Согласно квартальному отчету об угрозах, опубликованному «Лабораторией Касперского», прошедший квартал выдался для ИБ-отрасли довольно активным: по словам экспертов, событий в области кибербезопасности за первые три месяца 2016 года хватило бы на целый год. Специалисты обозначили основные тенденции квартала и представили статистику по различным видам угроз.

По данным Kaspersky Security Network, продукты «Лаборатории Касперского» отразили более 228 млн атак, инициированных в 195 странах мира, и нашли более 74 млн вредоносных ссылок. Заражения избежали почти 500 тыс. уникальных пользователей. Кроме того, веб-версия антивируса выявила более 18,5 млн уникальных детектируемых объектов, а файловый антивирус обнаружил более 174,5 млн уникальных вредоносных или потенциально опасных объектов. Растет количество мобильных угроз: продукты «Лаборатории» обнаружили более 2 млн вредоносных установочных файлов, более 4 тыс. сэмплов мобильных банкеров и почти 3 тыс. мобильных вымогателей.

Пальму первенства среди угроз уверенно держат программы-вымогатели, пополнившие свой арсенал и расширившие сферу деятельности. Они однозначно главный тренд сезона. Ряд шифровальщиков стали доступны всем желающим в виде исходного кода. Таким образом, даже начинающие киберпреступники могут написать всевозможные варианты троянца, а также использовать биткойны для получения выкупа, что дает им возможность долго оставаться безнаказанными. Это формирует новую тенденцию — «вымогатель как сервис». Вирусописатели получают прибыль по подписной модели, предлагая злоумышленникам в дополнение к коду полный набор инструментов, служб и инструкций, а также просят комиссию от полученного с жертв выкупа.

Стоит отметить, что шифровальщики расширили зону поражения и теперь атакуют веб-серверы, шифруя критически важные для компаний данные. Например, эту модель использует CTB-Locker. Но самый разрушительный эффект спровоцировал в прошедшем квартале шифровальщик Locky. Он до сих пор бесчинствует в 114 странах мира, распространяясь через спам-сообщения, содержащие DOC-файл с вредоносным макросом или, по последним сведениям, архив ZIP. Заметное техническое новшество реализовано в троянце Petya, который шифрует не файлы, а жесткий диск в целом путем шифрования таблицы файловой системы. Заявив о себе, зловред требует выкуп в размере около $380. Для выплаты жертве придется воспользоваться другим компьютером, так как зараженная машина становится полностью неоперабельной.

Enadgame - TeslaCrypt

По сравнению с прошедшим кварталом количество обнаруженных модификаций шифровальщиков возросло с 2549 до 2900, а общее количество криптоблокеров в базах «Лаборатории Касперского» составляет около 15 тыс. Наиболее популярными семействами шифровальщиков являются TeslaCrypt (58,43%), CTB-Locker (23,49%) и Cryptowall (3,41%). Жертвами шифровальщиков в первом квартале стали более 372 тыс. пользователей — на 30% больше по сравнению с показателями предыдущего квартала. Около 17% атак шифровальщиков пришлось на корпоративный сектор. Специалисты «Лаборатории» уверены, что в реальности количество инцидентов выше. Чаще всего жертвами криптоблокеров оказываются жители Италии (3,06% пользователей), Нидерландов (1,81%) и Бельгии (1,58%).

Также эксперты «Лаборатории» подчеркнули, что целевые атаки, несмотря на ренессанс вымогателей, остались одной из самых серьезных угроз. Самым громким инцидентом стала атака BlackEnergy на украинские энергетические предприятия, произошедшая в конце прошлого года, однако, как стало известно, злоумышленники не ограничились одной попыткой: такие же инциденты были зафиксированы и в 2016 году. Злоумышленники смогли отключить системы распределения электроэнергии, «вычистить» зараженные компьютеры при помощи программы Wiper и парализовать службы поддержки при помощи телефонной DDoS-атаки.

В этом квартале отличились авторы кампании Poseidon — португалоязычная ОПГ, орудовавшая еще с 2001 года. Отличительной особенностью атак Poseidon является возможность адаптации сценария атаки в соответствии с особенностями жертвы. Тем не менее в каждом сценарии можно заметить общие черты: после проникновения в сеть преступники перемещаются по ней и повышают привилегии, выявляя нужный им компьютер. Затем злоумышленники могут похитить секретные данные, объекты интеллектуальной собственности и другую информацию с целью шантажа. Примечательно, что киберпреступники пытались навязать жертвам собственные услуги по обеспечению информационной безопасности.

poseidon-680x400

Аналитики центра исследования угроз GreAT также смогли обнаружить новые бэкдоры и эксплойты нулевого дня от печально известной Hacking Team — как выяснилось, даже после катастрофического инцидента в прошлом году противоречивая организация не собирается складывать оружие.

