- Analýzy -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Každý den kolují internetem statisíce virů

9.1.2018 Novinky/Bezpečnost Analýzy
Bezpečnostní odborníci z antivirové společnosti Kaspersky Lab spočítali, že každý den koluje internetem rekordních 360 000 virů. Toto číslo je alarmující i s ohledem na to, že o rok dříve to bylo o 11,5 % méně. Uživatelé by tak nejrůznější počítačové hrozby rozhodně neměli podceňovat.

Aktivita počítačových pirátů v kyberprostoru se zkrátka neustále zvyšuje, jak je ze statistik patrné. Například v roce 2011 kolovalo internetem pouze 70 000 škodlivých souborů denně. Od té doby prakticky každý rok počet virů pouze roste, v současnosti dosahuje pětinásobku původní hodnoty.

V uplynulých měsících se přitom nejčastěji šířily vyděračské viry z rodiny ransomware.

„V průběhu posledních dvou let jsme zaznamenali enormní nárůst počtu útoků ransomwarem. Předpokládáme, že tento trend bude i nadále pokračovat, protože za vývojem ransomwaru stojí obrovský zločinný ekosystém, který denně produkuje stovky nových hrozeb,“ prohlásil Vyacheslav Zakorzhevsky, vedoucí anti-malwarového týmu ve společnosti Kaspersky Lab.

Jak probíhá útok vyděračského viru
Útoky vyděračských virů probíhají prakticky vždy na chlup stejně. Nejprve zašifrují záškodníci všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

„Minulý rok se také výrazně rozšířily minery. Tento malware začali kyberzločinci využívat ve vyšší míře především proto, že stoupala obliba kryptoměn. V neposlední řadě stojí za zvyšujícím se počtem každodenně detekovaných škodlivých souborů i zlepšující se bezpečnostní technologie. Díky každé nové aktualizaci jsme schopni detekovat více druhů malwaru, a tím pádem stoupá i počet objevených hrozeb,“ uzavřel Zakorzhevsky.

Internet v roce 2021: 4,6 miliardy uživatelů a 3,1 milionů DDoS útoků

19.6.2017 SecurityWorld Analýzy
Do roku 2021 vzroste počet uživatelů internetu na 4,6 miliardy a připojeno bude přes 27 miliard zařízení – z toho více než 50 % budou tvořit zařízení internetu věcí. Stroje se tak vůbec poprvé stanou většinovým uživatelem internetu, nicméně prvenství v objemu dat i nadále zůstane lidem, kteří budou konzumovat celých 95 % internetového provozu. Množství přenesených dat se do roku 2021 globálně ztrojnásobí a dosáhne 3,3 zettabytů ročně, což je zhruba ekvivalent 825 miliard DVD nosičů. Dominantním obsahem bude video, které bude tvořit 80 % internetového provozu. Tyto závěry přinesla pravidelná studie Cisco Visual Networking Index. Ta dále předpovídá, že s narůstajícím objemem dat také poroste množství kybernetických útoků typu DDoS, které využívají infikovaná zařízení k zahlcení cíle velkým množstvím požadavků.
Studie Cisco Visual Networking Index (VNI) již 12 let pravidelně mapuje globální datový provoz. Aktuální studie se zaměřila na předpokládaný vývoj mezi lety 2016 a 2021 a předpovídá široké dopady, které bude mít na internet postupující digitální transformace. Právě ta bude hlavní příčinou strmě rostoucího počtu připojení pro komunikaci strojů (M2M).

Nejrychleji digitalizovaným odvětvím se podle odhadů Cisco stane zdravotnictví, což bude souviset s rozvojem zdravotních monitorů, dávkovačů léků a s připojením tzv. first responderů (nárůst o 30 % ročně). Druhou nejrychleji rostoucí oblastí se stane odvětví propojených vozidel a aplikací pro chytrá města (nárůst o 29 % ročně).

„Touto studií otevíráme okno do budoucnosti internetu. Skrz ně můžeme nahlédnout do světa, kde je každodenní realitou vzájemná komunikace mezi miliardami strojů a zařízení, ale kde drtivou většinu obsahu budou stále spotřebovávat lidé. Můžeme se těšit na boom zábavních vychytávek jako jsou rozšířená a virtuální realita, většina domácností si bude užívat možností 4K televizí. Více lidí si bude vybírat obsah na míru prostřednictvím internetového vysílání. S tím porostou jejich nároky na rychlost a kvalitu připojení, a technologické firmy i poskytovatelé služeb se na to musí připravit,“ říká Michal Stachník, generální ředitel Cisco ČR.

Již dnes tvoří video většinu internetového provozu, v roce 2016 představovalo 67 %. Trend růstu bude pokračovat a v roce 2021 dosáhne tento poměr 80 %. Na tento nárůst bude mít velký vliv rozvoj nových médií, která využívají přímého přenosu, například streamovací televize, streaming jednotlivých uživatelů či sociální sítě. Přímé přenosy vzrostou mezi lety 2016 a 2021 15krát a budou tvořit 13 % veškerého přenosu videa. Podobný boom zažije i virtuální a rozšířená realita. Provoz těchto technologií vzroste 20krát. Počet 4K televizí se zvýší z 85 milionů v roce 2016 na 663 milionů v roce 2021. Zatímco dnes tvoří 15 % připojených televizorů, v roce 2021 už budou mít 56% většinu.

V roce 2016 se internetem každý měsíc přeneslo 96 exabytů dat. Podle studie Cisco VNI naroste do roku 2021 téměř trojnásobně na 278 exabytů. Ročně tedy bude činit IP provoz zhruba 3,3 zettabytů. Pro představu, jeden exabyte odpovídá zhruba velikosti HD videa v délce 36 000 let či 250 000 000 DVD nosičů. V roce 2021 tedy internetem projde objem dat srovnatelný s HD videem v délce skoro 120 milionů let (to je například dvakrát delší doba než před kterou žil Tyrannosaurus Rex). Celý datový provoz internetu by se tak vešel zhruba na 825 miliard DVD nosičů.

Již v roce 2016 generovala mobilní či jiná bezdrátová zařízení většinu internetového provozu (62 %). Jejich poměr poroste i nadále a v roce 2021 se jejich podíl zvýší na 73 %. S tím souvisí i prudký nárůst Wi-Fi hotspotů. Zatímco v roce 2016 jich bylo na světě v provozu asi 85 milionů, v roce 2021 jejich počet stoupne na 526,2 milionů. Zeměmi s největším počtem hotspotů budou v roce 2021: Čína (170 milionů), USA (86 milionů), Japonsko (33 milionů) a Francie (30 milionů).

Studie přinesla také porovnání mezi jednotlivými světovými regiony. Ze statistik vyplývá, že v roce 2016 bylo k internetu připojeno 44 % světové populace. V roce 2021 se zvýší počet uživatelů internetu ze současných 3,3 miliard na 4.6 miliard, bude tak připojeno 58 % všech lidí na světě. Výrazně se zvýší také počet připojených zařízení na jednoho člověka. Na jednoho člověka připadalo 2,3 zařízení (2016) a tento počet naroste na 3,5 (2021). Průměrná rychlost připojení se v roce 2021 zvýší ze 27,5 Mb/s na 53 Mb/s a na každého člověka připadne měsíčně 35,5 GB přenesených dat.

V regionu střední a východní Evropy (CEE) bude tento vývoj obdobrný. V roce 2016 zde bylo připojeno 60 % populace, což se v roce 2021 zvýší na 72 %. V regionu CEE má dnes každý občan v průměru 2,5 zařízení připojená k internetu, v roce 2021 to bude už 3,8. Průměrné připojení dosáhne rychlosti 45,5 Mb/s a na jednoho člověka připadne 34,7 GB přenesených dat.

Rostoucí internetový provoz bude také velkou výzvou pro kybernetickou bezpečnost. Nejenže útočníci přicházejí se stále sofistikovanějšími typy malware, ale neustále se zvyšuje i síla DDoS útoků, která v průměru dosahuje 1,2 Gb/s. Takový tok dokáže vyřadit většinu organizací. Maximální síla se každoročně zvyšuje zhruba o 60 % a ve chvíli nejsilnějšího útoku může jeho internetový provoz představovat až 18 % provozu celého státu. Průměrná velikost DDoS útoku se každoročně zvyšuje až o 22 %, což koresponduje s nárůstem globálního internetového provozu (29 %). Zvyšuje se ale i jejich počet. V roce 2021 bude světově takových útoků podle předpovědi asi 3,1 milionů.

Největší kybernetické hrozby roku 2015

4.1.2015 Analýzy
V loňském roce se počítačoví piráti obzvláště snažili. Neútočili pouze na počítače, ale také na tablety a chytré telefony. Zajímali se přitom o citlivá osobní data uživatelů, ale také o jejich bankovní účty. Novinky.cz přinášejí přehled těch největších kybernetických hrozeb za poslední rok.
Počítačoví podvodníci zneužívají povánoční výprodeje. 

Snaží se získat citlivé informace. Podvod poznají jen pozorní. 

Terčem hackerských útoků se stalo na 19 tisíc francouzských webů. 

Po České spořitelně si podvodníci vzali na mušku další banku. 

Ukázka podvodné stránky, která imituje internetové bankovnictví Air Banky.
FOTO: Air Bank

Vypukla třetí světová válka, informovala agentura UPI po útoku hackerů. 

Vyděračský virus požaduje výkupné v bitcoinech. 

Únor
Podvodným e-mailem přišel podnikatel o statisíce. 

Chyba krvácejícího srdce stále ohrožuje více než polovinu podniků. 

Miliónům Čechů se snaží přes virus v e-mailu vysát účty. 

Škodlivý kód v napadeném počítači klientovi nabízí po přihlášení do internetového bankovnictví instalaci mobilní aplikace.
Virus v napadeném počítači klientovi nabízí po přihlášení do internetového bankovnictví instalaci mobilní aplikace.

FOTO: Česká spořitelna

Gang hackerů ukradl bankám miliardu dolarů. 

Počítače se prodávaly už zavirované, NSA sledovala domácnosti i firmy ve 30 zemích. 

Získejte slevu 500 Kč, zkoušejí podvodníci nový trik. 

Šmejdi mají na internetu nový cíl. 

Březen
Stovky miliónů počítačů s Windows ohrožuje nedostatečné šifrování webů. 

CIA pracovala deset let na prolomení zabezpečení iPhonů a iPadů. 

iPad 3
Pozměněná verze balíčku XCode mohla agentům umožnit zmocnit se hesel a zpráv v přístrojích od Applu. (Ilustrační foto)

FOTO: Reuters

Kritické chyby mají Windows i Internet Explorer. 

Platební kartu dokážou kyberzločinci zkopírovat dřív, než ji vložíte do bankomatu. 

Internet Explorer podlehl hackerům za 17 sekund. 

Vezeme vám zásilku, oprášili podvodníci starý trik. 

Duben
Turecko odřízlo obyvatele od sociálních sítí. 

Platba byla chybná. Novým trikem berou podvodníci lidem peníze přímo v internetovém bankovnictví. 

IPhony a iPady mají kritické bezpečnostní chyby. 

Vraťte přeplatek! Další vlna podvodů zasáhla Česko. 

Podvodná stránka, prostřednictvím které počítačoví podvodníci informují o chybné platbě.
FOTO: Česká spořitelna

S pomocí triku podvodníci ukradli statisíce. Teď to zkoušejí znovu. 

Obrana už nestačí. Pentagon počítá s útočnými kybernetickými operacemi. 

Květen
Ukradli stovky miliónů. Past ale nakonec sklapla. 

Hackeři se zaměří na auta a chytré televize. 

Zaplaťte, nebo vás odřízneme. Vyděrači to zkoušejí přes internet. 

Podvodníci se zaměřili na milovníky kávy. 

Mobilní aplikace společnosti Starbucks
FOTO: archív tvůrců

Počítačový expert ovládl systémy letadla, změnil dokonce směr letu. 

Nevyžádané pošty ubylo, stále ale tvoří více než polovinu e-mailové komunikace. 

Červen
Stačí poslat krátký text a Skype je mimo provoz. 

Svět se musí připravit na riziko útoků hackerů na energetiku. 

Hackeři v USA ukradli osobní data všech vládních zaměstnanců. 

Piráti šířili viry pomocí velkých webů. Napadli CNN i pražské letiště. 

Pražské letiště Václava Havla

FOTO: Archiv Letiště Václava Havla

IPhony a iPady mají obrovskou chybu. Útočníci mohou snadno krást hesla. 

Hackeři napadli polské aerolinky, zpozdily se i spoje do Prahy. 

Červenec
Antivirové programy otevíraly útočníkům zadní vrátka do PC. 

Český kyberprostor bude chránit víc bezpečnostních expertů. 

Jednoduchým trikem připraví lidi o peníze. 

Společnost prodávající šmírovací software byla napadena. Na seznamu klientů je i česká policie. 

Internetové stránky italské společnosti Hacking Team
FOTO: repro hackingteam.it

Firefox má kritické bezpečnostní trhliny. 

Díky červovi v mobilu má policie všechno – hovory, chaty i hesla. 

Srpen
Tady je ta faktura, oprášili podvodníci starý trik. 

Windows 10 dostaly první balík oprav. Už po prvním týdnu. 

Poté, co budou skladové zásoby počítačů, notebooků a tabletů se zvýhodněnou cenou rozebrány, dá se podle zástupců Microsoftu očekávat skokový nárůst cen až o 40 procent. (Ilustrační foto)

Notebook s Windows 10 (ilustrační foto)
FOTO: archív výrobce

Největší aktualizace v historii Androidu má opravit kritickou bezpečnostní chybu. 

Přes zprávu se snaží vysát lidem účty. 

Hackeři: Zveřejnili jsme údaje o miliónech klientů nevěrnické seznamky, jsou i z Vatikánu. 

Statisícové útoky organizoval 15letý mladík. Past ale nakonec sklapla. 

Září
Chcete nové tlačítko na Facebooku? Piráti zkouší nový trik. 

Straší fakturami, pak důvěřivce oberou. 

Děravý jako ementál. Adobe musí opravit desítky bezpečnostních chyb ve Flash Playeru. 

Logo Flash Playeru
FOTO: archív tvůrců

Virus maskovali za didaktickou hru. Nakazit se mohlo až půl miliónu přístrojů. 

Podvodníci lákají na hypotéky. 

U desítek nových mobilů byl odhalen špionážní software. 

Říjen
Hackeři ukradli T-Mobilu US údaje o 15 miliónech zákazníků. 

Kritická chyba ohrožuje uživatele Windows. 

Hackeři ukradli čísla platebních karet hostů Trumpových hotelů. 

Donald Trump
FOTO: Shannon Stapleton, Reuters

Záplata opravuje kritickou zranitelnost Flash Playeru. 

Britský operátor TalkTalk se stal terčem kybernetického útoku. 

Hackeři už dokážou vypnout i airbag v autě. 

Listopad
Hackerská skupina Anonymous začala zveřejňovat totožnost členů Ku-klux-klanu. 

Maska Guye Fawkese, jenž se v 17. století v Anglii pokusil zabít krále a členy parlamentu, je symbolem Anonymous.
FOTO: Yves Herman, Reuters

Pár týdnů práce se vyplatilo. Hackeři si vydělali desítky miliónů. 

Kyberzločinci mají nový trik, jak šířit vyděračský virus. 

Vyděračský virus terorizuje už i uživatele Linuxu. 

České děti jsou na internetu stále důvěřivější. 

Jako Pat a Mat: Piráti omylem dali do viru i dešifrovací klíč. 

Prosinec
Ani na Vánoce si nedají pokoj. Podvodníci se opět snaží vysát lidem účty. 

Seznamku pro HIV pozitivní napadli hackeři, osobní data uživatelů vystavili na internet. 

Podvodníci se vydávají za e-mail Seznamu, snaží se připravit lidi o peníze. 

Ukázka podvodného vyskakujícího okna, které vyvolává na napadeném počítači virus.
FOTO: Seznam.cz

Twitter varoval před hackerskými útoky. Podezření padá na Čínu a Severní Koreu. 

Čtvrtý největší únik dat v historii, ohroženo je pět miliónů zákazníků VTechu. 

Nejmladšímu britskému hackerovi je 12 let, věk kyberzločinců se snižuje.

Zjistíte atak hackerů ještě předtím, než nastane, tvrdí Cisco

25.11.2015 Analýzy
Model Spike Rank (SPRank), který na trh uvedlo Cisco, detekuje útok na základě abmormálií, které se objeví v síťovém provozu v okamžiku útoku principiálně podobné zvukové vlně. Spike Rank se tak podle dodavatele stává jakýmsi kybernetickým sonarem, který naslouchá provozu a detekuje problém.

Novinka, která vychází z technologie společnosti OpenDNS, kterou Cisco nedávno koupilo, dokáže detekovat pokročilé typy útoků využitím analýzy datového provozu v síti, které funguje na principu „zvukových vln“.

Model Spike Rank prý dokáže rozpoznat změnu v datovém toku, která je velmi podobná tomu, jak se projevují například zvukové vlny. Díky tomu může okamžitě „zaslechnout“ kybernetický útok a vyslat příslušné pokyny bezpečnostním mechanismům v síti, a to dokonce dávno předtím, než samotný útok vypukne.

Pomocí modelu prediktivní analýzy IP prostoru (Predictive IP Space Monitoring) lze navíc sledovat osm nejčastějších postupů používaných kyberpiráty pro přípravu útoku, detekovat potenciálně nebezpečné domény a zablokovat je.

Datoví vědci OpenDNS si všimli, že každý kybernetický útok změní vzor datového provozu. Zjistili navíc, že tato změna je velmi podobná projevům zvukových vln.

Proto se rozhodli ke konstrukci modelu SPRank využít v podstatě podobné technologie, které v současnosti používají hudební služby Pandora, Shazam a další k tomu, aby byly schopné identifikovat skladbu přehrávanou přes IP síť.

Model SPRank tak umožnil vytvořit jakýsi sonar „naslouchající“ těmto vlnám v datovém provozu. Pracuje totiž s podobným matematickým modelem, který se používá k popisu zvuků. Kybernetický útok pak může být jakýmsi krátkým pípnutím. Díky němu je možné s vysokou mírou identifikovat potenciální kybernetický útok.

Podle zkušeností datových vědců identifikuje SPRank stovky napadených domén každou hodinu, přitom více než třetinu z nich nezachytí žádný antivirový či jiný bezpečnostní program. Dnešní kybernetické útoky totiž často existují jen velmi krátkou dobu, a proto je obtížné je zachytit. Ale sonaru ani jediné „pípnutí“ neunikne.

Model prediktivní analýzy IP prostoru (Predictive IP Space Monitoring) vychází ze znalosti chování kyberzločinců. Ti si totiž musí před každým kybernetickým útokem připravit příslušnou infrastrukturu, ze které bude útok vedený.

V rámci analýzy IP prostoru sledují technologie OpenDNS osm hlavních postupů používaných útočníky (například způsob, jakým jsou hostovány servery, na kterých je nasazen škodlivý kód). Pokud tedy SPRank identifikuje potenciálně škodlivou doménu, s pomocí analýzy IP prostoru lze skutečně potvrdit, že tato doména bude v krátké době zdrojem kybernetického útoku.

Tento způsob analýzy navíc neošálí ani tradiční „kouřová clona“, kterou kyberpiráti kolem svých útoků budují, aby předešli odhalení. Analýza IP prostoru se zaměřuje totiž skutečně jen na konkrétní neměnné charakteristiky. V současnosti dokáže tento model identifikovat každou hodinu přes 300 domén, které by se mohly stát zdrojem kybernetického útoku, a zablokovat je dříve, než k tomu dojde.

Kybernetické útoky stály firmy za poslední rok 315 miliard dolarů

6.11.2015 Analýzy
Kybernetické útoky stály v posledních 12 měsících celosvětově firmy 315 miliard dolarů. Napadený byl přitom každý šestý podnik. Navzdory mediálně známým případům narušení bezpečnosti a stále častějším hackerským útokům se téměř polovina firem nadále vystavuje riziku tím, že nemají žádnou komplexní strategii pro prevenci digitální trestné činnosti. Vyplývá to ze studie společnosti Grant Thornton.
V Česku hrozí spíše útok na databáze osobních dat než kyberútok na strategickou infrastrukturu.
Podniky v EU zaznamenaly škody kolem 62 miliard dolarů, v Asii a Tichomoří 81 miliard a v Severní Americe 61 miliard USD. Průměrný kybernetický útok stojí podnik 1,2 procenta příjmů. Nejvíce ohrožený se cítí finanční sektor.

„Kybernetické útoky jsou stále významnějším nebezpečím pro podnikání. Nejedná se jen o náklady ve finančním smyslu, ale také o vážné poškození pověsti společnosti, jako se to stalo v případě webového portálu Ashley Madison, ze kterých se hackerům podařilo odcizit 36 miliónů e-mailů," uvedl partner Grant Thornton Advisory David Pirner.

V Česku hrozí spíše útok na databáze osobních dat než kyberútok na strategickou infrastrukturu. Bankovní sektor je podle Pirnera připraven relativně dobře. Ví totiž, na co se připravit, a navíc jsou banky pod palbou hackerů každý den. České banky byly zřejmě zčásti oběťmi loňského útoku mezinárodní skupiny Carbanak, která sérií napadení získala celosvětově přes 20 miliard korun.

Podle odborníků není v Česku pravděpodobný podobný masivní kybernetický útok, jenž nedávno postihl britského operátora TalkTalk, který mohl vést ke krádeži osobních údajů všech více než čtyř miliónů zákazníků, případně by spíše mířil na některého z virtuálních hráčů. „Velcí mobilní operátoři nevyužívají odlišné zabezpečovací systémy než jiné velké firmy a na bezpečnosti spíše nešetří. U nízkonákladových operátorů může být ale situace jiná," uvedl specialista na počítačovou bezpečnost společnosti DCIT Karel Miko.

Vědci nejspíše přišli na to, jak se NSA podařilo prolomit VPN
18.10.2015 Analýzy

Snowden loni vypustil do světa zprávu, že prý NSA odposlouchává až 20 000 šifrovaných spojení VPN za hodinu. Skupina vědců nejspíše přišla na způsob, jak se to agentuře podařilo.
Vědci nejspíše přišli na to, jak se NSA podařilo prolomit VPN
Snowdenovi se sice podařilo dostat téma americké Národní bezpečnostní agentury na titulní strany světových periodik, odborná komunita však o možnostech NSA spekulovala již dávno před tím.

Letitým evergreenem byla především otázka, zdali má jedna z nejmocnějších vládních agentur na světě skutečně prostředky k tomu, aby dokázala ve velkém odposlouchávat i šifrovanou komunikaci na internetu – zejména VPN.

Určité náznaky tu byly celé roky, z nitra mocné agentury totiž tu a tam opravdu unikla nějaká zajímavá informace, kterým na jaře 2012 vévodila zpráva, podle které si NSA mohla připsat jakýsi ohromný úspěch v oblasti počítačové kryptografie.

Nikdo tehdy ale přesně netušil, oč by se mohlo jednat, než se o pár let později objevil na scéně Edward a začal publikovat tajné prezentace NSA, ve kterých se agentura mimo jiné chlubila právě tím, že dokáže prakticky živě odposlouchávat obrovské množství VPN a SSH komunikace a dokáže pokořit i HTTPS a další typy šifrovaného datového toku.

Dobrá, dejme tedy tomu, že to NSA skutečně dokáže. Ale jak? Skupina čtrnácti expertů před pár dny publikovala studii (PDF), ve které popisuje možný způsob. A další specialisté přikyvují a dávají jim za pravdu.

Diffeho-Hellmanova výměna klíčů

Jedním z nejpravděpodobnějších technik NSA je údajně prolomení Diffeho-Hellmanovy výměny klíčů (D-H). Jedná se o kryptografický protokol, který se používá pro otevření šifrovaného spojení skrze nezabezpečený kanál – veřejný internet. Protokol D-H používá celý zástup šifrovacích technologií, v jejichž čele stojí IPSec, který konečně patří k nejrozšířenějším protokolům šifrovaného spojení uvnitř VPN tunelu.

A co má být vlastně na Diffeho-Hellmanově výměně klíčů děravého? Ve vší stručnosti se pokusím popsat, jak vlastně funguje. Dejme tomu, že se budu chtít spojit s Davidem z redakce šifrovanou linkou. Jenže jak to udělat, aniž bychom si dopředu dohodli klíč, kterým budeme celou komunikaci šifrovat?

Jak funguje protokol D-H:

1.Nejprve si s Davidem dohodneme veřejná a obrovská prvočísla p a g, která budou sloužit k extrémně složitým výpočtům.
2.Dále si každý zvolíme tajná a náhodná čísla a a b, která budou sloužit jako náše soukromé klíče.
3.Pomocí prvočísel p a g spočítáme ze soukromých klíčů veřejné klíče A a B, které si navzájem vyměníme.
4.Díky vzájemným matematickým vztahům mezi p, g, A a B každý z nás vypočítá stejný šifrovací klíč s, který můžeme konečně použít k vlastní šifrované komunikaci.

Wikipedie vysvětluje princip protokolu D-H pro vytvoření šiforvacího klíče formou diagramu s mícháním barev. Obrázek jsem tedy upravil pro naše potřeby (Zdroj: David Elster, Wikipedie, CC-BY-SA)

Celý princip najdete matematicky i graficky znázorněný na Wikipedii, ve stručnosti a zcela laicky řečeno jde ale o to, že si můžeme s Davidem skrze veřejný internet vyměnit několik neškodných hodnot, na jejichž základě každý z nás vypočítá tentýž šifrovací klíč, aniž bychom se na něm museli nejprve jasně dohodnout.

Když nás tedy bude někdo odposlouchávat, dozví se leda hodnotu prvočísel p, g a veřejných klíčů A a B. Aby ovšem získal šifrovací klíč s, musel by znát i tajné hodnoty soukromých klíčů a a b.

D-H + IPsec = problém

Pokud se útočník nedostane k a a b na mém a Davidově počítači, zbývá mu jediná možnost – pokusit se je zjistit reverzními výpočty. Celá podstata počítačové kryptografie ale stojí a padá na principu, že je podobný výpočet velmi složitý, aby se ekonomicky vyplatil.

Jistě, můžete rozlousknout nějaký ten 1 024bitový klíč, ale zabere to třeba rok výpočtů na hypotetickém superpočítačovém clusteru v ceně několika set milionů dolarů. To je prakticky k ničemu.

Skupina výzkumníků však přišla na jednu nepříjemnost. Výpočet soukromých klíčů a a b pro určité p a g je sice šíleně složitý, ale pokud už jednou známe veřejné hodnoty p a g, výpočet dalších možných soukromých klíčů a a b odpovídajících stejným p a g zabere jen zlomek původního výpočetního výkonu. Tedy alespoň v případech, kdy se při výpočtech používají nejvýše 1 024bitové hodnoty.

V ideálním případě by obě strany při inicializaci šifrovaného spojení pokaždé zvolily náhodná prvočísla, jenže praxe může být jiná, čímž se dostáváme zpět k VPN a protokolu IPSec. Podle zjištění skupiny specialistů totiž většina serverů používá IPSec jen s malou sadou standardizovaných a opakujících se hodnot p a g.

Kdyby tedy někdo investoval měsíce času a desítky až stovky milionů dolarů do vývoje crackovacího superpočítače a podařilo by se mu skutečně prolomit protokol D-H pro konkrétní hodnoty p a g, další soukromé klíče pro tatáž pročísla odhalí už relativně snadno. No a jelikož se hodnoty p a g třeba u zmíněného IPSec příliš nemění, mohl by útočník masivně odposlouchávat zdánlivě bezpečně šifrované spojení.

NSA má finanční zdroje i motiv

Něco podobného by se mohlo podařit jen organizaci s pohádkovým rozpočtem, know-how a hlavně motivem. Výzkumníci tedy došli k závěru, že pokud NSA skutečně rozlouskla ve velkém VPN, SSH a některé další šifrovací technologie, popsaná slabina 1024bitové Diffeho-Hellmanovy výměny klíčů je asi ona pomyslná trefa do černého a podporuje ji i šuškanda ohledně jakéhosi kryptografického úspěchu z roku 2012.

67695972
Centrála Národní bezpečnostní agentury v Marylandu

Možná tehdy NSA skutečně rozlouskla první D-H prvočísla a začala sledovat šifrovaný internet ve velkém. Ostatně podle Snowdena měla agentura už před lety technologickou kapacitu k tomu, aby odposlouchávala až 20 tisíc šifrovaných spojení VPN za hodinu a také určité množství HTTPS spojení. Zdokumentovaný postup, který vyžaduje ohromné kvantum času a peněz na počátku, pak je ale velmi svižný, se tedy opravdu nabízí.

Zvyšte zabezpečení, doporučí specialisté

A jak se proti tomu vlastně bránit? Experti doporučují v případě protokolu D-H zvýšit šifrování z 1 024bitových na 2 048bitové klíče (na ty by měla být krátká i NSA) a také implementaci lepších technik iniciace prvotního spojení – zejména protokol D-H s využitím eliptických křivek. To už se ale dostáváme do mnohem komplikovanějšího kryptografického světa, na který tento článek rozhodně nestačí.

Jaké z toho plyne ponaučení? Designové chyby mohou překonat jinak nezměrnou kryptografickou sílu komplikovaných matematických výpočtů. Nelze než doufat, že NSA neví i o skulinách v dalších šifrovacích protokolech, které dnes používáme nejen na internetu. Moc jistý bych si tím ale nebyl.

Rozbor malware od Hacking Teamu: jak se používá?

20.7.2015 Analýzy

Data ukradená společnosti Hacking Team a zveřejněná na internetu poskytují jistý náhled na to, jak vypadá „komerční hackování“ zabalené v pozlátku hezkého rozhraní pro uživatele/zákazníky. Služeb Hacking Teamu využívala i česká policie. Pojďme se podívat, co o tomto zajímavém případu soubory říkají.

Jak vlastně k úniku došlo

K akci se přihlásil uživatel Phineas Fisher, který loni zveřejnil o něco méně dokumentů z firmy Gamma Group zabývající se stejným byznysem jako Hacking Team. Loni též vydal zprávu popisující, jak se k tomu dostal. Ve zkratce: vyhackoval hůře zabezpečené servery využívající zakázkový software od stejné firmy jako používala Gamma, nalezl v něm triviální bezpečnostní díry jako SQL injection, a ty potom použil proti Gammě.

O tomto hacku slíbil, že časem také napíše. Zatím byl zveřejněn screenshot kompromitované stanice s Windows s komentářem naznačujícím, že přes ni data tahal. Na druhou stranu v uniklých datech je i seznam opravdu směšných hesel, takže to asi není žádné překvapení…

Zpracování dat

Zveřejněný torrent obsahuje 400 GB různých souborů. Z těch zajímavějších jsou to maily, databáze, domovské adresáře uživatelů, dokumentace a zdrojové kódy utilit vyvíjených Hacking Teamem. Z těch méně zajímavých pak software od linuxových distribucí po cracknuté vývojářské nástroje.

Z torrentu jsem vyčistil zjevné zbytečnosti (jako ta instalační média Windows atd.), rozbalil všechny archivy a z outlookových profilů extrahoval všechny maily do čitelného formátu utilitou readpst. Ještě by asi bylo užitečné vyklonovat všechny git repozitáře, ale to už někdo udělal. Potom jsem na to spustil Recoll. Díky tomu v obsahu archivu můžu rychle vyhledávat fulltextově.

Ještě než mi doběhla indexace, objevily se zaindexované maily na WikiLeaks. Jsou to jenom maily, na druhou stranu mají čitelné přílohy – mně readpst některé přílohy podivně poškodilo.

Dále se v torrentu nacházel linuxový server zazálohovaný stylem tar c /. Běžela na něm tiketovací aplikace, kterou zákazníci Hacking Teamu používali k řešení technických problémů s podporou, a, jak popíšu dále, i k samotnému získávání exploitů.

Z aplikace nás zajímá asi hlavně databáze. Kupodivu stačilo zkopírovat adresář /var/lib/mysql a spustit mysql. Dělejte to ale radši v nějakém dobře izolovaném virtuálu, kdo ví, jestli mysql nejde takto exploitnout – nebo třeba udělat shell trigger, který vám něco nepěkného provede.

V databázi jsou docela srozumitelně pojmenované tabulky a snadno se tak najde, co je potřeba. Na projektové stránce vytěžování informací u nás v brmlabu najdete příklad skript, který umožní filtrovat podle e-mailové adresy (uvažte třeba %@%.cz).

Tak jak to tedy fungovalo?

Následující text je interpretací mailů, které si Hacking Team psal s českým zastoupením. Samozřejmě je možné, že mi něco uniklo, případně že byly maily falšovány.

V Česku probíhala komunikace se společností Bull, jejíž zaměstnanci se podepisovali jako „UZC Bull“. Bull je znám dodáváním různých podobných technologií, dá se dohledat například zakázka na dodání IMSI catcherů (zařízení pro odposlech mobilních telefonů) pro Ministerstvo vnitra (a taky si o něm psali s HT). UZC je pak Útvar zvláštních činností služby kriminální policie a vyšetřování. Kromě e-mailových adres končících na @bull.cz jsou tam i tikety od @mvcr.cz, @pcr.cz a @ppcr.cz.

Po vyjednání ceny a dalších drobností poskytne HT RCS (Remote Control System)/Da Vinci/Galileo. Jde o grafické rozhraní k řídícímu centru botnetu. V tomto GUI si můžete zakládat skupiny lidí/počítačů, přiřazovat k nim důkazy atd. Nakonec kliknete a vygeneruje se vám soubor agent.exe obsahující samotného botnet klienta. Ten musí vaše oběť spustit.

Ono je to tedy tedy trochu složitější, podle mailů je několik úrovní botnet klientů. agent.exe nejspíš pouze stáhne další soubor, kterému říkají Scout. Ten umožňuje na dálku pouze nějaké základní operace. Pak je možné ho upgradovat na Soldier a Elite, které už umí všechno, co inzerují (tahání souborů, keylogger, screenshoty, odposlech…). Je to kvůli tomu, že Elite detekují heuristickými analýzami některé antiviry.

Exploity

Zatím jsme si tedy vygenerovali škodlivý kód. Samozřejmě můžeme oběť pomocí sociálního inženýrství přesvědčit, aby ten exe soubor prostě spustila. U počítačově trochu znalých lidí to ale asi nepůjde. Proto je podstatnou částí řešení tzv. 0day feed. Ten umožňuje zneužít ještě nezveřejněné a neopravené chyby v populárním software. Tyto chyby se například kupují od ruských hackerů nebo od ČVUT. Nebo ne?

