21.12.2016 компания «Лаборатория Касперского» опубликовала отчет «Kaspersky Security Bulletin 2016. Статистика» . Всего в 2016 году с помощью продуктов компании было отражено более 758 млн компьютерных атак по всему миру, обнаружено свыше 69 млн уникальных объектов (скриптов, эксплойтов, исполняемых файлов и т.д.), зафиксировано более 261 млн вредоносных URL-адресов, на которых происходило срабатывание веб-антивируса. В 2016 году 32% пользователей хотя бы раз подвергались компьютерным атакам с использованием вредоносного программного обеспечения. Эксперты компании определили географию источников компьютерных атак. Первое место заняли США (30%), далее следуют Нидерланды (17%), Германия (9%), Россия (7%), Франция (5%) и др. Как и в 2015 году, наиболее востребованными у злоумышленников были эксплойты для уязвимостей в Adobe Flash Player. В рейтинге уязвимых приложений первое место занимают браузеры (50%), затем следуют приложения для Android-устройств (21%), MS Office (13%), Adobe Flash Player (8%), Oracle Java (7%) и Adobe Reader (1%). 77% компьютерных атак проводилось с использованием вредоносных веб-страниц (Malicious URL), включая ссылки на веб-страницы с переадресацией на эксплойты, сайты с эксплойтами и другими вредоносными программами, сайты-вымогатели и т.д. Согласно отчету, продолжает увеличиваться количество новых семейств и новых модификаций троянских программ-шифровальщиков. На сегодняшний день общее число модификаций шифровальщиков в базе данных компании составляет порядка 65 тысяч. За отчетный период программами-шифровальщиками было атаковано свыше 1,4 млн ПК. Наиболее распространенным семейством программ-шифровальщиков в отчетном периоде стало семейство CTB-Locker (25%), на втором месте - Locky (7%), на третьем - TeslaCrypt (6%). В 2016 году 22,6% пользователей, атакованных шифровальщиками, пришлось на корпоративный сектор. Статистика финансовых угроз представлена следующими показателями:
- Отражены попытки проведения атак на почти 2,8 млн компьютеров пользователей с помощью вредоносных программ, предназначенных для доступа к банковским счетам пользователей.
- В пятерку стран с наибольшим процентом компьютеров, атакованных банковскими троянскими программами, вошли Россия (4,8%), Бразилия (4,7%), Турция (4,5%), Шри-Ланка (4,5%), Пакистан (3,8%).
- Наиболее популярные семейства банковских троянских программ: Trojan-Banker.AndroidOS.Svpeng.q (8,8%), Trojan-Banker.Win32.Gozi.gr (5,7%) и Trojan.BAT.Qhost.abp (4,5%).
- По сравнению с 2015 годом, доля атак на Android-устройства увеличилась в 4,5 раза. Из десяти наиболее популярных банковских троянских программ пять предназначены для кражи банковских данных с Android-устройств.
Исследователи Kaspersky Lab ICS CERT провели анализ уязвимостей информационных систем промышленных предприятий за вторую половину 2017 года и опубликовали подробный отчет, включая сравнительную статистику по двум полугодиям.
Хайлайты обзора
- 55 % брешей автоматизированных систем приходится на отрасль энергетики.
- Все самые опасные уязвимости характеризуются проблемами аутентификации, удаленным исполнением кода и простотой эксплуатации.
- Самые распространенные типы брешей - переполнение буфера и неправильная аутентификация.
- Обнаружены серьезные уязвимости в программных платформах и сетевых протоколах, которые можно использовать для атаки на системы автоматизации многих промышленных предприятий.
- Возросло количество брешей в IoT-устройствах, за ним увеличилось число ботнетов.
Вряд ли компьютеры технологической сети подвергаются целевой атаке майнеров: у специалистов нет этому достоверных подтверждений. В основном, системы цепляют майнеры из Интернета, вчетверо реже - со съемных носителей.
Атаки ботнет-агентов случались чаще: им подверглись 10,8 % всех систем промышленной автоматизации.
Несмотря на преимущественно случайный характер заражения, в 2017 году зарегистрированы две целевые атаки - Industroyer и Trisis/Triton . Кроме того, промышленные организации подвергались фишинговым атакам, из них самая известная - шпион Formbook, который эксплуатирует уязвимость CVE-2017-8759 или использует макросы.
Статистика угроз
Во второй половине 2017 года безуспешно атакованы 37,8 % компьютеров промышленных сетей, защищаемых продуктами Kaspersky Lab. Статистика показывает спад активности вредоносов к середине лета:
Специалисты проследили различие в статистике атак, распределенной по индустриям, между двумя полугодиями 2017 года.
Основные источники те же - Интернет, съемные носители, а также почтовые клиенты.
Во второй половине 2017 года 26,6 % атак исходили от вредоносных программ, принадлежащих классу Trojan.
Самой популярной целью остается Windows x86, хотя к концу года количество атак, рассчитанных на JavaScript, заметно увеличилось, что подвинуло платформу на третью строку списка. Исследователи связывают этот факт с распространением фишинговых писем, содержащих Trojan-Ransom.Win32.Locky.
Специалисты Kaspersky Lab составили карту, отражающую процент атакованных компьютеров в стране. Самый высокий уровень во Вьетнаме - 69,6 %. Россия с 21 места поднялась до 13, ее показатель составляет 46,8 %.
Меньше всего атак зарегистрировано в Израиле (8,6 %), Дании (13,6 %) и Великобритании (14,5 %).
Об отборе данных исследователи рассказали в разделе «Методология» .
В заключение специалисты составили списки рекомендаций для промышленных организаций, включающие меры по защите от случайных и целевых атак, а также от конкретных угроз, выявленных в исследовании.
Многие люди из разных уголков земного шара, в особенности из Европы и Соединенных Штатов, если бы их попросили охарактеризовать 2016 год одним словом, выбрали бы слово «непредсказуемый». На первый взгляд, это в полной мере относится и к киберугрозам 2016 года: парализовавшим значительную часть интернета в октябре огромным ботнетам, состоящим из онлайн-устройств; безжалостному взлому популярных сайтов с последующей утечкой баз данных; ограблениям банков через систему SWIFT, нанесшим финансовым организациям ущерб в миллиарды долларов, и многим другим угрозам. Однако в действительности многие из этих инцидентов были предсказаны, иногда за годы до их воплощения, экспертами по информационной безопасности. Вероятно, правильнее всего было бы охарактеризовать их как «неизбежные».
Для киберугроз 2016 год ознаменовался превращением «рано или поздно» в «сейчас» #KLReport
Главный итог 2016 года: вредоносные программы-вымогатели продолжили свое неумолимое шествие по миру – появилось еще больше новых семейств, больше модификаций, больше атак и больше жертв. Но есть и лучи надежды – включая новую совместную инициативу No More Ransom . «Лаборатория Касперского» объявила революционное развитие программ-вымогателей главной темой 2016 года. Более подробную информацию о развитии этой угрозы и наносимом ей ущербе вы можете найти .
Другие составляющие ландшафта киберугроз – целевые кибершпионские атаки, кражи средств у финансовых организаций, кампании «хактивистов» и уязвимые сети подключенных к интернету устройств – также сыграли свою роль, сделав год напряженным и даже бурным.
Шесть вещей, которые мы узнали только в этом году
1. Что масштабы и сложность подпольной экономики сегодня больше, чем когда-либо ранее: xDedic – теневой рынок
В мае мы обнаружили крупную, активно действующую . Платформа xDedic позволяла выставлять на продажу и покупать учетные данные взломанных серверов. На продажу предлагались около 70 000 взломанных серверов (по сведениям , полученным позднее, их число могло достигать 176 000), установленных в организациях по всему миру. В большинстве случаев законные владельцы понятия не имели о том, что один из их серверов, спокойно гудящий в серверной или в центре обработки данных, захвачен злоумышленниками и переходит от одного киберпреступника к другому.
xDedic – не первая подпольная торговая площадка, но она свидетельствует о растущей сложности и развитости экономической экосистемы подпольного рынка.
«xDedic – мечта хакера: простой, дешёвый и быстрый доступ к жертвам, открывающий новые возможности и для простых киберпреступников, и для тех, кто в киберпреступном мире занимает более серьезное место.»
