 |
Вредоносные программы в интернете (атаки через веб-ресурсы)
|
|
|
|
Вредоносные программы в интернете (атаки через веб-ресурсы)
Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.
Онлайн-угрозы в финансовом секторе
Настоящая статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных. Начиная с первого квартала 2017 года, в статистику входят вредоносные программы для ATM и POS-терминалов, но не входят мобильные угрозы.
В третьем квартале 2017 года решения «Лаборатории Касперского» отразили попытки запуска одной или нескольких вредоносных программ для кражи денежных средств с банковских счетов на компьютерах 204 388 пользователей.
Число пользователей, атакованных финансовым вредоносным ПО, третий квартал 2017
География атак
Чтобы оценить и сравнить степень риска заражения банковскими троянцами и ATM/PoS-зловредами, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в отчетный период, от всех пользователей наших продуктов в стране.
География атак банковского вредоносного ПО в третьем квартале 2017 года (процент атакованных пользователей)
TOP-10 стран по проценту атакованных пользователей
|
|
|
| Страна* | % атакованных пользователей** | |
| Того | 2, 30 | |
| Китай | 1, 91 | |
| Тайвань | 1, 65 | |
| Индонезия | 1, 58 | |
| Республика Корея | 1, 56 | |
| Германия | 1, 53 | |
| ОАЭ | 1, 52 | |
| Ливан | 1, 48 | |
| Ливия | 1, 43 | |
| Иордания | 1, 33 |
Настоящая статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам банковских троянцев, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.
TOP 10 семейств банковского вредоносного ПО
TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в третьем квартале 2017 года (по доле атакованных пользователей):
| Название* | % атакованных пользователей** | |
| Trojan-Spy. Win32. Zbot | 27, 9 | |
| Trojan. Win32. Nymaim | 20, 4 | |
| Trojan. Win32. Neurevt | 10, 0 | |
| Trickster | 9, 5 | |
| SpyEye | 7, 5 | |
| Caphaw | 6, 3 | |
| Trojan-Banker. Win32. Gozi | 2, 0 | |
| Shiz | 1, 8 | |
| ZAccess | 1, 6 | |
| NeutrinoPOS | 1, 6 |
* Детектирующие вердикты продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей, атакованных финансовым вредоносным ПО.
В третьем квартале 2017 года рейтинг покинули семейства Dridex и Tinba. Одно из освободившихся мест занял наследник умершего банкера Dyre – бот Trickster (9, 5%), также известный как TrickBot. Небольшие изменения произошли в первой тройке зловредных семейств. На первом и втором местах по-прежнему Trojan-Spy. Win32. Zbot (27, 9%) и Trojan. Win32. Nymaim (20, 4%), а вот на третью позицию поднялся Trojan. Win32. Neurevt (10%), чья доля выросла почти на 4 п. п.
|
|
|
Вредоносные программы-шифровальщики
Главные события квартала
Crysis восстает из мертвых
В отчете за второй квартал мы писали, что злоумышленники, стоящие за шифровальщиком Crysis, прекратили распространение этого троянца, а приватные мастер-ключи, необходимые для расшифровки файлов пострадавших, опубликовали в открытом доступе. Это произошло в мае 2017 года, и всякое распространение этого шифровальщика в тот момент полностью остановилось.
Однако спустя почти 3 месяца, в середине августа, мы обнаружили новую волну активного распространения этого, казалось бы, уже «мертвого» троянца. Адреса почты вымогателей оказались новыми, ранее не замеченными в образцах Crysis. В результате детального анализа выяснилось, что появившиеся образцы троянца полностью идентичны старым за исключением новых адресов почты, расширений зашифрованных файлов и публичных мастер-ключей. Всё остальное осталось неизменным, в том числе дата компиляции в PE-заголовке, и, что более интересно, метки, оставляемые троянцем в служебной структуре в конце каждого зашифрованного файла. При пристальном рассмотрении образцов складывается впечатление, что новые распространители не имели исходников зловреда, потому просто взяли старое тело троянца и с помощью hex-редактора подменили в нём ключ и адрес почты для связи.
Вышеописанное наталкивает на мысль, что распространением этого «зомби» занимаются уже другая группа злоумышленников, а не изначальный разработчик троянца, выложивший все приватные ключи в мае.
|
|
|