HT se zjevně bál dát 0daye přímo do toho RCS – nejspíš by je někteří lidé začali využívat příliš často (například by je nějaká vláda začala vkládat do všech webových stránek putujících přes hranici do jejich země) a každé takové použití nese riziko, že se na to přijde a pracně/draze získaná chyba bude odhalena a opravena. Proto byl postup získání exploitu následující:

Klient založí tiket a napíše do něj, jaký exploit by si představoval (např. wordovský dokument, webovou stránku atd.) a přiloží vygenerovaný agent.exe. V případě, že jde o wordovský dokument, přiloží jeho „čistou“ verzi, v případě, že jde o webovou stránku, uvede URL, na kterou má být oběť přesměrována. Příklady dokumentů, co jsem viděl, jsou třeba životopisy nebo nájemní smlouvy. Příklady webových stránek jsou i takové nečekané věci jako obchod s tújemi.
Zaměstnanec HT do dokumentu vloží exploit, případně, jedná-li se o webovou stránku, vytvoří na jednom z mnoha anonymně registrovaných VPS stránku a vloží do ní exploit. Dokument/URL pošle zpět. URL je například hxxp://46.38.63.194/docs/nx0STJ/adtbp.html a je doporučeno použít falešného HTML odkazu nebo zkracovače, aby to vypadalo důvěryhodněji (nechápu, proč si nemohli koupit doménu).
Jaké exploity se používaly? Viděl jsem exploit na Flash, exploit na Internet Explorer a exploit na Javu. Co se týče dokumentů, používal se také exploit na Flash. V .docx nebo .pptx souboru byl vložen ActiveX prvek, který stáhl flashovou animaci. .docx stažený z internetu má prý navíc příznak, že pochází z internetu a Word v něm tu ActiveX komponentu nespustí, takže se posílal zararovaný (unrar tedy nejspíš tento příznak nectí).

Z důvodu výše zmíněné opatrnosti byly standardně všechny exploity jednorázové, tj. server poskytující uvedenou animaci ji nechal stáhnout vždycky jenom jednou (kdyby člověku vyskočilo varování od antiviru a pak tu stránku zkoušel tahat znova nebo to někomu poslal na analýzu). Dále byl kontrolován user-agent, že tam člověk jde ze zranitelného prohlížeče. Díky tomu jsou dokumenty čisté, i když je nahrajete třeba na VirusTotal.

Mimochodem z tohoto principu pramení zmatení, které jsem viděl v článcích i diskuzích – člověk si přečte, že chtějí exploit na www.kb.cz a myslí si, že buď útočili na web Komerční banky nebo že se dokonce s KB domluvili, aby jim na tu stránku exploit dala. Ve skutečnosti se ale jedná pouze o cíl toho přesměrování.

Další informace k exploitům

Kromě popsané infekce počítače s Windows jsou podporovány také telefony s Androidem. Ty česká policie využívala konkrétně ke vzdálené aktivaci mikrofonu a nahrávání rozhovorů, které se děly v blízkosti. Mimochodem tato aktivace se děje pomocí SMS a v dumpu díky tomu můžete najít soukromá telefonní čísla policejních agentů. Informace o sledovaných se bohužel omezují na nekvalitně začerněné IP adresy ve screenshotech, IMEI a IMSI telefonu a SIM karty a občas nicneříkající jména agentů (např. RodinaJ_00) a mnohoznačná hostnames.

Dále je vidět, že kromě počítačů s Windows byl infikován i nějaký MacBook s česky znějícím hostname. A místní osazenstvo by mohlo zajímat, že policie získala demo licenci na linuxovou verzi malware (mimochodem podle všeho se nesnaží nějak moc skrývat a je vidět třeba v ps) – bohužel byla vydána 26. června 2015, takže si ji nejspíš nestihli moc užít.

Alternativní cestou infekce je též „Evil Maid Attack“ – pokud máte fyzický přístup k počítači, nabootujete live CD a to infikuje Windows, která jsou na počítači nainstalovaná. A ještě jedna věc, injector. Zařízení, které se nainstaluje k ISP a ten flashový exploit vloží do stránky samo, případně napadne nezabezpečenou wifinu a též ho vloží do stránky. O těchto typech útoků se ale dá jen říct, že se o ně policie zajímala, jestli došlo i k nějakému praktickému nasazení z dokumentů není zřejmé.

Slovensko

Hacking Team si psal i se SIS. Nakonec ale k obchodu nedošlo a SIS si pořídila sledovací software od konkurenční Gamma Group.

Služby

Novináři jistě vytáhnou, kolik že to stálo. Je potřeba vzít v úvahu, že podpora Hacking Teamu byla špičková: například česká policie přišla s tím, že jim to nefunguje na ruských Windows XP SP3, a HT to ihned začal řešit, Windows sehnal atd., nebo si třeba koupili lokální antivir (na firemní adresu!), aby zjistili, jestli to projde. Navíc exploity něco stojí a dělat takové GUI a udržovat tu infrastrukturu pro pár zákazníků…

e-book_prehistorie_pocitacu

Obrana

Neutěšoval bych se tím, že nemáte Flash, Javu a IE, na které byly použité exploity. Za podobnou cenu jdou sehnat i exploity na jiný software. A cena v přepočtu kolem tří milionů korun? Hacking Teamu zaplatila jenom ČR o řád víc. Navíc ten exploit poskytnou desítkám zákazníků, takže se to rozpustí.

Pravidelné aktualizace nepomohou, protože jde o ještě neodhalené chyby. Co tedy s tím? Obávám se, že na běžném linuxovém desktopu nemáte šanci (pokud by tedy linuxová verze toho malware byla lépe odladěna – což se dá s rostoucí popularitou Linuxu čekat). Pomohlo by spouštět různé věci v různých virtuálech. Tuto myšlenku implementuje třeba Qubes OS.

CZ.NIC a Jablotron spolupracují na internetu věcí

16.6.2015 Analýzy
Cílem jsou bezpečné domácnosti ovládané na dálku prostřednictvím routeru Turris a produktů a služeb od Jablotronu.

Společný projekt CZ.NIC a Jablotronu zahrnuje výrobu produktů a s ní spojenou realizaci služeb pro internet věcí v domácnostech. Základem společné aktivity obou společností bude router Turris vyvíjený od minulého roku na půdě CZ.NIC.

V představách obou firem bude bezpečnostní systém oddělen od ovládání domácnosti. Všechny služby a funkce poběží na Turrisu druhé generace vyvíjeném organizací CZ.NIC a budou využívat čidla, měřiče, ovladače, související cloudové aplikace a monitoring od Jablotronu.

Nový Turris Lite bude podle předsedy CZ.NIC Ondřeje Filipa stát mezi stem až dvěma sty dolarů, bude ale napěchovaný konektory a sloty umožňujícími propojení s nejrůznějšími zařízeními. Vyšší ceně odpovídá i konfigurace se čtyřikrát rychlejším procesorem, 16x větší RAM a 16x větším flashovým úložištěm v porovnání s běžnými routery.

Turris není jen router – je schopen sbírat a analyzovat data z internetového provozu, identifikovat podezřelé datové toky a využívat údaje pro správné nastavení bezpečnostních funkcí. Otevřená architektura provozovaná pod linuxovým operačním systémem může zpracovávat i data ze zařízení pro chytrou domácnost a zpětně je řídit.

Turris Lite se bude kompletovat v České republice pravděpodobně přímo v Jablotronu, který by měl být schopen dojednat množstevní slevy z ceny jednotlivých komponent. Výroba by měla začít na přelomu letošního a příštího roku a zájemci o nový model se mohou přihlásit už nyní.

Projekt Turris vznikl v roce 2013 a jeho cílem je pomocí stejnojmenného routeru pomáhat uživatelům s ochranou domácí sítě. V současnosti je do projektu zapojeno přes 1 000 uživatelů internetu z České republiky i ze zahraničí. V následujících měsících rozšíří tuto skupinu uživatelů další tisíc zájemců o účast v projektu, kteří budou moci využívat Turris Lite.

Obě organizace plánují vybrat ze současných uživatelů sto nejaktivnějších, s jejichž pomocí budou testovat nové nápady uživatelské komunity a ty nejslibnější využít v nové verzi routeru i v produktech Jablotronu.

Jak bezpečný je samotný antimalware?

21.5.2015 Analýzy
Bezpečnostní software chrání před zneužitím jiných aplikací. Jak je na tom ale s ochranou před zneužitím on sám?

Podle všeobecně přijímaného názoru připadá i v kvalitně napsaném softwaru jedna chyba na zhruba dva tisíce řádků kódu. Počet řádků ve složitých aplikacích přitom jde do milionů, v operačních systémech dokonce do desítek milionů. Počet chyb se tedy může pohybovat i v řádu desítek tisíc – a v tomto množství se samozřejmě mohou objevit i takové, které umožňují zneužití aplikace či OS.

Institut AV-Test, který se specializuje na antivirový výzkum a testování bezpečnostního softwaru, nedávno udělal test ochrany bezpečnostních řešení před zneužitím možných bezpečnostních děr v jejich programovém kódu.

Princip zkoušek přitom spočíval právě v kontrole, zda výrobci důsledně používají metody ochrany ASLR a DEP. Jde o open source mechanismy, které se všeobecně doporučují jako standardní ochrana softwaru. Tady je názorMaria de Boera, research directora v Gartneru, na celou problematiku.

Domníváte se, že bezpečnostní software by měl být bezpečnější než běžné aplikace?

Samozřejmě ano. Především proto, že bezpečnostní aplikace, už ze samotné své podstaty, fungují s vysokými oprávněními a současně často pracují s neznámým a podezřelým obsahem. Navíc některé bezpečnostní aplikace běží na milionech počítačů. To dohromady z nich dělá lákavý terč.

Nedělal jsem ale na toto téma žádný výzkum, takže porovnání nemůžu kvantifikovat. Je však známé, že bezpečnostní aplikace relativně běžně vykazují bezpečnostní díry. A je jisté, že se v nich budou objevovat další a další chyby. To je při rozsahu jejich kódu nevyhnutelné.

ASLR a DEP jsou důležité nástroje pro posílení zabezpečení aplikací. Zjednodušeně řečeno, tyto metody výrazně omezují možnost softwarového zneužití bezpečnostních děr v aplikacích. Samozřejmě ale nejde o nějaké zázračné řešení – ostatně objevují se další a další útoky, které se různými technikami pokoušejí ochranu pomocí ASLR a DEP obejít.

Měli by se uživatelé bezpečnostního softwaru zajímat, zda jejich výrobce využívá ASLR a DEP?

Určitě ano. Používání ASLR a DEP je standard, navíc je to open source, tedy bez jakýchkoli licenčních nákladů. Samozřejmě že existují i jiné metody, jak posílit zabezpečení aplikací před zneužitím bezpečnostních děr, ale žádná taková metoda se nevylučuje s těmito dvěma. Nevidím tedy vůbec žádný důvod, proč tyto ASLR a DEP nepoužívat.

Výrobci bezpečnostního softwaru, kteří nepoužívají technologie ASLR a DEP – nebo je aplikují nedůsledně – předkládají podle zjištění AV-TEST různé důvody. Například tvrdí, že některé knihovny třetích stran ASLR a DEP nepoužívají…

To sice dává smysl, ale vzhledem k tomu, že máme rok 2014, není to úplně přesvědčivý argument. Vždyť DEP byl do kernelu systému Windows zaveden před deseti lety a ASLR jen krátce nato.
 

…nebo že jednotlivé soubory využívají proprietární technologie, které nejsou s ASLR a DEP kompatibilní…

Tady pozor: To jinými slovy znamená, že software se vytvořil způsobem, který neumožňuje implementovat běžné metody zabezpečení. Jistě, může jít o moderní techniky, které lze zabezpečit jinými metodami, ale spíše se obávám, že půjde o pozůstatky starých programovacích technik, jejichž používání by bylo vhodné co nejrychleji přehodnotit.

…nebo že soubory, které nejsou chráněné pomocí ASLR a DEP, se již aktivně nevyužívají, a proto nemá smysl uvažovat o nich jako o rizikovém faktoru.

No, to sice taky dává smysl, ale jen na první pohled. Proč však jsou takové soubory stále součástí aplikace? Upřímně, takovému argumentu bych se vyhýbal. Vždyť je to vlastně přiznání, že software obsahuje historický balast… To není dobrá vizitka pro software ani pro jeho tvůrce.

…anebo že daný software využívá jiné metody ochrany jako CFI – Control Flow Integrity – či sandboxing.

Ano, to jsou pokročilé ochranné techniky a já jejich používání doporučuji. Nikoli však jako náhradu standardních metod, ale jako jejich doplněk. Opravdu platí, že ASLR a DEP jsou metody, jejichž využití nemá být možností, ale povinností.

Vysvětlení pojmů

ASLR – Address Space Layout Randomization (randomizace rozvržení paměťového prostoru jádra).
Používá se náhodné rozmístění různých objektů místo používání pevných adres, čímž významně komplikuje možnost zneužít bezpečnostní díry v aplikacích.

DEP – Data Execution Prevention (prevence spuštění dat). Slouží především k boji proti chybám typu buffer overflow. Spočívá v tom, že oblasti paměti se rozdělí na ty, v nichž lze spouštět programy, služby driverů apod., a na sféry, kde to je zakázané. Výsledkem je, že škodlivý kód nemůže zasahovat do oblastí paměti, kde pracují operační systém a jeho služby.

Cyber Security ukázala, jak se lépe bránit kybernetickým útokům

24.2.2015 Analýza
Konference Cyber Security 2015, kterou pořádalo IDG spolu s firmou Cisco, ukázala, jak rychle se kybernetický zločin profesionalizuje, což značně znesnadňuje dostatečně účinnou reakci na kybernetický útok tradičními prostředky. Cestou vpřed ale může být integrace bezpečnostních řešení přímo do síťové infrastruktury.

Malware se dnes mění tak rychle, že systém, který se dokáže bránit jen známým hrozbám, je útočníkům v podstatě vystaven na milost a nemilost. Obrana proti kybernetické bezpečnosti musí fungovat před útokem, v jeho průběhu, ale i po něm.

Jakmile už útok vypukne, mají bezpečnostní specialisté jen omezené šance adekvátně reagovat. Například u rozsáhlejší sítě musejí až na několika stovkách zařízení s několika tisíci rozhraní změnit konfiguraci tak, aby dokázali napadenou část sítě oddělit a tím zabránit rozsáhlejším škodám.

„Něco takového ale zabere spoustu času,“ říká Ivo Němeček, generální ředitel Cisco ČR a dodává: „Může se tak docela dobře stát, že tou dobou už nebude co chránit a s trochou nadsázky řečeno, kolem bude jen dým a spálená země.“

Dosavadní koncept síťové infrastruktury vycházel z obrany na hranicích sítě. Na vstupních bodech do sítě byla nainstalována bezpečnostní zařízení, která měla bránit proniknutí škodlivého kódu do sítě.

Metody dnešních kybernetických zločinců jsou ale natolik sofistikované, že podobný postup již nefunguje. Celá řada kybernetických útoků vzniká „na míru“, pro napadení konkrétního cíle. Nebyly předtím nikdy použity, a tudíž tento kód není tradičními řešeními kybernetické bezpečnosti považován za škodlivý.

„Bezpečnostní prvky, které budou zvládat současné kybernetické hrozby, musí reagovat na základě analýzy konkrétních dat, která síť přenáší. Vyhodnocení tohoto provozu v reálném čase pak dovolí detekovat podezřelé chování a přijmout příslušná opatření,“ Martin Rehák, bezpečnostní expert firmy Cisco. Bezpečnostní algoritmy podle něj proto musejí být proto integrovány přímo do síťové infrastruktury.

Nebezpečné váhání

Nedávno publikovaný výzkum Cisco Annual Security Report zjistil alarmující skutečnost, že nemalé procento IT odborníků podceňuje instalaci pravidelných bezpečnostních aktualizací. Ukázalo se například, že 56 procent firem stále používá knihovny OpenSSL starší než 50 měsíců.

Tyto knihovny přitom stále obsahují bezpečnostní mezeru, která je známa jako Heartbleed. Stejně tak například pouze desetina uživatelů programu Internet Explorer používá jeho nejnovější verzi. Přitom známé zranitelnosti tohoto programu, které jsou v nejnovější verzi odstraněny, využívá až 31 procent útoků.

Pomoci mohou automatické aktualizace. Právě ty mohou pomoci bránit se aktuálním kybernetickým hrozbám. Nejnovější verze programů a aplikací, stejně jako pravidelně vydávané bezpečnostní aktualizace, totiž odstraňují známé bezpečnostní hrozby, které útočníci využívají nejčastěji. Například rozšíření nejnovější verze platformy Java se projevilo poklesem počtu útoků na tuto platformu o více než třetinu.

Efektivní ochrana proti současným bezpečnostním hrozbám je jedním z nejdůležitějších důvodů pro automatizaci. „Například intrusion prevention system útok zjistí a může dát pokyn řídícímu prvku k takovému nastavení sítě, které útok zastaví. To je jeden ze směrů, kterým se ubírá vývoj v oblasti bezpečnosti,“ vysvětluje Rehák a připomíná, že v tradičním modelu síťové infrastruktury je efektivní obrana proti aktuálním kybernetickým hrozbám stále obtížnější.

„Útoku se musíme začít bránit ještě dříve, než vůbec začne. Nelze čekat na to, až se malware v síti projeví. Obrana musí potenciálně škodlivý kód odhalit a automaticky ho odstavit od komunikace se zbytkem sítě,“ doplňuje Rehák.

Hrozby Finanční kybernetické v roce 2014: věci změnily
16.2.2015 Zdroj:Kaspersky Analýza

V roce 2013 jsme provedli náš první hloubkový výzkum v oblasti finančního cyber-hrozeb. V té době jsme zaznamenali náhlý nárůst počtu útoků na finanční informace uživatelů a peníze. Finanční kybernetickým hrozbám krajina byla podrobně popsány ve společnosti Kaspersky Lab "Finanční Cyber-hrozeb v roce 2013," zprávě .

V roce 2014 se situace výrazně změnila: počet útoků a napadl uživatelé výrazně poklesl, stejně jako výše finančního phishing. Klíčová zjištění studie do finančního krajiny cyber-hrozeb v roce 2014 jsou následující:

Útoky se finančního malwaru v letech 2013 a 2014

Finanční útoky phishing

V roce 2014 finanční phishingových útoků, k nimž patří phishing, který se zaměřuje Banky, platebních systémů a e-shopy, tvořily 28,73% všech phishingových útoků (pokles o 2,72 procentního bodu).
Phishing Bank v souvislosti s tvořily 16,27% všech útoků.
Množství phishingu proti platebním styku zvýšil 2,4 pb (z 2,74% v roce 2013 - 5,14% v roce 2014)
Finanční útoky malware

V roce 2014 produkty Kaspersky Lab zjištěn 22900000 útoky zasahující finanční malware na 2,7 milionu uživatelů. To představuje meziroční pokles o 19,23% na 29,77% a útoky uživatelů.
Z celkového počtu uživatelů vystavených všech typech útoky škodlivého softwaru, 4,86% uživatelů narazil útoky zasahující nějaký finanční hrozby - to je 1,34 procentního bodu méně než v roce 2013.
Výše bankovní malware vzrostl 8,89 procentního bodu na 75,63% všech finančních malware útoků v roce 2014.
Počet útoků zahrnujících Bitcoin mining malware ztrojnásobil: z 360.065 útoky v roce 2013 na 1.204.987 v roce 2014
Existuje několik možných důvodů těchto změn. Za prvé, donucovacích orgánů po celém světě aktivně stíhán zločinci, kteří se šíří finanční malware a phishing. Zejména, loni v létě, donucovacími orgány v USA a ve Velké Británii se zastavil činnost dvou nebezpečných škodlivých kampaní - GameOver / Dia a Shylock .

Druhým důvodem poklesu počtu útoků může být posun v zaměření Počítačoví zločinci "- namísto útočení koncové uživatele jsou nyní sledují organizace, které pracují s finančními informacemi a platební nástroje. V průběhu roku byly časté zprávy o zákeřných útoků na velkých prodejnách, hotelových řetězců a rychlého občerstvení, které slouží miliony zákazníků denně. V každém případě, že podvodníci používají škodlivý software, který by mohl ukrást data, bankovní karty přímo z paměti POS terminály používané organizacemi pod útokem. Banky se stal ještě jeden "nový" cybercriminal cíl. V roce 2014, Kaspersky Lab zkoumali několik útoky na banky, spíše než účty svých uživatelů. Ani jeden z těchto "nových" typů útoku vyvolala vlnu nových AV detekcí jednoduše proto, že je tak málo organizací zapojených v porovnání s počtem soukromých uživatelů běží antivirová řešení, takže je obtížné srovnávat počet útoků. Nicméně, takové útoky dosáhly milionů dolarů, aby této hrozbě lze jen stěží odmítnout.

#Cybercriminals Mají menší zájem o "hmotě" nebezpečné útoky, raději méně, více "cílená" #attacks #KLreport
Tweet
Třetí možný důvod pro snížení počtu kybernetických útoků spočívá v obecném trendu pozorovaného odborníky společnosti Kaspersky Lab v roce 2014. Podle odborníků společnosti, zločinci mají menší zájem o "hmotě" zlomyslné útoky na uživatele, raději méně, více "cílených útoků" , To je znázorněno na zvýšené hladiny cíleného phishingu: podvodníci jít jen po určitou skupinu uživatelů (například on-line uživatelů bankovnictví), spíše než šíření hromadnou korespondenci s nebezpečnými odkazy.

Tato taktika naznačuje, že selektivní škodlivý mailing je méně pravděpodobné, že budou zjištěny specialisty IT bezpečnosti a životnosti nebezpečné odkazy a vzorků malwaru bude prodloužena. Vtip je v tom není vždy úspěšný, ale jedním z důsledků jeho použití je pokles absolutního počtu registrovaných kybernetickými útoky.

Android finanční útoky škodlivého softwaru

A co o mobilních finančních ohrožení?

Za prvé, když mluvíme o mobilních hrozbách jsme se zaměřili na hrozbách Android. Podle odborníků Kaspersky Lab, více než 99% mobilního malwaru, že jsou si vědomi je navržen tak, aby napadnout zařízení Android.

48.15% útoků proti #Android uživatelů cílení využívány malware finanční údaje (Trojan-SMS, Trojan, Banker)
Tweet
V roce 2014 Kaspersky Lab a Interpolem, vydala společnou studii na mobilní hrozbách, které - mimo jiné - na které se vztahuje finanční malware cílování uživatele systému Android. Podle zjištění došlo 3.408.112 útoky proti 1.023.202 uživatelů zaznamenaných v období od 01.08.2013 do 31. července 2014. O 500.000 uživatelé narazili Android malware navržen tak, aby ukrást peníze alespoň jednou. Více než půl roku uplynulo od konce období, na které se vztahuje Kaspersky Lab / Interpolu studie, a tady je to, jak se věci změnily od:

48.15% útoků proti uživatelům zařízení se systémem Android blokovaných Kaspersky Lab produktů využívaných malware cílování finanční údaje (Trojan, SMS a Trojan, bankéř)
Ve srovnání s rokem 2013 se počet finančních útoků proti uživatele Android vzrostla 3,25 krát (od 711.993 do 2.317.194 útoků) a počet napadených uživatelů se zvýšil 3,64 krát (od 212.890 do 775.887 uživatelů)

Útoky proti uživatelům zařízení se systémem Android v letech 2013 a 2014

Jinými slovy, stále rostoucí počet finančních útoků proti uživatelům zařízení se systémem Android je silný trend, který nevykazuje žádné známky klesající.

Bulletin zabezpečení společnosti Kaspersky 2014. Celkové statistiky pro rok 2014
9.12.2014 Zdroj Kaspersky Analýza

Stáhnout PDF

Všechny statistiky použité v této zprávě byly získány pomocí Kaspersky Security Network (KSN) distribuované antivirový sítě založené na práci různých složek společnosti Kaspersky Lab ochranu proti malwaru. Data byla sbírána od KSN uživatelů, kteří souhlasili se přenést. Miliony Společnost Kaspersky Lab výrobky uživatelů ze 213 zemí a oblastí po celém světě podílet se na globální výměny informací o nebezpečné činnosti.

Údaje uvedené se vztahuje na období od listopadu 2013 do října 2014.

Rok v číslech

Podle údajů KSN, produkty Kaspersky Lab zjištěn a neutralizuje celkem 6167233068 hrozeb v průběhu sledovaného období.
Celkem 3.693.936 pokusů infikovat počítače založené na systému Mac OS X- byly blokovány produkty společnosti Kaspersky Lab.
Lab řešení Kaspersky zablokovány 1363549 útoky na zařízení se systémem Android.
Lab řešení Kaspersky odrazil 1432660467 útoky odpálené z on-line zdrojů umístěných po celém světě.
Chcete-li provádět své útoky, zločinci používají 9.766.119 unikátních hostitelů.
44% webových útoků neutralizována produkty společnosti Kaspersky Lab byly provedeny pomocí škodlivého webové zdroje se nacházejí v USA a Německu.
38% uživatelů počítačů se podrobí alespoň jedné webové útoku během roku.
Celkem 1.910.520 pokusů k jeho zahájení bankovní malware na uživatelských počítačích byly neutralizovány v roce 2014.
Kaspersky Lab web antivirus zjištěn 123054503 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd
Antivirová řešení společnosti Kaspersky Lab zjištěn celkem 1.849.949 unikátních škodlivých a potenciálně nežádoucích objektů.
Mobilní hrozby

V průběhu účetního období zjištěna Kaspersky Lab následující:

4643582 škodlivé instalační balíčky
295.539 nových škodlivých mobilních programy
12100 Mobilní bankovnictví trojské koně
Celkově od začátku listopadu 2013 do konce října 2014 Kaspersky Lab zažehnána 1.363.549 unikátních útoky. Za stejné období v letech 2012-2013 to bylo 335.000 unikátních útoky. Tam bylo čtyřikrát více útoků na zařízení se systémem Android v porovnání s předchozími 12 měsíců.

19% uživatelů Android narazila na mobilní hrozbu alespoň jednou v průběhu roku - téměř jeden z pěti uživatelů.

53% Android útoků použitých mobilních trojské koně, jejichž cílem je ukrást peníze uživatele (SMS trojské koně a bankovní trojské koně).

Geografie mobilních hrozeb

Útoky od škodlivého mobilního softwaru bylo zaznamenáno ve více než 200 zemích světa.

Procentní podíl z celkového počtu napadených uživatelů

Procentní podíl z celkového počtu napadených uživatelů

TOP 10 zemí podle počtu napadených uživatelů

Země % Z napadených uživatelů *
1 Rusko 45.7%
2 Indie 6,8%
3 Kazachstán 4,1%
4 Německo 4.0%
5 Ukrajina 3.0%
6 Vietnam 2,7%
7 Írán 2.3%
8 Spojené království 2.2%
9 Malajsie 1,8%
10 Brazílie 1,6%
* Procento napadených uživatelů v zemi z celkového počtu napadených uživatelů

Rusko udržuje své vedoucí postavení, pokud jde o počet uživatelů napadených.

Počet zaznamenaných útoků značně závisí na počtu uživatelů v zemi. K vyhodnocení nebezpečí infekce prostřednictvím mobilního malwaru v různých zemích, jsme napočítali procento škodlivých aplikací, z celkového počtu aplikací, které uživatelé se pokusil nainstalovat. Tato metoda produkoval velmi odlišné výsledky, než ty, které je uvedeno výše.

TOP 10 zemí podle rizika infekce

Země * % Škodlivých aplikací
1 Vietnam 2.34%
2 Polsko 1.88%
3 Řecko 1.70%
4 Kazachstán 1,62%
5 Uzbekistán 1.29%
6 Srbsko 1.23%
7 Arménie 1,21%
8 Česká republika 1,02%
9 Maroko 0.97%
10 Malajsie 0.93%
* Země, kde je počet stažených aplikací bylo méně než 100.000 byly z těchto výsledků vyloučeny

Vietnam vede toto hodnocení: 2.34% ze všech aplikací, které uživatelé se snažil stahovat byly škodlivé.

Rusko, které utrpěl zdaleka nejvíce útoků, bylo jen 22. z hlediska rizika infekce 0,69%.

Ve Španělsku je riziko infekce 0,54%, 0,18% v Německu a ve Velké Británii 0,16%, 0,09% v Itálii a v USA 0,07%. Situace je nejlepší ze všech v Japonsku, kde se pouze 0,01% ze všech aplikací, které uživatelé se pokusil nainstalovat dokázal být nebezpečný.

TOP 20 mobilních hrozby roku 2014

Název % Útoků
1 Trojan-SMS.AndroidOS.Stealer.a 18.0%
2 RiskTool.AndroidOS.MimobSMS.a 7,1%
3 DangerousObject.Multi.Generic 6,9%
4 RiskTool.AndroidOS.SMSreg.gc 6,7%
5 Trojan-SMS.AndroidOS.OpFake.bo 6,4%
6 AdWare.AndroidOS.Viser.a 5,9%
7 Trojan-SMS.AndroidOS.FakeInst.a 5,4%
8 Trojan-SMS.AndroidOS.OpFake.a 5,1%
9 Trojan-SMS.AndroidOS.FakeInst.fb 4.6%
10 Trojan-SMS.AndroidOS.Erop.a 4.0%
11 AdWare.AndroidOS.Ganlet.a 3,8%
12 Trojan-SMS.AndroidOS.Agent.u 3.4%
13 Trojan-SMS.AndroidOS.FakeInst.ff 3.0%
14 RiskTool.AndroidOS.Mobogen.a 3.0%
15 RiskTool.AndroidOS.CallPay.a 2,9%
16 Trojan-SMS.AndroidOS.Agent.ao 2.5%
17 Exploit.AndroidOS.Lotoor.be 2.5%
18 Trojan-SMS.AndroidOS.FakeInst.ei 2.4%
19 Backdoor.AndroidOS.Fobus.a 1,9%
20 Trojan-Banker.AndroidOS.Faketoken.a 1,7%
10 z 20 programů v tomto hodnocení jsou SMS trojské koně z těchto čeledí: zloděj, OpFake, FakeInst, zmocněnec a Erop.

Trojan-SMS.AndroidOS.Stealer.a patřily mezi nejrozšířenější rodiny po celý rok, a skončil na horní části ročního žebříčku se značným náskokem.

Tato SMS Trojan šíří velmi aktivně. Po květnu 2014 počet zloděj útoků odpovídal celkový počet útoků zahrnujících všechny ostatní SMS trojské koně.

Počet uživatelů napadených s Trojan-SMS.AndroidOS.Stealer.a a všechny ostatní SMS trojské koně (listopad 2013 - říjen 2014)

Počet uživatelů napadených s Trojan-SMS.AndroidOS.Stealer.a a všechny ostatní SMS trojské koně (listopad 2013 - říjen 2014)

Snížení útoků SMS trojské koně

Stejně jako dříve, SMS Trojané jsou největším složka v toku mobilní malware; v našich číslech mají 23,9% z celkového počtu.

Distribuce mobilních hrozeb podle typu (Kaspersky Lab kolekce)

Distribuce mobilních hrozeb podle typu (Kaspersky Lab kolekce)

Nicméně, jak výše uvedeném grafu ukazuje, v druhé polovině roku 2014 bylo méně útoky SMS trojské koně. V důsledku toho za rok jejich hodnota snížena o 12,3%.

Pojďme se podívat na trochu podrobněji na změnu rozdělení SMS trojské koně, které jsou nejvíce oblíbený u zločinci (jiné než Stealer.a).

Počet uživatelů napadených populárních SMS trojské koně (listopad 2013 - říjen 2014)

Počet uživatelů napadených populárních SMS trojské koně (listopad 2013 - říjen 2014)

May viděl prudký pokles počtu SMS trojské koně zjištěny v Rusku, kde jsou rozšířená zejména útoky s využitím SMS trojské koně. Pokles byl způsoben změnou způsobu placené zprávy pracují v Rusku. V květnu 2014 mobilní operátoři v Rusku byli nuceni použít Advice of Charge (AOC) mechanismu. Teď, když mobilní zařízení odešle zprávu na placené číslo musí provozovatel informovat vlastníka zařízení nákladů na služby a získat potvrzení o platbě.

V důsledku toho, SMS trojské koně jsou méně ziskové a jejich trestní povahy je jasně vystavena. Nyní jediný způsob, jak dosáhnout zisku, je použít trojské koně, které lze odeslat SMS na číslo pojistné sazby a pak zachytit žádost provozovatele a vrátí potvrzení jménem uživatele.

Jako výsledek partnery z různých semi-právní programů, které dříve distribuované aplikace s funkčností SMS Trojan, opustil obchod. Jejich provozní model byl založen na špatně vysvětlil podmínky pro poskytování placených služeb, nebo předplatné a poplatků za služby, které byly prostě není uveden.

Můžeme předpokládat, že ruští tvůrci SMS trojské koně, kteří se ocitli bez práce bude muset hledat nové projekty. Někteří z nich by mohl přejít do útoku uživatelů v jiných zemích, a někteří pracovat na vážnější malware, jako je bankovnictví programy. Doufejme, že se alespoň někteří z nich obrátí zády na podsvětí a dát své schopnosti zákonné použití.

Změny v distribučních modelů jsou jasně viditelné s jednou populárních SMS trojské koně, jako je OpFake.bo, FakeInst.a a OpFake.a. Oni používali k vidění v 10-20,000 útocích měsíc; Nyní jsou čísla 1-2,000.

Mobilní bankovnictví trojské koně

Během dotčeného období jsme zjištěn 12.100 mobilní bankovnictví trojské koně - devětkrát tolik, jak, než v roce 2013.

Počet mobilních bankovních trojských koní ve sbírce Kaspersky Lab (listopad 2013 - říjen 2014)

Počet mobilních bankovních trojských koní ve sbírce Kaspersky Lab (listopad 2013 - říjen 2014)

45032 Uživatelé byli napadeni s mobilním bankovnictví trojské koně alespoň jednou v průběhu roku.

A počet zemí v rámci útoku roste: Nejméně jeden útok za použití mobilního bankovnictví Trojan byl zaznamenán v 90 různých zemích po celém světě.

Geografie mobilního bankovnictví hrozeb (počet napadených uživatelů v období listopad 2013 - říjen 2014)

Geografie mobilního bankovnictví hrozeb (počet napadených uživatelů v období listopad 2013 - říjen 2014)

TOP 10 zemí pro bankovnictví Trojan útoky

Země Počet napadených uživatelů % Ze všech útoků *
1 Rusko 39561 87,85%
2 Kazachstán 1195 2,65%
3 Ukrajina 902 2,00%
4 Spojené státy americké 831 1,85%
5 Bělorus 567 1,26%
6 Německo 203 0,45%
7 Litva 201 0,45%
8 Azeraijan 194 0,43%
9 Bulharsko 178 0,40%
10 Uzbekistán 125 0,28%
* Perentage napadených uživatelů v jednotlivých zemích z celkového počtu všech napadených uživatelů

Rusko udržel své místo jako vůdce v tomto hodnocení.

Hrozby určené pro Mac OS X

V roce 2014 bezpečnostních produktů společnosti Kaspersky Lab, které mají chránit počítače Mac OS X na bázi zablokoval 3693936 pokusů infekce.

Odborníci společnosti Kaspersky Lab zjištěn 1499 nových škodlivých programů pro Mac OS X, 200 vzorků více než v předchozím roce.

Každý druhý uživatel produktů společnosti Kaspersky Lab byl vystaven nebezpečného útoku.