2. Что крупнейшая кража финансовых активов никак не связана с фондовой биржей: переводы через систему SWIFT
Одна из наиболее серьезных атак в 2016 году была осуществлена через межбанковскую сеть SWIFT (Society for Worldwide Interbank Financial Telecommunication – Общество всемирных межбанковских финансовых каналов связи). В феврале 2016 года хакеры использовали учетные данные сотрудников Центрального банка Бангладеш в SWIFT для отправки фальшивых запросов на проведение транзакций в Федеральный резервный банк Нью-Йорка с целью перевести миллионы долларов на различные банковские счета в Азии. Хакерам удалось перевести $81 миллион в филиппинский банк Rizal Commercial Banking Corporation и еще $20 миллионов в Pan Asia Banking. Кампания была пресечена, когда банк обнаружил опечатку в одном из запросов на перевод средств. Подробно об этом ограблении можно прочитать . В последующие месяцы стало известно и о других атаках на банки с использованием учетных данных в SWIFT .
После кражи $100 миллионов многим банкам пришлось усовершенствовать свою систему аутентификации и процедуру обновления ПО SWIFT #KLReport
3. Что критически важная инфраструктура пугающе уязвима: атаки BlackEnergy
Несмотря на то, что, строго говоря, кампания BlackEnergy проводилась в конце 2015 года, она заслуживает быть включенной в этот список. Дело в том, что вся тяжесть последствий кибератаки BlackEnergy для энергетической отрасли Украины стала ясна лишь в начале 2016 года. Атака стала уникальной по масштабам причиненного вреда, который включал отключение систем распределения электроэнергии на Западной Украине, удаление ПО с зараженных компьютеров и DDoS-атаку на службы техподдержки атакованных компаний. «Лаборатория Касперского» участвовала в расследовании атак BlackEnergy с 2010 года . В частности, компания опубликовала анализ механизма, использованного для проникновения в компьютерные системы . Наш отчет, опубликованный в 2016 году, можно найти .
Кибератака BlackEnergy на украинскую энергетику показала, насколько уязвима критически важная инфраструктура по всему миру #KLReport
Чтобы помочь организациям, работающим с автоматизированными системами управления (АСУ), найти возможные слабые места в их безопасности, эксперты «Лаборатории Касперского» провели расследование угроз для систем АСУ. Их выводы опубликованы в .
4. Что целевые атаки могут быть основаны на «бесшаблонном» подходе: APT-кампания ProjectSauron
«Бесшаблонная» платформа шпионажа ProjectSauron неизбежно окажет серьезное влияние на некоторые базовые принципы обнаружения угроз #KLReport
5. Что публикация в Сети значительных объемов данных может быть эффективным инструментом влияния: ShadowBrokers и другие дампы баз данных
В 2016 несколько киберпреступных групп выложили в Сеть дампы краденных баз данных. Вероятно, наиболее известная утечка данных была организована группировкой, называющей себя ShadowBrokers. 13 августа они выступили онлайн с заявлением, что у них есть файлы, принадлежащие хищнику высшего порядка в мире APT-угроз – . Согласно нашим , есть значительное сходство между данными, выложенными в Сеть группировкой ShadowBrokers, и вредоносным ПО Equation Group. В первоначально опубликованном дампе содержалось несколько неизвестных эксплойтов нулевого дня. В последующие месяцы в Сети появились новые дампы . Долгосрочные последствия всей этой активности неизвестны, однако уже сейчас ясно, что подобные случаи утечки данных потенциально могут оказывать огромное – и вызывающее тревогу – влияние на общественное мнение и идущие в обществе дискуссии.
В 2016 году мы также зарегистрировали утечку данных с ресурсов beautifulpeople.com , Tumblr , хакерского форума nulled.io , Kiddicare , VK.com , официального форума DotA 2 , Yahoo , Brazzers , Weebly и Tesco Bank , причем злоумышленники были движимы самыми разными мотивами – от жажды наживы до желания очернить репутацию конкретных личностей.
6. Что камера может быть бойцом глобальной киберармии: небезопасный интернет вещей
Устройства и системы, подключаемые к интернету, – от домов и автомобилей до больниц и «умных» городов – существуют для того, чтобы сделать нашу жизнь безопаснее и легче. При этом многие из них проектируются и производятся без особого внимания к безопасности – и приобретаются людьми, которые плохо понимают, почему оставлять настройки безопасности, установленные по умолчанию, – это плохая идея.
В 2016 году опасность подключения всего что можно к интернету должна быть очевидна всем #KLReport
Как теперь известно миру, все эти миллионы незащищенных устройств, подключенных к интернету, – большой соблазн для киберпреступников. В октябре злоумышленники использовали ботнет, состоящий из более полумиллиона подключенных к интернету домашних устройств для осуществления DDoS-атаки на Dyn – компанию, предоставляющую DNS –сервисы корпорациям Twitter, Amazon, PayPal, Netflix и другим. Мир был шокирован, но ведь предупреждения о недостаточной защищенности устройств интернета вещей звучали уже давно.
В погоне за наживой
В 2016 году приемы, позволяющие обманным путем заставить людей сообщить свои личные данные или установить вредоносное ПО, которое крадет реквизиты счетов, подключенных к системе онлайн-банкинга, оставались популярными и успешно применялись кибер-ворами. Решения «Лаборатории Касперского» блокировали попытки запустить подобное вредоносное ПО на 2 871 965 устройствах. Доля атак, нацеленных на устройства Android, увеличилась более чем в четыре раза.
Сегодня треть банковских вредоносных программ предназначены для устройств Android #KLReport
Некоторые APT-группировки также были заинтересованы скорее в получении финансовой выгоды, чем в кибершпионаже. Например, группировка, стоящая за кампанией , внедрялась в корпоративные сети банков, чтобы автоматизировать откат операций, проводимых через банкоматы. После этого члены банды с помощью дебетовых карт неоднократно крали средства из банкоматов, оставляя при этом баланс карт неизменным. Эта группировка по-прежнему активна в конце 2016 года.
Metel осуществляла целевые атаки на банки, а затем отправляла людей к банкоматам снимать наличные #KLReport
В июне «Лаборатория Касперского» оказывала поддержку российским правоохранительным органам в расследовании активности . Результатом сотрудничества стал арест 50 человек, подозреваемых в неоднократном создании сетей из зараженных компьютеров и краже более 45 миллионов долларов из российских банков и других финансовых и коммерческих организаций.
В ходе расследования эксперты заметили, что на компьютерах пользователей, атакованных Lurk, была установлена программа удаленного администрирования Ammyy Admin. Исследователи пришли к выводу, что , и троянец загружался на компьютеры пользователей вместе с легитимным ПО Ammyy Admin.
Задержание кибербанды Lurk стало крупнейшим в истории арестом хакеров в России #KLReport
«Лаборатория Касперского» проанализировала основные тенденции на спам-арене в своем отчете по итогам 2017 года.
Как и годом ранее, мошенники продолжают следить за мировыми событиями и активно используют их в спам-рассылках в качестве приманки. Авторы классических «нигерийских» писем использовали природные катаклизмы - ураганы, наводнения и пожары для того, чтобы привлечь внимание потенциальной жертвы.
Еще один популярный сюжет спам-рассылок - спортивные события. В качестве инфоповода мошенники использовали билеты на Олимпийские игры или футбольные матчи. Нередко мошенники сообщали о мнимом выигрыше билетов на предстоящий чемпионат мира по футболу.
В спаме по-прежнему часто упоминались известные персоны и политические деятели. Одним из самых популярных персонажей подобных рассылок в прошлом году стал американский президент Дональд Трамп.
Следуя актуальным трендам, компьютерные мошенники провели оперативный ребрендинг традиционных методов обмана и активно эксплуатируют тему криптовалют в спам-рассылках. Диапазон уловок киберпреступников широк - от фальшивых семинаров, обещающих быстрый заработок, до предложений об аренде облачных сервисов для майнинга. Продавцы баз данных с адресами для рассылок теперь нередко выделяют владельцев биткойн-кошельков в отдельный сегмент. Это означает, что на обладателей криптовалюты возможны прицельные атаки спамеров.
Прямая рассылка вредоносных программ в 2017 году стала менее популярной. Количество срабатываний почтового антивируса у клиентов «Лаборатории Касперского» уменьшилось в 1,6 раза. Аналитики связывают это с нестабильной работой ботнета Necurs. За прошедший год известная спам-сеть несколько раз пропадала с радаров, но каждый раз с новыми угрозами.
Между тем доля спама в почтовом трафике за год сократилась незначительно. На несанкционированные рассылки пришлось более половины всех отправлений прошлого года. Основным источником таких писем являются США - 13,21% исходящего спама. В тройку лидеров вошли также Китай (11,25%) и Вьетнам (9,85%). Россия занимает шестое место - ее доля возросла на 1,87 п. п. и составляет 5,46%.
Среди получателей спама лидирует Германия, на долю которой в минувшем году пришлось 16,25% мусорных писем. Россия заняла в этом рейтинге третье место с показателем 6,87%.
