“Лаборатория Касперского” выпустила ежегодный обзор вредоносных программ, в котором подвела итог еще одного непростого для сферы информационной безопасности года. В 2015 году были обнаружены новые техники маскировки эксплойтов, шелл-кодов и полезной нагрузки с целью затруднить обнаружение заражения и анализ вредоносного кода. Специалисты “Лаборатории” особо отметили расцвет шифровальщиков, появление новых угроз для мобильных платформ, а также агрессивное распространение рекламного ПО.

В то же время аналитики “Лаборатории Касперского” наблюдают тенденцию к постепенному снижению уровня опасности Интернета: за год этот показатель снизился на 4,1%. В течение года защитные решения “Лаборатории Касперского” обнаружили 121 262 075 уникальных вредоносных объектов, файловый антивирус задетектировал 4 млн вредоносных и потенциально нежелательных программ.

За год совокупно было отражено 798 113 087 атак, осуществляемых через Интернет, притом атаки на 1 966 324 компьютера имели целью похищение денежных средств пользователя. По данным аналитиков, 34,2% компьютеров в течение года хотя бы раз подвергались веб-атакам, осуществляемым более чем с 6,5 млн хостов, причем 24% зафиксированных атак проводились с территории США.

Как показала статистика использования эксплойтов, злоумышленники все еще предпочитают Adobe Flash; в 2015 году в этой популярной у злоумышленников платформе было найдено множество багов, притом ряд уязвимостей нулевого дня стал доступен хакерам из-за утечки в компании Hacking Team, использовавшей 0-day в своих продуктах для слежки.

Хотя доля эксплойтов Flash составила всего 4%, его пользовательская база весьма обширна. В рейтинге распределения эксплойтов по атакуемым продуктам, по данным “Лаборатории Касперского”, лидируют браузеры (совокупно 62%), но большинство детектов при этом относятся к загрузочным страницам, раздающим эксплойты к Flash. Популярность эксплойтов для Java снизилась на 33% — до 13% общего количества. На второе место в этом рейтинге вышла Android (14%); в этом году в этой ОС было обнаружено две серьезные уязвимости — Stagefright и Stagefright 2.

Уходящий год стал весьма результативным для разработчиков банковских троянцев: решения “Лаборатории Касперского” отразили атаки зловредов-банкеров на 1 966 324 компьютерах, что на 2,8% больше по сравнению с прошлым годом. В глобальном “антирейтинге” по проценту атакованных пользователей лидируют Сингапур (11,6%), Австрия и Швейцария (по 10,6%). В России с банковскими троянцами столкнулись 2% атакованных пользователей.

Лидерами среди подобных зловредов являются программы семейства Trojan-Downloader.Win32.Upatre, обычно загружающие банкера Dyre/Dyzap/Dyreza. Другим представителем топа банкеров является хорошо известное семейство Trojan-Spy.Win32.Zbot, задействующее веб-инжекты для кражи платежных данных пользователей.

Примечательно, что в этом списке Top-10 появились и мобильные банкеры семейств Faketoken и Marcher, атакующие девайсы под Android. Зловреды Trojan-Banker.AndroidOS.Faketoken действуют совместно с компьютерными банковскими троянцами и используют методы социнженерии, чтобы заставить пользователя скачать якобы защитное приложение, после чего с зараженного устройства утекают одноразовые пароли двухфакторной аутентификации. Другой мобильный банкер, Trojan-Banker.AndroidOS.Marcher, демонстрирует пользователю фальшивое окно для ввода данных платежной карты при заходе на Google Play или в одно из приложений мобильного банкинга.

Хорошо сложился 2015 год и для вирусов-вымогателей: более 753 684 тыс. компьютеров столкнулось с этой угрозой. Спустя год после появления первого Android-блокера на долю таких зловредов уже приходилось 17% заражений вымогательским ПО. Также в уходящем году был обнаружен первый вымогатель для Linux, хотя на практике оказалось, что в его случае можно обойтись без выкупа.

В топе вымогателей лидируют семейства Trojan-Ransom.HTML.Agent (38%), Trojan-Ransom.JS.Blocker (20,7%) и Trojan-Ransom.JS.InstallExtension (8%). Последний блокирует браузер, заставляя пользователя установить расширение, которое может и не быть вредоносным, но является очень назойливым. Среди стран, больше всех пострадавших от вымогательского ПО, лидируют Казахстан (5,47% пользователей), Украина (3,75%) и Россия (3,72%).

В 2015 году эксперты также наблюдали участившиеся случаи атак вымогателей-шифровальщиков, с ними столкнулись 179 209 уникальных пользователей (почти на 60 тыс. больше, чем в прошлом году). 20% пострадавших — корпоративные юзеры. И вновь Россия вошла в тройку лидеров по проценту атакованных пользователей — с показателем 0,65%. На первой и второй позициях расположились Нидерланды (1,06%) и Бельгия (1%). Примечательно, что в этих европейских странах наибольшее распространение получил CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion), тогда как в России — Trojan-Ransom.Win32.Cryakl.

Среди 20 самых частых вредоносных программ в Интернете 12 позиций заняли рекламные программы и их компоненты, они были обнаружены на 26,1% всех компьютеров с антивирусом “Касперского”. Как и в 2014 году, рекламное ПО становится все более агрессивным и учится эффективно обходить защиту.

В общем рейтинге вредоносных объектов, задетектированных антивирусами “Касперского” (за исключением рекламного и прочего потенциально опасного ПО), с большим отрывом лидируют вредоносные URL (ссылки на веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами, сайты-вымогатели и пр.).

Лидером Top-10 стран с вредоносными хостами, ответственными за 80% веб-атак, являются США (24,15% нотификаций о блокировке), второе место занимает Германия (13,03%), за ней следуют Нидерланды (10,68%) и Россия (8,98%), хотя в этом году их показатели несколько снизились.

В 2015 году при серфинге в Интернете веб-атакам хотя бы раз подверглись 34,2% компьютеров пользователей Интернета. Россия является самой подверженной угрозам страной: в течение года с вредоносными веб-атаками столкнулись 48,90% россиян. Чуть более безопасно в Казахстане (46,27%), Азербайджане (43,23%), на Украине (40,40%) и во Вьетнаме (35,55%). Менее всего рискуют жители Южной Кореи (17,2%), Финляндии (16,5%) и Дании (15,2%).

Среди локальных угроз, обнаруженных на компьютерах пользователей, за год было зафиксировано около 4 млн вредоносных и потенциально опасных объектов — вдвое больше, чем год назад. Примечательно, что в тройку лидеров по уровню локальных заражений на этот раз вошла Россия (68,81% уникальных пользователей), которая в прошлом году не попала даже в топ-20, а ныне уступает лишь бессменному лидеру рейтинга — Вьетнаму (70,83%) и Бангладеш (69,55%). Среди наименее подверженных локальным угрозам стран — Куба (20,8%), Сейшелы (25,3%) и Япония (25,3%).

Новая статистика позволяет сделать некоторые выводы относительно направления развития киберугроз. Киберпреступники не хотят попадаться правоохранительным органам и, очевидно, предпочитают концентрироваться на распространении рекламного ПО. Кроме того, в этом году злоумышленники повысили внимание к альтернативным платформам — Android и Linux: для этих платформ созданы и используются практически все виды вредоносных программ. Чтобы эффективнее заметать следы, злоумышленники “прикрывают тыл” — активно используют анонимайзеры и предпочитают получать выкуп в биткойнах. Заметим, показатели 2015 года выглядят неутешительно для россиян, часто страдающих от вредоносных программ и потенциальных угроз.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона