Количество новых модификаций шифровальщиков снизилось во втором квартале
По данным Kaspersky Security Network, во втором квартале 2021 г. решения разработчика отразили 1,686 млрд. атак на защищаемые ПК с интернет-ресурсов, размещенных по всему миру. Зафиксировано 675,8 млн. уникальных URL, на которых происходило срабатывание веб-антивируса. Запуск вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам предотвращен на 119 тыс. компьютерах. Атаки шифровальщиков отражены на 97 тыс. ПК. Файловый антивирус зафиксировал 68 млн. уникальных вредоносных и потенциально нежелательных объектов.
Количество пользователей, атакованных финансовыми зловредами
Наибольшему риску заражения ПК банковскими троянцами и ATM/PoS-зловредами в рассматриваемом периоде подвергались пользователи из таких стран: Туркменистан, Таджикистан, Афганистан, Узбекистан, Литва.
Самым распространенным семейством банкеров остается ZeuS/Zbot (17,8%), однако его доля уменьшилась почти вдвое, на 13 п. п. Второе место по-прежнему за семейством CliptoShuffler (9,9%), чья доля также уменьшилась - на 6 п. п. Замыкает первую тройку SpyEye (8,8%), прибавивший 5 п. п. и, как результат, поднявшийся с восьмого места.
Количество новых модификаций шифровальщиков
Во второй четверти года специалисты компании обнаружили 14 новых семейств шифровальщиков и 3905 новых модификаций зловредов этого типа. Чаще всего атакам вымогателей подвергались пользователи в Бангладеш, Эфиопии, Китае, Пакистане и Египте. Наиболее распространенными семействами троянцев-шифровальщиков стали WannaCry Trojan-Ransom.Win32.Wanna, Stop Trojan-Ransom.Win32.Stop и Trojan-Ransom.Win32.Gen.
Решения "Лаборатории Касперского" во второй четверти года обнаружили свыше 31 тыс. новых модификаций майнеров. Атаки с использованием программ-майнеров были зафиксированы на компьютерах 363 тыс. уникальных пользователей продуктов компании по всему миру. При этом возобновился тренд на снижение активности майнеров.
Второй квартал привнес небольшие изменения в статистику используемых злоумышленниками эксплойтов. В частности, доля эксплойтов для Microsoft Office уменьшилась до 55,81% от общего количества угроз этого типа. В тоже время доля эксплойтов, атакующих популярные браузеры, выросла примерно на 3 п. п. и составила 29,13%.
Эксплойты для Microsoft Office чаще других пытались использовать уязвимость порчи памяти - CVE-2018-0802. Эта ошибка может возникнуть в компоненте Equation Editor при обработке объектов в специально построенном документе, а ее эксплуатация вызывает переполнение буфера и позволяет злоумышленнику осуществить выполнение произвольного кода. Также во втором квартале была популярна похожая уязвимость CVE-2017-11882, вызывающая переполнение буфера на стеке в том же компоненте.
Также квартал запомнился появлением нескольких опасных уязвимостей в ОС семейства Microsoft Windows различных версий, причем многие из них были замечены в дикой природе. В их числе: CVE-2021-28310 - уязвимость типа out-of-bounds (OOB) write в библиотеке Microsoft DWM Core, используемой в Desktop Window Manager; CVE-2021-31955 - уязвимость типа Information disclosure, раскрывающая информацию об объектах ядра; CVE-2021-31956 - уязвимость в драйвере файловой системы ntfs.sys.
Распределение эксплойтов, использованных злоумышленниками, по типам атакуемых приложений
Но главной темой квартала стали критические уязвимости CVE-2021-1675 и CVE-2021-34527 в службе Print Spooler ОС Microsoft Windows, причем как в серверных, так и в клиентских редакциях. Их обнаружение, вместе с обнаружением Proof-of-Concept эксплойта, вызвало шум, как в среде специалистов, так и в СМИ, которые дали одной из уязвимостей название PrintNightmare.
Среди сетевых угроз второго квартала все так же актуальны попытки перебора паролей в популярных протоколах и службах, среди которых можно выделить RDP, SSH, MSSQL и другие. По-прежнему распространены атаки с использованием эксплойтов EternalBlue, EternalRomance и им подобных, хотя их доля медленно сокращается.
В контексте угроз для платформы macOS второй квартал запомнился в первую очередь появлением новых образцов троянца XCSSET. Этот зловред ориентирован на кражу данных из браузеров и других приложений, а примечателен тем, что для своего распространения он заражает проекты среды разработки Xcode. Троянец представляет собой bash-скрипт, упакованный утилитой SHC. Это позволяет ему обходить защиту macOS, которая не блокирует выполнение скриптов. В ходе выполнения скрипта утилита SHC, используя алгоритм RC4, расшифровывает полезную нагрузку, а та, в свою очередь, скачивает дополнительные модули.
Как и в предыдущем квартале, большую часть TOП20 угроз для macOS заняли различные рекламные программы - пятнадцать позиций из двадцати. Традиционно отличились семейства Pirrit и Bnodlero, причем доля первого составила две трети от общего количества угроз.
Чаще всего риску заражения вредоносами через интернет подвергались пользователи: Беларуси, Мавритании, Молдовы, Украины и Киргизии. В среднем в течение квартала 9,43% компьютеров пользователей интернета в мире хотя бы один раз подвергались веб-атаке класса Malware.
Файловым антивирусом во втором квартале было зафиксировано 68 млн. вредоносных и потенциально нежелательных объектов. Речь идет о локальных угрозах, обнаруживаемых непосредственно на ПК или же на съемных носителях, подключенных к ним (флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках).