax.OSX.MacBooster.a	6,32
4	AdWare.OSX.Agent.ap	6,05
5	Monitor.OSX.HistGrabber.b	5,82
6	AdWare.OSX.Amc.e	5,72
7	AdWare.OSX.Bnodlero.ax	4,75
8	AdWare.OSX.Pirrit.j	4,33
9	Trojan.OSX.Agent.gen	4,25
10	AdWare.OSX.Agent.gen	3,84
11	AdWare.OSX.Pirrit.ae	3,39
12	AdWare.OSX.Mhp.a	2,97
13	Trojan-Downloader.OSX.Agent.h	2,74
14	AdWare.OSX.Amc.c	2,35
15	Downloader.OSX.InstallCore.ak	2,32
16	AdWare.OSX.Pirrit.aa	2,17
17	AdWare.OSX.Bnodlero.bg	2,09
18	AdWare.OSX.Pirrit.gen	2,06
19	Backdoor.OSX.Twenbc.g	2,01
20	AdWare.OSX.Pirrit.o	1,88

* Доля уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS.

Основной угрозой для пользователей macOS в третьем квартале остались рекламные приложения и поддельные «ускорители» системы.

География угроз для macOS

ТОР 10 стран и территорий по доле атакованных пользователей

	Страна или территория*	%**
1	Гонконг	1,40
2	Материковый Китай	1,19
3	Италия	1,16
4	Франция	1,06
5	США	1,04
6	Мексика	0,98
7	Испания	0,96
8	Австралия	0,86
9	Великобритания	0,81
10	Россия	0,81

* Из рейтинга мы исключили страны и территории, где количество пользователей защитных решений «Лаборатории Касперского» для macOS относительно мало (менее 10 000).
** Доля уникальных атакованных пользователей по отношению ко всем пользователям защитных решений «Лаборатории Касперского» для macOS в стране или на территории.

Атаки на IoT

Статистика IoT-угроз

В третьем квартале 2023 года распределение устройств, атакующих ловушки «Лаборатории Касперского» по протоколам Telnet и SSH, не претерпело значительных изменений.

Telnet	78,94%
SSH	21,06%

Таблица распределения атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки, Q3 2023

С точки зрения количества сессий абсолютное большинство также относилось к протоколу Telnet.

Telnet	97,19%
SSH	2,81%

Таблица распределения рабочих сессий киберпреступников с ловушками «Лаборатории Касперского», Q3 2023

Атаки на IoT-ханипоты

В третьем квартале основными источниками атак по протоколу SSH снова были США и регион APAC. Доля атак из материкового Китая (20,14%) выросла, а Южной Кореи (3,63%) и Вьетнама (2,76%) — несколько снизилась. Доля остальных стран и территорий изменилась незначительно.

TOP 10 стран и территорий — источников атак по протоколу SSH

Страна или территория	%*
	Q2 2023	Q3 2023
Материковый Китай	12,63	20,14
США	11,50	11,58
Индия	5,01	5,54
Сингапур	5,32	5,54
Германия	4,21	4,68
Бразилия	4,57	4,30
Россия	3,73	3,92
Южная Корея	6,21	3,63
Вьетнам	3,39	2,76
Гонконг	2,33	2,64
Другие	41,96	35,27

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу SSH.

Злоумышленники, контролирующие устройства на территории Индии (20,07%), нарастили свою атакующую активность по протоколу Telnet в процентном отношении от общего числа атак, а владельцы устройств на территории материкового Китая (31,58%) — немного снизили.

TOP 10 стран и территорий — источников атак по протоколу Telnet

Страна или территория	%*
	Q2 2023	Q3 2023
Материковый Китай	35,38	31,58
Индия	14,03	20,07
США	4,41	4,38
Бразилия	6,36	4,20
Россия	4,33	3,81
Тайвань	2,79	2,67
Южная Корея	2,51	2,50
Египет	0,93	2,35
Намибия	0,41	2,13
Аргентина	2,24	2,11
Другие	20,40	24,19

* Доля уникальных IP-адресов, расположенных в стране или на территории, от общего числа уникальных IP-адресов устройств, атаковавших ловушки «Лаборатории Касперского» по протоколу Telnet.