Кроме того, «Лаборатория Касперского» совместно с другими организациями участвовала в операции Blockbuster — исследовании предположительно северокорейской группировки Lazarus Group, вероятно, причастной к атаке на Sony Pictures в 2014 году. Злоумышленники имели отношение к нашумевшим кампаниям Troy, Dark Seoul (Wiper) и WildPositron. Целью атак были предприятия, финансовые организации, радио и телевидение.

Согласно отчету, объектом пристального внимания преступников стали больницы. В прошедшем квартале стало известно о нескольких случаях целевых атак на учреждения здравоохранения. Злоумышленники шифруют файлы, содержащие данные пациентов, и требуют выкуп за предоставление ключа. Так как медики не хотят рисковать здоровьем пациентов, нередко им приходится идти на условия хакеров — например, госпиталю в Калифорнии пришлось заплатить $17 тыс.

В первом квартале стало известно о ряде опасных банковских угроз. Были обнаружены две новые ОПГ Metel и GCMAN, причастные к ряду крупных киберограблений. Кроме того, на горизонте снова возникла группировка Carbanak 2.0, чьи следы были обнаружены в сети крупной телекоммуникационной компании и финансовой организации. Теперь стоящие за Carbanak 2.0 злоумышленники переключились с банков на бюджетные и бухгалтерские отделы целевой организации.

Беспрецедентный случай произошел в текущем квартале в Бангладеш, где на Центробанк была произведена атака, в результате которой с баланса были сняты $80 млн. Ущерб мог бы быть еще более ощутимым (до $900 млн), если бы специалисты банка-корреспондента не заметили опечатку в назначении платежа.

Внимание экспертов также привлек RAT-троянец Adwind. Его разрабатывали в течение нескольких лет, а первые образцы появились itw в 2012 году. Судя по всему, Adwind и все его инкарнации — плод одного трудолюбивого хакера, постоянно обновляющего арсенал зловреда. Появление англоязычного интерфейса сделало платформу очень популярной среди киберпреступников всего мира. В 2013 году от Adwind больше всего страдали страны, где говорят на испанском и арабском языках. В следующем году — Турция и Индия, а также ОАЭ, США и Вьетнам. В 2015 году основной целью пользователей Adwind стала Россия. Стоит сказать, что публикация исследования зловреда побудила автора Adwind залечь на дно — пока неизвестно, навсегда ли.

Аналитики также сообщают о продолжающемся развитии мобильных угроз. В первом квартале 2016 года «Лабораторией Касперского» было обнаружено более 2 млн вредоносных установочных пакетов — в 11 раз больше, чем в предыдущем квартале, и в 1,2 раза больше, чем полгода назад. Лидерами «антирейтинга» по количеству зараженных мобильными зловредами пользователей в этом квартале стали Китай (38,2%), Бангладеш (27,6%) и Узбекистан (21,3%). Больше всех везет пользователям из Тайваня (2,9%), Австралии (2,7%) и Японии (0,9%).

samsung_backdoor

Среди мобильных зловредов в первом квартале лидируют потенциально нежелательные рекламные приложения (Adware) — их доля достигла 42,7%, что на 13% больше показателей предыдущего квартала, но меньше, чем полгода назад (52,5%). На втором месте расположились SMS-троянцы, и их доля растет уже два квартала подряд и на сегодняшний день составляет 20,5%. Троянцы-шпионы заняли третье место.

В рейтинге мобильных зловредов лидирует вердикт DangerousObject.Multi.Generic (73,7%) — это самые новые вредоносные программы. На втором месте непростой зловред Backdoor.AndroidOS.Triada, который перенаправляет SMS-транзакции при совершении покупок внутри приложения, обогащая злоумышленников. На зараженном устройстве Triada внедряется практически во все запущенные процессы и скрывает свои запущенные процессы от пользователя и других приложений.

Набирают популярность вредоносные программы, живущие за счет демонстрации нежелательной рекламы (в топ-20 их целых 16 штук), и мобильные вымогатели. Общее количество пользователей, атакованных мобильными вымогателями, выросло более чем в 1,8 раза за квартал и достигло 2896 образцов.

