Развитие информационных угроз в третьем квартале 2024 года
Развитие информационных угроз в третьем квартале 2024 года. Статистика по ПК
Развитие информационных угроз в третьем квартале 2024 года. Мобильная статистика
Представленная статистика основана на детектирующих вердиктах продуктов и сервисов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных.
Оглавление
Цифры квартала
В третьем квартале 2024 года:
решения «Лаборатории Касперского» отразили более 652 миллионов атак с различных интернет-ресурсов;
веб-антивирус среагировал на 109 миллионов уникальных ссылок;
файловый антивирус заблокировал более 23 миллионов вредоносных и потенциально нежелательных объектов;
более 90 тысяч пользователей столкнулись с атаками шифровальщиков;
почти 18% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (data leak site) группировок, пострадали от группы вымогателей RansomHub;
более 297 тысяч пользователей столкнулись с майнерами.
Вредоносные программы-шифровальщики
Главные тенденции и события квартала
Успехи правоохранителей
В августе в Испании был арестован злоумышленник, основавший в 2021 году вымогательскую группировку Ransom Cartel и организовавший кампанию по распространению вредоносного ПО через рекламные сети (malvertizing). Национальное агентство по борьбе с преступностью Великобритании (National Crime Agency, NCA) утверждает, что арестованный также стоит за известным вымогательским троянцем Reveton, который распространялся в 2012–2014 годах. Reveton — один из самых известных блокировщиков экрана для ПК. Этот тип вымогательства был распространен до того, как популярность набрали троянцы-шифровальщики.
Двое ранее арестованных злоумышленников, подозреваемых в распространении шифровальщика LockBit, признали свою вину. Один из них занимался вымогательством с 2020 по 2023 год. Его жертвами стали организации из нескольких стран, а общая сумма выкупа составила не менее $1,9 млн. Другой злоумышленник, по данным источника, нанес жертвам суммарный ущерб в размере приблизительно $500 000.
Атаки с эксплуатацией уязвимостей
Вымогательские группировки продолжают эксплуатировать уязвимости в разнообразном ПО — чаще всего для получения доступа в сети своих жертв и повышения привилегий.
Уязвимость CVE-2024-40766, затрагивающая устройства SonicWall на базе SonicOS и исправленная в августе, эксплуатировалась в сентябре в атаках с применением шифровальщика Akira.
Уязвимость CVE-2024-37085 в VMware ESXi, позволяющая злоумышленникам повысить привилегии, эксплуатировалась в вымогательских атаках с применением Akira и Black Basta.
Громкие события
Группировка Dark Angels (их сайт также известен как Dunghill Leak) получила, вероятно, рекордный выкуп в $75 млн. Источник не сообщает, какая именно организация стала жертвой Dark Angels. До этого самым крупным известным выкупом была сумма в $40 млн, выплаченная в 2021 году компанией CNA Financial в результате атаки с применением шифровальщика Phoenix.
Наиболее активные группировки
Статистика по наиболее активным вымогательским группам опирается на количество жертв, добавленных злоумышленниками на сайты DLS (data leak site) за отчетный период. В третьем квартале наиболее активной была группа RansomHub, жертвы которой составили 17,75% от общего числа.
Доля жертв конкретной группы (по данным ее сайта DLS) среди всех жертв всех групп, опубликованных на всех рассмотренных сайтах DLS за отчетный период (скачать)
Количество новых модификаций
В третьем квартале 2024 года мы обнаружили 3 новых семейства и 2109 новых модификаций шифровальщиков — в два с лишним раза меньше, чем в прошлом отчетном периоде.
Количество новых модификаций шифровальщиков, Q3 2023 — Q3 2024 (скачать)
Количество пользователей, атакованных троянцами-шифровальщиками
Несмотря на снижение числа новых модификаций количество пользователей, столкнувшихся с шифровальщиками, выросло относительно второго квартала. С июля по сентябрь 2024 года решения «Лаборатории Касперского» защитили 90 423 уникальных пользователя от вымогательских атак.
Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q3 2024 (скачать)
География атак
TОР 10 стран, подвергшихся атакам троянцев-шифровальщиков
Страна/территория*
%**
1
Израиль
1,08
2
Китай
0,95
3
Ливия
0,68
4
Южная Корея
0,66
5
Бангладеш
0,50
6
Пакистан
0,48
7
Ангола
0,46
8
Таджикистан
0,41
9
Руанда
0,40
10
Мозамбик
0,38
* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.