V průběhu roku průměrný uživatel Mac setkal 9 hrozby.

TOP 20 hrozby určené pro Mac OS X

Název % Útoků *
1 AdWare.OSX.Geonei.b 9,04%
2 Trojan.Script.Generic 5,85%
3 Trojan.OSX.Vsrch.a 4.42%
4 Trojan.Script.Iframer 3,77%
5 AdWare.OSX.Geonei.d 3,43%
6 DangerousObject.Multi.Generic 2,40%
7 AdWare.OSX.Vsrch.a 2.18%
8 Trojan.Win32.Generic 2,09%
9 AdWare.OSX.FkCodec.b 1,35%
10 Trojan.OSX.Yontoo.i 1.29%
11 Trojan-PSW.Win32.LdPinch.ex 0,84%
12 AdWare.Win32.Yotoon.heur 0,82%
13 Trojan.OSX.Yontoo.j 0.80%
14 Exploit.Script.Generic 0,76%
15 AdWare.OSX.Bnodlero.a 0,58%
16 AdWare.JS.Agent.an 0,57%
17 Trojan.OSX.Yontoo.h 0,52%
18 Exploit.PDF.Generic 0.51%
19 AdWare.Win32.MegaSearch.am 0,50%
20 Trojan.Win32.AutoRun.gen 0,43%
* Procento uživatelů napadeny škodlivým programem všech napadených uživatelů

Téměř polovina našich TOP 20 programů, včetně jednoho v první řadě, obsadili programy adware. Je pravidlem, že tyto škodlivé programy dorazí na počítačích uživatelů vedle legitimních programů, pokud jsou staženy ze softwarového obchodu, spíše než z oficiálních stránek developera. Tyto legitimní programy se může stát nosičem pro adware modulu: Po instalaci na počítači uživatele, může přidat reklamní odkazy na záložky v prohlížeči, změnit výchozí vyhledávač, přidejte kontextová reklama, atd

Je zajímavé, 8. místo je obsazené Trojan.Win32.Generic, která ovlivňuje operační systém Windows. Je to pravděpodobně proto, že tento konkrétní Trojan může proniknout do virtuálních strojů, které běží pod Windows.

V roce 2014 odborníci odhalily několik zajímavých škodlivých programů pro Mac OS X, které by měly být uvedeny odděleně.

Backdoor.OSX.Callme - backdoor, který poskytuje podvodník vzdálený přístup k systému a zároveň ukradne seznamy kontaktů, zdá se, že najít nové oběti. Je distribuován v těle speciálně navrženého dokumentu MS Word: při spuštění nainstaluje backdoor přes chybu v systému.
Backdoor.OSX.Laoshu - škodlivý program, který umožňuje screenshoty každou minutu. Tento backdoor je podepsán důvěryhodným certifikátem developera, který znamená, že tvůrci programu chystali umístit v AppStore.
Backdoor.OSX.Ventir - multi-modul Trojan špionážní se skrytým funkcí dálkového ovládání. Obsahuje úhozy odposlechu ovladače logkext, pro který zdrojový kód je veřejně k dispozici.
Trojan.OSX.IOSinfector - slouží k instalaci mobilní verze Trojan-Spy.IPhoneOS.Mekir (OSX / krize).
Trojan-Ransom.OSX.FileCoder - první soubor kodér pro OS X. Jedná se podmíněně funkční prototyp vyrábí autora, který z jakéhokoliv důvodu, se rozhodl opustit vývoj malwaru.
Trojan-Spy.OSX.CoinStealer - první škodlivý program navržen tak, aby krást bitcoins pro OS X. To napodobuje různé Bitcoin utilit postavené z otevřeným zdrojovým kódem, zatímco se nainstaluje škodlivý rozšíření prohlížeče a / nebo opravenou verzi Bitcoin-QT.
Trojan-Downloader.OSX.WireLurker - neobvyklý kousek malware navržen tak, aby krást data obětí. Útočí nejen počítače Mac založené, ale zařízení iOS založené připojené k nim. K dispozici je také založené na systému Windows verze tohoto škodlivého programu. Je distribuován pomocí známého čínského obchodu, který prodává aplikace pro OS X a iOS.
Geografie hrozeb

Geografie útoků na uživatele Mac OS X v roce 2014 (na základě počtu všech napadených uživatelů)

Geografie útoků na uživatele Mac OS X v roce 2014 (na základě počtu všech napadených uživatelů)

TOP 10 zemí pod útokem

Země Počet napadených uživatelů % Ze všech útoků *
1 Spojené státy americké 98077 39,14%
2 Německo 31466 12.56%
3 Japonsko 13808 5.51%
4 Spojené království 13763 5.49%
5 Rusko 12207 4,87%
6 Francie 9239 3,69%
7 Švýcarsko 6548 2.61%
8 Kanada 5841 2.33%
9 Brazílie 5558 2.22%
10 Itálie 5334 2,13%
* Procento uživatelů zaútočila na zemi

USA (39,14%), vrcholy tohoto hodnocení, snad kvůli popularitě počítačů Apple v zemi. Německo (12,56%) přišel druhý následuje Japonsko (5,51%).

Zranitelné aplikace používané podvodníky

Graf zranitelných aplikací je uvedeno níže je založen na informacích o hrdinských blokovaných našich výrobků. Tyto využije byl hackery používány v internetových útoků a při ohrožení lokálních aplikací, včetně těch, které instalovány na mobilních zařízeních.

Distribuce využije používají podvodníci, podle typu aplikace napadl, 2014

Distribuce využije používají podvodníci, podle typu aplikace napadl, 2014

V roce 2014, podvodníci nejčastěji využívány Oracle Java zranitelnost. Nicméně popularita Java zranitelností postupně snižoval v průběhu celého roku, a jeho celkový podíl na méně než polovinu loňské postava - 45% oproti 90,5% před 12 měsíci. To by mohlo být kvůli uzavření starých zranitelností a nedostatek informací o nových.

Druhé místo obsadil v kategorii Prohlížeče (42%), jejíž součástí je využije pro aplikaci Internet Explorer, Google Chrome, Mozilla Firefox, atd Podle čtvrtletních ratingů, pro většinu z 2014 to byl vedoucí kategorie, ale ne zcela předstihnout Velký počet Java využívá v pozdní 2013 a brzy 2014.

Adobe Reader využije byli na třetím místě (5%). Tyto chyby jsou využívány v drive-by útoky prostřednictvím internetu, a PDF využije součástí mnoha využívají balení.

V průběhu roku jsme viděli pokles počtu útoků využívajících využít balíčky. Tam může být několik důvodů pro to, včetně zatčení některých svých vývojářů. Navíc, mnoho využití balíčky přestali útočit počítačů chráněných produktů společnosti Kaspersky Lab (zneužít balení zkontrolujte oběti počítač a zastavit útok, pokud řešení Kaspersky Lab je nainstalován na to). Navzdory tomu, využívání zranitelností zůstává jedním z hlavních způsobů, jak dodat škodlivého softwaru v počítači uživatele.

On-line hrozeb (Web-based útoky)

Statistiky v této části byly odvozeny z webové antivirových komponent, které chrání uživatele Windows, kdy škodlivý kód se pokusí stáhnout z škodlivého / infikované webové stránky. Nebezpečné webové stránky jsou záměrně vytvořeny zločinci; infikované místa zahrnují ty, které se obsahu umístěného uživateli (jako fór), jakož i legitimní prostředky, které byly hacknutý

V roce 2014, tam bylo 1432660467 útocích vedených z on-line zdrojů #KLReport
Tweet
V roce 2014, tam bylo 1432660467 útocích vedených z on-line zdrojů umístěných po celém světě. To znamená, že produkty společnosti Kaspersky Lab chráněny uživatelům v průměru 3.925.097 krát denně v průběhu jejich internetové relace.

Hlavní metodou útok - prostřednictvím využití balení - dává útočníkům téměř zaručenou možnost infikovat uživatele počítače, pokud není chráněna bezpečnostním řešení a pokud to má instalován alespoň jeden populární a zranitelný (není aktualizován) aplikace.

On-line hrozby v bankovním sektoru

V průběhu účetního období, Lab řešení Kaspersky zablokovány 1910520 útoky pokusu o spuštění malware dokáže krást peníze z on-line bankovních účtů.

Počet počítačů napadl finanční malware, 11 2013, 10 2014

Počet počítačů napadl finanční malware, 11 2013, 10 2014

Nápadně, počet útoků významně rostl v květnu a červnu 2014. To by mohlo být být způsobeno zvýšením on-line bankovní činnosti na začátku prázdnin, jakož i hlavní sportovní události roku - World šatních 2014 v Brazílii - kde zločinci použité finanční malware krást údaje o platbách turistů.

Celkem 16.552.498 oznámení o nebezpečné činnosti programy, jejichž cílem je ukrást peníze prostřednictvím on-line přístupu k bankovním účtům byly registrovány bezpečnostní řešení společnosti Kaspersky Lab v roce 2014.

Geografie útoků

Geografie bankovních malware útoků v roce 2014

Geografie bankovních malware útoků v roce 2014

V TOP 20 zemí podle počtu napadených uživatelů:

Země Počet napadených uživatelů
1 Brazílie 299830
2 Rusko 251917
3 Německo 155773
4 Indie 98344
5 Spojené státy americké 92224
6 Itálie 88756
7 Spojené království 54618
8 Vietnam 50040
9 Rakousko 44445
10 Alžírsko 33640
V TOP 10 bankovní malware rodiny

Níže uvedená tabulka ukazuje programy nejčastěji používané v roce 2014 k útoku na uživatele online bankovnictví, na základě počtu hlášených pokusů infekce:

Název Počet napadených uživatelů
1 Trojan-Spy.Win32.Zbot 742794
2 Trojan-Banker.Win32.ChePro 192229
3 Trojan-Banker.Win32.Lohmys 121439
4 Trojan-Banker.Win32.Shiotob 95236
5 Trojan-Banker.Win32.Agent 83243
6 Trojan-Banker.AndroidOS.Faketoken 50334
7 Trojan-Banker.Win32.Banker 41665
8 Trojan-Banker.Win32.Banbra 40836
9 Trojan-Spy.Win32.SpyEyes 36065
10 Trojan-Banker.HTML.Agent 19770
Zeus (Trojan-Spy.Win32.Zbot) zůstal nejrozšířenější bankovní Trojan. To drželo svou vedoucí pozici v čtvrtletních hodnocení, takže jeho 1. místo v TOP 10 pro 2014 není překvapení. Druhý přišel Trojan-Banker.Win32.ChePro, následované Trojan-Banker.Win32.Lohmys. Obě rodiny mají stejnou funkcionalitu a šíří prostřednictvím nevyžádané pošty se téma vztahující se k on-line bankovnictví (například faktura z on-line bankovnictví). E-mail obsahuje dokument aplikace Word s přiloženém obrázku: Kliknutím na obrázek se spustí provádění škodlivého kódu.

Trojan-Banker.Win32.Shiotob byl na 4. místě. Tento škodlivý program je nejčastěji šíří prostřednictvím nevyžádané pošty a je určen ke sledování provozu s cílem zachytit údaje o platbách.

Většina z Top 10 škodlivými programy pracují vstřikováním náhodné HTML kód na webové stránky zobrazené v prohlížeči a zastavovat žádné platební údaje zadané uživatelem v původních nebo vložených webových formulářů.

I když tři čtvrtiny útoků na peníze uživatelů byly provedeny pomocí bankovního malwaru to nejsou jedinými finančními hrozby.

Distribuce útoků na uživatele peněz podle typu malware, 2014

Distribuce útoků na uživatele peněz podle typu malware, 2014

Bitcoin krádež peněženka byla druhou nejoblíbenější bankovnictví hrozbou (14%). Ještě další hrozbě na šifrovací měně Bitcoin důlní software (10%), který využívá výpočetní prostředky pro generování bitcoins.

V TOP 20 škodlivé objekty detekovány on-line

V roce 2014, Kaspersky Lab web antivirus zjištěn 123054503 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd

Identifikovali jsme, že 20 škodlivých programů nejvíce aktivně zapojeni do on-line útoky zahájila proti počítačů v roce 2014. Těchto 20 představovaly 95,8% všech on-line útoků.

Jméno * % Ze všech útoků **
1 Škodlivý URL 73,70%
2 Trojan.Script.Generic 9.10%
3 AdWare.Script.Generic 4,75%
4 Trojan.Script.Iframer 2.12%
5 Trojan-Downloader.Script.Generic 2.10%
6 AdWare.Win32.BetterSurf.b 0,60%
7 AdWare.Win32.Agent.fflm 0.41%
8 AdWare.Win32.Agent.aiyc 0,38%
9 AdWare.Win32.Agent.allm 0,34%
10 Adware.Win32.Amonetize.heur 0,32%
11 Trojan.Win32.Generic 0,27%
12 AdWare.Win32.MegaSearch.am 0,26%
13 Trojan.Win32.AntiFW.b 0,24%
14 AdWare.JS.Agent.an 0.23%
15 AdWare.Win32.Agent.ahbx 0.19%
16 AdWare.Win32.Yotoon.heur 0.19%
17 AdWare.JS.Agent.ao 0,18%
18 Trojan-Downloader.Win32.Generic 0,16%
19 Trojan-Clicker.JS.Agent.im 0,14%
20 AdWare.Win32.OutBrowse.g 0.11%
* Tyto statistiky představují detekce rozsudky z webové antivirového modulu. Informace byly poskytnuty uživateli produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data
** Procento všech webových útoků zaznamenaných na počítačích unikátních uživatelů

Vzhledem k tomu často bývá, TOP 20 se z velké části skládá z objektů používaných v drive-by útoky, stejně jako adware programů. 73.7% všech rozsudků identifikovat odkazy z těchto černých listinách.

Nápadně, v roce 2014 došlo k nárůstu počtu reklamních programů v TOP 20, do 5-12 ve srovnání s předchozím rokem a představuje 8,2% všech škodlivých objektů zjištěných on-line (7,01 procentního bodu). Růst ve výši reklamních programů, spolu s jejich agresivní režimy distribuci a jejich úsilí, aby čelila detekci anti-virus, se stal trend od roku 2014.

V roce 2014, #Kaspersky Lab web antivirus zjištěn 123054503 jedinečné škodlivé objekty #KLReport
Tweet
Trojan-Clicker.JS.Agent.im Verdikt je také napojen na reklamu a všechny druhy "potenciálně nechtěných" aktivit. To je, jak skripty umístěné na Amazon Cloudfront přesměrovat uživatele na detekci stránek s reklamním obsahem. Odkazy na tyto skripty jsou vloženy adware a různé rozšíření pro prohlížeče, a to především na vyhledávacích stránkách uživatelů. Skripty mohou přesměrovat uživatele na nebezpečné stránky, které obsahují doporučení k aktualizaci Adobe Flash a Java - populární způsob šíření malwaru.

V TOP 10 zemí, kde jsou on-line zdrojů nasazené s malwarem

Následující statistiky jsou založeny na fyzické umístění on-line zdrojů, které byly použity při útocích a blokovaných našimi antivirové komponenty (webové stránky, které obsahují přesměrování na exploity, stránek, které obsahují využije a další malware, velitelských botnet centra, atd.) Jednoznačná hostitel by mohl být zdrojem jednoho nebo více webových útoků.

Aby bylo možné určit zeměpisný původ webových útoků, doménová jména jsou přizpůsobeny proti svým skutečným domény IP adresy, a pak zeměpisná poloha konkrétní IP adresy (GeoIP) je založen.

V roce 2014, Lab řešení Kaspersky zablokovány 1432660467 webové útoky #KLReport
Tweet
V roce 2014, Lab řešení Kaspersky zablokovány 1432660467 útoky odpálené z internetových zdrojů nacházejících se v různých zemích po celém světě. Chcete-li provádět své útoky, podvodníci používají 9.766.119 unikátních hostitele, 838.154 počítačů nebo 8% méně než v roce 2013.

87% oznámení o útoku blokovaných antivirové komponenty byly získány z on-line zdrojů nacházejících se ve 10 zemích světa. To je 5 procentních bodů více než v předchozím roce.

Distribuce on-line zdrojů očkuje škodlivými programy v roce 2014

Distribuce on-line zdrojů očkuje škodlivými programy v roce 2014

V roce 2014, TOP 10 rating zemí, kde se on-line zdrojů očkuje malwarem zůstal téměř beze změny oproti předchozímu roku. Nicméně čtyři země změnila místa: Německo a Rusko vyměnil, s Němci lezení na 2. a Rusku klesl na čtvrté místo. Ukrajina předjel Británii pohybovat až do 5..

44% všech internetových útoků přišel ze zdrojů nacházejících se v USA a Německu.

Země, kde se uživatelé čelí největší riziko infekce on-line

Aby bylo možné posoudit země, ve kterých uživatelé nejčastěji čelí kybernetické hrozby, jsme vypočítali, jak často se uživatelé Kaspersky setkal detekce verdikty na svých strojích v každé zemi. Výsledné údaje charakterizuje riziko infekce, že počítače jsou vystaveny v různých zemích po celém světě, poskytující indikátor agresivitě prostředí směrem počítače v různých částech světa.

V TOP 20 zemí, kde se uživatelé potýkají s největší riziko infekce on-line

Země * % Unikátních uživatelů **
1 Rusko 53,81%
2 Kazachstán 53,04%
3 Ázerbajdžán 49,64%
4 Vietnam 49,13%
5 Arménie 48,66%
6 Ukrajina 46,70%
7 Mongolsko 45,18%
8 Bělorusko 43,81%
9 Moldova 42,41%
10 Kyrgyzstán 40,06%
11 Německo 39,56%
12 Alžírsko 39,05%
13 Katar 38,77%
14 Tádžikistán 38,49%
15 Georgia 37,67%
16 Saúdská Arábie 36,01%
17 Rakousko 35,58%
18 Litva 35,44%
19 Srí Lanka 35,42%
20 Turecko 35,40%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácené web antivirový modul, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000)
** unikátních uživatelů, jejichž počítače byly terčem internetových útoků, jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v ČR

V roce 2014 došlo ke změně na lídra TOP 20: hodnocení byla završena Rusku, kde 53,81% uživatelů čelí nebezpečí on-line infekce.

Loňský vůdce, Ázerbájdžán, klesl na 3. místo (49,64%).

Uzbekistán, Malajsie, Řecko a Itálie vypadl z TOP 20. Mezi nově příchozími byli Mongolsko, Katar, Saúdská Arábie, Turecko a Litva.

Všechny země mohou být rozděleny do tří skupin, které exprimují různé úrovně rizika infekce.

Skupina na vysoké riziko (více než 41%)
V roce 2014, do této skupiny patří devět zemí z TOP 20, ve srovnání s 15 zemí v roce 2013.

Riziková skupina (21-40%)
Tato skupina zahrnuje 111 zemí; Mezi nimi jsou Kyrgyzstan (40,1%), Německo (39,6%), Katar (38.8%), Tádžikistán (38,5%), Gruzie (37,7), Saúdská Arábie (36%), Turecko (35. 4%), Francie (34,9 %), Indie (o 34,8%), Španělsko (34,4%), USA (33,8%), Kanada (33,4%), Austrálie (32,5%), Brazílie (32,1%), Polsko (31,7%), Itálie (31,5%) Izrael (30.2%), Čína (30,1%), Velké Británii (30%), Egypt (27,8%), Mexiko (27,5%), Filipíny (27,2%), Chorvatsko (26,2%), Pákistán (26.1%) , Rumunsko (25,7%), Japonsko (21 2%), Argentina (21 1%).

Skupina s nízkým rizikem (0-20,9%)
Mezi 39 zeměmi s nejbezpečnějších on-line prostředí, surfování patří Švédsko (19,5%), Dánsko (19,2%), Uruguay (19,5%), a řadu afrických zemí.

ksb_stat_2014_13

V roce 2014, 38,3% počítačů byli napadeni alespoň jednou, zatímco jejich majitelé byli online.

V průměru, je riziko nákazy při surfování na internetu se snížil o 3,3 procentního bodu více než v roce. To může být způsobeno několika faktory:

Za prvé, vývojáři prohlížečů a vyhledávačů si uvědomil, že je nutné zajistit svým uživatelům a začal přispívat k boji proti nebezpečné stránky
Za druhé, mnozí využívají balení začaly zkontrolovat, zda je výrobek společnosti Kaspersky Lab je nainstalován na počítači uživatele. Pokud je, že využije ani se snaží zaútočit na počítač.
Za třetí, uživatelé používat více a více mobilních zařízení a tablety surfovat na internetu.
Kromě toho se počet útoků využívajících využít Pack mírně snížil: zatčení vývojáři těchto balíčků nebyla marná. Existují však žádné důvody očekávat nějakou drastickou změnu v situaci využije: jsou stále hlavním technika využívána k doručování malware, včetně cílených útoků. Internet je stále hlavním zdrojem malwaru pro uživatele ve většině zemí.

Místní hrozby

Místní statistiky infekce pro uživatele počítačů je velmi důležitým ukazatelem. Tato data ukazují na hrozby, které pronikly operační systém Windows přes něco jiného než Internet, e-mail, nebo síťových portů s.

Tato část obsahuje analýzu statistických údajů získaných na základě antivirové skenování souborů na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupnou a výsledky skenování různých vyměnitelných datových úložišť.

V TOP 20 škodlivé objekty detekované na uživatelských počítačích

V roce 2014, antivirová řešení společnosti Kaspersky Lab zjištěn 1.849.949 unikátních škodlivých a potenciálně nežádoucí objekty.

Název % Unikátních napadených uživatelů *
1 DangerousObject.Multi.Generic 26,04%
2 Trojan.Win32.Generic 25,32%
3 AdWare.Win32.Agent.ahbx 12.78%
4 Trojan.Win32.AutoRun.gen 8.24%
5 Adware.Win32.Amonetize.heur 7,25%
6 Virus.Win32.Sality.gen 6.69%
7 Worm.VBS.Dinihou.r 5,77%
8 AdWare.MSIL.Kranet.heur 5.46%
9 AdWare.Win32.Yotoon.heur 4.67%
10 Worm.Win32.Debris.a 4,05%
11 AdWare.Win32.BetterSurf.b 3,97%
12 Trojan.Win32.Starter.lgb 3,69%
13 Exploit.Java.Generic 3.66%
14 Trojan.Script.Generic 3,52%
15 Virus.Win32.Nimnul.a 2.80%
16 Trojan-Dropper.Win32.Agent.jkcd 2.78%
17 Worm.Script.Generic 2.61%
18 AdWare.Win32.Agent.aljt 2.53%
19 AdWare.Win32.Kranet.heur 2.52%
20 Trojan.WinLNK.Runner.ea 2.49%
Tyto statistiky jsou sestavovány z detekci malware verdiktů vytvořených skenerem moduly on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily s tím, aby předložily své statistické údaje.

* Podíl jednotlivých uživatelů, na jejichž počítačích detekován antivirový modul tyto objekty jako podíl z celkového počtu jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program

DangerousObject.Multi.Generic verdikt, který se používá pro malware detekovaný pomocí cloudových technologií, je na 1. místě (26,04%). Cloud technologie funguje, když se antivirové databáze dosud obsahovat buď podpisu nebo heuristiku odhalit škodlivý program, ale Cloud Antivirus databáze společnosti již obsahuje informace o objektu. Ve skutečnosti, je to, jak je detekována nejnovější malware.

Notoricky známý červ Net-Worm.Win32.Kido vypadl z TOP 20. V Obecně podíl virů stále klesá: například v loňském roce Virus.Win32.Sality.gen ovlivněn 13,4% uživatelů, zatímco v roce 2014 - pouze 6,69 %.

Jak toto hodnocení a hodnocení webových zjištěných ukazují, že reklamní programy jsou stále častější. V roce 2014 se počet uživatelů, kteří se setkali adware zdvojnásobil z předchozího roku a dosáhl 25.406.107. Současně reklamní programy jsou stále oba více rušivé a nebezpečnější. Někteří z nich "překročení hranice" do kategorie potenciálně nežádoucích programů a jsou přiřazeny k "tvrdší" verdikt. Například, Trojan-Dropper.Win32.Agent.jkcd (16. místo), kromě zobrazování reklam a mění výsledky vyhledávání, si můžete stáhnout malware v počítači.

Země, kde se uživatelé čelí nejvyšší riziko lokální infekce

Pro každou zemi jsme spočítali počet souborů antivirových odhalení uživatelé, kterým čelí v průběhu roku. Údaje zahrnují detekci škodlivých programů se nachází na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty, telefon nebo externí pevné disky.

V TOP 20 zemí podle úrovně infekce

Země * % **
1 Vietnam 69,58%
2 Mongolsko 64,24%
3 Nepál 61,03%
4 Bangladéš 60,54%
5 Jemen 59,51%
6 Alžírsko 58,84%
7 Irák 57,62%
8 Laos 56,32%
9 Indie 56,05%
10 Kambodža 55,98%
11 Afghánistán 55,69%
12 Egypt 54,54%
13 Saúdská Arábie 54,37%
14 Kazachstán 54,27%
15 Pákistán 54.00%
16 Sýrie 53,91%
17 Soudan 53,88%
18 Srí Lanka 53,77%
19 Myanma 53,34%
20 Turecko 52,94%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Při výpočtu jsme vyřadili zemích, kde existují méně než 10.000 uživatelů Kaspersky Lab
** Podíl unikátních uživatelů v zemi s počítači, které blokované místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab

Mezi TOP 4 země pro riziko lokální infekce zůstal téměř beze změny oproti předchozímu roku: Vietnam byl v 1. poloze; Mongolsko a Bangladéš změnil místa - Bangladéš přesunula dolů z druhý-čtvrtý poloze, zatímco Mongolsko vylezl z čtvrté-druhý místě.

Džibuti, Maledivy, Mauretánie, Indonésie, Rwanda a Angola opustil TOP 20. nováčky byly Jemen, Saúdská Arábie, Kazachstánu, Sýrie, Myanmar a Turecko.

V rámci TOP 20 zemí byl alespoň jeden škodlivý objekt nacházející se v průměru 58,7% počítačů, pevných disků a výměnných médií, které patří k uživatelům KSN. Číslo 2013 byla 60,1%.

Země, lze rozdělit do čtyř rizikových skupin pro místní hrozby.

Maximální riziko (více než 60%): čtyři země, včetně Vietnamu (69,6%), Mongolska (64,2%), Nepál (61,0%) a Bangladéši (60,5%).
Vysoké riziko (41-60%): 83 zemí včetně Indie (o 56,0%), Kazachstánu (54.3%), Turecku (52,9%), Ruska (52,0%), Čína (49,7%), Brazílie (46,5%), Bělorusko ( 45.3%), Mexiko (41.6%), Filipíny (48.4%).
Střední místní míra infekce (21-40,99%): 70 zemí, včetně Španělska (40,9%), Francie (40,3%), v Polsku (39,5%), Litvě (39,1%), v Řecku (37,8%), v Portugalsku (37,7%), Korea (37,4%), Argentina (37,2%), Itálie (36,6%), Rakousko (36,5%), Austrálie (35.3%), Kanada (o 34,8%), Rumunsko (34. 5%), USA (34,4%) , Velká Británie (33,8%), Švýcarsko (30,8%), Hong Kong (30,4%), v Irsku (29,7%), Uruguay (27,8%), Nizozemí (26,4%), Norsko (25,1%), Singapur (23,5% ), Japonsko (o 22,9%), Švédsku (23%), Dánsku (21,3%)
Nízká míra lokální infekce ( 0- 20,99%): 3 země, včetně Finsku (20%), Kuba (o 19,1%) a Seychel (19%).
ksb_stat_2014_14

Mezi 10 nejbezpečnějších zemí byly:

Země % *
1 Seychely 19.03%
2 Kuba 19.08%
3 Finsko 20.03%
4 Dánsko 21,34%
5 Japonsko 22,89%
6 Švédsko 22,98%
7 Česká republika 23.13%
8 Singapore 23.54%
9 Martinik 25,04%
10 Norsko 25.13%
* Podíl unikátních uživatelů v zemi s počítači, které blokované místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab

V roce 2014, tři nové země se objevily v tomto TOP 10 - Martinik, Singapuru a ve Švédsku. Slovensko, Slovinsko a Malta vypadl z hodnocení.

V roce 2014, v průměru 23% uživatelů počítačů byli napadeni v 10 nejbezpečnějších zemí alespoň jednou #KLReport
Tweet
V průměru 23% uživatelů počítačů byli napadeni v 10 nejbezpečnějších zemí nejméně jednou za rok. To je o 4,2 procentního bodu více než v loňském roce.

Zdrcující optimismus pro informační bezpečnost v roce 2015
3.12.2014 Analýzy
Očekávání pro bezpečnost dat v příštím roce jsou překvapivě optimistické vzhledem drsná realita 2014, což byl nejhorší rok v záznamu o narušení dat, podle nového průzkumu ThreatTrack bezpečnosti. Bezpečnostní Enterprise staffers jsou tak přesvědčeni, že 81% respondentů uvedlo, že by se "osobně zaručit, že data zákazníků jejich společnosti budou v bezpečí v roce 2015."

"Teď je čas, kdy dodavatelé bezpečnostních řešení a analytici se jejich předpovědi o tom, co 2015 přinese, ale my jsme se rozhodli jít přímo k lidem, kteří jsou skutečně v zákopech, které se zabývají nejnovějšími kybernetickými útoky a chrání data, jejich organizace 'na den -až-denní základ, "řekl Julian Waits, Sr., generální ředitel společnosti ThreatTrack bezpečnosti. "To, co jsme zjistili, je, že odborníci na bezpečnost jsou vrcholně přesvědčeni, že jejich schopnost bránit proti narušení dat a pokročilé škodlivého softwaru se zlepší v roce 2015. To optimismus se zdá zakořeněný v jejich rostoucí důvěře ve vedení poskytované jejich CISO a skutečnosti, že očekávají, že investovat do nových kybernetické bezpečnosti řešení, včetně pokročilých technologií detekce hrozeb a ohrožení zpravodajských služeb, "dodal Waits. zjištění průzkumu z průzkumu patří:

Přes 68% všech respondentů se cítí jejich organizace je více pravděpodobné, že bude terčem kybernetického útoku v příštím roce, 94% jsou optimističtí, že schopnost jejich organizace, aby se zabránilo narušení dat zlepší v roce 2015.
Typy hrozeb, které organizace jsou nejvíce znepokojeni v roce 2015 jsou pokročilé přetrvávající ohrožení (APT) (65%), cílené útoky škodlivého softwaru (61%) a kopí phishing útoky (42%). Firmy se obávají hrozby pro mobilní (22%) nejméně.
Respondenti vidět rychlost a priority, jak je důležité, aby posilující kybernetické obrany v roce 2015. Na otázku, co je jejich společnost potřebuje k tomu příští rok zabránit tomu, aby se stal další narušení dat titulek.
95% bezpečnostních staffers věří, vrcholové vedení bude více reagovat na doporučení ohledně bezpečnosti svého týmu v roce 2015, což naznačuje, že CISO jsou stále úspěšnější při řízení zlepšování v podniku kybernetické bezpečnosti.
Na otázku, co časově nejnáročnější část jejich práce bude v roce 2015, top odpověď, bezpečnostní staffers byl "vyšetřování výstrahy zabezpečení identifikovat hrozby, které představují největší riziko pro organizaci." To znamená, že téměř jeden ze čtyř respondentů (22%) očekává, že tráví většinu svého času honí příčinu hlášených incidentů. Dokonce i organizace, které již investovaly do obrany příští generace stále čelí překážku strávit příliš mnoho času a cenné zdroje, které určí, které hrozby představují největší riziko pro jejich data, než jsou schopni zahájit účinnou reakci. "Jednou z největších překážek Cybersecurity je naprostý objem záznamů vytvořených všemi obrany organizace nasazených, neschopnost rozlišovat vysokou prioritu, vysoké incidenty rizik a rozpoznat, kdy záměrný, cílený útok dochází byl přímo spojen s několika porušení vysoce postavených v poslední rok, "dodal Waits. "Detekce sama o sobě nestačí V roce 2015, organizace je třeba se podívat směrem k nové plemeno kybernetické obrany, které jim umožní identifikovat a zabít aktivní kampaně dřív. - Před tím, než jsem porušil citlivých dat. - A stanovit priority nehodách reakce" nezávislý slepý Průzkum 250 sídlem v USA bezpečnostní IT pracovníků, v podnicích s nejméně 2000 zaměstnanců, byla provedena podle názoru záleží jménem ThreatTrack bezpečnost v říjnu 2014.

Jedna miliarda útoky byly blokovány ve třetím čtvrtletí
3.12.2014 Analýzy
Více než miliarda nebezpečné útoky byly detekovány a blokovány během třetího čtvrtletí, podle společnosti Kaspersky Lab. Jedna třetina z webových útoků byly prováděny za použití škodlivé webové zdroje hostí ve Spojených státech. Útoky mobilní malware byly zjištěny ve 205 zemích, ukazuje neadresné hromadné útoky se stávají skutečně globální.

Q3 v číslech:
Více než miliarda nebezpečné útoky byly blokovány na počítačích a mobilních zařízeních uživatelů Kaspersky Lab - 33,1 procent více než v předchozím čtvrtletí.
Dva cyber-špionáže kampaně - krčí Yeti a Epic Turla - postiženy více než 2800 obětí vysoce postavených v nejméně 10 průmyslových odvětví, jako jsou vládní instituce, velvyslanectví, vojenské, výzkumnými organizacemi a IT firem.
Asi 110 milionů unikátních URL, které spustily webové antivirové detekce byly zaznamenány - 31 procent více než ve 2. čtvrtletí.
74500 nové mobilní malware vzorky byly přidány do sbírky společnosti Kaspersky Lab. To je o 14,4 procenta více než ve 2. čtvrtletí.
Více než 7000 Mobilní bankovnictví trojské koně byly zjištěny - 3,4 krát více než v předchozím čtvrtletí.
Bankovní Trojan útoky byly zjištěny v 70 zemích, ve srovnání s 31 zeměmi ve 2. čtvrtletí.
V tomto čtvrtletí byly také změny v top pěti hlavních zdrojů webových útoků. Ve 2. čtvrtletí, prvních pět pozic v žebříčku obsadili Německo, USA, Nizozemí, Ruska a Kanady, resp. Ve 3. čtvrtletí v USA udělal velký skok (11,2 pb), přistání na nejvyšší pozici s 33%. Německo klesl na třetí místo (13,5%) a Nizozemí posunul na druhé místo (18%). Ukrajina dosáhl páté místo (4%), tlačí Kanada z Top 5. Rusku zůstal na čtvrté místo s 9%. "Ve 3. čtvrtletí, antivirové moduly Web byl spuštěn alespoň jednou o téměř jednu třetinu počítačů, zatímco majitelé surfování na webu , Toto číslo klesá o jeden rok: ve 3. čtvrtletí 2013 to bylo 34,1 procenta, v 1. čtvrtletí 2014 klesl na 33,2 procenta a od 2. čtvrtletí "zamrzl" na 29,5 procenta. To je způsobeno řadou faktorů. Za prvé, prohlížeče a vyhledávače začali pomáhat v boji proti škodlivé weby. Za druhé, tam bylo méně útoky zasahující exploit balení po zatčení několika vývojářů. Nicméně, bylo by naivní očekávat, že použití využije, aby šel ostře: využije zůstat malware způsob doručení volby v případě cílených útoků, "řekla Maria Garnaeva, bezpečnostní výzkumník u Global Research a Analysis Team, Kaspersky Lab.

