Финансовые угрозы

В 2016 году рост числа рекламных троянцев, которые могут использовать права суперпользователя, продолжился. На протяжении всего года это было угрозой номер 1 и поводов к изменению этой тенденции мы пока не видим.

Для того, чтобы украсть более 200 миллионов рублей, киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами.

С января по сентябрь 2016 года количество атак на компании с применением вредоносных программ-вымогателей выросло втрое. Принимая во внимание бурный рост сервисов «вымогатель как услуга» и запуск проекта NoMoreRansom, «Лаборатория Касперского» назвала вредоносные программы-вымогатели своей ключевой темой на 2016 год.

2016 год вместил в себя многое – от огромных ботнетов, состоящих из устройств интернета вещей, и вредоносных программ-вымогателей до целевых кибершпионских атак, кражи средств у финансовых организаций, кампаний «хактивистов» и многого другого. В разделах Развитие угроз и Статистика представлен подробный обзор года, а здесь вы найдете краткую информацию.

События, которые формировали ландшафт информационных угроз в 2016 г., были связаны с мобильными и финансовыми угрозами, целевыми атаками и проблемами «Интернета вещей». В промышленном секторе происходили утечки данных и инциденты, связанные с заражением критической инфраструктуры.

Пролетел еще один год, и, судя по событиям, произошедшим в сфере информационной безопасности, он войдет в историю. Это был год драм, интриг и эксплойтов. Сегодня, мысленно возвращаясь к наиболее нашумевшим историям года, мы пытаемся заглянуть в будущее и дать прогноз, каким будет ландшафт угроз в 2017 году.

Многие мобильные банкеры могут блокировать устройство с целью вымогательства денег у пользователя. Но одна из обнаруженных нами модификаций мобильного банковского троянца Trojan-Banker.AndroidOS.Faketoken пошла еще дальше – она может зашифровать пользовательские данные. Помимо этого, найденная модификация атакует более 2000 финансовых приложений со всего мира.

Самым популярным мобильным троянцем в третьем квартале 2016 года стал Trojan-Banker.AndroidOS.Svpeng.q. За квартал количество атакованных им пользователей выросло практически в 8 раз.

Самым популярным троянцем-вымогателем в третьем квартале все стал Trojan-Ransom.AndroidOS.Fusob.h. С ним столкнулись более 53% пользователей, атакованных мобильными вымогателями.

В сентябре 2016 года мы обнаружили новую версию Gootkit, которая имела характерную и легко узнаваемую особенность – дополнительную проверку переменной окружения «crackme» в теле загрузчика. Но что не менее интересно, в ходе исследования нам удалось получить доступ к C&C серверу бота, включая полное дерево каталогов и файлов, а также их содержимое.

Чтобы шифрование Polyglot выглядело как результат атаки CTB-Locker, вирусописатели создали с нуля практически полную копию CTB-Locker. Но мы нашли ошибки в реализации криптографической схемы Polyglot, и это позволило нам восстанавливать зашифрованные данные.

Отчет состоит из двух документов, в которых мы анализируем все существующие методы аутентификации, применяемые в банкоматах, а также методы, реализация которых ожидается в ближайшем будущем, в том числе аутентификацию с применением NFC, аутентификацию на основе одноразовых паролей и биометрические системы аутентификации.

В случае успешного заражения компьютера, троянец RAA выполняет свою основную задачу – шифрует файлы жертвы. Но этим он не ограничивается: некоторые версии RAA несут в себе файл троянца Pony, ворующего конфиденциальную информацию на зараженном компьютере.

В начале июня этого года российские правоохранительные органы задержали предполагаемых членов преступной группировки, которая подозревается в хищении почти трех миллиардов рублей. История с Lurk может дать представление о том, какой объем работы должен быть проделан, чтобы возникли легальные основания для преследования подозреваемых.

Во втором квартале 2016 года нашим веб-антивирусом было обнаружено 16 119 489 уникальных объектов (скрипты, эксплойты, исполняемые файлы и т.д.), и зафиксировано 54 539 948 уникальных URL, на которых происходило срабатывание веб-антивируса.