TОР 10 наиболее распространенных семейств троянцев-шифровальщиков
Название
Вердикт
Доля атакованных пользователей*
1
(generic verdict)
Trojan-Ransom.Win32.Gen
23,77%
2
WannaCry
Trojan-Ransom.Win32.Wanna
8,58%
3
(generic verdict)
Trojan-Ransom.Win32.Encoder
7,25%
4
(generic verdict)
Trojan-Ransom.Win32.Crypren
5,70%
5
(generic verdict)
Trojan-Ransom.Win32.Agent
4,25%
6
(generic verdict)
Trojan-Ransom.MSIL.Agent
3,47%
7
LockBit
Trojan-Ransom.Win32.Lockbit
3,21%
8
(generic verdict)
Trojan-Ransom.Win32.Phny
3,18%
9
PolyRansom/VirLock
Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom
2,97%
10
(generic verdict)
Trojan-Ransom.Win32.Crypmod
2,50%
* Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.
Майнеры
Количество новых модификаций
В третьем квартале 2024 года решения «Лаборатории Касперского» обнаружили 15 472 новых модификации майнеров — в два с лишним раза меньше, чем во втором квартале.
Количество новых модификаций майнеров, Q3 2024 (скачать)
Количество пользователей, атакованных майнерами
Активность майнеров также снизилось: в третьем квартале мы обнаружили атаки с использованием этого ПО на компьютерах 297 485 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру — это на 12% меньше, чем в прошлый отчетный период.
Количество уникальных пользователей, атакованных майнерами, Q3 2024 (скачать)
География атак программ-майнеров
TОР 10 стран, подвергшихся атакам майнеров
Страна/территория*
%**
1
Венесуэла
1,73
2
Таджикистан
1,63
3
Казахстан
1,34
4
Эфиопия
1,30
5
Узбекистан
1,20
6
Беларусь
1,20
7
Кыргызстан
1,16
8
Панама
1,10
9
Боливия
0,92
10
Шри-Ланка
0,87
* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.
Атаки на macOS
В третьем квартале наиболее интересными находками, связанными с атаками на пользователей macOS, стали вредоносные программы для кражи паролей. Исследователи безопасности обнаружили новые стилеры Banshee Stealer и Cthulhu Stealer, распространяющиеся по подписке в Telegram-каналах и на форумах в даркнете. Они очень похожи на уже известный троянец AMOS, но написаны на C++ и Go соответственно. Помимо этого, независимый исследователь опубликовал анализ новой версии BeaverTail — еще одного стилера, который ворует данные из браузеров и криптокошельков, а также обладает возможностью загрузить бэкдор.
Помимо новых стилеров в этом квартале был обнаружен новый бэкдор для macOS. HZ Rat — это macOS-версия одноименного бэкдора для Windows, нацеленная на пользователей китайских мессенджеров WeChat и DingTalk.
TOP 20 угроз для macOS
Доля* уникальных пользователей, столкнувшихся с данной угрозой, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS (скачать)
* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.
Самыми распространенными угрозами для macOS традиционно являются рекламные и прочие потенциально нежелательные приложения. Например, AdWare.OSX.Angent.ap (9%) добавляет в закладки браузера рекламные ссылки без ведома пользователя.
Помимо этого, в число наиболее активных угроз попали различные вредоносные приложения, например модифицированный клиент Telegram MalChat (5,08%), похищающий данные пользователя, или стилер AMOS, распространяющийся вместе со взломанным ПО.
География угроз для macOS
TOP 10 стран и территорий по доле атакованных пользователей
Q2 2024*
Q3 2024*
Материковый Китай
0,47%
1,47%
Гонконг
0,97%
1,36%
Испания
1,14%
1,21%
Франция
0,93%
1,16%
Германия
0,59%
0,95%
Мексика
1,09%
0,75%
Бразилия
0,57%
0,61%
Индия
0,70%
0,46%
Россия
0,33%
0,37%
Япония
0,22%
0,36%
* Доля уникальных пользователей, столкнувшихся с угрозами для macOS, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.
Заметно выросла доля пользователей, столкнувшихся с угрозами для macOS, в материковом Китае (1,47%) и в Гонконге (1,36%). В Испании (1,21%), Франции (1,16%), Германии (0,95%), Бразилии (0,61%), России (0,37%) и Японии (0,36%) этот показатель также вырос, тогда как в Индии (0,46%) и Мексике (0,75%) незначительно снизился относительно второго квартала, а Великобритания и Италия покинули TOP 10.
Статистика по IoT-угрозам
В третьем квартале 2024 года распределение по используемым протоколам устройств, атакующих ловушки «Лаборатории Касперского», изменилось незначительно: доля Telnet, снизившаяся во втором квартале, немного выросла, а доля SSH, соответственно, уменьшилась.
Распределение атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки, Q2–Q3 2024 (скачать)
Если смотреть на распределение атак по протоколам, то доля Telnet также немного выросла и составила 98,69%.