Top rizikové oblasti 5 podvod na pracovišti
1.12.2014 Analýza
Limited znalosti a povědomí o tom, co představuje důvěrné informace jsou uvedení UK ohrožených podniků se stanou obětí podvodu, pokud tyto materiály nejsou bezpečně zlikvidovány. Zpráva z Shred, to ukazuje, že pětina živnostníky, malé a střední podniky UK (21%) si myslí, že mají žádné dokumenty, které by mohly způsobit jejich podnikání ublížit, kdyby byl ukraden. Nicméně, všechny podniky mají materiál, který by měl být zacházeno jako s důvěrnými v rámci Spojeného království a evropské legislativy v oblasti ochrany údajů, včetně evidence zaměstnanců, klientů faktury, výplatní pásky a e-maily, které obsahují osobní a profesionální informace, včetně toho zákazníků. Nejlépe rizikové oblasti 5 podvod na pracovišti: Tiskárny a kopírky: Mnoho úřady nevyžadují zaměstnanci používat bezpečnostní kód k dokončení tiskové úlohy, což znamená, že důvěrné informace jsou často v tisku a vlevo na tisk stanicích. S cílem zmírnit toto nebezpečí, podniky by měly nařizovat, aby zaměstnanci zabezpečit své tiskové úlohy pomocí bezpečnostního kódu nebo umožnit zaměstnancům tisku důvěrné informace k použití tiskárny ve své vlastní kancelářské plochy. Non-secure nádoby na tříděný odpad a odpadky koše: Likvidace dat nezabezpečené bin je stejně riskantní jako nechat to v tiskárně nebo na psacím stole. Skartovat-all politika eliminuje dohady z procesu a zajišťuje, že zaměstnanci nemají náhodou nechat důvěrné informace v nejistých místech. Drcený materiál také tendenci být recyklován renomovaných poskytovatelů zničení dat - nezapomeňte se zeptat! chaotický stoly: Messy stoly s volným papírování jsou citlivé na špehování a krádeží dat z lidí, a to jak uvnitř, tak vně organizace, jako jsou čisticí prostředky a další třetina -party dodavatelé. Zvažte provádění jasnou stůl politiku a poskytovat uzamykatelné skladovací jednotky, takže zaměstnanci mohou chránit důvěrné informace. skladování IT zařízení: Elektronické zařízení pro ukládání dat jsou velmi pohodlné, když můžete získat přístup k firemní síti, ale také zvyšuje riziko podvodu. Podniky mohou snížit riziko podvodu tím, že vyžaduje, aby byla skladovací zařízení bude podepsána, a zajistit, že jsou bezpečně zničeny, když se dostanou na konci své životnosti. Mobilní pracoviště: S stále mobilnější pracovní síly, mnoho lidí nyní přistupovat ke všem svým souborů doma nebo na cestách. Zatímco výhodné, to znamená, že důvěrné informace může zůstat v oblastech, které jsou nezabezpečené. Společnosti by měly varovat zaměstnance pouze přijmout nebo vytisknout důvěrné informace mimo pracoviště, kdy nezbytně nutné, a poučí je na správné bezpečných postupech likvidace.

Spam a phishing ve 3. čtvrtletí 2014
28.11.2014 Analýzy

PHISHING SPAM LETTERS SPAM STATISTIKY SPAMMERŮ TECHNIKY TEMATIC SPAM
Spam: rysy čtvrtletí

Vzhled iPhone 6

V září došlo k významné události v IT průmyslu - iPhone 6 smartphone byl představen veřejnosti a dát do prodeje. Není divu, že to byla velká novinka v cybercriminal a spamový komunity, jak dobře a po celé čtvrtletí jsme viděli prudký nárůst spamu o slavné značky. Počet phishingových zpráv prohlašovat, že přijde z populárních služeb Apple také výrazně zvýšil po datu vydání.

Spammeři začali nabízet nový smartphone dlouho před jeho oficiálním vydáním - jako ocenění za účast v dotaznících a speciálních nabídek, jako dárek při nákupu zboží nebo využívání služeb nabízených v spamu; stylový doplněk byla cena v různých loterií a vystupoval v mnoha falešných výhra oznámení. Nakonec iPhone 6 byl nabízen k neuvěřitelně nízké ceny (ve srovnání s oficiální cenou).

Ve srovnání s předchozími modely design iPhone 6 několik pozoruhodných změn - včetně velikostí obrazovky. To způsobilo výbuch spamu z továren vyrábějících všechny druhy doplňků, aktivně nabízet ochranné případů a jako v nové velikosti.

To vše ukazuje, jak jedna událost může vyvolat nárůst v mnoha různých druhů spamu, jak podvodů a reklam. V mnoha případech to byl také silný háček upozornit na dopisy; pouhá zmínka o nový iPhone v záhlaví předmětu výrazně zvýšilo šance na zprávy čteny.

Spam jako způsob, jak krást mailové adresy

Poslední čtvrtletí viděl několik úniků účtu přihlašovacích jmen a hesel od hlavních poštovních systémů. Údaje se objevil na internetu, který ustaraným uživatele a podnítil živé diskuse o důvěrnosti. Ve stejné době, kdy společnosti vlastnící poštovní služby, oznámila, že většina z publikovaných údajů bylo z dlouhodobého opuštěných účtů a málo, že jsou stále aktivní, byl pravděpodobně unesen phishing.

Bereme na vědomí, že údaje ID pro e-mailového účtu, není jen tak nespravedliví přístup k osobní korespondence a jejich adresářích majitelů; to také otevírá další služby poskytované pošty hostitele. Přihlašovacích jmen a hesel pro jiné zdroje by mohly padnout do rukou nežádoucí, zejména těch, u sociálních sítí a internetových obchodů registrovaných na dané poštovní schránky. Poptávka po e-mailových loginů a hesel je podtržen objemem podvodných komunikace jsme zjistili, že byly navrženy speciálně pro tento účel, že. Ve třetím čtvrtletí jsme se setkali phishingu písmen pomocí různých metod, aby kon lidi z jejich dat. Zde je několik příkladů:

Komunikace ve kterém phishing HTML stránek se vloží přímo do dopisu.
Spam jako způsob, jak krást mailové adresy

Komunikace s phishingové odkazy v textu dopisu. Falešný odkaz může být vázána na část textu, nebo je uvedeno v textu dopisu. Často podvodníci místo phishingových stránek na speciálně vytvořených domén třetí úrovně.
Komunikace ve kterém e-mailová adresa a heslo musí být zaslány konkrétní elektronickou adresu.
Spam jako způsob, jak krást mailové adresy

Mezi nejoblíbenější triky používané pro krádež dat jsou varování o překročení velikosti poštovní schránky, aktualizace systému a blokování poštovní schránky. A i když jsou tyto phishingové dopisy často napodobují komunikace z konkrétních poštovních služeb, velká většina z nich jsou jen obecné žádosti potvrdit přihlašovací jména a hesla pro e-mailové adresy. Pravděpodobně je to proto, že conmen posílají falešné výstrahy na celé databáze adres najednou, nikoli prochází unprofitably časově náročného procesu výběru konkrétních poštovní služby.

Spam je nad rámec mailem

Nabízí vést marketingovou kampaň, která bude rozvíjet podnikání a přilákat nové zákazníky, je populární a rozšířený trend ve spamu. Typicky zahrnují hromadné mailshots inzerovat služby. Stále více se však tyto kampaně se stěhují pryč z poštovních služeb a e-mailové adresy a cílení mobilních telefonů a smartphonů.

Spam je nad rámec mailem

Ve třetím čtvrtletí roku 2014 spammery začala nabízet SMS a instant messaging reklamy častěji. Znamená to, že klasický e-mail spam bude trvat na zadním sedadle a předání jeho převahu na SMS spam? Po analýze spojení mezi SMS spamu a e-mail spam jsme dospěli k závěru, že je to nepravděpodobné. Za prvé, stále více a více zemí jsou vědomi problému SMS spamu a přijetí legislativních opatření zakazující tento druh masové reklamy. Za druhé je zde zřejmá souvislost mezi všemi mediálních platforem používaných k distribuci nevyžádané reklamy a klasický e-mailový spam.

Spam je nad rámec mailem

Faktem je, že najít zákazníky pro své nové produkty spammeři nadále používat staré staromódní techniky - pomocí spam pošty. K dispozici je i specifický typ e-mailového sendout ve kterém spammeři nabízejí ke koupi hotových databází elektronických adres a telefonních čísel vytvořených pomocí zvláštní kritéria cílit na konkrétní publikum. K dispozici jsou také phishing mailshots zaměřené na shromažďování osobních údajů uživatelů a organizací s cílem upevnit je do databází určených k prodeji nebo použití v mailshots. Tímto způsobem spamu slouží ke sběru dat pro databáze, které jsou pak nabízeny k prodeji nebo použity k odesílání více spamu. Spammeři nadále používat klasický e-mailový spam prodat telefonních čísel pro použití v SMS spam, a najít kupce pro své služby.

Sociální sítě jsou další mediální platformu, kde je distribuce spam roste. Ty mají publikum v milionech a získávají popularitu po celou dobu. Zároveň stovky tisíc těchto účtů jsou "mrtvé duše" - boty vytvořené speciálně pro rozesílání spamu a krást osobní údaje od reálných uživatelů. V posledním čtvrtletí jsme stále častěji obsah spamu ve zdánlivě právních formálních sdělení ze sociálních sítí. To, co se děje, je, že téměř všechny účty v sociálních sítích jsou spojeny s e-mailovými adresami jejich vlastníků a zpráv distribuovaných v rámci sítě jsou zasílány e-mailem. Obsah těchto zpráv jsou typické spam: "nigerijské" příběhy milionů dolarů k dispozici užitečný kontakt, nabídky finanční pomoci začít podnikat nebo jen poukazuje na různé zboží.

Spam je nad rámec mailem

To naznačuje, že SMS mailshots a zprávy na sociálních sítích nejsou nové typy spamu, ale nové metody, které spammeři vyvinuly dodat reklamy uživatelům. Jedná se v tak či onak, spojený na e-mail spam. Navíc spammeři mohou poslat stejnou zprávu různými kanály, což vytváří dojem zvýšení celkového množství nežádoucích inzerátů odesílá.

Nový vývoj v "nigerijské" spamu

Ve třetím čtvrtletí conmen používá politickou situaci na Ukrajině a mediální bouři kolem viru Ebola jako inspirace pro vlastní "nigerijské stylu" příběhy. Politika je populární téma pro tento typ podvodník, jak lze vidět na velké procento dopisů diskutovat o politických témat či známých osobností veřejného života. Není divu, že se situace na Ukrajině se aktivně využívány v průběhu třetího čtvrtletí. Při vytváření údajné autory těchto zpráv se conmen nebyl jen vymýšlet Ukrajinci v různých profesích; oni také vykouzlil politiků a podnikatelů, které nabízejí peněžní odměny za pomoc při přenášení nebo investovat velké sumy peněz.

Nejnovější vývoj

Dopisy týkající se viru Ebola byly obvykle zaslány ve jménu fyzických osob ze západní Afriky nakažených smrtícím virem. Ale byly neobvyklé varianty, například pozvání na příbuzné konference. Bez ohledu na autora dopisu a přesvědčivé pohádkách, že cílem conmen nemění z roku na rok - ulehčit obětí své peníze.

Škodlivé přílohy e-mailů

Top 10 škodlivých programů zasílané e-mailem, se ve třetím čtvrtletí 2014

Top 10 škodlivých programů zasílané e-mailem,
ve třetím čtvrtletí roku 2014

Ve třetím čtvrtletí roku 2014 byla Trojan.JS.Redirector.adf škodlivý program, nejčastěji jsou distribuovány prostřednictvím e-mailu, podle našeho žebříčku. Zdá se, jako HTML stránky, která při otevření ze strany uživatelů, přesměruje je na infikované stránky. Tam obvykle nabízí načíst Binbot - službu pro automatické obchodování binárních opcí, které jsou v současné době populární na internetu. Malware se šíří prostřednictvím e-mailu v passwordless ZIP archivu.

Další je Trojan-Spy.HTML.Fraud.gen. Tento program byl vrchol seznamu pro několik minulých čtvrtletích, ale nakonec byl tlačil dolů. Trojan-Spy.HTML.Fraud.gen je phishing stránky HTML, na kterém je uživatel vyzván k zadání svých důvěrných dat. Veškeré zadané informace je pak poslán na zločinci. Ve srovnání s posledním čtvrtletím údaj pro tento malware klesla o 0,62 procentního bodu.

Na třetím místě je Trojan.Win32.Yakes.fize, Trojan nakladač typu Dofoil. Jeho příbuzný, Trojan-Downloader.Win32.Dofoil.dx, je na čtvrtém místě. Malware programy tohoto typu stáhnout jiný škodlivý program na počítači uživatele, spusťte jej a používat to, aby ukrást rozmanité informace o uživatelích, zejména hesla.

V pátém a devátém místech jsou dva členové univerzální bot modulu rodiny Andromeda / Gamarue - Backdoor.Win32.Androm.enji a Backdoor.Win32.Androm.euqt. Hlavními rysy těchto škodlivých programů je možnost stahovat, ukládat a spouštět spustitelné soubory, stahování a načítání DLL (bez uložení na disk), stahování pluginy a schopnost aktualizace a mazání sami. Funkčnost bot je obohacen o systém pluginů, které mohou být downloded pomocí zločinci kdykoli je to nutné.

Šestý a sedmý pozice jsou pořízena Trojan.Win32.Bublik.clhs a Trojan.Win32.Bublik.bwbx, resp. Jedná se o modifikace známého Bublík malware- Trojan-nakladač, který stáhne škodlivý soubor na počítači uživatele a spustí jej.

Na osmém místě je mailový červ Email-Worm.Win32.Bagle.gt. Hlavní funkcí všech poštovních červů je shromažďovat e-mailové adresy z infikovaných počítačů. Mailový červ rodiny Bagle mohou také přijímat vzdálené příkazy pro instalaci dalších škodlivých programů.

Naše hodnocení je doplněn Trojan-Banker.Win32.ChePro.ink. Tento downloader je vytvořen v podobě CPL-applet (složka ovládací panel) a stahování trojské koně, jejichž cílem je ukrást důvěrné finanční informace. Většina programů tohoto typu jsou zaměřeny na brazilské a portugalské banky.

Distribuce e-malware rodinou

Pokud jde o nejoblíbenější rodiny škodlivých programů, jejich e-mailové rozdělení je následující:

TOP 10 rodiny škodlivých programů distribuovaných prostřednictvím e-mailu, se ve třetím čtvrtletí 2014

TOP 10 rodiny škodlivých programů distribuovaných prostřednictvím e-mailu,
ve třetím čtvrtletí roku 2014

Okruh hodnocení je rodina Andromeda, což představuje 12,35% všech malware. Na druhém místě je Zeus / Zbot: členové této rodiny jsou určeny pro útoky na servery a počítače uživatelů a také pro sběr dat. I když Zeus / Zbot je schopen provádět různé škodlivé opatření, která se nejčastěji používá ukrást bankovní údaje. To může také nainstalovat CryptoLocker - škodlivý program, který vydírá peníze na dešifrování dat uživatelů.

Bublík, který často načte Zbot, také top 10 nejčastěji používaných malware rodiny.

Země, na něž je zaměřen škodlivými mailshots

Distribuce email antivirových aktivací podle země, ve třetím čtvrtletí 2014

Distribuce email antivirových aktivací podle země,
ve třetím čtvrtletí 2014

Ve třetím čtvrtletí došlo k několika změnám v zemích, na které se zaměřují mailshots škodlivými obsah. Teď vidíme, Německo na první místo s 10.11%. Británie klesne na druhý, ztrácí 1,22 procentního bodu ve srovnání s druhým čtvrtletím. Na třetím místě je USA, dolů 1,77 procentního bodu.

Rusko, které ve druhém čtvrtletí byl na 19. místě s 1,48%, vyšplhala na 6. místo v tomto čtvrtletí (4,25%); podíl škodlivého spamu zaměřené na země zvýšil téměř trojnásobně.

Zvláštnosti škodlivého spamu

Ice Bucket Challenge

V uplynulém čtvrtletí zločinci i nadále používat vysoce akce Profil přitáhnout pozornost k mailshots obsahující malware. Tentokrát kbelíku s ledem Challenge, obrovsky populární letní kampaně, byl jedním z těchto událostí. Cílem této kampaně je zvýšit povědomí o amyotrofická laterální skleróza, a také shromáždit finanční prostředky na výzkum této nemoci. Obrovské množství lidí se zúčastnilo, mnoho z nich slavný: herci, politici, sportovci, podnikatelé a hudebníci nalil ledové vody přes sebe, nahrávání videa procesu a absolvování štafetu na další. Na vrcholu své popularity conmen zapojil, když viděl kampaň jako šanci přilákat pozornost jejich škodlivých komunikaci.

Ice Bucket Challenge

V důsledku toho nic netušící uživatele začal dostávat dopisy s nabídkami se připojit sdružení ALS a změnit svůj život, jako tisíce jiných už udělal. Příjemci byla nabídnuta inspirující videa sledovat, který se nachází v archivu připojené k dopisu. Ale místo zaslíbené videa škodlivý program, jako je Backdoor.Win32.Androm.eu.op ležela v záloze. Tyto programy umožňují zločinci infikovat počítače, které se často stávají součástí botnetů.

"Škodlivé zprávy" z rezervační systémy

Ve třetím čtvrtletí roku 2014 zločinci odeslal sezónní škodlivého spamu vázající se tématy letních prázdnin. Spam provoz představoval falešné zprávy od hotelů, rezervace služeb a letecké společnosti v angličtině a němčině. Tradičně conmen se snaží přesvědčit uživatele, že archiv ZIP obsahuje informace o hotelových rezervací či letenek.

Mimo jiné jsme našli falešné komunikace od American Airlines; spustitelné soubory byly připojeny na dopisy, které obsahovaly malware z rodiny Net-Worm.Win32.Aspxor. Tyto čisté červi mohou posílat spam, stáhnout a spustit další programy, sbírat cenná data z počítače oběti (uložená hesla, pošty a FTP účtů) a také automatické vyhledávání zranitelných míst pro další infekce, aby šíření bot.
Kované dopisy v němčině, údajně odeslané prostřednictvím internetového portálu pro rezervaci ubytování v Německu, obsahoval malware Trojan-Spy.Win32.Ursnif. Tento Trojan krade důvěrná data a je schopen monitorovat síťového provozu, zatížení a běh jiné škodlivé programy a také vypnutí několik aplikací systému.

Malware v ARJ archivech

V září jsme zjištěn významný škodlivý MailOut s neobvyklou přílohou spam dopisy - archiv ve formátu ARJ. Je třeba poznamenat, že tento výběr souboru archivační bylo zřejmě právě z důvodu neobvyklé formátu. Zločinci Předpokládá se uživatelé by si být vědomi možných nebezpečí ZIP a RAR archivů přílohy, ale může být méně podezřelé z neznámé značky. Dále ARJ archivační umožňuje velikost souboru, aby se výrazně snižuje, a jeho zdrojový kód je k dispozici pro všechny ke studiu a modifikaci.

Mezi zločinci poslal několik typů škodlivého dopisu v rámci jedné MailOut. Jednalo se o oznámení o přijetí faxu, výpisu z účtu od konkrétní firmy a osobní komunikace s pozdravem v těle dopisu. Všechna písmena měli přílohu v podobě škodlivého programu z rodiny Trojan-Downloader.Win32.Cabby, který odvádí pozornost oběti s RTF nebo DOC dokumentu a načte se škodlivý program od Zeus / Zbot rodině zároveň. Všechny upevňovací názvy souborů byly vytvořeny za použití stejného formátu. Chcete-li dát na dopisy jedinečný pocit, že počítačoví piráti vystřídalo několik fragmentů textu a antivirové automatický podpis.

Malware v ARJ archivech

Statistika

Podíl nevyžádané pošty v e-mailovém provozu

Podíl nevyžádané pošty v e-mailovém provozu, duben až září, 2014

Podíl nevyžádané pošty v e-mailovém provozu,
duben až září, 2014

Podíl nevyžádané pošty v e-mailovém provozu podle údajů za třetí čtvrtletí roku 2014 byl 66,9%, což je 1,7 procentního bodu méně než v předchozím čtvrtletí. Největší množství spamu byla zaslána v srpnu a nejpozději v září.

Zdrojové Spam země

Země, které jsou zdrojem spamu, ve třetím čtvrtletí 2014

Země, které jsou zdrojem spamu,
ve třetím čtvrtletí 2014

Ve třetím čtvrtletí roku 2014 USA zůstal v zemi, která byla největším zdrojem spamu, zasílání téměř 14% nevyžádané pošty. Na druhém místě bylo Rusko s 6,1%. Dokončení trio vůdců byl Vietnam s téměř stejnou částku, jako Rusko při 6% světového spamu.

Distribuce zdrojů spamu měl několik překvapení. Čína (5,1%), Argentina (4,1%) a Německo (3,5) dostala do první desítky s Brazílií na desátém místě na 2,9%.

Velikost písmen spamu

Velikosti spamu dopisů, ve třetím čtvrtletí 2014

Velikosti spamu dopisů,
ve třetím čtvrtletí 2014

Distribuce spamu podle velikosti téměř nezměnila od druhého čtvrtletí. Vedoucí nadále velmi krátké dopisy až do výše 1 kB, které jsou rychlé a snadno ovladatelná v hromadnou korespondenci. Podíl těchto písmen zvýšil o 4,6 procentních bodů.

Došlo k mírnému snížení podílu písmen v rozmezí velikosti 2 KB - 5 KB - o 4,8 procentního bodu. Tam byl také k mírnému snížení množství spamu v rozmezí 5 až 10 Kb, o 2,5 procentního bodu. Nicméně došlo ke zvýšení o 1,7 procentního bodu v podílu písmen o velikosti 10 až 20 kb.

Phishing

Ve třetím čtvrtletí roku 2014 počítačích uživatelů produktů společnosti Kaspersky Lab zaznamenal 71591006 instance, které spustily systém "phishingu". To je 11,5 milionu více než v posledním čtvrtletí.

Stejně jako ve druhém čtvrtletí, největší jediná skupina uživatelů vystavených phishingových útoků byla v Brazílii - číslo bylo až 3,53 procentního bodu na 26,73%.

Geografie phishingových útoků * třetím čtvrtletí roku 2014

Geografie phishingových útoků *
třetím čtvrtletí roku 2014

* Procento uživatelů, na jehož počítače se systémem "Antiphishing" spuštěna z celkového počtu uživatelů produktů Kaspersky Lab v zemi

Top 10 zemí podle procentu napadených uživatelů:

Země % Uživatelů
1 Brazílie 26,73%
2 Indie 20.08%
3 Austrálie 19,37%
4 Francie 18,08%
5 Spojené arabské emiráty 17.13%
6 Kanada 17.08%
7 Kazachstán 16,09%
8 Čína 16.05%
9 Spojené království 15.58%
10 Portugalsko 15.34%
Tam byl patrný nárůst napadených uživatelů v Číně (+ 4,74%), Austrálie (+ 3,27%), Spojené arabské emiráty (+ 2.83%) a Kanadě (+ 1,31%).

Organizace pod útokem

Statistiky o cílech, phishingových útoků jsou založeny na spouštění heuristické složky systému "phishingu". Heuristické součástí systému "phishingu", se spustí, když uživatel sleduje odkaz na stránku, phishing a nejsou žádné informace o této stránce v databázích Kaspersky Lab. K tomu není důležité, jak se stránka zadána, v důsledku kliknutí na odkaz v phishing dopise, síťové zprávy sociální nebo například jako výsledek působení škodlivého programu. V důsledku spuštění uživatel vidí varování možného ohrožení v prohlížeči.

Stejně jako dříve, "e-mailu a vyhledávacích portálů" kategorie (dříve známý jako "globální internetové portály"), byla skupina organizací nejčastěji předmětem útoky typu phishing. Nicméně podíl v této kategorii klesla výrazně - o 22,15 procentních bodů - a ve třetím čtvrtletí činí 28,54%.

Distribuce organizacemi za útoky typu phishing, třetí čtvrtletí roku 2014

Distribuce organizacemi za útoky typu phishing,
třetí čtvrtletí roku 2014

Ve třetím čtvrtletí roku 2014 v kategorii "Online finance" Viděl bodový nárůst 13,39 procentního podílu na 38,23%. V rámci svých dílčích kategorií bylo zvýšení za druhé čtvrtletí v řadě pro "banky" (+ 6,16%), "Platební systémy" (+ 5,85%) a "on-line obchodů" (+ 3,18%).

Distribuce phishingových útoků na platebních systémů, ve třetím čtvrtletí 2014

Distribuce phishingových útoků na platebních systémů,
ve třetím čtvrtletí 2014

Phishingové útoky na platební systémy jsou mimořádně atraktivní, protože conmen mohou dostat do rukou přímo na peníze svých obětí. Paypal bylo nejčastěji cílené platební systém (32,08%), Visa (31,51%), v těsném závěsu a American Express ve třetí s 24,83%.

Phishingové útoky na uživatele platebních systémů se často provádí zasláním falešné dopisy, zřejmě napsané zástupci finančních institucí. Tyto dopisy obsahují hrozby zablokovat účet nebo zastavit aktivitu účtu a jsou navrženy tak, aby polekat uživatele do vyrážka reakce, která by mohla zahrnovat přenos důvěrných informací k zločinci.

Dopis byl v tomto příkladu poslal z podezřelé adresy, které se neshodovalo PayPal obvyklou poštovní adresu. Tam byl hrozbou pro uživatele, který by měl být účet blokovány, pokud údaje účtu nebyla obnovena, a požadavek, aby na odkaz a zadat osobní údaje na stránce, která otevřela.

V návaznosti na odkaz uživatel vidí stránky napodobující vzhled oficiálního Paypal webové stránky, s formuláři pro vstup osobních údajů. Připojení na tuto stránku však není chráněn, což se projevuje nedostatkem HTTPS v adresním řádku a označené IP adresa nepatří Paypal.

Top 3 zaútočili organizace

Organizace % Phishingových odkazů
1 Google 10.34%
2 Facebook 10.21%
3 Yahoo! 6.36%
První tři cílové organizace i nadále Google, Facebook a Yahoo !, však došlo ke změnám v rámci prvních tří. Čísla pro Google (10,34%) a Facebook (10.21%), mírně vzrostly: tyto organizace šly nahoru místo v kroku. Yahoo !, který byl nesporným lídrem v první polovině roku 2014, klesla až na třetí - údaj pro organizaci se snížil o 24,62% ​​na 6,36%.

Horká témata v phishingu

Apple nebyl mezi prvními třemi, i když se vyšplhal v hodnocení organizací podléhajících phishingových útoků dosáhnout čtvrté místo s číslem 1,39% (+ 0,98%). Na začátku září se společnost se podílela na hlavní skandál, spojený s únikem fotografiemi slavných lidí od jeho iCloud úložiště servcie. Apple zamítl zvěsti o přítomnosti zranitelných míst ve službách vedoucí k uniklé dat; to by mohlo být výsledkem phishing útoku zaměřeného na uživatele produktů Apple (není jasné, zda se jednalo o cílený útok, nebo v případě, hackeři byli prostě štěstí, že tam bylo několik hvězdy mezi jejich oběti).

Kromě toho, nový iPhone 6 a 6 Plus byly vyhlášeny dne 9. září. Významné události v podniku obvykle přilákat další zájem podvodníků, takže není divu, že jsme zaznamenali nárůst počtu falešných sdělení zaslaných ve jménu představitelů služeb, Apple, jako jsou iTunes a iCloud.

Horká témata v phishingu

Conmen použil název firmy upoutat pozornost uživatelů a často používá stejný formát dopis, mění pouze název služby společnosti Apple.

Počet denních phishingových útoků, které imitují stran zdrojů Apple, druhé a třetí čtvrtletí roku 2014

Počet denních phishingových útoků, které imitují stran zdrojů Apple,
ve druhém a třetím čtvrtletí roku 2014

Apple používá šek dvoufázový pro Apple ID na ochranu osobních údajů uživatelů, včetně registrace jednoho nebo několika důvěryhodných zařízení. Dvoustupňová kontrola eliminuje možnost neschválenému přístup nebo změnu uživatele registrované detaily a zabraňuje neoprávněnému nákupy pomocí odcizené registrační údaje. Dne 5. září Apple oznámil, že to bude brzy přijmout dodatečná bezpečnostní opatření, která by informovat uživatele o podezřelé aktivity na svých účtech.

Příklad phishingové stránky požadující ID dat Apple
Příklad phishingové stránky požadující ID dat Apple

Příklad phishingové stránky požadující ID dat Apple

Mimo jiné, mohou uživatelé zvýšit jejich bezpečnost tím, pozorně studovat žádnou stránku, která žádá o důvěrných informací. Pozornost by měla být věnována na přítomnost chráněné připojení a zda doména patří Apple. Je to stojí za zvážení, jaké informace jsou požadovány - conmen často žádat o informace nepříbuzné na to, co je potřeba pro použití Apple ID; často žádat o údaje o platební kartě pod záminkou, že jejich propojení účtu. V těchto případech, pokud uživatelé nezávisle zásobovat podvodníky s obranou finančních informací Apple nemůže chránit před následky.

Příklad stránky phishing imitující požadavek Apple o potvrzení osobních údajů

Příklad stránky phishing imitující požadavek Apple o potvrzení osobních údajů

Závěr

Podíl nevyžádané pošty v e-mailovém provozu za třetí čtvrtletí roku 2014 byl 66,9%, což je 1,7 procentního bodu méně než v posledním čtvrtletí.

Témata spamu ve třetím čtvrtletí výrazně odrazily významných událostí, jako je uvolnění iPhone 6, politického vývoje na Ukrajině, v úniku síťových hesel z hlavních poštovních služeb, kampaň Ice Bucket Challenge a letních prázdnin. Hlavní světové události jsou také aktivně využívány v "nigerijské" spamu.

Tři vedoucí zdrojovými zeměmi spamu zaslané po celém světě jsou USA (14%), Rusko (6,1%) a Vietnam (6%).

Žebříčku škodlivých programů odeslaných e-mailem podle údajů třetím čtvrtletí, jsou v čele Trojan.JS.Redirector.adf (2,8%), který vysílá uživatele na infikované stránky. Mezi rodinami škodlivých programů rodina Andromeda byla lídrem s 12,35% podílem na všech malware. Uživatelé v Německu mají více útoků než ty, které nikde jinde.

Třetí čtvrtletí se spam provoz se skládá z phishingu dopisy, jejichž cílem je ukrást přihlašovací jména a hesla pro e-mailové účty, a vydání nového iPhone viděl vybuchnout podvodných sdělení zjevně odeslané ze služeb Apple iTunes a iCloud.

Aby bylo možné nainstalovat své škodlivé programy na počítačích uživatelů ve třetím čtvrtletí zločinci rozeslal nejen falešné oznámení od hotelu on-line služeb a letecké společnosti, ale také dopisy s dlouhými nevyužité souborů archivátory.

Růst phishingových útoků na organizace zapojené do on-line finančních operací pokračuje (banky, platební systémy, internetové obchody). Došlo k výraznému snížení počtu útoků na organizace z kategorie "E-mail a vyhledávacích portálů," až na 28,54%. Tam byl také patrný pokles podílu útoků zaměřených na Yahoo !, jedné z organizací v této kategorii.

Zpráva: Cílená digitální výhrůžky organizací občanské společnosti
20.11.2014 Analýza
Organizace občanské společnosti (OOS), že práce na ochranu lidských práv a občanských svobod na celém světě jsou bombardováni stejné trvalé a nebezpeční cílené počítačové špionáže útoky údajně zasáhla průmysl a vládu. Na rozdíl od průmyslu a vlády, nicméně, organizace občanské společnosti mají mnohem méně prostředků k řešení problému a jen zřídka dostávají stejnou pozornost jako první. Tyto útoky na občanské společnosti, vyvolat závažné otázky pro udržitelné prosazování práv a demokracie ve světě. Tyto a další závěry jsou podrobně popsány v hlavní nové zprávy, zveřejněné Citizen Lab, interdisciplinární výzkumná laboratoř se sídlem na University of Toronto Munk School of Global Affairs . Zpráva podílí 10 občanských sdružení, která se zapsal jako studijních předmětů po dobu čtyř let. Studie Citizen Lab snažil získat lepší přehled o často přehlížena prostředí digitální nepříznivý vliv - ať už to vědí, nebo ne -, mnoho z nejdůležitějších institucí, společenských se účastní organizace občanské společnosti sdílené e-maily a přílohy podezřelých z obsahující škodlivý software, síťový provoz, a další údaje s výzkumníky, kteří se zavázali důvěrné, podrobnou analýzu. Vědci také věnována místě, které mají účast organizací občanské společnosti, a rozhovor o jejich vnímání a dopady digitálních útoků na jejich provoz. "Je dobře známo, že počítač špionáž je problém, kterému čelí Fortune 500 společností a vládních agentur. Méně známý a zkoumal, jsou však způsoby, jak tyto stejné typy útoků mají vliv na menším organizacím prosazování lidských práv, svobody slova a přístupu k informacím. Vydali jsme se na tuto mezeru ve znalostech, "vysvětlil profesor Ron Deibert, ředitel Citizen Lab. "Komunity @ zprávě rizik představuje zásadní systematické úsilí k určení typu digitálních útoků tíživé lidských práv a dalších organizací občanské společnosti." Vědci zjistili, že technická propracovanost i těch úspěšných útoků proti občanské společnosti bývá nízká. Místo toho, útočníci dát ještě velké množství času a úsilí do tvorbě legitimní vypadající e-mailové zprávy nebo jiné "návnady", určené k návnadu cíle do otevírání příloh nebo kliknutím na odkazy. Obsah těchto návnad je často odvozena z informací získaných z předchozích porušení jednotlivců v jejich organizaci či partnery v jejich širších komunitách. Pravidelné užívání sociálně inženýrských útoků jako návnada narušuje důvěru mezi těmito komunitami a odrazuje kolem pomocí samotné komunikační technologie, které jsou často považovány za organizace občanské společnosti "největší přínos. Po dobu čtyř let, vědci sledovali, jak útočníci modifikované Jejich škodlivý software a další útok techniky založené na organizace občanské společnosti "volby operačních systémů a dalších platforem, což naznačuje přetrvávající a vyvíjející se povahy cílených digitálních hrozeb. Zpráva také zdůrazňuje nadnárodní rozměr cílených digitálních hrozeb na občanské společnosti. Cílené digitální hrozby poskytnout prostředky pro silný hrozby herce, jako je stát, rozšířit svou působnost i za hranice a do "bezpečných oblastí," sledování exilu novináře, diaspora a skupin pro lidská práva, jako by byli v fyzické blízkosti. Zpráva uvádí, že řešení problému bude vyžadovat mezi několika zúčastněných stran velké úsilí, od nadací, které financují občanskou společnost, do soukromého sektoru, vlád. Investoři jsou v jedinečném postavení na podporu stipendistů při vytváření měřitelné zlepšení jejich organizačního zabezpečení, ale musí nejprve přijmout Kroky ke správnému vyhodnocení digitálních rizika pro sebe i své stipendisty. Firmy, které se hromadí software nebo zajištění bezpečnosti informací mají povinnost podporovat organizace občanské společnosti v ohrožení, a zpráva doporučuje oni zkoumají "pro bono" model pomoci, stejně jako kreativní řešení licencování pro organizace občanské společnosti, aby se zabránilo použití nezabezpečeného, ​​zastaralé software. V neposlední řadě by se vlády, které podporují právo na soukromí a svobodu projevu on-line přijmout opatření ke zvýšení profilu cílených digitálních hrozeb vůči občanské společnosti v jejich domácí politiky a diplomacie, "léčení tom, jak stejné priority jejich obraně soukromého sektoru. "

Jak se zločinci podvod spotřebitelé v průběhu prázdnin
19.11.2014 Analýzy
McAfee oznámila svůj každoroční "12 podvody prázdnin" seznam, který obsahuje nejpopulárnějších způsobů, jak zločinci podvod spotřebitele v průběhu prázdnin, jak surfovat jejich digitálních zařízení.