TOP 10 угроз, загружаемых на IoT-устройства по протоколу Telnet

	Вердикт	%*
1	Trojan-Downloader.Linux.NyaDrop.b	39,16
2	Backdoor.Linux.Mirai.b	16,95
3	Backdoor.Linux.Mirai.ba	9,03
4	Backdoor.Linux.Mirai.es	6,39
5	Backdoor.Linux.Mirai.cw	5,97
6	Backdoor.Linux.Mirai.fg	3,58
7	Trojan.Linux.Agent.nx	2,22
8	Trojan-Downloader.Linux.Mirai.d	1,87
9	Trojan-Downloader.Shell.Agent.p	1,77
10	Backdoor.Linux.Gafgyt.a	1,62

* Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки по Telnet, от общего количества загруженных угроз.

Атаки через веб-ресурсы

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Злоумышленники создают такие сайты целенаправленно; зараженными могут быть веб-ресурсы, где контент создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Данная статистика показывает, как распределены по странам и территориям источники интернет-атак, заблокированных продуктами «Лаборатории Касперского», на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атаки использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GEOIP).

В третьем квартале 2023 года решения «Лаборатории Касперского» отразили 694 400 301 атаку с интернет-ресурсов, размещенных по всему миру. Зафиксировано 169 194 807 уникальных URL, на которых происходило срабатывание веб-антивируса.

Распределение источников веб-атак по странам и территориям, Q3 2023 (скачать)

Страны и территории, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях мира, мы подсчитали в каждой стране и на каждой территории долю пользователей продуктов «Лаборатории Касперского», на устройствах которых веб-антивирус срабатывал как минимум один раз за отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах и на разных территориях.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware; при подсчетах мы не брали во внимание срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

	Страна или территория*	%**
1	Беларусь	15,42
2	Республика Молдова	15,35
3	Албания	14,05
4	Тайвань	13,46
5	Северная Македония	13,08
6	Болгария	12,84
7	Сербия	12,75
8	Кыргызстан	12,73
9	Латвия	12,64
10	Греция	12,53
11	Эстония	12,06
12	Бангладеш	11,94
13	Непал	11,91
14	Шри-Ланка	11,91
15	Словения	11,70
16	Алжир	11,61
17	Турция	11,58
18	Босния и Герцеговина	11,22
19	Бельгия	11,15
20	Канада	11,04

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 8,81% компьютеров интернет-пользователей в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы модулей OAS (on-access scan, сканирование при обращении к файлу) и ODS (on-demand scan, сканирование, запущенное пользователем) продуктов «Лаборатории Касперского». Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к ним (флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках), либо изначально попавшие на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В третьем квартале 2023 года нашим файловым антивирусом было зафиксировано 33 847 517 вредоносных и потенциально нежелательных объектов.

Страны и территории, где компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали, какая доля пользователей продуктов «Лаборатории Касперского» столкнулась со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах и на различных территориях мира.

В данном рейтинге учитываются только атаки вредоносных объектов класса Malware; при подсчетах мы не брали во внимание срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

	Страна или территория*	%**
1	Туркменистан	49,40
2	Йемен	44,54
3	Афганистан	40,48
4	Таджикистан	39,09
5	Бурунди	34,92
6	Бангладеш	34,45
7	Мьянма	33,78
8	Южный Судан	33,63
9	Сирия	33,60
10	Бенин	33,12
11	Гвинея	32,81
12	Чад	32,61
13	Камерун	31,92
14	Танзания	31,90
15	Узбекистан	31,86
16	Республика Конго	31,51
17	Демократическая Республика Конго	31,18
18	Малави	30,82
19	Буркина-Фасо	30,77
20	Руанда	30,55

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире хотя бы один раз в течение третьего квартала локальные угрозы класса Malware были зафиксированы на 15,4% компьютеров пользователей. Показатель России в этом рейтинге составил 17,39%.