Число пользователей, атакованных финансовым вредоносным ПО, третий квартал 2017
География атак
Чтобы оценить и сравнить степень риска заражения банковскими троянцами и ATM/PoS-зловредами, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в отчетный период, от всех пользователей наших продуктов в стране.
География атак банковского вредоносного ПО в третьем квартале 2017 года
(процент атакованных пользователей)
TOP-10 стран по проценту атакованных пользователей
Страна* | % атакованных пользователей** | |
1 | Того | 2,30 |
2 | Китай | 1,91 |
3 | Тайвань | 1,65 |
4 | Индонезия | 1,58 |
5 | Республика Корея | 1,56 |
6 | Германия | 1,53 |
7 | ОАЭ | 1,52 |
8 | Ливан | 1,48 |
9 | Ливия | 1,43 |
10 | Иордания | 1,33 |
Настоящая статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам банковских троянцев, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.
TOP 10 семейств банковского вредоносного ПО
TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в третьем квартале 2017 года (по доле атакованных пользователей):
|
|
Название* | % атакованных пользователей** | |
1 | Trojan-Spy.Win32.Zbot | 27,9 |
2 | Trojan.Win32.Nymaim | 20,4 |
3 | Trojan.Win32.Neurevt | 10,0 |
4 | Trickster | 9,5 |
5 | SpyEye | 7,5 |
6 | Caphaw | 6,3 |
7 | Trojan-Banker.Win32.Gozi | 2,0 |
8 | Shiz | 1,8 |
9 | ZAccess | 1,6 |
10 | NeutrinoPOS | 1,6 |
* Детектирующие вердикты продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей, атакованных финансовым вредоносным ПО.
В третьем квартале 2017 года рейтинг покинули семейства Dridex и Tinba. Одно из освободившихся мест занял наследник умершего банкераDyre – бот Trickster (9,5%), также известный как TrickBot. Небольшие изменения произошли в первой тройке зловредных семейств. На первом и втором местах по-прежнему Trojan-Spy.Win32.Zbot (27,9%) и Trojan.Win32.Nymaim (20,4%), а вот на третью позицию поднялся Trojan.Win32.Neurevt (10%), чья доля выросла почти на 4 п.п.
Вредоносные программы-шифровальщики
Главные события квартала
|
|
Crysis восстает из мертвых
В отчете за второй квартал мы писали, что злоумышленники, стоящие за шифровальщиком Crysis, прекратили распространение этого троянца, а приватные мастер-ключи, необходимые для расшифровки файлов пострадавших, опубликовали в открытом доступе. Это произошло в мае 2017 года, и всякое распространение этого шифровальщика в тот момент полностью остановилось.
Однако спустя почти 3 месяца, в середине августа, мы обнаружили новую волну активного распространения этого, казалось бы, уже «мертвого» троянца. Адреса почты вымогателей оказались новыми, ранее не замеченными в образцах Crysis. В результате детального анализа выяснилось, что появившиеся образцы троянца полностью идентичны старым за исключением новых адресов почты, расширений зашифрованных файлов и публичных мастер-ключей. Всё остальное осталось неизменным, в том числе дата компиляции в PE-заголовке, и, что более интересно, метки, оставляемые троянцем в служебной структуре в конце каждого зашифрованного файла. При пристальном рассмотрении образцов складывается впечатление, что новые распространители не имели исходников зловреда, потому просто взяли старое тело троянца и с помощью hex-редактора подменили в нём ключ и адрес почты для связи.
|
|
Вышеописанное наталкивает на мысль, что распространением этого «зомби» занимаются уже другая группа злоумышленников, а не изначальный разработчик троянца, выложивший все приватные ключи в мае.
Волна атак Cryrar
Шифровальщик Cryrar (aka ACCDFISA) – один из «долгожителей» среди активно распространяемых сегодня троянцев-вымогателей. Он появился еще в 2012 году, и с тех пор не прекращал свою активность. Зловред написан на PureBasic и использует легальный исполняемый файл архиватора RAR, чтобы помещать файлы жертвы в запароленные RAR-sfx архивы.
В первую неделю сентября 2017 мы зафиксировали резкий рост числа попыток заражения данным шифровальщиком. Ни до, ни после распространяющие Cryrar злоумышленники не отличались такими массовыми «кампаниями». Схема заражения: злоумышленники методом перебора (bruteforce) подбирают пароль к RDP, авторизуются в системе жертвы по протоколу удаленного доступа и вручную запускают установочный файл троянца. Тот, в свою очередь, устанавливает непосредственно тело шифровальщика и необходимые ему компоненты (в том числе и переименованный файл rar.exe), после чего автоматически запускает шифровальщика.
По данным KSN, эта волна была нацелена в первую очередь на Вьетнам, Китай, Филиппины и Бразилию.
|
|
Дата добавления: 2018-02-28; просмотров: 899; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!