1. vy jste dostali Mail! - jako rekreační prodeje pokračovat v migraci, online, riziko oznámení lodní a phishingu se zvyšuje. Ačkoli malware je celoročně riziko, protože mnoho lidí si svou dovolenou nakupování on-line, spotřebitelé jsou více apt klikněte na oznámení přepravní nebo podvodných e-mailů, protože si myslí, že je legitimní. 2. Klamavá reklama - Každý, kdo hledá krade a zabývá v průběhu prázdnin. Mějte oči otevřené (a vaše peněženka v šachu), když on-line nakupování nejžádanějších produktů této sezóny. Nebezpečné odkazy, falešné soutěže na sociální média, a falešné dárkové karty jsou jen některé ze způsobů, jak podvodníci se snaží ukrást vaše osobní údaje a zničit vaši dovolenou fandit. 3. Zchlazování Charity - 'Tis sezóny pro dávání. Během prázdnin, mnozí spotřebitelé dát zpět tím, že daruje své oblíbené charitě. Je smutné, že není dobrý skutek nezůstane nepotrestán. Dávejte si pozor na falešné charitativních organizací, které vám mohou dosáhnout prostřednictvím e-mailu, nebo sdílené virem prostřednictvím sociálních médií. 4. Kupující pozor - tam jsou jen některé podvody, které si nemůžete pomoct, ale se stanou obětí, bohužel. Point of Sale malwaru, který vede k odhalení informací o kreditní kartě spadá do této kategorie. Ujistěte se, že jste zkontrolovat výpisy z kreditní karty ostražitě a zůstat na vrcholu novinek být vědomi a připravená. 5. iScams - Nová mobilní aplikace pro Android a iOS zařízení jsou přidány každý den. Díky probíhající technologický pokrok, vaše mobilní zařízení může regulovat teplotu ve vašem domě, udržet si připojen k sociální média a přidat pohodě filtry na vaše fotografie z dovolené. Dokonce i ty oficiální, kteří hledají nebo slavnostní aplikace mohou být nebezpečný a přístup k osobní údaje. 6. Jak Carded - Digital pohlednice k šíření dovolenou fandit, jsou zábavné, snadné a co je nejdůležitější, přemýšlivý. I když budete chtít miloval, kdo tě "Zdravím sezóny," poslat hackeři hledají vám popřát "Veselé Malware!" Známá místa e-karty jsou bezpečné, ale mít na pozoru před možnými podvody, které způsobují si můžete stáhnout malware na Vaše zařízení. 7. Holiday Travel Podvody - S cestování na vzestupu špičkách prázdninových časech, on-line podvodníci jsou připraveni využít k tomu, že spotřebitelé se často stávají méně ostražití o jejich bezpečnosti. Falešná on-line cestovní zabývají odkazy jsou bohatý, ale jsou zde i nebezpečí, že existují, jakmile dorazíte do cíle, včetně spyware, který přístup k informacím přes přihlášení do infikovaných počítačů na místě. 8. Bank Robocall podvod - Když Dovolená zvýšení výdajů a spotřebitelé jsou si vědomi zneužití jejich bankovních účtů a kreditních karet, hackeři použít jako příležitost. Ve většině případů, spotřebitelé získají falešný telefonát od jedné z těchto institucí z automatického (nebo ne) "bezpečnostní agent" o tom, že účet uživatele bylo prozrazeno a požadující osobní údaje včetně hesla účtu, provést změny. 9. ATM odpěňovat - Během prázdnin, budete potřebovat peníze a jsou obvykle ve spěchu, aby si to. Pachatelé mohou přístup k informacím z bankomatů instalací skimming zařízení ukrást data z magnetického proužku vaší karty, a to buď pomocí video kamery nebo překrytí klávesnice zachytit PIN. Jednoduché řešení: Podívejte se pozorně na vaší bankomatu na cokoliv podezřelého, a pokrývají klávesnici při zadávání kódu PIN. 10. Rok v přehledu pastí - Mnoho zpravodajství využít prázdnin rozvojem "Rok v recenzi" články. Společnosti by měly varovat své zaměstnance o rizicích kliknutí na tyto typy vazeb z jejich pracovních e-mailů. Odkazy z falešných zdrojů mohla nakazit a ohrozit bezpečnost firemních zařízení. 11. BYO ... Device - (!) a temperamentní S nárůstem počtu cest, aktivita přes rušnou prázdnin, lidé jsou více pravděpodobné, že zapomenout na své chytré telefony na veřejných místech. Zatímco nevhodné pro ně, je to také způsob, jak hackerům přístup citlivé osobní informace a obchodní data jsou-li příslušná bezpečnostní opatření nejsou na místě. 12. Bad USB Blues - Během prázdnin, můžete vidět nárůst dárkové koše od dodavatelů, kteří chtějí pokračovat v podnikání s vaší společnosti v následujícím roce. Jeden z nejoblíbenějších položek v těchto koších zahrnuje značkové USB modemy. Dejte si pozor na umožnit svým zaměstnancům používat tyto, jak nezjistitelný malware je někdy předinstalován na nich.

Pouze 47% IT profesionálů, jsou přesvědčeni v jejich hardwarových konfiguracích
19.11.2014 Analýzy
Respondentů nového průzkumu Tripwire byli požádáni o úrovni důvěry, které mají ve své aplikaci základových bezpečnostních kontrol, včetně hardware a software inventarizace, řízení zranitelnosti, patch management a systému kalení.

Tyto ovládací prvky jsou požadovány nejuznávanějších celosvětových normách pro bezpečnostní a organizací, včetně:
PCI Data Security Standard (PCI DSS)
North American Electric Spolehlivost Corporation Ochrana kritické infrastruktury (NERC CIP)
Národní institut standardů a technologie (NIST)
Sarbanes-Oxley Act (SOX)
Zdravotního pojištění Přenosnost a odpovědnost zákon (HIPAA)
Kontrolní cíle pro informační a související technologie COBIT ()
Mezinárodní organizace pro normalizaci (ISO).
Podle zprávy Spojené státy Computer Emergency Readiness Team (US-CERT), by se dalo předejít, pokud jednoduchých nebo dílčí bezpečnostní kontroly byly zavedeny 96 procent úspěšných narušení dat. Průzkum Tripwire zjistili, že 77 procent všech respondentů se domnívala, "věří, "při provádění těchto základních bezpečnostních kontrol. Nicméně, i přes pokračující nárůst cílených kybernetických útoků, 27 procent IT profesionálů i nadále "není jistý" v bezpečné konfiguraci společných zařízení připojených do sítě. nálezy Klíčové průzkumu patří:
 

Více než 100 milionů záznamů byly obsaženy v maloobchodních narušení dat za posledních 12 měsíců v důsledku malware na místě prodeje zařízení, ale 77 procent z maloobchodní odborníky v oblasti IT jsou "jisti", že všechna zařízení na jejich síti jsou spuštěny pouze autorizovaný software.
Přes varování ICS-CERT, pokud jde o pokračující, zaměřených na sofistikovaný malware kampaň ICS systémů, 89 procent manažerů z oblasti energetiky, jsou "velmi jisti" nebo "docela jistý," ve svém programu pro správu zranitelností.
Pouze 10 procent bezpečnostních profesionálů jsou "velmi jisti" v jejich programu patch management.
Pouze 47 procent IT profesionálů jsou přesvědčeni, v bezpečné konfiguraci směrovače, firewally a modemů připojených do sítě.
Andrew Kellett, hlavní analytik, bezpečnost a řešení infrastruktury, Ovum řekl: "V seznamu narušení bezpečnosti vysoce postavených ve všech odvětvích průmyslu neustále roste, 2014 je na cíl být nejhorší rok, ale za porušení dat. Všechny náznaky ukazují, že množství údajů odcizených je nastaven na předstihnout 2013, který sám byl rozpoznán v rámci bezpečnostního průmyslu jako velmi špatný rok. V tomto kontextu selhání je nemyslitelné, že více než tři čtvrtiny IT profesionály, jsou přesvědčeni, že jejich stávající bezpečnostní zařízení udrží v bezpečí. Značná část těchto organizací se již utrpěl bezpečnostní problémy v letošním roce, a vzhledem k tomu, že průměrná doba potřebná k detekci narušení bezpečnosti i nadále měří v měsících je dobrá šance, že prostě nebyly dosud identifikován problém. " Mezi respondenty 404 IT profesionálů a 302 vedoucích pracovníků z oblasti maloobchodu, energie a organizací finančních služeb v USA a Velké Británii.

8 kritéria, se rozhodnout, který ISO 27001 zásady a postupy, psát
19.11.2014 Analýzy
Pokud jste právě začíná realizovat ISO 27001 ve vaší firmě, budete pravděpodobně v dilematu, kolik dokumentů musíte mít, a zda je nutné určité zásady a postupy, nebo ne. Kritéria pro rozhodování o tom, co dokumentovat Well, Prvním krokem je jednoduchá - je třeba zkontrolovat, zda dokument je vyžadováno podle normy ISO 27001. Za tímto účelem, naleznete v tomto článku: seznam povinných dokladů vyžadovaných podle ISO 27001 (2013 revize) . Je-li povinný dokument, musíte o čem přemýšlet - je třeba napsat, že pokud chcete, aby byly v souladu s touto normou. (Viz také: Sedm kroků k provádění zásady a postupy ). Nicméně, pokud dokument není povinná, můžete zjistit sami si lámal hlavu, zda je nutné to napsat, nebo ne - například, budete potřebovat politiku zálohování? Nebo snad Klasifikace politika? ? Nebo BYOD Policy Zde je několik kritérií, které vám pomohou: . Rizika musíte začít tím, že posouzení rizik, aby zjistili, zda je potřeba pro takové kontroly vůbec (viz také: Základní logika ISO 27001: Jak informační bezpečnosti práce? ). Není-li nebezpečí, pak se určitě nebudete potřebovat doklad pro něj; pokud existuje riziko, to ještě neznamená, že musíte napsat dokument, ale aspoň jste vyřešili dilema, zda je nutná kontrola, nebo ne. Shodu. Někdy můžete mít nařízení nebo smluvní povinnost psát určitý doklad - například nařízení může vyžadovat, abyste mohli napsat Klasifikační politiku, nebo váš klient může vyžadovat, abyste podepsal NDAS se svými zaměstnanci. velikost vaší firmy. Menší firmy mají tendenci mít méně dokumentů, takže v takovém případě by se měli snažit, aby se zabránilo psaní postup pro každou malou proces - například, pokud máte 20 zaměstnanců nepotřebujete 50 dokumentů pro ISMS. Samozřejmě, pokud jste nadnárodní organizace s 10.000 zaměstnanci, psaní politiky, kdy každý bude mít několik souvisejících postupů, a pak pro každý postup pár pracovních instrukcí. - Tento přístup dává smysl . Důležitost důležitější proces nebo činnost je, tím větší je pravděpodobnost, budete chtít napsat politiku nebo postup, jak to popsat - je to proto, že budete chtít, aby se ujistil, každý ví, jak provést tento proces nebo činnost, aby se zabránilo poruchám ve vašem provozu. Počet . osob zapojených Čím více lidí, provést proces nebo činnost, tím větší je pravděpodobnost, budete chtít dokumentovat; Například, pokud máte 100 lidí se účastní, to bude velmi obtížné vysvětlit ústně všem těmto lidem, jak provádět některé procesu - je mnohem jednodušší napsat proceduru, která by vysvětlila vše, co v detailu. Na druhou stranu, pokud máte pět lidí se účastní, můžete pravděpodobně vysvětlit, jak celý proces funguje v jedné schůzi, takže není potřeba písemným postupem. Existuje však jedna výjimka, ale: pokud máte pouze jeden osoba, která pracuje na postupu, možná budete chtít, aby to dokument, protože nikdo jiný neví, jak na to - takže pokud tato osoba není k dispozici, budete moci pokračovat ve své činnosti . , Složitost složitější proces, tím větší je pravděpodobnost, že budete potřebovat písemný doklad pro to (alespoň ve formě kontrolního seznamu) - to je prostě nemožné si pamatovat zpaměti, například 100 kroků, které je potřeba které mají být provedeny v přesném pořadí. Splatnost. Pokud proces nebo činnost je jasně stanoveno, pokud to běží několik let a každý přesně ví, jak ji provést, pokud je jemně vyladěné, pak je pravděpodobně není třeba na dokument to, frekvence. Pokud provedete nějaké činnosti, spíše zřídka, možná budete chtít, aby je zapsat, protože byste mohli zapomenout, jak se dělá. Najít správnou rovnováhu Čím více dokumentů, které jste a podrobnější jsou, tím obtížnější bude udržovat je a aby vaši zaměstnanci dodržovat je. . Na druhou stranu, možná menší počet dokumentů, které jsou také docela krátký, přesně popsat, co musíte udělat, ve většině případů, doporučuji svým klientům, aby se stal příliš ambiciózní - v případě, že není bezpodmínečně nutné vytvořit nějaký nový dokument , nedělejte to; , v případě, že není třeba popisovat nějaký proces velmi podrobně, aby bylo kratší a pamatujte - zbytečné dokumenty vám přinese nic než problémy. Viz zde příklad Postup pro kontrolu dokumentů . Autor: Dejan Kosutic, Expert na 27001Academy, je autor dokumentační nástroj zaměřené na malé a střední firmy: ISO 27001 a ISO 22301 dokumentace Toolkit .

IT hrozba vývoj Q3 2014
18.11.2014 Zdroj: Kaspersky Analýzy
ČTVRTLETNÍ MALWARE ZPRÁVY

PDF verze

Přehled

Cílené útoky a malware kampaně

Po stopách Yetiho

V červenci jsme zveřejnili naši hloubková analýza na cílený útok kampaně, které jsme nazval "přikrčil Yeti". Tato kampaň je také známý jako "Energetická medvěd".

Tato kampaň, která působí od konce roku 2010, dosud zaměřovaly na následující oblasti: industrial / stroje, výrobní, farmaceutické, stavební, vzdělávání a informačních technologií. Zatím tam bylo více než 2800 obětí po celém světě, a my jsme byli schopni identifikovat 101 různých organizací - zejména ve Spojených státech, Španělsku, Japonsku, Německu, Francii, Itálii, Turecku, Irsku, Polsku a Číně.

Po stopách Yetiho

Seznam obětí naznačuje, že útočníci za Crouching Yeti sledují strategických cílů. Přesto, že útočníci také projevili zájem o ne-tak-zřejmých institucí příliš.

Útočníci za Crouching Yeti používají různé typy malware (Vše je navrženo tak, aby infikovat systémy Windows), proniknout do jejich oběti, rozšířit svůj dosah v cílových organizacích a ukrást důvěrné údaje, včetně duševního vlastnictví a dalších strategických informací. Infikované počítače připojit k rozsáhlé síti napadených webových stránek, které obsahují malware moduly, drží informace o obětech a posílat příkazy na infikovaných systémů.

Útočníci používají tři metody nakazit své oběti. Za prvé, oni používají legitimní software instalátor, re-balené obsahovat škodlivý soubor DLL. Takto upravené samorozbalovací archivní soubory mohou být nahrána přímo na ohrožena serveru, nebo by mohly být zaslány přímo někomu v rámci cílové organizace, prostřednictvím e-mailu. Za druhé, používají soubor kopí-phishing dodat škodlivý XDP (XML Data Package), obsahující Flash exploit (CVE-2011 až 0611). Útoky Za třetí, oni používají zalévání děr. Hacked webové stránky používat několik exploity (CVE-2013-2465, CVE-2013-1347 a CVE-2012-1723) přesměrovat návštěvníky na nebezpečné JAR nebo HTML soubory, jejichž hostitelem na jiných místech udržovaných útočníky. Pojem "koupaliště díra" se aplikuje na webové stránky, které bude pravděpodobně navštíví potenciálních obětí. Tyto webové stránky jsou ohroženy předem útočníků - místo se vstřikuje k instalaci škodlivého softwaru na počítačích každého, kdo navštíví ohrožena webu.

Jeden škodlivý program používá útočníky, v HAVEX Trojan, obsahuje speciální moduly pro sběr dat z určitých IT prostředí průmyslové. Prvním z nich je modul OPC skeneru. Tento modul je určen pro sběr extrémně detailní data o OPC serverech v lokální síti. OPC (propojování a vkládání objektů (OLE) for Process Control), servery se obvykle používají tam, kde více Automatizované průmyslové systémy fungují. Tento modul je doprovázen nástrojem síťového skenování. Tento modul prohledává lokální sítě, hledá všechny počítače naslouchá na portech souvisejících s OPC / SCADA (dispečerské řízení a sběr dat) softwaru, a pokusí se připojit k těmto hostitelů s cílem určit, které potenciální OPC / SCADA systém běží. To pak přenáší veškeré údaje, které najde na Command-a-Control (C2) serverů používaných útočníky pro správu kampaně.

Při analýze kódu, jsme hledali stopy, které by mohly poukázat na totožnost útočníků.

Timestamp analýza 154 souborů, odhalil, že většina z těchto vzorků byly sestaveny mezi 06:00 a 16:00 UTC. To by se v Evropě odpovídat žádné zemi. Také jsme se podívali na jazyk používaný útočníky. Malware obsahuje řetězce v anglickém jazyce (viz non-rodilí mluvčí angličtiny). Tam byl také některé stopy ukazující naznačuje možný francouzské a švédské reproduktor. Ale na rozdíl od mnoha jiných vědců, kteří se dívali na Crouching Yeti, jsme nenašli nic, co by nám umožnil uzavřít s jistotou, že útočníci jsou ruského původu. Je tu nedostatek obsahu Azbuka (nebo přepisu) přes 200 škodlivých binární soubory a související provozní obsahu - na rozdíl od toho, co jsme našli, když se dívá na starší cílený útok kampaní, včetně Rudý říjen, MiniDuke, CosmicDuke, hada a TeamSpy.

Epic příběh o kybernetické špionáže

Již více než rok Kaspersky Lab zkoumá sofistikovaný kybernetické špionáže kampaň, kterou nazýváme "Epic Turla". Tato kampaň, která se datuje do roku 2012, se zaměřuje na vládní instituce, ambasády, vojenské, výzkumné a vzdělávací organizací a farmaceutických společností. Většina obětí se nachází na Blízkém východě a v Evropě, i když jsme viděli oběti jinde, včetně Spojených států. Celkem jsme našli několik set IP adresy oběti ve více než 45 zemích světa.

Epic příběh o kybernetické špionáže

Když jsme vydali naše první výzkum v této kampani, to bylo jasné, jak oběti útoku byli nakažení. V našem nejnovějším výzkumu , publikované v srpnu jsme nastínili mechanismy infekce používané Epic Turla a jak zapadají do struktury celkové kampaně.

Útočníci používají inženýrství triky sociální infikovat své oběti -specifically kopí, phishingu a koupaliště díry útoky.

Některé e-maily kopí-phishing zahrnují zero-day exploity. První z nich, který ovlivňuje Adobe Acrobat Reader (CVE-2013-3346), umožňuje útočníkům libovolně spustit kód v počítači oběti. Druhá výsada eskalace zabezpečení v systému Windows XP a Windows Server 2003 (CVE-2013-5065), poskytuje backdoor Epic Turla s administrátorskými právy v počítači oběti. Kromě toho, že útočníci trik své oběti do chodu malware instalátory s příponou SCR - někdy balí pomocí RAR. Když nic netušící oběti otevření infikovaného souboru, backdoor je nainstalován na svém počítači, což útočníkům plnou kontrolu.

Mezi zločinci za Epic Turla také využít koupaliště děr útoky, které rozmístit Java exploit (CVE-2012-1723), Adobe Flash využije a využívá Internet Explorer. Existují i ​​další, které používají sociální inženýrství přimět oběti do chodu falešný 'Flash Player malware instalátory. V závislosti na IP adresu oběti, útočníci slouží Java nebo prohlížeče využije, podepsal falešný software Adobe Flash Player, nebo falešný verze Microsoft Security Essentials. Viděli jsme více než 100 vstřikováním webové stránky. Není překvapením, že výběr webových stránek odráží specifické zájmy útočníky (stejně jako zájmy obětí). Například, mnoho nakažených španělských webových stránek patří do místních samospráv.

Jakmile je počítač napaden, Epic Turla backdoor (známý také jako "WorldCupSec", "TadjMakhal", "Wipbot" a "Tadvig"), ihned připojí k C2 serveru poslat balíček, který obsahuje informace o systému oběti. Na zaslané C2 serveru souhrnné základě informací, útočníci poskytují přednastavené dávkové soubory, které obsahují řadu příkazů být vykonán v infikovaném počítači. Útočníci také nahrát vlastní postranní nástroje jízdy (včetně specifického keylogger a RAR archívů), stejně jako standardní nástroje, jako je například nástroj dotazu DNS od společnosti Microsoft.

Naše analýza ukázala, že Epic Turla backdoor je jen první fáze širší infekčního procesu. Používá se k nasazení propracovanější zadní vrátka známý jako "Cobra / Carbon systému" (s názvem "Pfinet" některými anti-malware výrobků). Po nějaké době, útočníci šli dál, pomocí Epic Turla implantát aktualizovat konfigurační Carbon soubor s jinou sadu serverů C2. Jedinečné znalosti provozovat tyto dvě zadní vrátka naznačuje jasné a přímé spojení mezi nimi: jedna se používá k uchytit a ověřit high-profil obětí. V případě, že oběť ukáže, že v zájmu útočníků, ohrožena je počítač upgradovat na plnou Carbon systému.

Zde je přehled o celé Epic Turla cyber-špionáže kampaně:

Epic příběh o kybernetické špionáže

Přidělení těchto útoků je vždy velmi obtížné. Nicméně, některé aspekty kódu řekni nám něco o útočníky. Je jasné, že nejsou rodilí mluvčí. Oni obyčejně chybně slova a fráze, jako například:

"Password to je špatně!"
"Soubor není neexistuje"
"Soubor je pro úpravy existuje"

Existují i ​​další ukazatele, které náznak na počátku útočníků. Například některé zadní vrátka byly sestaveny na systému s ruským jazykem. Kromě toho, interní název jedné ze zadních vrátek Epic Turla je "Zagruzchik.dll", což znamená "zavaděč" nebo "program zatížení" v ruštině. A konečně, na ovládacím panelu Epic Turla "mateřská loď" nastaví znakovou stránku 1251, který se používá pro azbukou.

NetTraveler dostane k narozeninám člověka

Diskutovali jsme o tom cílený útok kampaň, která nyní byla aktivní po dobu 10 let, na několika příležitostech.

Začátkem letošního roku jsme zaznamenali nárůst počtu útoků na Uyghur a tibetských aktivistů, pomocí aktualizovanou verzi NetTraveler backdoor. Útočníci používají spear phishingu e-maily lákat své oběti: e-maily je možné dokument Microsoft Word, který obsahuje CVE-2012-0158 využít. To kapky hlavní modul ('net.exe') do počítače, což nainstaluje řadu dalších souborů, včetně hlavního C2 modulu. Tento modul je registrován jako služba ("Windowsupdata"), a to prostřednictvím dávkového souboru se systémem Windows s názvem "dot.bat". Formát malwaru konfiguračního souboru byl také aktualizován a je jasné, že útočníci podnikly kroky, aby se pokusila zakrýt konfiguraci (ale šifrování, které používá, je slabé).

Zaměření útočníků se v průběhu času měnit. Pro hodně z jeho existence, hlavní cíle NetTraveler byly diplomatické, vládní a vojenské organizace. Více nedávno, jeho cyber-špionáže aktivity se zaměřují více na organizací zapojených do průzkumu vesmíru, nano-technologie, výrobu energie, jaderné energii, lasery, medicíny a komunikace.

NetTraveler dostane k narozeninám člověka

Zůstává zaměření na Uyghur a tibetských aktivistů klíčovou součástí aktivit útočníků.

Syrský malware domeček z karet

Technologie je dnes nedílnou součástí našich životů, takže není divu vidět cyber-rozměr konfliktů po celém světě. To platí zejména na Středním východě, kde se geopolitické konflikty zesílily v posledních letech. Kaspersky Lab Global Research a Analysis Team analyzovala nedávný nárůst malwaru aktivity v Sýrii .

Lidé za tyto útoky používají inženýrství triky sociální nalákat své oběti do otevírání infikovaných souborů. Oni používají e-mail, Skype zprávy, Facebook příspěvky a videa z YouTube.

Oni používají různé "háčků" - lovení na základě důvěry svých obětí sociálních sítí fórech, jejich zvědavost o novinkách v souvislosti s konfliktem v Sýrii, jejich strach z vlády a jejich nedostatečné technické povědomí.

Příkladem jsou znepokojující video na YouTube ukazující zraněných obětí nedávných bombových útoků, které rovněž vyzývá lidi, aby stáhnout škodlivý program z veřejného sdílení souborů webové stránky. Také jsme zjistili, sadu komprimovaných souborů na populární sociální síť, která, když se extrahuje, odhalil databázi obsahující seznam aktivistů a chtěl jednotlivce v Sýrii. Odkaz ke stažení pro tuto aplikaci databáze byla zařazena v sekci informace o videu zveřejněném dne 9. listopadu 2013. Útočníci také využít falešných bezpečnostních řešení přimět své oběti - včetně falešný antivirový program s názvem "Ammazon Internet Security" a Trojanised verze legitimní monitorovací nástroj, Total Network Monitor. Nejedná se jen šíří falešné bezpečnostní aplikace - také jsme viděli falešné verze instant messaging aplikace WhatsApp a Viber.

Útočníci používají celou řadu známých nástrojů pro vzdálenou správu (potkani), škodlivými programy, které umožňují vzdálený "operátor" ovládat napadeného počítače, jako kdyby měli fyzický přístup k němu. Tyto nástroje jsou široce používány v počítačové kriminality útoky všeho druhu, a dokonce v některých státem podporovaných útoků. Krysy použité v této kampani jsou "ShadowTech", "Xtreme", "NjRAT", "Bitcoment", "Temný Comet" a "Blackshades". Malware se používá ke sledování oběti, shromažďovat informace a v některých případech, aby se pokusila vypnout jejich operace.

Oběti těchto útoků jsou nejen v Sýrii. Útoky byly také vidět v Turecku, Saúdské Arábii, Libanon, Palestina, Spojené arabské emiráty, Izrael, Maroko, Francii a ve Spojených státech.

Byli jsme schopni sledovat C2 servery útočníků na IP adresy v Sýrii, Rusku, Libanonu, Spojených státech a Brazílii. Celkem jsme našli 110 souborů, 20 domén a 47 IP adres spojených s útoky.

Počet útoků vzrostl výrazně za poslední rok. Kromě toho je jasné, že skupiny zapojené do útoků, jsou dobře organizované. Zatím útočníci využili zavedených malware nástrojů, spíše než rozvíjet jejich vlastní (i když používají různé metody mlžení, aby se vyhnula jednoduchou detekci na základě signatur). Domníváme se však, že je pravděpodobné, že počet a propracovanost malware použitý v tomto regionu se pravděpodobně zvýší.

Najdete u nás úplnou zprávu o tomto malware zde .

Malware příběhy

Shylock - libra vašeho těla

Začátkem letošního roku Kaspersky Lab přispěl k alianci vymáhání práva a průmyslovými organizacemi koordinovaný Spojeného království národní trestnou činnost (NOK), k narušení infrastruktury za sebou Shylock Trojan . Toto partnerství ukazuje, jak globální spolupráce na počítačové kriminalitě může přinést pozitivní výsledky.

Shylock bankovnictví Trojan, tak nazvaný protože jeho kód obsahuje výňatky z Shakespearova Kupce benátského , byl poprvé objeven v roce 2011. Stejně jako ostatní známých bankovních trojských koní, jako je Zeus, SpyEye a Carberp, Shylock je man-in-the- prohlížeč útok navržen tak, aby krást bankovnictví přihlašovací údaje z počítačů klientů bank. Trojan používá přednastavenou seznam cílových bank, který se nachází v různých zemích po celém světě.

Trojan vstřikuje falešný zadávání dat pole do webových stránek, když se zatížení na prohlížeče oběti. Oběti jsou typicky nastrčen malware kliknutím na nebezpečné odkazy. Shylock pak usiluje o přístup k finančním prostředkům konat v obchodní nebo osobní bankovní účty, a přenáší je na účty pod kontrolou útočníků.

Zaměření zločinci změnila v průběhu času. Když se poprvé objevil Shylock, byla zaměřena především na oběti ve Velké Británii a v průběhu roku 2012, rozšíří i do dalších zemí v Evropě a ve Spojených státech. Do konce roku 2013 se zločinci byly více zaměřeny na rozvíjejících se trzích, jako je Brazílie, Rusko a Vietnam. Můžete si najít více informací, včetně údajů o šíření malwaru, zde .

Všechny bankovní trojské koně, Shylock v ceně, cílové banky zákazníky, v naději, že využít toho, co je často nejméně chráněné prvkem každé finanční transakce - tedy člověka. To je důvod, proč je důležité, aby bezpečnostní začíná doma - my všichni potřebujeme, aby účinně zabezpečit naše počítače.

Vaše peníze nebo váš soubor (y)!

Počet ransomware programů roste v posledních letech - ne všechny z nich se zaměřila na počítačích se systémem Windows. Někteří, včetně těch zaměřených na zařízení se systémem Android , mají tendenci se jednoduše zablokovat přístup k zařízení a požadovat platbu výkupné, aby se odemknout zařízení.

Ale mnoho ransomware programů jít dále, než to, šifrování dat v počítači oběti. Jedním příkladem z poslední doby je ZeroLocker.

Na rozdíl od většiny ransomware programů, které šifrují předem definovaný seznam typů souborů, ZeroLocker zašifruje téměř všechny soubory v počítači oběti a přidává příponu ".encrypt" pro šifrované soubory. ZeroLocker není šifrovat soubory umístěné v adresářích, které obsahují slova "Windows", "WINDOWS", "Program Files", "ZeroLocker" nebo "zničit", a není šifrovat soubory větší než 20MB velikosti.

ZeroLocker generuje 160-bitového klíče AES šifrování všech souborů. Klíčem prostor je poněkud omezený kvůli tomu, jak klíč je generován, ale je to stále dost velký, aby se obecně brute -forcing neproveditelné. Po šifrování souborů, malware spustí "Cipher.exe" nástroj pro odstranění všech nepoužívaných dat z disku, takže obnovení souborů mnohem obtížnější. Šifrovací klíč, spolu s CRC32 o MAC adresu počítače, a související Bitcoin peněženku, je odeslán na server používaného zločinci. K dispozici je známkou toho, že konfigurace C2 obsahuje některé chyby, které by mohly bránit úspěšnému dešifrování - další důvod, proč se zaplacení výkupného je špatný nápad.

Šifrovací klíč, společně s dalšími informacemi, je odeslána prostřednictvím požadavku GET, spíše než POST. To má za následek 404 chyba na serveru. To by mohlo znamenat, že server není uchovávání informací, což naznačuje, že oběti se pravděpodobně nedostane své soubory zpět, a to i v případě, že zaplatí výkupné.

Několik dalších adresy URL, které malware se snaží získat také za následek 404 chyb. To naznačuje, že operace může být stále v plenkách. V případě, a pokud jsou tyto chyby pevné, můžeme vidět ZeroLocker rozmístěny ve větším měřítku.

Mezi zločinci za ZeroLocker vyžadují počáteční 300 dolarů v hodnotě Bitcoins soubor dešifrovat. V případě, že oběť nemá platit začnou rychle zvyšování poplatků až 500 dolarů a 1000 dolar, jak čas pokračuje.

Vaše peníze nebo váš soubor (y)!

Je tu Bitcoin peněženka pevně v binární, ale malware pokusí načíst novou peněženku adresu ze serveru C2, asi aby bylo těžší sledovat, jak úspěšná operace je a kam peníze jdou. Žádný z peněženky adres Bitcoin jsme se podívali na nějaké transakce spojené s nimi. Vzhledem k tomu, C2 server poskytuje informace o Bitcoin peněženku, je možné, že útočníci jsou schopni používat unikátní peněženku za každou oběť.

Další ransomware program, který jsme nedávno analyzovali je cibule. Tento škodlivý program používá vyzkoušené a prověřené metody používané jinými nedávnými ransomware programů - šifrování dat oběti a náročné platbu výkupné Bitcoin.

Vaše peníze nebo váš soubor (y)!

Nicméně, to také na novou půdu. Za prvé, cibule využívá anonymní síť Tor skrýt své C2 servery. To ztěžuje vystopovat zločinci které stojí za malware. Ostatní malware používá Tor v minulosti, ale to Trojan stojí mimo, protože podporuje plnou interakci s Tor bez jakéhokoli zásahu oběti. Ostatní programy, jako je tato komunikovat se sítí Tor spuštěním (někdy vstřikováním kódu na jiné procesy) legitimní "tor.exe" souboru. Naproti tomu Onion implementuje tuto komunikaci jako součást malware samotného kódu.

Cibule také používá netradiční šifrovací algoritmus, který umožňuje soubor dešifrování nemožné, i když komunikace mezi Trojan a C2 serverem je zachyceno. Tento Trojan nejen využívá asymetrickou šifru, ale také používá šifrovací protokol známý jako ECDH (eliptických křivek RSA). Tím dešifrování nemožné bez hlavního soukromého klíče - který nikdy neopouští řízenou serveru kybernetických zločinců. Další podrobnosti lze nalézt v naší zprávě o cibule Trojan .

Tyto věci spojené, aby Onion Trojan technicky pokrok a velmi nebezpečné.

Operace ransomware spoléhat na jejich oběti splacení. Nedělejte to! Místo toho, aby pravidelné zálohování vašich dat. Tak, pokud jste někdy padnou za oběť na ransomware programu (nebo potíže s hardwarem, který vás zastaví přístupu k vašim souborům), neztratíte žádné z vašich dat.