Фишинговые сайты повсеместно на защищенные соединения. Вслед за усилением мер безопасности со стороны разработчиков браузеров наличием SSL-сертификата озаботились не только владельцы легитимных ресурсов, но и кибермошенники. Защиту по HTTPS для криминальных страниц злоумышленники нередко получают через пробные шестимесячные сертификаты от популярных центров. Кроме того, для размещения ловушек киберпреступники часто выбирают не слишком внимательные к контенту бесплатные площадки, а также используют взломанные сайты.
Так же как и в случае со спамом, создатели фишинговых сайтов активно используют . Мошенники имитируют страницы популярных биткойн-сервисов, стараясь заставить жертву перевести им свои деньги. Среди других криминальных приманок года - iPhone X, возврат налогов, а также лотереи с бесплатными билетами от известных авиакомпаний.
В прошлом году фишеры стали чаще использовать Punycode. Название домена, в котором использованы символы национальной кодировки, иногда сложно отличить от оригинального. Такое мошенничество чем-то напоминает знаменитые abibas и pawasonic, однако в случае с поддельными сайтами определить фальшивку сложнее, а последствия могут быть гораздо серьезнее.
Злоумышленники чаще всего подделывали сайты финансовых организаций, онлайн-компаний и глобальные интернет-порталы. На долю социальных сетей пришлось более 10% фальшивых ресурсов, а Facebook стал самым популярным среди фишеров брендом.
Эксперты отмечают рост количества атак с использованием вредоносных документов и числа банковских троянов для мобильных устройств.
Как следует из доклада, в третей половине 2017 года резко возросло количество пользователей, атакованных мобильным банковским трояном Asacub. В июле текущего года количество жертв трояна выросло почти втрое, составив порядка 29 тыс. Также исследователи обнаружили новую модификацию мобильного трояна Svpeng, способного считывать введенный пользователем текст, отправлять SMS-сообщения и препятствовать своему удалению.
В отчете также говорится о расширении списка мобильных приложений, атакуемых банковским трояном FakeToken. Если раньше троян и его модификации перекрывали окном в основном банковские приложения и некоторые приложения Google, такие как Google Play Store, то теперь в сферу их интересов вошли приложения для вызова такси, заказа авиабилетов и бронирования номеров в гостиницах. Основная цель трояна – сбор данных банковской карты пользователя.
Помимо этого, наблюдается рост активности троянов, похищающих деньги пользователей посредством подписок. Данные трояны могут посещать сайты, позволяющие оплачивать услуги средствами со счета мобильного телефона пользователя. Вредоносное ПО может нажимать кнопки на данных сайтах, используя специальные JS-файлы, таким образом осуществляя оплату неких услуг втайне от пользователя.
Странами с самым большим процентом атакованных мобильных устройств в третьем квартале 2017 года стали Иран (35,12%), Бангладеш (28,3%) и Китай (27,38%). Россия заняла 35-е место, на ее долю пришлось 8,68% мобильных угроз. В то же время Россия заняла первое место по количеству атак банковскими троянами - на ее долю пришлось 1,2%, на втором и третьем местах расположились Узбекистан (0,4%) и Казахстан (0,36%).
Также эксперты отметили рост количества атак с использованием вредоносных документов. Выросло число комбинированных документов (в которых содержится и эксплоит, и фишинговое сообщение) на тот случай, если встроенный в документ эксплоит не сработал.
В отчете также говорится о новой волне атак шифровальщика Crysis, которая пришлась на август текущего года.
В июле 2017 года авторы вымогательского ПО Petya опубликовали свой мастер-ключ, с помощью которого возможна расшифровка ключей Salsa, необходимых для расшифровки базы данных MFT и разблокировки доступа к системам, пострадавшим в ходе атак вредоносного ПО Petya/Mischa и GoldenEye. Произошло это вскоре после эпидемии заражения вымогательским ПО ExPetr, который использовал часть кода от GoldenEye. Данный ход навел исследователей на мысль, что авторы Petya/Mischa/GoldenEye попытались таким образом дистанцироваться от ExPetr. Хотя количество атак росло на протяжении квартала, оно остается ниже показателей мая и июня, когда прогремели две массовые эпидемии - WannaCry и ExPetr.
По количеству заражений вымогательским ПО первое место занимает Мьянма (0,95%), второе - Вьетнам (0,92%) и третье - Индонезия (0,69%). Россия, занимавшая 10-е место во втором квартале, теперь находится на 6-й позиции (0,51%).
Более подробно с данными отчета можно ознакомиться .