В последних модификациях вымогателей реализованы новые техники обхода защиты и обмана пользователей — например, одна из модификаций Asacub перекрывает стандартное системное окно запроса прав администратора устройства своим окном с кнопками, скрывая запрос на получение администраторских прав в системе. В прошлом квартале специалисты также обнаружили новые итерации банкера Marcher, которые атакуют без малого 40 банковских приложений. На пользователей мобильных устройств также обратили внимание создатели программ-вымогателей: в частности, на Fusob приходится 64% атакованных мобильными вымогателями пользователей. Более всего пострадали от мобильных вымогателей жители Казахстана (0,92%), Германии (0,83%) и Узбекистана (0,8%).

Также аналитики фиксируют рост количества мобильных троянцев: «Лаборатория Касперского» докладывает о 4146 мобильных банковских троянцах за квартал, что в 1,7 раза больше, чем в предыдущем квартале. Чаще всего мобильные банкеры атакуют жителей Китая (0,45% от общего количества пользователей), Австралии (0,3%) и России (0,24%). В пятерку лидеров также вошла Украина (0,08%). Если брать в расчет долю жертв мобильных банкеров от общего количества пострадавших от мобильных угроз пользователей, картина слегка меняется: на первое место с огромным отрывом выходит Австралия (13,4%), за ней следуют Россия (5,1%) и Великобритания (1,6%).

Как показывает статистика за квартал, для совершения атак злоумышленники чаще всего традиционно пользуются уязвимостями в Adobe Flash Player и Internet Explorer. Однако стоит отметить появление в прошлом квартале эксплойта для Silverlight. Чаще всего эксплойты использовались против браузеров (48% детектов), ОС Android (22%) и MS Office (15%). Стоит отметить, что доля эксплойтов существенно выросла для Microsoft Office (на 10% по сравнению с предыдущим кварталом) в связи с активизацией вредоносных спам-рассылок.

Еще один заметный тренд — снижение активности со стороны финансового вредоносного ПО: по сравнению с предыдущим кварталом количество атак снизилось на 23%, а за год число жертв снизилось на 34,26%. В топ-3 стран, более всех пострадавших от банковских троянцев, вошли Бразилия (3,86%), Австрия (2,09%) и Тунис (1,86%). В России с банковскими троянцами хотя бы раз в течение квартала столкнулись 1,58% пользователей (на 1% больше по сравнению с предыдущим кварталом).

Среди самых опасных банкеров — Trojan-Spy.Win32.Zbot, давно удерживающий позицию лидера. За ним следует семейство Trojan-Downloader.Win32.Upatre, а также кросс-платформенное банковское вредоносное ПО, написанное на Java, — излюбленный метод бразильских киберпреступников. Также эксперты «Лаборатории» обратили внимание на новый банковский троянец — Adwind RAT, который атакует все популярные платформы: Windows, Mac OS, Linux и Android. Зловред способен на многое: делать снимки экрана, запоминать нажатия клавиш на клавиатуре, красть пароли и данные, хранящиеся в браузерах и веб-формах, фотографировать и осуществлять видеозапись с помощью веб-камеры и многое другое.

shutterstock_295910906-680x400

В первом квартале 2016 года решения «Лаборатории Касперского» отразили более 228 млн атак с интернет-ресурсов в 195 странах мира. В среднем, по данным аналитиков, 21,2% пользователей хотя бы раз подвергались атаке (это меньше показателя за прошлый квартал на 1,5%). На топ-10 самых «зловредных» стран пришлось 76% заблокированных веб-атак. Наиболее активны злоумышленники из Нидерландов (24,60%), США (21,44%) и России (7,45%). Если проанализировать страны, которые стали основными мишенями для веб-атак, в этом списке уверенно лидирует Россия (36,3%), за ней следуют Казахстан (33,19%) и Китай (32,87%). В числе самых безопасных для серфинга в Интернете стран — Германия (17,7%), Канада (16,2%) и Бельгия (14,5%).

Из отчета следует, что файловый антивирус «Касперского» зарегистрировал более 174,5 млн локальных угроз. Абсолютными «лидерами» по показателю заражения считаются Сомали (66,88% пользователей), Йемен (66,82%) и Армения (65,17%). Россия находится на пятом месте с показателем 64,18%. Наиболее благоприятно обстоит ситуация в Чехии (27,2%), Дании (23,2%) и Японии (21,0%). В среднем в мире хотя бы один раз в течение первого квартала локальные угрозы были зафиксированы на 44,5% компьютеров пользователей — это на 0,8% выше, чем кварталом ранее.

Категории: Аналитика, Вредоносные программы, Главное