Proč jeden z výzkumníků našich bezpečnostních naboural svůj vlastní domov

Internet se stává tkané do struktury našeho života - a to doslova, v některých případech, jako připojení je vložen do každodenních předmětů. Tento trend, známý jako "internet věcí", přilákal více a více pozornosti jako hackeři a vědci zkoumat technologie integrované do auta, hotely, domácí poplašné systémy a chladničky a další - hledání zranitelností.

Někdy Internet věcí může zdát vzdálené. Ale je to často blíž, než si myslíme. Moderní dům je dnes pravděpodobně mít hrst zařízení připojených do lokální sítě, které nejsou tradiční počítače, tablety nebo mobilní telefony - zařízení, jako jsou chytré televize, tiskárny, herní konzole, je síťové úložné zařízení, nebo nějaký druh media player / satelitní přijímač.

Jeden z výzkumníků našich bezpečnostních, David Jacoby, zkoumali svůj vlastní domov , aby zjistil, zda bylo skutečně cyber-secure. Podíval se na několika zařízení, včetně úložišti připojeném k síti (NAS) zařízení, Smart TV, směrovače a satelitním přijímačem, aby zjistili, zda byly náchylné k útoku. Výsledky byly pozoruhodné. David nalezeno 14 zranitelných míst v zařízení pro ukládání dat připojené sítě, jeden na Smart TV a několik potenciálně skrytých dálkového ovládání funkcí v routeru.

Nejzávažnější chyby zabezpečení byly nalezeny v úložných zařízení NAS. Několik z nich by mohlo útočníkovi dovolit vzdáleně spouštět příkazy systému s nejvyššími oprávněními správce. Testované zařízení také měli slabá výchozí hesla uložená hesla ve formátu prostého textu a jsou zahrnuty konfigurační soubory se špatnými oprávnění. Výchozí heslo správce pro jednoho ze zařízení obsahoval jen jednu číslici! A další zařízení dokonce sdílel celý konfigurační soubor, který obsahuje zašifrovaná hesla, s kýmkoli v síti!

David byl také schopný nahrát soubor do oblasti paměti pro ukládání, která je nepřístupná běžného uživatele. Pokud útočník nahrál nebezpečný soubor do této oblasti, ohrožena zařízení by se stal zdrojem infekce pro ostatní zařízení se připojují k tomuto NAS - domácí počítače, například - a mohla by dokonce sloužit jako DDoS (Distributed Denial of Service) bot v botnet. Na vrcholu toho, jediný způsob, jak odstranit tento soubor byl pomocí stejné chyby -I pro technický specialista to není jednoduchý úkol.

Když se David se podíval na Smart TV, zjistil, že komunikace mezi TV a serverech TV dodavatele není šifrována - potenciálně otevírá cestu pro Man-in-the-middle útok, který by mohl vyústit v nic netušící spotřebitel převody peněz podvodníkům Při pokusu o nákup obsahu prostřednictvím televizoru. Jako důkaz pojetí cvičení, David byl schopen nahradit jednou z ikon na smart TV grafického rozhraní s obrázkem. Normálně widgety a náhledy jsou stahovány ze serverů na TV na dodavatele, ale od té doby připojení není šifrováno, tato informace může být upraven třetí stranou. On také objevil, že smart TV je schopen spustit kód v Javě, který v kombinaci se schopností zachytit výměnu provozu mezi TV a internetu, může mít za následek využít poháněná nebezpečné útoky.

DSL router, který se používá k dispozici bezdrátový internet pro všechny ostatní domácí zařízení, obsahoval několik nebezpečných vlastností skrytých od svého majitele. Některé z těchto skrytých funkcí by mohla dát útočník vzdálený přístup k jakékoliv zařízení v privátní síti. A co víc, části webového rozhraní routeru s názvem "Kamery", "Telephony Expert Configure", "Access Control", "WAN-Sensing" a "Aktualizovat" jsou "neviditelné" a nemůže být upravena majitelem zařízení. Mohou být přístupné pouze tím, že využívá poměrně obecný chybu zabezpečení, která umožňuje cestovat mezi úseky rozhraní (ty jsou v podstatě webové stránky, z nichž každý má svou vlastní alfanumerickým adresu) hrubou-vynucení čísla na konci adresy. Původně tyto funkce byly implementovány pro pohodlí majitele zařízení: funkce pro vzdálený přístup umožňuje rychlé a snadné pro ISP (Internet Service Provider) odstraňovat a řešit technické problémy na zařízení. Ale to užitečná funkce by se mohl stát bezpečnostní riziko v případě, že kontroly se dostala do nesprávných rukou.

V souladu s naší politikou zodpovědného oznámení Kaspersky Lab neukázalo jména dodavatelů, jejichž produkty byly zkoumány v rámci tohoto výzkumu. Všichni prodejci byli informováni o existenci slabých míst a odborníků Kaspersky Lab úzce s dodavateli, aby jim pomohla nápravě nějaké zranitelnosti objevené.

Je důležité, abychom všichni pochopili potenciální rizika spojená s používáním zařízení v síti - to platí pro jednotlivce i podniky. Musíme také pochopit, že naše informace není bezpečná jen proto, že budeme používat silná hesla nebo spustit software na ochranu proti škodlivým kódem. Existuje mnoho věcí, nad kterými nemáme kontrolu, a do jisté míry jsme v rukou dodavateli softwaru a hardwaru. Například, ne všechna zařízení patří automatické aktualizace šeky - někdy spotřebitelé jsou povinni stáhnout a nainstalovat nový firmware. To není vždy snadný úkol. Ještě horší je, že to není vždy možné aktualizovat zařízení (většina zařízení zkoumány v tomto výzkumu byla přerušena víc než před rokem).

Můžete si najít nějaké rady, jak snížit riziko útoku v tomto shrnutí David Jacoby svém článku .

Web bezpečnosti a narušení bezpečnosti osobních údajů: Shellshock

V září, informační bezpečnosti svět čelil bojovou pohotovost po objevu "bash" zranitelnosti (také známý jako "Shellshock"). Bash, Unix shell napsaný v roce 1989, je výchozí shell na Linux a Mac OS X. vady (CVE-2014 - 6271), umožňuje útočníkovi vzdáleně připojit škodlivý soubor proměnnou, která se spustí, když se příkaz Bash tlumočníka vyvolána. Velký dopad této chyby, spolu s lehkostí, s jakou může být využíván, aby to velmi silný. Někteří porovnal je s "Heartbleed" zranitelnosti. Nicméně, Bash je mnohem jednodušší, než zneužití Heartbleed, a vzhledem k tomu, Heartbleed povoleno pouze útočník ukrást data z paměti zranitelné počítače, Shellshock by mohlo poskytnout plnou kontrolu systému.

To netrvalo dlouho a útočníci, aby se pokusila využít zranitelnosti - jsme diskutovali některé rané příklady brzy poté, co byla objevena. Ve většině případů útočníci vzdáleně napadli webové servery hosting CGI (Common Gateway Interface), skripty, které jsou napsané v bash nebo předávání hodnot skripty shellu. Je však možné, že chyba zabezpečení by mohla mít dopad na infrastrukturu se systémem Windows .

Stejně tak není problém omezen pouze na webové servery. Bash je široce používán v firmware zařízení, které dnes považujeme za samozřejmost v našem každodenním životě. To zahrnuje směrovače, domácí spotřebiče a bezdrátové přístupové body. Některé z těchto zařízení může být obtížné, ne-li nemožné náplasti - jak je uvedeno výše .

Najdete návod, jak aktualizovat zranitelné systémy zde .

Statistika

Všechny statistiky použité v této zprávě byly získány pomocí Kaspersky Security Network (KSN) , distribuované antivirový síť, která pracuje s různými složkami anti-malware ochrany. Data byla sbírána od KSN uživatelů, kteří souhlasili se přenést. Miliony Společnost Kaspersky Lab výrobky uživatelů ze 213 zemí a oblastí po celém světě podílet se na této globální výměny informací o nebezpečné činnosti.

Q3 v číslech

Podle údajů KSN, produkty Kaspersky Lab zjištěn a neutralizuje celkem 1325106041 hrozeb ve třetím čtvrtletí roku 2014.
Lab řešení Kaspersky odrazil 367431148 útoky odpálené z on-line zdrojů umístěných po celém světě
Kaspersky Lab web antivirus zjištěn 26641747 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd
107215793 unikátní URL byly uznány jako škodlivý podle web antivirové komponenty.
33% webových útoků neutralizována produkty společnosti Kaspersky Lab byly provedeny pomocí škodlivého webových zdrojů nacházejících se ve Spojených státech.
Antivirová řešení společnosti Kaspersky Lab zjištěn celkem 116.710.804 unikátních škodlivých a potenciálně nežádoucích objektů.
Detekovány produkty Mobile Security Kaspersky Lab
461757 instalační balíčky;
74.489 nových škodlivých mobilních programy;
7010 Mobilní bankovnictví trojské koně.
Mobilní hrozby

Ve 3. čtvrtletí 2014 produkty Mobile Security Kaspersky Lab zjištěn 74.489 nových škodlivých mobilních programů, o 14,4% více než ve druhém čtvrtletí.

Zároveň bylo zjištěno méně instalační balíčky.

Počet instalačních balíčků a nových škodlivých mobilních programů zjištěna v 1. až 3. čtvrtletí 2014

Počet instalačních balíčků a nových škodlivých mobilních programů zjištěna v 1. až 3. čtvrtletí 2014

V první polovině roku 2014, bylo o něco více než 11 škodlivé instalační balíčky v průměru spojené s každým škodlivého programu, ale ve 3. čtvrtletí bylo 6,2 milionu.

Použití více instalační balíčky pro jednoho mobilního škodlivého programu je typický pro SMS-Trojan distributorů. Například, útočníci použili až 70000 paketů za jednu verzi Stealer.a. Pokles počtu škodlivých instalačních balíčků je pravděpodobně souvisí s nižší podíl tohoto malwaru v toku nových mobilních škodlivých programů se snížil (viz níže).

Distribuce mobilních hrozeb podle typu

Distribuce mobilních hrozeb podle typu ve 2. a 3. čtvrtletí 2014

Distribuce mobilních hrozeb podle typu ve 2. a 3. čtvrtletí 2014

Hodnocení malware objektů pro mobilní zařízení za třetí čtvrtletí roku 2014 byl v čele RiskTool. To tvrdil 26,5% detekcí, což je nárůst o 8,6 procentního bodu. Jedná se o právní aplikace, které jsou potenciálně nebezpečné pro uživatele - v případě, že jsou použity nedbale, nebo manipulovat s cybercriminal by mohly vést k finančním ztrátám.

Druhý přišel adware, potenciálně nežádoucí reklamní aplikace (19,4%); Jejich podíl se snížil o 7,9 procentního bodu.

SMS-Trojské koně byli na 3. místě: jejich podíl klesl o 7.2pp oproti předchozímu čtvrtletí.

Ve 3. čtvrtletí, zatímco adware a SMS, trojské koně byly méně široce viděli, jsme zaznamenali prudký nárůst v procentech bankovních trojských koní: jejich podíl v toku mobilní malware se zvýšil z 2,2% na 9,2%, což umístil toto kategorie 4. v hodnocení ,

Top 20 škodlivých mobilních programy

Název % Útoků *
1 Trojan-SMS.AndroidOS.Stealer.a 15,63%
2 RiskTool.AndroidOS.SMSreg.gc 14.17%
3 AdWare.AndroidOS.Viser.a 10.76%
4 Trojan-SMS.AndroidOS.FakeInst.fb 7.35%
5 RiskTool.AndroidOS.CallPay.a 4,95%
6 Exploit.AndroidOS.Lotoor.be 3,97%
7 DangerousObject.Multi.Generic 3.94%
8 RiskTool.AndroidOS.MimobSMS.a 3.94%
9 Trojan-SMS.AndroidOS.Agent.ao 2.78%
10 AdWare.AndroidOS.Ganlet.a 2.51%
11 Trojan-SMS.AndroidOS.OpFake.a 2.50%
12 RiskTool.AndroidOS.SMSreg.de 2.36%
13 Trojan-SMS.AndroidOS.FakeInst.ff 2.14%
14 Trojan-SMS.AndroidOS.Podec.a 2,05%
15 Trojan-SMS.AndroidOS.Erop.a 1.53%
16 RiskTool.AndroidOS.NeoSMS.a 1,50%
17 Trojan.AndroidOS.Agent.p 1,47%
18 Trojan-SMS.AndroidOS.OpFake.bo 1.29%
19 RiskTool.AndroidOS.SMSreg.hg 1,19%
20 Trojan-Ransom.AndroidOS.Small.e 1,17%
* Podíl z celkového počtu útoků zaznamenaných na mobilních zařízeních unikátních uživatelů.

TOP 20 se již tak silně dominují SMS trojské koně: ve 2. čtvrtletí 2014 se tyto škodlivé programy obsadil 15 míst v kvalifikaci, když ve 3. čtvrtletí jich bylo jen 8. Trojan-SMS.AndroidOS.Stealer.a trumfl hodnocení s předchozím čtvrtletím se s 25,42% ze všech útoků, ale ve 3. čtvrtletí to představuje pouze 16,63% z útoků.

Zástupci RiskTool obsazený 6 pozic v Top 20, s RiskTool.AndroidOS.SMSreg.gc (14,17%), na druhém místě.

7. přišel DangerousObject.Multi.Generic (3.94%), který ukazuje, jak se nové škodlivé aplikace rozpozná cloud technologie Kaspersky Security Network, které umožňují náš produkt rychle reagovat na nové neznámými hrozbami.

Mobilní bankovnictví trojské koně

Ve třetím čtvrtletí jsme zjistili, 7010 mobilní bankovní trojské koně, 3,4 krát více než v předchozím čtvrtletí.

Počet mobilních bankovních trojských koní zjištěn, Q1-Q3 2014

Počet mobilních bankovních trojských koní zjištěn, Q1-Q3 2014

Počet zemí napadených bankovních trojských koní rovněž zvýšily: ve 2. čtvrtletí byly mobilní bankovnictví Trojan útoky zjištěna v 31 zemích, zatímco ve 3. čtvrtletí bylo 70.

Geografie mobilního bankovnictví hrozeb, Q3 2014 (počet napadených uživatelů)

Geografie mobilního bankovnictví hrozeb, Q3 2014
(počet napadených uživatelů)

Prvních 10 zemí napadeny bankovní trojské koně

Země % Ze všech útoků *
1 Rusko 83,85%
2 Spojené státy americké 7,09%
3 Ukrajina 1,79%
4 Belarus 1,18%
5 Kazachstán 0,92%
6 Korejská republika 0,68%
7 Německo 0.62%
8 Čína 0,50%
9 Spojené království 0,50%
10 Saúdská Arábie 0.35%
* Procento uživatelů zaútočila na zemi

Itálie vypadl z Top 10, zatímco Saudská Arábie se objevila na 10. místě.

Rusko zde udržela tradiční náskok, i když to bylo 7.85pp na předtím. Současně příspěvek ostatních Top 10 členů mírně vzrostl: mobilní zločinci se postupně rozšiřuje oblast jejich činnosti.

Geografie mobilních hrozeb

Ve 3. čtvrtletí 2014 byly zjištěny mobilní nebezpečné útoky alespoň jednou ve 205 zemích.

Geografie infekce mobilního bankovnictví trojské koně, Q3 2014 (procento všech napadených uživatelů)

Geografie infekce mobilního bankovnictví trojské koně, Q3 2014
(procento všech napadených uživatelů)

Top 10 napadených zemí

Země % Útoků *
1 Rusko 44.0%
2 Indie 7,6%
3 Německo 5.6%
4 Írán 3.4%
5 Vietnam 3,1%
6 Kazachstán 3,1%
7 Ukrajina 2,7%
8 Malajsie 1,9%
9 Brazílie 1,7%
10 Spojené státy americké 1,7%
* Procento uživatelů zaútočila na zemi

Rusko zůstalo nejvíce cílené národ s 44% všech útoků. Indie (7,6%), se vrátil na druhé místo. Poprvé v 2014 Íránu (3,4%) a USA (1,7%), vstoupil do Top 10, zatímco v Polsku, Francii, Španělsku a Mexiku byly Q3 outsideři.

Zranitelné aplikace používané podvodníky

Počet ohrožených aplikací níže je založen na informacích o hrdinských blokovaných našich výrobků. Tyto využije byl hackery používány v internetových útoků a při ohrožení lokálních aplikací, včetně těch, které instalovány na mobilních zařízeních.

Distribuce webových využije používají podvodníci, podle typu aplikace napadl, Q3 2014

Distribuce webových využije používají podvodníci, podle typu aplikace napadl, Q3 2014

Ze všech registrovaných pokusí použít zranitelnosti, 47% způsobeno zranitelná místa v prohlížečích. Téměř každý využít balíček obsahuje využít pro Internet Explorer.

Java exploity jsou na druhém místě. Java zranitelnosti jsou používány v drive-by útoky prostřednictvím internetu a nových Java zneužití jsou součástí mnoha využívat balení, i když žádné nové Java chyby zabezpečení byly zveřejněny za téměř rok. Ve 3. čtvrtletí tohoto roku, 28% se snaží využít zranitelnosti cílené Java; v prvním čtvrtletí to bylo 29%.

Další přijdou Adobe Reader využije (12%). Tyto chyby jsou také využívány v drive-by útoky přes internet a PDF využije funkce v mnoha zneužít balení.

On-line hrozeb (Web-based útoky)

Statistiky v této části byly odvozeny z webové antivirových komponent, které chrání uživatele při škodlivý kód se pokusí stáhnout z škodlivého / infikované webové stránky. Nebezpečné webové stránky jsou záměrně vytvořeny uživatelů se zlými úmysly; infikované místa zahrnují ty, které se obsahu umístěného uživateli (jako fór), jakož i legitimní prostředky, které byly napadeným.

On-line hrozby v bankovním sektoru

V průběhu účetního období, Lab řešení Kaspersky zablokovány 696.977 útoky, které se pokoušely spustit malware dokáže krást peníze z on-line bankovních účtů. Toto číslo představuje pokles o 24,9% ve srovnání s 2. čtvrtletím (927.568).

Počet počítačů napadl finanční malware, Q3 2014

Počet počítačů napadl finanční malware, Q3 2014

Počet útoků se postupně klesal po celé čtvrtletí: v červnu bylo 244.490 útoky zablokována, zatímco v září to bylo 218.384 (-11%).

Celkem 2.466.952 oznámení o nebezpečné činnosti programy, jejichž cílem je ukrást peníze prostřednictvím on-line přístupu k bankovním účtům byly registrovány bezpečnostní řešení společnosti Kaspersky Lab ve 3. čtvrtletí 2014.

Geografie útoků

Geografie bankovní malware útoků v 2. čtvrtletí 2014 (podle počtu napadených uživatelů v ČR)

Geografie bankovní malware útoků v 2. čtvrtletí 2014
(podle počtu napadených uživatelů v ČR)

Top 10 zemí podle počtu napadených uživatelů:

Země Počet uživatelů
1 Brazílie 90176
2 Rusko 57729
3 Německo 55225
4 Itálie 32529
5 Indie 24975
6 Spojené státy americké 22340
7 Rakousko 22013
8 Vietnam 13495
9 Spojené království 11095
10 Čína 9060
Brazílie zůstal v zemi, kde jsou uživatelé nejčastěji zaútočil bankovní malware, i když jeho podíl se snížil o třetinu. Rusko zůstal na druhém místě. Itálie klesl na 4. pozici, zatímco Německo se zvýšil na 3. místo: počet napadených uživatelů v této zemi se zvýšil o 1,5 krát.

Top 10 bankovní malware rodiny

Níže uvedená tabulka ukazuje, že programy nejčastěji používá k útoku na uživatele online bankovnictví ve 3. čtvrtletí 2014, na základě počtu hlášených pokusů infekce:

Verdikt Počet oznámení Počet uživatelů
Trojan-Spy.Win32.Zbot 1381762 285559
Trojan-Banker.Win32.ChePro 322928 92415
Trojan-Banker.Win32.Shiotob 123150 24839
Trojan-Banker.Win32.Agent 49563 23943
Trojan-Banker.HTML.PayPal 117692 21138
Trojan-Spy.Win32.SpyEyes 73496 19113
Trojan-Banker.Win32.Lohmys 47188 16619
Trojan-Banker.Win32.Banker 39892 12673
Trojan-Banker.Win32.Banbra 20563 9646
Backdoor.Win32.Sinowal 18921 8189
Zeus (Trojan-Spy.Win32.Zbot) zůstal nejrozšířenější bankovní Trojan, i když počet útoků zahrnujících tento škodlivý program, stejně jako počet napadených uživatelů, téměř půlených ve srovnání s předchozím čtvrtletím.

Ve 3. čtvrtletí, 3. místo obsadil Trojan-Banker.Win32.ShiotobThis škodlivého programu je nejvíce často šíří prostřednictvím nevyžádané pošty a je určen ke sledování provozu s cílem zachytit údaje o platbách. Devět z 10 malware rodin zastoupených v tabulce práci vstřikováním náhodného HTML kód do webové stránky zobrazené v prohlížeči a zastavovat žádné platební údaje zadané uživatelem v původních nebo vložených webových formulářů.

Finanční hrozby nejsou omezeny na malware, který napadá on-line bankovnictví.

Distribuce útoků na uživatele peníze podle typu malware, Q3 2014

Distribuce útoků na uživatele peníze podle typu malware, Q3 2014

Bitcoin krádeže peněženky byla druhou nejčastěji používanou metodou krádeže elektronických peněz, její popularita vzrostla z 8% v předchozím čtvrtletí na 15% ve 3. čtvrtletí. Ještě další hrozbě na šifrovací měně Bitcoin důlní software (11%), který využívá výpočetní prostředky pro generování bitcoins.

Top 20 škodlivé objekty detekovány on-line

Ve třetím čtvrtletí roku 2014, Kaspersky Lab web antivirus zjištěn 26641747 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd

Identifikovali jsme 20 nejaktivnější škodlivé programy spojené s on-line útoky zahájila proti počítačích uživatelů. Ty 20 představovaly 96,2% všech útoků na internetu.

Top 20 škodlivé objekty detekovány on-line

Jméno * % Ze všech útoků **
1 Škodlivý URL 59,83%
2 AdWare.Script.Generic 14.46%
3 Trojan.Script.Generic 13.13%
4 Trojan.Script.Iframer 1.77%
5 AdWare.Win32.Agent.fflm 1.23%
6 Trojan-Downloader.Script.Generic 1,02%
7 AdWare.Win32.Agent.allm 1,02%
8 AdWare.JS.Agent.ao 0,78%
9 AdWare.JS.Agent.an 0.55%
10 AdWare.Win32.Agent.aiyc 0,32%
11 AdWare.Win32.OutBrowse.g 0,32%
12 Trojan.Win32.Generic 0,30%
13 AdWare.Win32.Amonetize.bcw 0.23%
14 AdWare.Win32.Amonetize.cmg 0,18%
15 AdWare.Win32.Yotoon.heur 0,18%
16 Trojan-Downloader.Win32.Generic 0,15%
17 AdWare.Win32.Amonetize.cmd 0,14%
18 Trojan-Dropper.Win32.Agent.lefs 0,12%
19 AdWare.Win32.Linkun.j 0.11%
20 AdWare.Win32.Amonetize.aik 0,09%
* Tyto statistiky představují detekční výroky web antivirového modulu. Informace byly poskytnuty uživateli produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.
** Procento všech webových útoků zaznamenaných na počítačích unikátních uživatelů.

Vzhledem k tomu často bývá, Top 20 je z velké části skládá z objektů používaných v drive-by útoky, stejně jako adware programů. 59.8% všech rozsudků spadl na odkazy z těchto černých listinách.

Top 10 zemí, kde jsou on-line zdrojů nasazené s malwarem

Následující statistiky jsou založeny na fyzické umístění on-line zdrojů, které byly použity při útocích a blokovaných antivirových složek (webové stránky obsahující přesměruje na činech, stránky obsahující exploitů a další malware, botnet velitelských středisek, atd.) Jednoznačná hostitel se může stát zdrojem jednoho nebo více webových útoků.

Aby bylo možné určit zeměpisný původ webovými útoky v doménových jmen jsou přizpůsobeny proti skutečným domény IP adresy, a pak zeměpisná poloha konkrétní IP adresy (GeoIP) je založen.

Ve 3. čtvrtletí 2014 Lab řešení Kaspersky zablokovány 367431148 útoky odpálené z internetových zdrojů nacházejících se v různých zemích po celém světě. 87% z on-line zdrojů používaných k šíření škodlivých programů se nacházejí v 10 zemích světa. To je o 1,3 procentního bodu méně než v předchozím čtvrtletí.

Distribuce on-line zdrojů očkuje škodlivých programů ve 3. čtvrtletí 2014

Distribuce on-line zdrojů očkuje škodlivých programů ve 3. čtvrtletí 2014

Top 10 hodnocení zemí, kde jsou on-line zdrojů očkuje malwarem viděl velké změny oproti předchozímu čtvrtletí: Kanada (-7 pb) a Irsku (-0,7 pb) vypadl z Top 10. Čína vstoupila do Top 10 s 1,87% a usadil v 7.. Švýcarsko (1,03%) byl 3. čtvrtletí je jiný nováček.

Nejvýznamnější změny se stalo v USA, který se vyšplhal na vrchol ratingu s + 11.2pp houpačce, a Německo (-9 pb), který spadl z první až třetí místo.

Země, kde se uživatelé čelí největší riziko infekce on-line

Aby bylo možné posoudit, ve kterých zemích uživatelé čelí kybernetickým hrozbám nejčastěji, jsme vypočítali, jak často se uživatelé Kaspersky setkal detekce verdikty na svých strojích v každé zemi. Výsledné údaje charakterizuje riziko infekce, že počítače jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.

Země * % Unikátních uživatelů **
1 Rusko 46,68%
2 Kazachstán 45,92%
3 Ázerbajdžán 43,50%
4 Arménie 41,64%
5 Ukrajina 40,70%
6 Írán 39,91%
7 Vietnam 38,55%
8 Belarus 38,08%
9 Moldova 36,64%
10 Alžírsko 36,05%
11 Tádžikistán 36,05%
12 Kyrgyzstán 33,59%
13 Mongolsko 33,59%
14 Katar 30,84%
15 Uzbekistán 29,22%
16 Georgia 29,17%
17 Turecko 28,91%
18 Spojené arabské emiráty 28,76%
19 Indonésie 28,59%
20 Německo 28,36%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácené web antivirový modul, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).
** unikátních uživatelů, jejichž počítače byly terčem internetových útoků, jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v ČR.

Ve třetím čtvrtletí roku 2014 Chorvatsko, Tunisko a Španělsko vypadl z Top 20. nově příchozí z hodnocení byly SAE (28,76%), Indonésie (28,59%) a Německu (28,36%), který obsadil poslední tři pozice v tabulce ,

Mezi země s nejbezpečnějších on-line prostředí, surfování byly Singapore (10,5%), Švédsku (12,4%), Dánsko (13,2%), Japonsko (13,3%), Jižní Afrika (16,0%), ve Finsku (16,1%) a Nizozemí ( 16,6%).

Země, kde se uživatelé čelí největší riziko infekce on-line

V průměru 29,5% počítačů připojených k internetu se podrobí alespoň jedné webové útoku během posledních tří měsíců.

Místní hrozby

Místní statistiky infekce pro uživatele počítačů je velmi důležitým ukazatelem. Tato data poukazuje na nebezpečí, které pronikly počítačový systém, přes něco jiného než Internet, e-mail, nebo síťových portů.

Tato část obsahuje analýzu statistických údajů získaných na základě antivirové skenování souborů na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupnou a výsledky skenování různých vyměnitelných datových úložišť.

Ve 3. čtvrtletí 2014, antivirová řešení společnosti Kaspersky Lab zjištěn 116710804 jedinečné škodlivé a potenciálně nežádoucí objekty.

Top 20 škodlivé objekty detekované na uživatelských počítačích

Jméno * % Unikátních napadených uživatelů **
1 Trojan.Win32.Generic 18.95%
2 DangerousObject.Multi.Generic 18,39%
3 AdWare.MSIL.Kranet.heur 11.61%
4 AdWare.Win32.Agent.ahbx 5,77%
5 Trojan.Win32.AutoRun.gen 4.81%
6 AdWare.Win32.Kranet.heur 4,68%
7 AdWare.NSIS.Zaitu.heur 4,51%
8 Worm.VBS.Dinihou.r 4,51%
9 Virus.Win32.Sality.gen 4,08%
10 AdWare.Win32.Yotoon.abs 4,03%
11 AdWare.Win32.IBryte.dolh 3.14%
12 AdWare.Win32.Agent.aljt 3.12%
13 AdWare.Win32.Agent.allm 3.11%
14 AdWare.Win32.Yotoon.heur 3.10%
15 Adware.Win32.Amonetize.heur 2.86%
16 AdWare.Win32.Agent.heur 2.80%
17 WebToolbar.JS.Condonit.a 2.59%
18 Worm.Win32.Debris.a 2.56%
19 AdWare.Win32.Kranet.c 2,55%
20 Trojan.Script.Generic 2.51%
* Tyto statistiky jsou sestavovány z detekci malware verdiktů vytvořených skenerem moduly on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily, aby předložily své statistické údaje.
** Podíl jednotlivých uživatelů, na jejichž počítačích antivirus modul detekoval tyto objekty jako podíl z celkového počtu jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program.

Toto pořadí obvykle zahrnuje rozsudky věnována adware programů: ve 3. čtvrtletí obsadili třináct míst v Top 20.

Worms distribuované prostřednictvím vyměnitelných médií byla 8. a 18. v pořadí.

Viry byly zastoupeny pouze jedním výrokem Virus.Win32.Sality.gen který přišel 9. v Top 20.

Q3 2014 došlo k výraznému nárůstu počtu Kaspersky Lab soubor antivirových odhalení adware programů a komponent, které se aktivně podílejí na šíření těchto programů a vyhnout detekci antivirový.

Země, kde se uživatelé čelí nejvyšší riziko lokální infekce

Země * % Unikátních uživatelů **
1 Vietnam 61,89%
2 Bangladéš 55,01%
3 Mongolsko 54,13%
4 Nepál 53.08%
5 Alžírsko 51,71%
6 Kambodža 51,26%
7 Afghánistán 50,59%
8 Laos 50,55%
9 Jemen 50,38%
10 Pákistán 50,35%
11 Egypt 49,65%
12 Indie 49,44%
13 Irák 49,33%
14 Írán 48,85%
15 Etiopie 47,87%
16 Myanmar 46,71%
17 Srí Lanka 46,67%
18 Sýrie 46,24%
19 Katar 46,03%
20 Tunisko 45,36%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů. Údaje zahrnují detekci škodlivých programů se nachází na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty, telefon nebo externí pevné disky.

* Při výpočtu jsme vyřadili zemích, kde existují méně než 10.000 uživatelů Kaspersky Lab.
** Podíl unikátních uživatelů v zemi s počítači, které blokované místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.

Top 20 v této kategorii i nadále dominují země v Africe, na Středním východě a jihovýchodní Asii. Vietnam na prvním místě, stejně jako tomu bylo ve 2. čtvrtletí 2014 (61,89%).

Mongolsko (54,13%), přesunula dolů o jeden krok na třetí místo, ustupuje do Bangladéše, které umístila na druhém místě s 55,01% unikátních uživatelů v zemi s počítači, které zablokovali místní hrozby.

Katar (46,03%), byl Q3 je nováčkem. Myanmar (46,71%) a Srí Lanka (46,67%), vstoupila do Top 20, zatímco Saúdská Arábie, Turecko a Džibuti opustil hodnocení.

Ve třetím čtvrtletí roku 2014 místních hrozeb byly zjištěny na 44,4% počítačů v Rusku.

Země, kde se uživatelé čelí nejvyšší riziko lokální infekce

Nejbezpečnějších zemí, pokud jde o místní rizika infekce jsou: Japonsko (15%), Švédsku (16,4%), Dánsko (16,5%), Finsko (18%), a Singapur (19,7%).

V průměru 37,2% počítačů čelí alespoň jednu místní hrozbu během čtvrtletí, což je o 4,4 procentního bodu více než ve 2. čtvrtletí 2014.

Pro nebo proti: Port Security for Network Access Control

10.11.2014 Analýza
Měl jsem zajímavou diskusi dnes s manipulačního kolega Manuel na klady a zápory na zabezpečení přístavu, neboť se týká Network Access Control. Myslel jsem, že by bylo zajímavé zjistit, kde ostatní v oblasti bezpečnosti stojí na danou problematiku. Je to stojí za námahu, nebo ne? Je to cenný nástroj obrany do hloubky? Zde jsou některé z argumentů pro a proti jsme se bavili:

Pro argumenty:

Zastaví ostatním, budou moci zapojit do infrastruktury, budou muset hledat najít port, který nebyl správně nakonfigurován
Může audit logů zjistit, zda prázdné porty jsou zapnuté nebo vypnuté
Může vás upozorní rychleji Rogue prostředků, které jsou zapojeny do vaší infrastruktury
Není to ideální řešení, ale měla by být součástí vaší obrany v hloubce řešení, to není chtěl být "stand alone" řešení
Proti argumenty:

Pokud fake MAC adresu hostitele, jste v
Insider / outsider hrozba je skvělé, protože listinného cenného papíru na zařízení není dobře řízen v mnoha organizacích
Musí brát v úvahu scénářů selhání, nebo můžete sami DoS
Těžko spravovat velké množství portů přepínače, aby se zajistilo, že jsou nastaveny správně za všech okolností
Takže, je bezpečnost přístavu stojí za to, nebo si mnozí z vás si bude příliš časově náročná a zisk není to skvělé? Pokud ho používáte a mají tipy pro úspěšnou realizaci, prosím, podělte se o ně, takže ostatní mohou mít prospěch. Je Cyber ​​Security Awareness Month, a to by bylo dobrou příležitostí k pomoci vzdělávat sebe na otázky jste se setkali s bezpečností přístavů, nebo jak to pomohlo ochránit vaši organizaci.

72% podniků, kterým nedůvěřujete cloudu dodavatele
29.9.2014 Analýzy
K dispozici je rozšířená nedůvěra poskytovatelů cloudových celé Evropě sedm z 10 podniků a obvinili je z nedodržení právních předpisů o ochraně osobních údajů a soukromí, v závislosti na Netskope a Ponemon Institute.