Распределение рабочих сессий киберпреступников с ловушками «Лаборатории Касперского», Q2–Q3 2024 (скачать)
TOP 10 угроз, загружаемых на IoT-устройства:
Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз (скачать)
Атаки на IoT-ханипоты
В географическом распределении атак по протоколу SSH несколько снизилась доля атак с территории материкового Китая (22,72%), США (11,31%), Сингапура (5,97%) и Южной Кореи (4,28%). Эта доля распределилась по другим странам и территориям.
Страна/территория
Q2 2024
Q3 2024
Материковый Китай
23,37%
22,72%
США
12,26%
11,31%
Сингапур
6,95%
5,97%
Индия
5,24%
5,52%
Германия
4,13%
4,67%
Южная Корея
6,84%
4,28%
Австралия
2,71%
3,53%
Гонконг
3,10%
3,23%
Бразилия
2,73%
3,17%
Индонезия
1,91%
2,77%
По протоколу Telnet выросла доля атак с территории Индии (32,17%), потеснив остальные страны и территории.
Страна/территория
Q2 2024
Q3 2024
Индия
22,68%
32,17%
Материковый Китай
30,24%
28,34%
Танзания
0,01%
5,01%
Бразилия
4,48%
2,84%
Россия
3,85%
2,83%
Южная Корея
2,46%
2,63%
Тайвань
2,64%
2,42%
США
2,66%
2,34%
Япония
3,64%
2,21%
Таиланд
2,37%
1,35%
Атаки через веб-ресурсы
Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной или зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.
Страны — источники веб-атак: TOP 10
Приведенная ниже статистика показывает распределение по странам-источникам заблокированных продуктами «Лаборатории Касперского» интернет-атак на компьютеры пользователей (веб-страницы, перенаправляющие на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником минимум одной веб-атаки.
Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен домен, и установления географического местоположения этого IP-адреса (GEOIP).
В третьем квартале 2024 года решения «Лаборатории Касперского» отразили 652 004 741 атаку с интернет-ресурсов, размещенных по всему миру. Зафиксировано 109 240 722 уникальных URL, на которые отреагировал веб-антивирус.
Распределение источников веб-атак по странам и территориям, Q3 2024 (скачать)
Страны и территории, где пользователи подвергались наибольшему риску заражения через Интернет
Чтобы оценить риск заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях мира, мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период, в каждой стране и на каждой территории. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах и на разных территориях.
Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, например на RiskTool и рекламное ПО.
Страна/территория*
%**
1
Катар
11,95
2
Перу
11,86
3
Марокко
11,56
4
Алжир
11,52
5
Тунис
11,24
6
Греция
11,11
7
Эквадор
10,95
8
Боливия
10,90
9
Сербия
10,82
10
Бахрейн
10,75
11
Шри-Ланка
10,62
12
Словакия
10,58
13
Босния и Герцеговина
10,29
14
Ботсвана
10,01
15
Египет
9,93
16
Северная Македония
9,91
17
Ливия
9,87
18
Иордания
9,85
19
Таиланд
9,67
20
ОАЭ
9,62
* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.
В среднем в течение квартала 7,46% компьютеров интернет-пользователей в мире хотя бы один раз подвергались веб-атаке класса Malware.
Локальные угрозы
Важным показателем является статистика локальных заражений пользовательских компьютеров. Как локальные детектируются объекты, проникшие на компьютер путем заражения файлов или съемных носителей либо изначально попавшие на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).
В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, который сканирует файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации. Статистика основана на детектирующих вердиктах модулей OAS (on-access scan, сканирование при обращении к файлу) и ODS (on-demand scan, сканирование, запущенное пользователем), которые были добровольно предоставлены пользователями продуктов «Лаборатории Касперского». Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.
В третьем квартале 2024 года наш файловый антивирус обнаружил 23 196 497 вредоносных и потенциально нежелательных объектов.
Страны и территории, где компьютеры пользователей подвергались наибольшему риску локального заражения
Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в разных странах и на разных территориях мира.
Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.
Страна/территория*
%**
1
Туркмения
46,00
2
Афганистан
38,98
3
Йемен
38,43
4
Таджикистан
34,56
5
Куба
33,55
6
Сирия
32,56
7
Узбекистан
30,45
8
Нигер
27,80
9
Буркина-Фасо
27,55
10
Бурунди
27,27
11
Бангладеш
27,24
12
Южный Судан
26,90
13
Танзания
26,53
14
Камерун
26,35
15
Бенин
25,80
16
Вьетнам
25,52
17
Ирак
25,15
18
Мали
24,82
19
Беларусь
24,81
20
Ангола
24,67
* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.
В среднем в мире хотя бы один раз в течение третьего квартала локальные угрозы класса Malware были зафиксированы на 13,53% компьютеров пользователей.
Показатель России в этом рейтинге составил 14,52%.
Securelist