Studie ukazuje, že 53% respondentů uvedlo, že pravděpodobnost narušení dat se zvyšuje v důsledku oblaku a studie Ponemon Institute také zjistila, že narušení bezpečnosti osobních údajů zvýšení očekávaného ekonomického dopadu až o tři časy, kdy oni zahrnují cloud. Tento jev je známý jako "cloud multiplikační efekt," a výzkum zjistil, to se týká v různé míře v souladu s různými cloudových scénářů, jako je například zvýšená sdílení dat z cloud aplikací nebo zvýšené využívání mobilních zařízení pro připojení k mraku. Použití dříve zavedenou cenu ve výši € 136 za ohrožení záznamu, ztráty nebo odcizení 100 tisíc zákazníků záznamů by stálo organizaci € 13.6m. Ale když byli respondenti požádáni o potenciálních dopadů v důsledku zvýšené využívání cloudových služeb, jejich nedostatek důvěry tlačí je ztrojnásobit pravděpodobnost narušení dat. Za předpokladu, že nárůst cloud storage, Odhadnutá pravděpodobnost narušení dat zahrnující ztrátu nebo krádež informací vysoké hodnoty nebo duševní vlastnictví zvedne o 126%. Kromě toho respondenti vnímají, že pouhé zvýšení využívání jakýchkoliv cloudových služeb způsobí dopad porušení dat stejného typu jít až o 159%. A konečně, IT odborníci k závěru, že rychlý růst prodejce a volatilita poskytovatele cloudu by mohlo zvýšit pravděpodobnost narušení dat zahrnující ztrátu 100.000 zákazníků záznamů nebo více o 108%. Výzkumem bylo zjištěno, všeobecná nedůvěra poskytovatelů cloud:

Kromě 72% respondentů uvedlo, že věří, že poskytovatelé cloudu nejsou v souladu s právními předpisy na ochranu osobních údajů, 84% respondentů také nepochyboval, že jejich poskytovatelé cloud služeb by je neprodleně oznámit, pokud byla porušena jejich práva duševního vlastnictví nebo důvěrné obchodní informace,
77% dotázaných tvrdilo, že jejich poskytovatelé cloudu by se okamžitě oznámí svou organizaci kdyby porušení dat, zahrnující ztrátu nebo odcizení zákaznických dat.
64% IT profesionálů, si myslí, že používání jejich organizace z cloudových služeb snižuje jeho schopnost chránit důvěrné informace a 59% se domnívá, že je velmi obtížné zajistit kritických podnikových aplikací. V kontrastu, většina respondentů stále považován za mrak být stejně bezpečná nebo bezpečnější než v prostorách IT, což možná naznačuje, více o jejich nedostatku důvěry v jejich on-prostory nástrojů zabezpečení, než to dělá o jejich důvěry ve schopnosti zabezpečení poskytovatelů cloudových služeb. "Tato studie dokazuje, že některé firmy se potýkají s stínu IT a potřebují mnohem větší přehled o tom, jaká data a aplikace jsou přístupné v cloudu a pokyny o tom, jak by měly analyzovat dodavatele," řekl Sanjay Beri, generální ředitel a co -founder z Netskope. "Všichni víme, že cloud nabízí zvýšení produktivity, ale to by nemělo být na úkor bezpečnosti. Naši respondenti se shodli, že mrak má potenciál být bezpečnější než v prostorách, ale je to pravda pouze v případě, že mají schopnosti prosazování politiky spojené s hlubokým kontextuální přehled o cloud transakcí - zejména těch týkajících se citlivých dat. " Evropa a USA: jak porovnat porovnání výsledků této studie s předchozí studii Netskope a Ponemon Institute, která vyšetřovala cloud multiplikační efekt v USA, evropské organizace jsou jistější ve své schopnosti zabezpečit cloud. 51% respondentů v USA tvrdí, že efektivita jejich organizace v oblasti zabezpečení dat a aplikací je "nízká". Zdvojnásobit procento evropských respondentů, kteří cítí stejně (25%) Stejně tak 52% evropských IT profesionály hodnocené účinnosti jejich organizace jako "high ", ale pouze 26% respondentů v USA se dohodly, že jejich organizace je vysoce efektivní při zabezpečení dat a aplikací v cloudu. "právní a správní předpisy pro ochranu údajů jsou jistě stále těžké hledat v těchto dnech, a to platí zejména v Evropě," řekl Dr. . Larry Ponemon, předseda a zakladatel Ponemon Institute. "Domnívám se, že nízká hlasování o důvěře v cloud dodavatelů vidíme, je v důsledku tohoto zvýšené kontrole a" strachu z neznámého. " Překonat to trvá lepší pochopení bezpečnostních opatření dodavatele a jak lidé používají oblak na prvním místě. Firmy, které vyžadují větší transparentnost dodavatele a hledají efektivní metody pro hodnocení aplikací a řízení spotřeby budou snadněji přijmout oblak a pohybovat kolem tohoto období nejistoty. "

Vědci odemknout šifrování TorrentLocker
22.9.2014 Analýzy
Tým finských vědců zjistil, že soubory zašifrované nedávno objevený TorrentLocker ransomware lze dešifrovat, aniž by zaplatil výkupné - v případě, že uživatel má alespoň jeden ze šifrovaných souborů zálohovaných někde, a tento soubor je více než 2MB velikosti. Předchozí výzkumu konstatovali, že TorrentLocker je zcela nový kmen ransomware, který napodobuje jak CryptoLocker a CryptoWall, takže je zřejmé, že podvodníci za ním se snaží vydělávat na tom, že tyto dva typy malware jsou dobře známé a obávané. Bezpečnostní experti z iSIGHT Partners také řekl, že navzdory podvodníci prohlašovat, že malware používá šifrování RSA-2048, je ve skutečnosti používá algoritmus Rijndael. výzkumníci Taneli Kaivola Patrik Nisén a Antti Nuopponen, kteří pracují pro informační bezpečnost poradenství NIXu, byly analyzovány a TorrentLocker variantu a mít více informací sdílet. Započítávání Trend Micro reseachers s objevem, že TorrentLocker "šifrované soubory tím, že kombinuje keystream do souboru s výhradním nebo provozu (XOR)" také objevil, že malware se obsahují kód, AES a SHA256 a SHA512 hashovací algoritmy. "Přesné údaje o tom, jak se šifrování provádí stále neznámý, ale silně se, že šifrování je prováděno s proudovou šifru, která je vyrobena s použitím AES a hašovací funkce. . Skutečnost, že keystream se skládá z 16 bytových bloků také podporuje předpoklad, že AES se používá k výrobě keystream, "poukázali malware autorů chybou je následující: malware používá stejný keystream šifrovat všechny soubory v rámci Stejné infekce. "Vzhledem k tomu, šifrování bylo provedeno tím, že kombinuje keystream se souborem holého textu pomocí operace XOR, jsme byli schopni obnovit keystream použito k zašifrování těchto souborů pouhým uplatněním XOR mezi zašifrovaný soubor a holého souboru" sdíleli . "Další analýza zašifrovaných souborů také ukázal, že malware program, přidáno 264 bajtů dalších dat na konci každého šifrovaného souboru, a že pouze šifruje první 2MB souboru a zbytek neporušené." Oni předpokládají, že výběr pouze šifrování první 2MB byl vyroben, aby urychlila proces šifrování, ale také možnost výzkumníci obnovit keystream. "přesný účel dodatečných 264 bajtů, které malware program přidá na konec každého souboru je stále neznámý, ale zdá se, že je jedinečný pro každou infekci. Protože je unikátní, to nám umožnilo napsat program, který automaticky rozpozná, který keystream bylo použito k šifrování souborů, "došli k závěru, a vyzval dotčené uživatelům dostat se do kontaktu . Zatímco tato zpráva je velmi vítán, bude toto zjevení nevyhnutelně dělají vývojáři TorrentLocker je zlepšení systému implementace šifrování, takže je to dobrý nápad - pokud jste tak již neučinili - začít dělat pravidelné zálohování vašich souborů.

IT hrozby vývoj ve 2. čtvrtletí 2014
22.8.2014 Analýzy
ČTVRTLETNÍ MALWARE ZPRÁVY
APT INTERNETOVÉ BANKOVNICTVÍ MALWARE STATISTIKA MOBILE MALWARE
Podle údajů KSN produkty společnosti Kaspersky Lab zjištěn a neutralizuje celkem 995.534.410 hrozeb ve druhém čtvrtletí roku 2014.
Laboratorní řešení Kaspersky odrazil 354453992 útoky odpálené z on-line zdrojů umístěných po celém světě.
Kaspersky Lab web antivirus zjištěn 57133492 jedinečné škodlivé objekty: Skripty, webové stránky, využije, spustitelné soubory, atd
145386473 jedinečné adresy URL byly uznány jako nebezpečný webový antivirus.
39% webových útoků neutralizována produkty společnosti Kaspersky Lab byla prováděna za použití škodlivé webové zdroje se nacházejí v USA a Německu.
Antivirové řešení společnosti Kaspersky Lab zjištěn 528799591 virovým útokům na počítačích uživatelů. Byly zjištěny v těchto incidentů celkem 114.984.065 unikátních škodlivých a potenciálně nežádoucích objektů.
Ve 2. čtvrtletí 2014, 927568 počítače se systémem produkty společnosti Kaspersky Lab byli napadeni bankovní malware.
Bylo přijato celkem 3.455.530 oznámení o pokusy infikovat ty počítače s finanční malware.
Přehled

Cílené útoky a malware kampaně

"Někdo otrávil vodu díru"

V dubnu jsme popsali nový Flash Player zero-day, že věříme, že byla použita v zalévání otvory útoky z narušenou syrské webové stránky. Místo ( http://jpic.gov.sy ), který byl zahájen v roce 2011 Ministerstvem syrské spravedlnosti, byl navržen tak, aby občané mohli stěžovat oblasti práva a porušování lidských práv. Věříme, že tento útok byl vyvinut zaměřit syrské disidenty stěžují vlády.

Analyzovali jsme dva nové exploity SWF (jak zjištěno aktivně produkty společnosti Kaspersky Lab) v polovině dubna, aby nepoužíval žádné zranitelností, které jsme již věděli o - chyba byla později potvrzena Adobe jako nový zero-day ( CVE-2014- 0515 ). To se nachází v Pixel Bender komponenty (již není podporována od Adobe), používané pro video a zpracování obrazu. Zatímco první využití je poměrně standardní a byl schopen infikovat prakticky jakýkoliv nechráněný počítač, druhá funguje pouze na počítačích, kde add-ins jsou instalovány Adobe Flash Player 12 ActiveX a Cisco MeetingPlace Express. Autoři se spoléháme na vývojáře, že nemůže najít chybu zabezpečení v této součásti v naději, že využití by zůstat aktivní po delší dobu. To naznačuje, že útočníci nebyli cílení oběti en masse.

Zdá se pravděpodobné, že oběti byly přesměrovány do využije pomocí iframe nebo skriptu na ohrožené místo. Když jsme vydali náš blog na tomto zero-day, jsme viděli více než 30 detekcí na počítačích sedmi různých lidí - všichni z nich se nachází v Sýrii.

Věříme, že tento útok byl pečlivě naplánován high-kalibr útočníků, o čemž svědčí použití profesionálně napsaných zero-day exploity použity k ohrožení jediný zdroj.

Technické údaje o činech lze nalézt zde .

Italská (a turecká) zaměstnání

V červnu jsme informovali o našem výzkumu do útoku proti klientům velké evropské banky , která vyústila v krádeži půl milionu eur v roce jen jeden týden.

Odhalili jsme první známky kampaně v lednu, když jsme objevili podezřelé server obsahující záznamy týkající se transakcí s finančními podvody - včetně podrobností o oběti a které byly ukradené sumy peněz. Další analýza ukázala, další informace, které ukazují banky terčem, peníze mezek systém, provozních podrobnostech útoku a JavaScript v souvislosti s příkazem-and-control (C2), v rámci kampaně. Bylo jasné, že toto je server-side část bankovní Trojan infrastruktury. Pojmenovali jsme C2 "luuuk" po cestě v administračním panelu použité v serveru - '/ server / adm / luuuk ".

Kampaň cílená zákazníky jedné banky. I když jsme nebyli schopni získat malware slouží k infikovat oběti, jsme přesvědčeni, že zločinci používají bankovní trojan, který provedl "man-in-the-Browser" operace ukrást pověření obětí přes škodlivé webové injekce. Na základě informací dostupných v některé ze souborů protokolu na bázi malware ukradl uživatelská jména, hesla a jednorázových hesel (OTP) v reálném čase.

Tyto injekce jsou běžné ve všech variantách Zeus (Citadela, SpyEye, IceIX, atd). Nebyli jsme schopni identifikovat infekce vektor, ale bankovní trojské koně používají různé metody, které infikují oběti, včetně spamu a drive-by ke stažení. Po zveřejnění našeho poštou, výzkumníci u Fox-IT Intell nám poslal informace o potenciálně související s touto kampaní. Tato data ukazují, že server Luuuk mohla souviset s ZeusP2P (aka Murofet), jak se původně předpokládalo. Nicméně tam byl žádný konečný důkaz tohoto, protože injekčně kód nebyl nalezen na serveru, když jsme provedli analýzu.

Útočníci používají ukradené pověření ke kontrole zůstatku účtu oběti a automaticky provádět nebezpečné operace, pravděpodobně pracuje v pozadí legitimní bankovní zasedání. To je v souladu s jedním z škodlivých artefaktů (VNC server), které jsme našli vázán ke škodlivému serveru používaného útočníky.

Ukradené peníze pak byly převedeny automaticky nastavených peníze mezka účtů. Klasifikace předdefinovaných peníze mul používaných útočníky bylo velmi zajímavé. Byly tam čtyři různé peněz mule skupin, z nichž každá definované množství peněz, muly ve skupině mohlo souhlasit - pravděpodobně odrazem úrovně důvěry mezi nimi.

Identifikovali jsme 190 obětí celkem, většina z nich se nachází v Itálii a Turecku. Částky ukradené z každé oběti v rozmezí od € 1,700 do € 39,000 A činil € 500,000.

Útočníci odstranit všechny citlivé komponenty dne 22. ledna, dva dny poté, co začala naše vyšetřování. O činnosti transakcí, jsme přesvědčeni, že se jedná spíše než o změnu infrastruktury úplné odstavení provozu. Naše analýza útoku naznačuje, že zločinci stojí za kampaň jsou vysoce profesionální a velmi aktivní. Oni také ukázaly, proaktivní bezpečnostní činnost provozní, měnící se taktiku a odstraní stopy, když objevil.

Když jsme poprvé našli C2 serveru, jsme informovali záležitost příslušné banky a příslušných donucovacích orgánů. Udržujeme naše kontakt s těmito agenturami a nadále vyšetřovat útok.

"Právní" spyware mobilu

V červnu jsme zveřejnili výsledky našeho nejnovějšího výzkumu do softwaru "právní" s názvem Remote Control System (RCS), vyvinutý italskou společností HackingTeam. Není to poprvé, co jsme se zaměřil na software této společnosti. Však došlo k významnému vývoji od našeho předchozího článku o RCS.

Za prvé, jsme zjistili, rys, který může být použit pro otisky prstů RCS rozkazech a kontrolu (C2) servery. Je-li zvláštní žádost zaslána na RCS server odpoví následující chybová zpráva:
 

Byli jsme schopni tuto metodu použít ke skenování celý adresní prostor IPv4, což nám umožnilo najít všechny IP adresy serverů RCS C2 po celém světě. Našli jsme 326 celkem, většina z nich se nachází v USA, Kazachstánu a Ekvádoru. Si můžete prohlédnout seznam zde . Některé IP adresy byly identifikovány jako "government' souvisejících na základě jejich WHOIS informací. Samozřejmě, že si nemůžeme být jisti, že jsou servery umístěné v určité zemi jsou používány donucovací orgány v této zemi, ale to by smysl: po tom všem, že by nedošlo k přeshraničních právních problémů a vyhnout se riziku Servery byl chycen ostatními.

Za druhé, jsme objevili celou řadu mobilních malware modulů pro Android, iOS, Windows Mobile a BlackBerry pocházejících z HackingTeam. Všichni jsou ovládány pomocí stejného typu konfigurace - dobré znamení, že spolu vzájemně souvisejí a patří do stejné rodiny produktů. Není překvapením, že jsme zájem především o ustanovení týkající se Android a iOS, díky popularitě těchto platformách.

Moduly se instalují škodlivin - speciální spustitelné soubory pro Windows nebo Mac OS, který běží na již infikované počítače. Modul iOS podporuje pouze jailbroken zařízení. To však omezuje jeho schopnost šířit se, ale způsob infekce používá RCS znamená, že útočník může spustit Jailbreaking nástroj (například Evasi0n) z infikovaného počítače, ke kterému je telefon připojen - pokud zařízení není uzamčeno .

Modul iOS umožňuje útočníkovi přístup k datům na zařízení (včetně e-mailu, kontaktů, historie hovorů, cache webových stránek), tajně aktivovat mikrofon a aby se pravidelně snímky z fotoaparátu. To dává plnou kontrolu nad celým životním prostředí ve městě a okolí počítači oběti.

Android modul je chráněn DexGuard Optimalizátor / obfuscator, takže bylo obtížné analyzovat. Ale my jsme byli schopni určit, že se shoduje funkčnost modulu iOS, navíc nabízí podporu pro únos informace z následujících aplikací: "com.tencent.mm ',' com.google.android.gm ',' android.calendar" , "com.facebook ',' jp.naver.line.android" a "com.google.android.talk".

Můžete najít úplný seznam funkcí zde .

Tato nová data zdůrazňuje náročnost těchto nástrojů ostrahy. Politika společnosti Kaspersky Lab ve vztahu k těmto nástrojům je velmi jasná. Snažíme se zjistit a nápravě malware útoku, bez ohledu na jeho původ a účel. Pro nás neexistuje nic takového jako "právo" nebo "špatné" malware; a my jsme vydal veřejné varování o rizicích spojených s takzvaným "právní" spyware v minulosti. Je nezbytné, aby tyto nástroje dozoru nepatří do nepovolaných rukou - to je důvod, proč bezpečnostní průmysl IT nelze dělat výjimky, pokud jde o zjištění škodlivého kódu.

MiniDuke re-naložený

Na začátku roku 2014 došlo k opětovné aktivaci MiniDuke, APT kampaň od začátku roku 2013 původní kampaně vystupoval z několika důvodů. To zahrnovalo vlastní backdoor napsaný v "staré školy" Assembler programovací jazyk. Útok byl veden pomocí neobvyklý příkaz-and-control (C2) Infrastruktura: to využila více redundantních cest, včetně Twitter účtů. Vývojáři převedli své aktualizované spustitelné skryté uvnitř soubory ve formátu GIF.

Cíle na nové operace MiniDuke (známý také jako TinyBaron a CosmicDuke) zahrnují vládu, diplomatické, energii, vojenské a telekomunikačních operátorů. Ale neobvykle, seznam obětí jsou osoby podílející se na obchodování s lidmi a dalšího prodeje nelegálních látek, včetně steroidů a hormonů. Důvodem pro to je, není jasné. Je možné, že přizpůsobit backdoor je k dispozici jako takzvaný "právní spyware". Ale to může prostě být, že je k dispozici v podzemní trhu a byl koupen různých soutěžitelů ve farmaceutickém průmyslu špehovat na sebe.

Kampaň se zaměřuje na země po celém světě, včetně Austrálie, Belgie, Francie, Německa, Maďarska, Nizozemí, Španělska, Ukrajiny a USA.

Jedním ze serverů námi analyzovaných obsahovala dlouhý seznam obětí se datuje do dubna 2012 tam bylo 265 různých identifikátorů na serveru, přiřazené k obětem z 139 unikátních IP: geografické rozložení obětí včetně Gruzie, Rusko, USA, UK, Kazachstán, Indie, Bělorusko, Kypr, Ukrajina a Litva.

Naše analýza ukázala, že útočníci byli rozšiřují své pole činnosti, skenování IP rozsahy a servery v Ázerbajdžánu, Ukrajiny a Řecka.

Malware spoofs populárních aplikací, jejichž cílem je běžet na pozadí - včetně informací o souboru, ikony, a dokonce i velikost souboru. Backdoor sám je sestaven s použitím "BotGenStudio ', nastavitelný rámec, který umožňuje útočníkům povolit nebo zakázat součásti, když je bota postavena. Komponenty Malware je lze rozdělit podle jejich funkce.

(1) vytrvalost. Malware je schopen spustit přes Plánovač úloh systému Windows v určitém čase, nebo když je aktivován spořič obrazovky.

(2) Reconnaissance. Malware nejen krade soubory s určitými příponami, ale také úrodu hesla, historie, informace o síti, adresáře, informace zobrazené na obrazovce (screenshoty jsou každých pět minut) a další citlivé údaje.

Každá oběť je přiřazen jedinečný identifikátor, což umožňuje, aby se zasadila konkrétní aktualizací pro jednotlivé oběti. Malware je chráněn vlastní popletl nakladačem, který silně pohlcuje zdroje CPU tři až pět minut, než provedením užitečné zatížení. To je těžké analyzovat. Ale také odčerpá prostředky, které bezpečnostní software potřebuje napodobit výkon malwaru. Na vrcholu své vlastní obfuscator, malware dělá těžké použití šifrování a komprese na základě RC4 a LZRW algoritmů. Jsou implementovány mírně odlišně než standardní provedení - věříme, že se tak stalo úmyslně klamat výzkumných pracovníků.

Jeden z více technicky pokročilé částí malwaru se týká ukládání dat. Vnitřní uspořádání malware je šifrována, stlačený a serializovat jako komplikované registru-jako struktura, která má různé typy záznamů, včetně řetězce, celá čísla a interní odkazy.

(3) průsaků vody. Malware implementuje několik metod pro přenos ukradených dat, včetně nahrávání přes FTP a tři typy komunikace HTTP-based. Když je soubor odeslán do C2 serveru je rozdělen na malé kousky (z asi 3 kb), které jsou komprimované, šifrované a umístí do nádoby, které mají být odeslány na server. Pokud je to velký soubor, může být umístěn do několika set různých nádobách, které jsou nahrány samostatně. Je pravděpodobné, že tyto datové bloky jsou analyzovány, dešifrovat, bez obalu, extrahuje a znovu na straně útočníka. Tato metoda může být horní, vrstvy, další zpracování zajišťuje, že jen velmi málo výzkumníci dostanou do původních dat a nabízí vyšší spolehlivost proti chybám sítě.

Stejně jako je tomu v případě jakékoliv APT, přičítání je prakticky nemožné. Zatímco útočníci používat angličtinu na několika místech, existují náznaky, že to není jejich rodným jazykem. Našli jsme řetězce v bloku paměti připojené k malware komponenty použité pro vytrvalost, které naznačují, že může být rusky. To platilo také o použití kódové stránce 1251 v webshell používané útočníky ohrozit C2 hostitelů - to se běžně používá k tomu, aby znaky cyrilice. Stejný webshell byl zaznamenán v provozu jiného APT - Turla, Snake nebo Uroburos ).

Online podvodníci - jejich [Svět] pohár přetekl!

Podvodníci jsou vždy na pozoru příležitosti, jak vydělat peníze z zadní části velkých sportovních akcí a mistrovství světa ve fotbale se v ničem neliší. V běhu až do turnaje jsme poukázaly na různé způsoby, kterými se podvodníci se snaží využít nic netušící návštěvníky Brazílii velké vitríně případě fotbalu.

Jeden zřejmý způsob pro podvodníky na cash-in je přes útoky typu phishing . Je běžné, že phisheři ohrozit legitimní stránky a hostovat své stránky tam. Ale brazilské phisheři šli něco navíc do fáze útoků, které jsou velmi obtížné pro obyčejné lidi na místě. Jsou registrovány domény s použitím jména známých místních značek - včetně společnosti kreditních karet, banky a on-line obchodů. Nicméně, útočníci šli jedna míle ještě dále. Nejen, že byly stránky velmi profesionálně navržených - dali jejich stránky ještě větší pocit autenticity nákupem certifikátů SSL od certifikačních autorit, jako je Comodo, EssentialSSL, Starfield, Register.com a další. Je zřejmé, že místo s "legitimní" SSL certifikát je pravděpodobné, že oklamat i bezpečnostní vědomé spotřebitelů.

Jsou také využívat, jak snadné je koupit certifikátů za účelem distribuce digitálně podepsané malware. Začnou tím, zasílání zpráv, které nabízejí volné vstupenky Světového poháru, s odkazem, který vede k bankovní Trojan:
 

Některé z těchto e-mailů obsahuje osobní údaje, ukradené z porušené databáze přidat důvěryhodnost falešné nabídky.

Nicméně, brazilské zločinci nejsou omezuje své aktivity na phishing sám. Máme hlášeny také, jak byly pomocí malware nainstalován na Point-of-Sale a PIN-pad zařízení s cílem zachytit údaje o kreditní kartě. Tato zařízení jsou připojena k počítači přes USB nebo sériový port, ke komunikaci se softwarem bankovním převodem (EFT). Trojské koně, které používají infikovat počítač a čichat data přenášená přes tyto porty. Tyto PIN polštářky jsou vybaveny bezpečnostními prvky, aby zajistily, že bezpečnostní klíče jsou vymazány, pokud se někdo snaží manipulovat se zařízením. PIN je šifrována, jakmile je to nezadáno - obyčejně používat trojité šifrování DES. Ale Track 1 údaje (číslo kreditní karty, datové platnosti, servisní kód a CVV) a veřejné CHIP data nejsou šifrována na staré, zastaralé zařízení - místo, oni poslali ve formátu prostého textu do počítače přes USB nebo sériový port. To dává zločinci vše, co potřebují naklonovat kartu.

Počítačoví zločinci také využít naší touze zůstat ve spojení všude, kam jít - se podělit o své snímky, aktualizovat své účty sociálních sítí, zjistit nejnovější zprávy, nebo najít nejlepší místa k jídlu, obchod, nebo zůstat. Bohužel, náklady na mobilní roaming být velmi vysoká, a proto se často lidé hledají nejbližší Wi-Fi přístupový bod. To je nebezpečné, jak je popsáno v naší zprávě o Wi-Fi připojení na internet v Brazílii . Přijatých a odeslaných dat přes otevřené sítě Wi-Fi mohou být zachyceny. Takže hesla, PINy a další citlivá data mohou být ukradené snadno. Na vrcholu tohoto, zločinci také nainstalovat falešné přístupové body, konfigurované řídit veškerou komunikaci prostřednictvím hostitele, který lze použít k jeho ovládání - dokonce funguje jako "the-middle man-in-", zařízení, které je schopné zachytit a přečíst šifrované provoz.

Naše zpráva také zdůraznila nebezpečí nabíjení mobilního zařízení pomocí portu USB instalované na veřejném místě. Škodlivé AC / DC nabíječky můžete nabíjet baterii vašeho zařízení, ale také tiše krást data z vašeho přístroje - nebo dokonce nainstalovat malware.
 

Je tu ještě jeden způsob, jak podvodníci mohou vydělat peníze od lidí, a to i v případě, že nejste hledáte lístky Světového poháru. S velkým publikem na celém světě, často ve vzdálených časových pásmech, mohou fanoušci najít sami od svého televizoru v době, kdy chcete sledovat hru. To je, když začnou hledat živé on-line stream akce. Bohužel, hledání živé vysílání na internetu může ukázat být velmi drahé, nebo výsledek v počítači získání infekce. To proto, že některá z reklam zjistíte, když budete hledat vést k podvodnému nebo škodlivým obsahem. Když jdete na webových stránkách, ale žádá si můžete stáhnout speciální plugin, takže můžete sledovat on-line vysílání. Ale ukázalo se, že je adware program, který může ukázat vám nic, ale vypusťte prostředky počítače. Adware se rozkročí nad tenkou hranici mezi počítačové trestné činnosti a legitimní software. Takže je to malý zázrak, že naše statistiky ukazují probíhající detekci tohoto typu softwaru. Najdete u nás kompletní zprávu zde .
 

Zaplatit berní úředník - ale vyhnout se Phisheři

Útočníci nejsou jen pokusit zneužít významné sportovní události. Oni také založit kampaně kolem více světské aspekty života. V květnu, mnoho lidí v Kolumbii obdržel e-mail, obvinil je z daňových úniků a podvodů . Chcete-li přidat další "okraj" na sdělení, že zločinci tvrdili, že to byl třetí oznámení o této záležitosti. E-mail obsahoval odkaz, který vedl na napadené dokumentu. Microsoft Office bloky vložené makra, takže útočníci včetně pokynů o tom, jak by měla oběť povolit makra.

V případě, že oběť klikne na dokumentu, jiný škodlivý soubor se stáhne do svého počítače, ze pirát serveru v Ekvádoru. Toto je navržen tak, aby krást hesla pro on-line hry, PayPal, systémy pro sdílení souborů, sociálních sítí (včetně Facebook a Twitter), on-line bankovních účtů a další.

Použití zastrašovací taktiky obecně, a falešné komunikace od daňových orgánů, zejména, jsou běžné metody používané phisherů po celém světě.

V dubnu jsme zveřejnili zprávu o hloubkové o finanční počítačové trestné činnosti, na základě údajů ze systému Kaspersky Security Network . Si můžete přečíst zprávu o phishingu zde .

Malware příběhy: loading brzy - používání bootkits zločinci

Když se malware spisovatelé rozvíjet svůj kód jednou z jejich hlavních cílů je naložit škodlivý obsah co nejdříve v procesu spouštění. Tato získá maximální možnou kontrolu nad systémem. Bootkits představují nejvyspělejší technologii v této oblasti, což škodlivý kód spustit dříve, než samotný operační systém zatížení. Tato technologie byla zavedena v řadě škodlivých programů. Pozoruhodné příklady zahrnují XPAJ a TDSS , ale existuje mnoho dalších, včetně cílených útoků kampaní, jako je The Mask .

Bootkits se v průběhu let vyvíjela od důkazu-of-concept k rozdělení hmotnosti, jak je vysvětleno zde . Mají nyní účinně stal open-source software, a to díky zveřejnění zdrojového kódu pro Carberp bankovnictví Trojan - Cidox bootkit byla použita k ochraně Carberp a jeho zdrojový kód byl zveřejněn spolu to Carberp.

Je jasné, že vývoj bootkits je třeba vidět v celkovém kontextu kočku a myš bitvy mezi malware spisovatelů a anti-malware výzkumných pracovníků. Oni jsou vždy hledají nové způsoby, jak se vyhnout detekci; jsme neustále hledá způsoby, jak učinit ochranu zákazníka účinnější. Naše zpráva také zabývá bezpečnostních výhod, které nabízejí UEFI (Unified Extensible Firmware Interface), a jak tvůrci malwaru může se ji pokusit rozvrátit.

Web bezpečnosti a narušení bezpečnosti osobních údajů: Windows XP - není podporován, ale stále tam venku

Podpora pro Windows XP skončila dne 8. dubna: to znamená, že žádné nové aktualizace zabezpečení, netýká se zabezpečení opravy hotfix, zdarma nebo placené asistované možnosti podpory nebo on-line obsahu technické aktualizace. Je smutné, že stále existuje mnoho lidí, kteří se systémem Windows XP - naše údaje za období od 8.4.2014 vyplývá, že asi 18 procent infekcí jsou na počítačích se systémem Windows XP. To je hodně lidí dokořán, aby se útoku, který bezpečnostní záplaty vyschly: efektivně, každá chyba objevil a od té doby je zero-day zranitelnost - to znamená, že jeden, pro které neexistuje žádná šance na náplasti.

Tento problém bude umocněn jako aplikace dodavatelů zastavit rozvoj aktualizací pro systém Windows XP. Každá aplikace un-oprava bude ještě další potenciální bod kompromisu, což dále zvyšuje potenciální útoku. Ve skutečnosti tento proces již začal: nejnovější verze Java nepodporuje Windows XP.

Přechod na novější operační systém se může zdát jako jednoduché rozhodnutí. Ale i když Microsoft dal spoustu oznámení o ukončení podpory, že to není tak těžké pochopit, proč přechod na nový operační systém může být problematický pro některé podniky. Na vrcholu náklady na přechod, může to také znamenat investice do nového hardwaru, a dokonce se snaží nahradit zakázku aplikaci vyvinutou speciálně pro společnost - ten, který nebude běžet na novější operační systém. Takže není divu, vidět některé organizace platit za pokračující podporu pro XP .

Takže pokud nechcete přepínat právě teď, můžete zůstat v bezpečí? Bude váš anti-virus software vás ochrání?

Určitě to bude poskytovat ochranu. Ale to platí jen dobře, pokud by "anti-virus", máme na mysli komplexní zabezpečení Internetu výrobek, který využívá aktivní technologii na obranu proti novým, neznámým hrozbám - zejména funkce, aby se zabránilo používání využije. Základní anti-virus produkt, založený z velké části na skenování signatur známých malware, je nedostatečná. Nezapomeňte také, že, jak doba plyne, budou dodavatelé bezpečnostních řešení implementovat nové technologie ochrany, které nemusejí být Windows XP kompatibilní.

Přinejlepším, měli byste vidět to jako zátka, zatímco vy dokončit svou strategii migrace. Malware autoři nepochybně zaměřit Windows XP, zatímco značný počet lidí, kteří i nadále spustit, protože operační systém un-oprava nabídne jim mnohem větší okno příležitosti. Každý počítač se systémem Windows XP v síti nabízí slabé místo, které může být využito v cíleného útoku na společnost. Pokud ohrožena to se stane odrazovým můstkem do širší sítě.

Není pochyb o tom, že přechod na novější operační systém je nevyhovující a nákladný pro jednotlivce i podniky. Ale potenciální riziko použití stále nejistější operační systém pravděpodobně převáží nepříjemnosti a náklady.

Mobilní hrozby

Čtvrtletí v číslech

Ve druhém čtvrtletí roku 2014 bylo zjištěno následující:

727790 instalační balíčky;
65.118 nových škodlivých mobilních programy;
2033 mobilní bankovní trojské koně.
Součet škodlivých mobilních objektů bylo odhaleno 1,7 krát nižší než v prvním čtvrtletí. Máme odkaz na tuto se začátkem prázdnin. V červnu jsme zaznamenali snížení pokusy infikovat mobilní zařízení pomocí trojských koní.

Mobilní bankovní trojské koně

I když se celkový počet hrozeb ve druhém čtvrtletí snížil, jsme zjistili 2033 mobilní bankovnictví trojské koně v tomto období 1,7 krát více než v minulém čtvrtletí. Od začátku roku 2014 se počet bankovních trojských koní se zvýšil o téměř čtyřnásobně, a v průběhu roku (od července 2012) - 14,5 krát.

Počet mobilních bankovních trojských koní zjištěno, Q2 2014

Tento nárůst odráží dva faktory:

Zájem zločinci ve "velké" peníze;
aktivní protiopatření z antivirových společností.
Bereme na vědomí, že geografie infekce mobilních bankovních trojských koní se změnilo:

Geografie infekce mobilního bankovnictví trojské koně, Q2 2014

Prvních deset zemí napadeny bankovní trojské koně

Země Počet útoků % Všech útoků
1 Rusko 13800 91,7%
2 USA 792 5.3%
3 Ukrajina 136 0,9%
4 Itálie 83 0,6%
5 Bělorusko 68 0,5%
6 Korejská republika 30 0.2%
7 Kazachstán 25 0.2%
8 Čína 19 0,1%
9 Velká Británie 17 0,1%
10 Německo 12 0,1%
Stejně jako dříve, Rusko je na prvním místě v hodnocení, ale na druhém místě je USA, a velkým rozpětím nad všemi ostatními zeměmi. Kazachstán, který byl na druhém místě v tomto hodnocení v prvním čtvrtletí, je nyní na sedmém místě.

Nový vývoj z autoři virů

První mobilní šifrátor

V polovině května oznámení se objevil na jednom z fór viru psaní nabízí jedinečný Trojan-Encryptor na prodej za $ 5000 pracuje na OS Android. Dne 18. května jsme detekovali první mobilní Encryptor ve volné přírodě. Tento malware byl zjištěn společností Kaspersky Lab jako Trojan-Ransom.AndroidOS.Pletor.a.

Po spuštění Trojan používá AES šifrovací algoritmus pro šifrování obsahu paměťové karty v telefonu, včetně mediálních souborů a dokumentů. Ihned po zahájení kódování Pletor zobrazuje výkupné na obrazovce. Chcete-li získat peníze od uživatele na QIWI VISA peněženky, MoneXy systém nebo standardní převod peněz na telefonní číslo jsou používány.

Na konci druhého čtvrtletí se nám podařilo identifikovat více než 47 verzí Trojan. Ty všechny obsahují klíč nezbytné dešifrovat všechny soubory.

Pro komunikaci se zločinci jedna verze Trojan používá TOR sítě, jiní HTTP a SMS. Trojské koně z této druhé skupiny ukazují uživatel video obraz sebe v okně s poptávkou po penězích, přenáší v reálném čase pomocí čelní kamery na telefonu.
 

Bereme na vědomí, že autoři virů používají stejné sociálního inženýrství mechanismy jako tvůrci prvních encryptors pro Windows: telefon je pravděpodobně blokován přístup zakázaný pornografický obsah a všechny fotografie a videa v telefonu jsou "převedeny na vyšetření." Navíc pro nezaplacení "v pořádku", že vyděrači hrozí odeslat všechna data na "veřejné zdroje".

Pletor je zaměřen na občany Ruska a Ukrajiny, a jsou zprávy v ruštině a výkupné je požadováno v rublech nebo hřivny (součet je ekvivalent asi 300 euro). Nicméně jsme zjistili, instance tohoto malwaru ve 13 zemích - především na území bývalého SSSR.

Disabler vývoj

Pokud jde o útok techniky existuje jasná tendence k rozvoji výkupného-deaktivátorů. Zde také zločinci přijímají metody děsivé svých obětí, které byly použity tvůrci Windows malware.

První verze mobilního malware Svpeng, který má schopnost Trojan-výkupné, byl zjištěn na počátku roku 2014 Trojan blokuje telefon, údajně proto, že jeho majitel je zobrazeno dětské pornografie. Chcete-li odblokovat mobilní zařízení se zločinci požadovat platbu "v pořádku" 500 dolarů.

Na začátku června jsme objevili novou verzi Svpeng zaměřený především na uživatele v USA. Nicméně uživatelé ve Velké Británii, Švýcarsku, Německu, Indii a Rusku byli také napadeni.

Tato verze Svpeng kompletně blokuje mobilní zařízení, takže uživatel nemůže ani otevřít vypínač nabídku / restart. Smartphone lze vypnout pouze dlouhým stiskem na tlačítko off, ale Trojan začíná ihned po jeho opětovném zapnutí.

Ve stejné době, kdy útočníci použili léty prověřenou sociální inženýrství trik. Když začne Trojan imituje skenování telefonu a zřejmě najde zakázaný obsah. Vystrašit uživatele okno oznamující "najít" s logem FBI.
 

Trojan blokuje telefon a požaduje zaplacení 200 dolarů, aby ji odblokovat. Tvůrci Trojan použít MoneyPak poukázky přijímat peníze.
 

V tomto okně Svpeng ukazuje fotografii uživatele, které bylo přijato pomocí čelní kamery, který připomíná Trojan-Ransom.AndroidOS.Pletor.a které jsme diskutovali výše, kromě toho, že Pletor přenáší video obraz.

Na konci druhého čtvrtletí se nám podařilo najít 64 verze nového Svpeng. Každá verze se zmíní o třídu Cryptor, přestože nebyl zjištěn žádný využití této třídy. Možná, že zločinci mají v úmyslu v budoucnu používat malware k šifrování dat uživatelů a požadovat výkupné pro dešifrování to.

Nejen Android

Jako dříve, hlavním terčem kybernetických zločinců je na platformě Android. Více než 99% z nového mobilního malwaru je zaměřen na Androidu.

To však neznamená, že můžeme zapomenout na další mobilní platformy. Tak, v druhém čtvrtletí roku 2014 nové objekty škodlivého softwaru se objevila na platformě Apple iOS (ale pouze pro "Jailbroken" zařízení). Spolu s jejich malware zločinci používali ochranné funkce systému iOS pro zlé záměry. Útok na Apple ID dovoleno pachatelé zcela zablokovat zařízení a požadovat peníze z jejich obětí s cílem obnovit jeho funkčnost.

Expozice Hacking Team také přišel s žihadlo v ocase, jak bylo zjištěno, že jejich arzenál obsahoval moduly pro útok "jailbroken" iOS zařízení.

Platforma Windows Phone nebyl vynechán jeden. Zde autoři virů nepřišel s žádnými technickými inovacemi, ale vzal cestu vkládání falešných aplikací bez jakýchkoli užitečných funkcí vůbec v Úředník placený App Store. A naše značka nebyla bez úhony: podvodníci také použít ochrannou známku a logo společnosti Kaspersky Lab.

Tímto způsobem dvě zranitelnosti byly zjištěny ve Windows Phone Store najednou:

nedostatek kontrol, které značky jsou správně použity;
nedostatek kontroly funkčnosti.
Falešné aplikace stejného vydavatelů také se objevil na Google Play.

Mobilní hrozby: Statistika

Součet škodlivých mobilních objektů bylo odhaleno 1,7 krát nižší než v prvním čtvrtletí: 727790 instalační balíčky, 65118 nové mobilní malware programy, 2033 mobilní bankovnictví trojské koně. Pravděpodobně snížení aktivity je až do začátku prázdnin.

Distribuce mobilních hrozeb podle typu

Distribuce mobilních hrozeb podle typu, Q2 2014

Hodnocení škodlivých objektŧ pro mobilní zařízení pro druhé čtvrtletí roku 2014 byla vedena potenciálně nechtěných reklamních aplikací (27%). Drží na svém místě, jsou SMS-trojské koně, s 22%. Zatímco údaje o těchto dvou typů mobilních hrozeb mají víceméně zůstaly nezměněny v průběhu čtvrtletí RiskTool stoupla z pátého na třetí místo, její podíl na toku mobilní malware detekovaného se zvýšil z 8,6% na 18%. Jedná se o právní aplikace, které jsou potenciálně nebezpečné pro uživatele - neopatrné zacházení uživatelem smartphone nebo nebezpečného útočníka by mohla vést k finanční ztrátě.

TOP 20 škodlivých mobilních programy

Název % Útoků *
1 Trojan-SMS.AndroidOS.Stealer.a 25,42%
2 RiskTool.AndroidOS.SMSreg.gc 6.37%
3 RiskTool.AndroidOS.SMSreg.hg 4,82%
4 Trojan-SMS.AndroidOS.FakeInst.a 4,57%
5 Trojan-SMS.AndroidOS.Agent.ao 3,39%
6 AdWare.AndroidOS.Viser.a 3,27%
7 Trojan-SMS.AndroidOS.Opfake.a 2,89%
8 Trojan-SMS.AndroidOS.Erop.a 2,76%
9 Trojan-SMS.AndroidOS.FakeInst.ff 2,76%
10 Trojan-SMS.AndroidOS.Agent.en 2,51%
11 Trojan-SMS.AndroidOS.Agent.ev 2,43%
12 RiskTool.AndroidOS.SMSreg.eh 2.41%
13 Trojan-SMS.AndroidOS.Opfake.bw 1.96%
14 Trojan-SMS.AndroidOS.Opfake.bo 1,53%
15 RiskTool.AndroidOS.MimobSMS.a 1,48%
16 Trojan-SMS.AndroidOS.Skanik.a 1,35%
17 Trojan-SMS.AndroidOS.Agent.mw 1.33%
18 RiskTool.AndroidOS.SMSreg.ey 1,31%
19 Trojan-SMS.AndroidOS.Agent.ks 1,24%
20 Trojan-SMS.AndroidOS.Agent.ay 1,21%
* Podíl z celkového počtu útoků zaznamenaných na mobilních zařízeních unikátních uživatelů.

V TOP 20 zjištěny hrozby SMS trojské koně ovládají stejně jako dříve, tyto škodlivé programy obsadil 15 míst v kvalifikaci.

V průběhu druhého čtvrtletí na pozadí sníženým počtem útoků, jsme pozorovali trvalý růst v pokusech napadnout uživatelům Trojan Trojan-SMS.AndroidOS.Stealer.a . Tento malware se na prvním místě v hodnocení s více než 25% všech útoků. Pachatelé byli obzvláště aktivní v dubnu, kdy pokusy zloděj infekce téměř dvakrát tak časté jako v květnu nebo v březnu. A v červnu se pokusy o infekci s tímto Trojan 7 krát častější než její nejbližší konkurent.

Goegraphy hrozeb

Mapa mobilních pokusům malwaru infekce
(podíl z celkového počtu útoků na unikátních uživatelů)

Tam byly některé drobné změny v územním rozložení útoků. A tak vidíme, Německo na druhém místě, zatímco Indie, který byl na druhém místě v prvním čtvrtletí klesla z TOP 10 dohromady. Kazachstán visel na třetím místě a na Ukrajině se stěhoval z čtvrtá-pátá dělat cestu pro Polsko, které vylezl z desátého na čtvrté místo.

TOP 10 zaútočili země:

Země % Útoků
1 Rusko 46.96%
2 Německo 6,08%
3 Kazachstán 5,41%
4 Polsko 5,02%
5 Ukrajina 3,72%
6 Malajsie 2,89%
7 Vietnam 2,74%
8 Francie 2,32%
9 Španělsko 2.28%
10 Mexiko 2,02%
Uživatelé nainstalovat spoustu aplikací na svých mobilních zařízeních, a to by mělo být poznamenal, že v různých zemích se podíl škodlivých aplikací mezi aplikací instalována uživatelům liší.

TOP 10 zemí podle rizika infekce

Země * % Škodlivých aplikací
1 Vietnam 2.31%
2 Řecko 1,89%
3 Polsko 1,89%
4 Kazachstán 1,73%
5 Uzbekistán 1,51%
6 Arménie 1,24%
7 Srbsko 1,15%
8 Maroko 1.09%
9 Česká republika 1.03%
10 Rumunsko 1,02%
* Jsme vyloučeny země, kde bylo méně než 100.000 stažení

Přestože Rusko je na prvním místě, pokud jde o zaznamenaných útocích není zemí s největší šanci na infekce s mobilním malwaru. V tomto ohledu Vietnam je ve vedení; tam 2.31% ze všech aplikací, které uživatelé se pokoušeli instalovat byly škodlivé.

Níže pro srovnání ukážeme úrovně rizika infekce pro dalších 15 zemí z různých oblastí světa:

Země % Škodlivých aplikací
Čína 0,94%
Francie 0,85%
Rusko 0,74%
Mexiko 0,58%
Španělsko 0,55%
Indie 0.41%
Německo 0.19%
UK 0,18%
Argentina 0,13%
Brazílie 0,12%
Itálie 0.11%
USA 0,09%
Peru 0,07%
Hong Kong 0,06%
Japonsko 0,02%
Ve Francii 0,85% z aplikací, které uživatelé měli zájem se ukázalo, že je infikován, v Rusku 0,74%, v Německu 0,19%, ve Velké Británii 0,18%, v USA 0,09% a v Japonsku pouze 0,02%.

Statistiky

Všechny statistiky používané v této zprávě byly získány prostřednictvím distribuovaného antivirový sítě Kaspersky Security Network (KSN) jako výsledek práce prováděné různé komponenty Anti-Malware Protection. Informace byly získány z KSN uživatelů, kteří se dohodli, že přenos dat. Miliony uživatelů produktů společnosti Kaspersky Lab z 213 zemí a teritorií po celém světě podílet se na globální výměny informací týkající se nebezpečné činnosti.

Online hrozby v bankovním sektoru

Klíčové události ve 2. čtvrtletí

Jednou z největších událostí ve 2. čtvrtletí byl vzhled OpenSSL zranitelnosti , která je schopna poskytnout neoprávněný přístup k tajným klíče, uživatelského jména a hesla, stejně jako obsah, který se přenáší v zašifrované podobě.

Heartbleed zranitelnost je využívána v kryptografické knihovny OpenSSL používané v různých softwarových produktů, včetně bankovního softwaru. Trvalo několik hodin, než oficiální patch objevit, a pak tam byl dlouhý proces instalace, což vede k úniku platební údajů o klientovi a další cenné informace v různých oblastech podnikání. Po šíření těchto informací a těch dalších úniků, můžeme očekávat strmý nárůst počtu podvodných transakcí. Jedná se o další budíček, zdůrazňující potřebu finančních institucí a jejich zákazníky, aby zůstali na vrcholu bezpečnosti pro všechny e-údajů o platbách.

Ve druhém čtvrtletí roku 2014 viděl vzhled nového bankovního Trojan, Pandemiya , který používá běžně vidět malware metody, jako je web-inject útok krást informace o platbě.

Q2 také viděl mezinárodní vymáhání práva operace chytit kontrolu nad GameOver botnet Zeus. FBI dal developer bankovního Trojan Zeus na mezinárodním seznamu hledaných.

Není divu mistrovství světa v Brazílii 2014 přitahuje pozornost podvodníků. Podle výsledků tohoto čtvrtletí, brazilské Uživatelé byli napadeni bankovní malware v jiných zemích častěji než. Škodlivý obsah byl zjištěn, například, že šíření v masce inzerátů a využívat vzrušení kolem letošního léta hlavní sportovní události.

Počet počítačů napadl finanční malware

Během vykazovaného období, Lab řešení Kaspersky zablokovány 927568 útoků na počítačích uživatelů pokusu o spuštění malware schopen krást peníze z on-line bankovních účtů. Toto číslo představuje nárůst ve srovnání s dubnem o 36,6%.

Počet počítačů napadl finanční malware, Q2 2014

Celkem 3.455.530 oznámení o nebezpečné činnosti programy, jejichž cílem je ukrást peníze prostřednictvím on-line přístupu k bankovním účtům byly registrovány bezpečnostní řešení společnosti Kaspersky Lab v 2. čtvrtletí roku 2014.

Geografie útoků

Geografie bankovní malware útoků ve 2. čtvrtletí 2014
(podle počtu napadených uživatelů v ČR)

Top 20 zemí podle počtu napadených uživatelů:

Země Počet uživatelů
1 Brazílie 159597
2 Rusko 50003
3 Itálie 43938
4 Německo 36102
5 USA 34539
6 Indie 27447
7 UK 25039
8 Rakousko 16307
9 Vietnam 14589
10 Alžírsko 9337
Brazílie tradičně vrcholy rating zemí, ve kterých jsou uživatelé napadeny bankovní malware nejčastěji.

Brazílie je často v horní části tohoto seznamu, protože finanční malware vždy široce používán zločinci zde. Ve 2. čtvrtletí 2014, FIFA World Cup generován ještě více příležitostí k útokům: tisíce fanoušků navštívilo zemi a použít on-line bankovních systémů, zatímco oni tam byli. Odborníci společnosti Kaspersky Lab zkoumala bezpečnost sítí Wi-Fi a udělal seznam doporučení pro ty, kteří nechtějí ohrozit své platební údaje v Brazílii.

Top 10 bankovní malware rodiny

Níže uvedená tabulka ukazuje, že programy nejčastěji používané ve 2. čtvrtletí 2014 k útoku na uživatele online bankovnictví, na základě počtu hlášených infekčních pokusů:

Verdikt * Počet uživatelů Počet oznámení
1 Trojan-Spy.Win32.Zbot 559988 2353816
2 Trojan-Banker.Win32.Lohmys 121675 378687
3 Trojan-Banker.Win32.ChePro 97399 247467
4 Trojan-Spy.Win32.Spyeyes 35758 99303
5 Trojan-Banker.Win32.Agent 31234 64496
6 Trojan-Banker.Win32.Banbra 21604 60380
7 Trojan-Banker.Win32.Banker 22497 53829
8 Trojan-Banker.Win32.Shiotob 13786 49274
9 Backdoor.Win32.Clampi 11763 27389
10 Backdoor.Win32.Shiz 6485 17268
Zeus (Trojan-Spy.Win32.Zbot) zůstal nejrozšířenější bankovní Trojan. Podle výzkumu společnosti Kaspersky Lab, program se podílel na 53% malware útoků, které mají vliv internetového bankovnictví klientů.

Devět z 10 malware rodin zastoupených v tabulce práci tím, že napíchne náhodný kód HTML webové stránky zobrazené v prohlížeči a zachytí veškeré platební údaje zadané uživatelem do původního nebo vložených webových formulářů. Stejně jako webové injekce, čtyři z 10 záznamů také využít keylogging technologií, což naznačuje, tento způsob kradení informací je stále účinné při provádění útoků na on-line bankovnictví zákazníky.

Finanční hrozby nejsou omezeny pouze na bankovní malware, který napadá zákazníky on-line bankovnictví.

Distribuce útoků na uživatelské peníze podle typu malware, Q2 2014

Stejně jako bankovní trojské koně, které upravují HTML stránky v prohlížeči, existují i ​​jiné způsoby krádeže e-peníze, jako Bitcoin krádeže peněženky. Podvodníci také rádi využívat výpočetní zdroje pro generování kryptografického měnu: Bitcoin horníci tvoří 14% všech finančních útoků. Zločinci také používají keyloggery sbírat pověření uživatele pro on-line bankovnictví a platebních systémů v jiném snaze získat přístup bankovních účtů.

Zranitelné aplikace používané podvodníky

Hodnocení zranitelných aplikací níže jsou založeny na údajích o hrdinských blokovány našich výrobků. Tyto exploity byly hackery používány v obou útoky z internetu a při ohrožení lokálních aplikací, včetně těch, instalován na mobilních zařízeních.

Distribuce využije používají podvodníci, podle typu aplikace napadl, Q2 2014

Ze všech registrovaných pokusí použít zranitelnosti, 53% projektů se vztahovalo zranitelná místa v prohlížeči. Téměř každý využít balíček obsahuje exploit pro Internet Explorer.

Java exploity jsou na druhém místě. Java zranitelnosti jsou používány v drive-by útoky prostřednictvím internetu a nových Java využije, jsou součástí mnoha využít balíčky. V roce 2013, 90,5% všech registrovaných pokusů použít zneužití slabin zabezpečení v Oracle Java. Na začátku roku 2014 popularita Java využije začala klesat. V 1. čtvrtletí letošního roku, 54% se snaží využít zranitelnosti cílené Java; ve druhém čtvrtletí to bylo jen 29%. Tento pokles v popularitě může odrážet skutečnost, že žádné nové Java zranitelnosti byly zveřejněny téměř rok.

Další přicházejí Adobe Reader využije. Tyto chyby jsou také využívány v drive-by útoky prostřednictvím internetu a PDF činů jsou součástí mnoha využít balíčky.

Distribuce operačního systému Windows nainstalován na počítačích uživatelů podle verze, Q2 2014

65.35% účastníků KSN používají různé verze systému Windows 7 a 12,5% použití v systému Windows XP.

On-line hrozeb (Web-based útoky)

Statistiky v této části byly odvozeny z webové antivirové složky, které chrání uživatele při škodlivý kód se pokusí stáhnout škodlivý / infikované webové stránky. Nebezpečné webové stránky jsou záměrně vytvořeny uživatelů se zlými úmysly; infikované místa zahrnují ty s obsahu umístěného uživateli (jako fór), jakož i legitimní prostředky, které byly napadeným.

Top 20 škodlivé objekty detekovány on-line

Ve druhém čtvrtletí roku 2014, Kaspersky Lab web antivirus zjištěn 57133492 jedinečné škodlivé objekty: Skripty, webové stránky, využije, spustitelné soubory, atd

Identifikovali jsme 20 nejaktivnějších škodlivých programů zapojených do on-line útokům zahájeným proti počítačích uživatelů. Tyto 20 představovaly 97% všech útoků na internetu.

Top 20 škodlivé objekty detekovány on-line

Jméno * % Všech útoků **
1 Škodlivý URL 72,94%
2 Trojan.Script.Generic 11.86%
3 Trojan-Downloader.Script.Generic 5,71%
4 Trojan.Script.Iframer 2.08%
5 Adware.Win32.Amonetize.heur 1,00%
6 AdWare.Script.Generic 0,88%
7 AdWare.Win32.Agent.aiyc 0,76%
8 AdWare.Win32.Yotoon.heur 0,25%
9 Trojan.Win32.AntiFW.b 0,23%
10 AdWare.Win32.Agent.allm 0.19%
11 AdWare.Win32.AirAdInstaller.aldw 0.17%
12 Trojan.Win32.Generic 0,15%
13 Trojan-Downloader.Win32.Generic 0,14%
14 Trojan.Win32.Vague.cg 0.11%
15 Trojan.Win32.Invader 0.11%
16 AdWare.Win32.BetterSurf.b 0,10%
17 AdWare.Win32.Lollipop.qp 0,08%
18 Exploit.Script.Blocker 0,08%
19 AdWare.Win32.Lollipop.agzn 0,08%
20 Trojan.JS.Small.aq 0,07%
* Tyto statistiky představují detekce rozsudky na web antivirového modulu. Informace byly poskytnuty uživatelé produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.
** Procento všech webových útoků zaznamenaných na počítačích unikátních uživatelů.

Jak je často případ, Top 20 většinou zahrnuje rozsudky přiřazené objektům používaných v drive-by útoky a adware programů. Počet pozic obsazených adware rozsudků zvýšil z devíti na 11 ve druhém čtvrtletí roku 2014.

Trojan.JS.Small.aq verdikt je na dvacátém místě. To je přiřazen skript, který se zlými úmysly rozšíření prohlížeče vloží na webových stránkách konkrétních míst pro zobrazení dotěrné reklamy.

Top 10 zemí, kde jsou online zdroje nasazené malwarem

Následující statistiky jsou založeny na fyzické umístění on-line zdrojů, které byly použity při útocích a blokovaných antivirových komponentů (webové stránky obsahující přesměruje na činech, stránky obsahující exploitů a další malware, botnet velitelských středisek, atd.) Každý jedinečný hostitel se může stát zdrojem jedné nebo více webových útoků.

Aby bylo možné určit zeměpisný původ webových útoků, byla použita metoda, kterou jsou doménová jména neladí aktuální domény IP adresy, a pak zeměpisná poloha konkrétní IP adresu (GeoIP) je založen.

Ve 2. čtvrtletí 2014, laboratoř řešení Kaspersky zablokovány 354453992 útoky odpálené z internetových zdrojů umístěných v různých zemích po celém světě. 88,3% z online zdrojů používaných k šíření škodlivých programů se nacházejí v 10 zemích světa. To je 4,9 procentního bodu více než v předchozím čtvrtletí.

Distribuce on-line zdrojů nasazený škodlivými programy, ve 2. čtvrtletí 2014

Top 10 hodnocení zemí, kde jsou on-line zdrojů nasazený s malware zůstal téměř beze změny oproti předchozímu čtvrtletí, i když tam byl nějaký pohyb v rámci této skupiny. Německo se zvýšil ze čtvrtého na první místo, její podíl se zvýšil o téměř 12 procentních bodů. Ruska klesl ze druhé až čtvrté po poklesu jeho podílu o 2,5 procentního bodu. Kanada vylezl z desátého až pátá po jeho příspěvek se zvýšil o 6,29 procentního bodu.

Země, kde uživatelé čelí největší riziko infekce on-line

Aby bylo možné posoudit, ve kterých zemích uživatelé čelit kybernetickým hrozbám Nejčastěji jsme spočítali, jak často uživatelé Kaspersky setkat detekce rozsudky na svých strojích v každé zemi. Výsledné údaje charakterizuje riziko infekce, které počítače jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.

Země * % Unikátních uživatelů **
1 Rusko 46.53%
2 Kazachstán 45.35%
3 Arménie 42.26%
4 Ukrajina 41.11%
5 Ázerbájdžán 40.94%
6 Vietnam 39,59%
7 Bělorusko 37.71%
8 Moldavsko 36.65%
9 Mongolsko 33.86%
10 Kyrgyzstán 33.71%
11 Alžírsko 32.62%
12 Tádžikistán 32.44%
13 Gruzie 31.38%
14 Chorvatsko 29.46%
15 Turecko 29.31%
16 Uzbekistán 29.20%
17 Katar 28.76%
18 Tunisko 28.67%
19 Írán 28.35%
20 Španělsko 28.05%
Tyto statistiky jsou založeny na detekci verdiktů vrácené web antivirového modulu, obdržely od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.
* jsme vyřadili ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).
** unikátních uživatelů, jejichž počítače byly terčem internetových útoků jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v ČR.

Ve 2. čtvrtletí 2014, Vietnam byl nahrazen v horní části ratingu Ruska. Tunisko (18. místo) a Írán (19. místo) byli nováčci ratingu. Litva a Řecko vypadl z Top 20.

Mezi země s nejbezpečnějších on-line prostředí, surfování jsou Singapur (10,4%), ve Švédsku (12,8%), Japonsko (13,3%), ve Finsku (16,3%), Jižní Afrika (16,9%), Ekvádor (17,1%), Norsko (17,5% ), v Nizozemsku (17,5%), Hong Kong (17,7%) a Argentina (17,9%).

V průměru 29,5% počítačů připojených k Internetu byly podrobeny nejméně jedné webové útok v posledních třech měsících.

Místní hrozby

Místní statistiky infekce pro uživatele počítačů jsou velmi důležitým ukazatelem. Tato data upozorňuje na hrozby, které pronikly počítačový systém přes něco jiného než Internet, e-mail, nebo síťových portů.

Tato část obsahuje analýzu statistických údajů získaných na základě provozu antivirový program, který skenuje soubory na pevném disku v okamžiku, kdy jsou vytvořeny, nebo přístupné, a na základě výsledků skenování různých vyměnitelných datových úložišť.

Ve 2. čtvrtletí 2014, antivirových řešení společnosti Kaspersky Lab úspěšně blokovány 528799591 malware útoky na počítačích uživatelů. V těchto incidentů, bylo zjištěno celkem 114.984.065 unikátních škodlivých a potenciálně nežádoucích objektů.

Top 20 škodlivé objekty zjištěné na uživatelských počítačích

Jméno * % Unikátních uživatelů napadených **
1 DangerousObject.Multi.Generic 17.69%
2 Trojan.Win32.Generic 15.59%
3 AdWare.Win32.Agent.ahbx 14.81%
4 Adware.Win32.Amonetize.heur 13.31%
5 Trojan.Win32.AutoRun.gen 6,13%
6 Worm.VBS.Dinihou.r 5,95%
7 Virus.Win32.Sality.gen 4,94%
8 AdWare.Win32.BetterSurf.b 4,29%
9 AdWare.Win32.Yotoon.heur 4.01%
10 AdWare.Win32.Agent.aknu 3.64%
11 AdWare.Win32.Agent.aljb 3,57%
12 Worm.Win32.Debris.a 3,29%
13 AdWare.Win32.Skyli.a 2.90%
14 Trojan.Win32.Starter.lgb 2,74%
15 AdWare.Win32.Agent.heur 2,64%
16 AdWare.Win32.Agent.aljt 2.30%
17 Trojan.Win32.AntiFW.b 2.27%
18 AdWare.JS.MultiPlug.c 2.21%
19 Worm.Script.Generic 1,99%
20 Virus.Win32.Nimnul.a 1,89%
* Tyto statistiky jsou sestavovány z malware detekce verdiktů vytvořených skenerem moduly on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily, aby předložily své statistické údaje.
** Podíl jednotlivých uživatelů, na jejichž počítačích antivirový modul detekován tyto objekty jako procentní podíl všech jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jejichž počítačích byl zjištěn škodlivý program.

Toto pořadí obvykle zahrnuje rozsudky věnována adware programů, červů šíří na vyměnitelná média a viry.

Podíl virů v této Top 20 stále klesá pomalu, ale vytrvale. Ve 2. čtvrtletí 2014, viry byly zastoupeny rozsudky Virus.Win32.Sality.gen a Virus.Win32.Nimnul.a, s celkovým podílem 6,83%. V 1. čtvrtletí 2014, že to bylo 8%.

Země, kde se uživatelé potýkají s nejvyšší riziko lokální infekce

Země % unikátních uživatelů *
1 Vietnam 58.42%
2 Mongolsko 55.02%
3 Alžírsko 52.05%
4 Jemen 51.65%
5 Bangladéš 51.12%
6 Pákistán 50.69%
7 Nepál 50.36%
8 Afghánistán 50.06%
9 Irák 49.92%
10 Egypt 49.59%
11 Tunisko 46.75%
12 Sýrie 46.29%
13 Saúdská Arábie 46.01%
14 Etiopie 45.94%
15 Írán 45.40%
16 Laos 45.20%
17 Turecko 44.98%
18 Indie 44.73%
19 Kambodža 44.53%
20 Djibouti 44.52%
Tyto statistiky jsou založeny na detekci verdiktů vrácených antivirovým modulem vybíraných od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů. Data zahrnují detekci škodlivých programů umístěných na počítačích uživatelů nebo na vyměnitelná média, připojených k počítači, jako jsou flash disky, fotoaparátů a paměťových karet, telefon nebo externí pevné disky.
* Při výpočtu jsme vyřadili zemích, kde existují méně než 10000 Uživatelé Kaspersky Lab.
** Podíl unikátních uživatelů v zemi s počítači, které zablokoval místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.

Top 20 v této kategorii i nadále dominují země v Africe, na Středním východě a jihovýchodní Asii. Vietnam na prvním místě, stejně jako tomu bylo v 1. čtvrtletí 2014, zatímco Mongolsko zůstává na druhém místě. Nepál klesl na sedmé místo. Saúdská Arábie, Etiopie, a Turecko jsou nové položky v tomto pořadí. Maroko, Myanmar a Súdán vypadl z top 20.
 

Z nejbezpečnějších zemí, pokud jde o místní rizika infekce jsou: Japonsko (11%), ve Švédsku (13,8%), v Dánsku (15,3%), ve Finsku (16,4%), Singapur (16,8%), Nizozemí (17,1%), v České republice (18,3%), Norsko (19,1%) a Hong Kong (19,2%).

V průměru 32,8% počítačů byly podrobeny alespoň jednoho místního ohrožení v průběhu uplynulého roku.

49% bezpečnostních profesionálů, myslíte, že Java aplikace jsou zranitelné vůči útokům
26.7.2014 Analýzy
V nedávném průzkumu, polovina z vedoucích IT profesionálů dotázaných uvedlo, že jejich aplikace Java jsou zranitelné (32%) nebo velmi zranitelné (17%), k útokům. Jsou citovány nejistý kódování (60%) a zranitelná místa v knihovnách třetích stran (25%) jako vedoucí hrozby. Mezitím, téměř 90 procent respondentů uvedlo, že jejich bezpečnostní týmy neměly k dispozici dostatek informací o aplikacích pro datová centra, které jim umožní správně chránit ty aplikace z útoku. "Vlastní vyvinuté aplikace založené na jazyce Java ovládat prakticky každý průmysl, zejména finančních služeb a elektronického obchodu," řekl Brian Maccaba, generální ředitel společnosti Waratek. "Protože mnoho z těchto podnikových aplikací, které běží na starších verzích platformy a použít kód třetí strany, není divu, že tolik bezpečnostní odborníci jsou znepokojeni zranitelnosti v těchto programech." průzkum Waratek více než 130 CISO, ČSÚ, CIO a další IT manažeři na nedávném summitu Gartner řízení bezpečnosti a rizik o jejich podniku a zabezpečení aplikací obavy. Podle dotázaných:

Držet krok s nejnovějšími hrozbami (43%) a hledání / udržení talentů (25%) je jejich největší bezpečnostní firmě výzvy
Jejich největší obavy jsou ztráta dobré pověsti firmy kvůli narušení dat (55%) a ztráty zákaznických dat a duševního vlastnictví (34%)
Java aplikace jsou zranitelné (32%), velmi zranitelné (17%) a jen o něco bezpečnější (34%)
Vedoucí hrozby pro aplikace Java jsou nejistí kódování (60%), zranitelnosti v knihovnách třetích stran (25%) a SQL injection útoků (19%)
Bezpečnostní týmy chybí dostatečné informace o aplikacích, aby se jim (87%) chráněn.

IT hrozby vývoj Q1 2014

Analýzy
20.5.2014 Zdroj: Kaspersky

Přehled
Cílené útoky / APT
Malware příběhy: loupání cibule
Web bezpečnosti a narušení bezpečnosti osobních údajů
Mobilní malware
Mobilní bankovnictví trojské koně
Nový vývoj od autoři virů
Špatné zprávy
Škodlivý spam
Statistika
Statistika
On-line hrozeb (útoky prostřednictvím webu)
Místní hrozby
Q1 2014 v číslech

Podle údajů KSN, produkty společnosti Kaspersky Lab zablokoval celkem 1 131 000 866 škodlivými útoky na počítačích a mobilních zařízeních v prvním čtvrtletí roku 2014.
Laboratorní řešení Kaspersky odrazili 353 216 351 útokům z on-line zdrojů umístěných po celém světě.
Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.
81 736 783 unikátních adres URL byly uznány jako nebezpečný webový antivirus.
39% webových útoků neutralizuje produkty společnosti Kaspersky Lab byly provedeny za použití škodlivých webových zdrojů umístěných v USA a Rusku.
Antivirových řešení společnosti Kaspersky Lab zjištěn 645 809 230 virovým útokům na počítačích uživatelů. Byly zjištěny v těchto incidentech celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.
Přehled

Cílené útoky / APT
Mlha dále čistí
V září 2013 jsme se hlásil na cíleném útoku s názvem Icefog, zaměřena především na cíle v Jižní Koreji a Japonsku. Většina APT kampaně jsou trvalé po měsíce nebo roky, neustále krade data z jejich obětí. Naopak, útočníci stojí za Icefog zaměřena na své oběti jeden po druhém, v krátké trvání, přesné hit-and-run útoky, jejichž cílem je ukrást specifické údaje. Kampaň, v provozu nejméně od roku 2011, se týkala použití řady různých verzí malware, včetně jednoho zaměřené na Mac OS.

Po zveřejnění naší zprávě, operace Icefog přestal a útočníci zavřeli všechny známé rozkazech a kontrolních serverů. Nicméně jsme nadále sledovala operaci sinkholing domén a analýzu zapojení obětí. Naše pokračující analýza odhalila existenci další generace Icefog zadní vrátka - tentokrát, Java verzi malware, který jsme nazvali "Javafog". Připojení k jedné z sinkholed domén, "lingdona [dot] com", uvedla, že klient může být aplikace Java; a následné vyšetřování ukázalo se vzorek této aplikace (najdete podrobnosti o analýze zde ).

Během operace sinkholing této domény, jsme pozorovali osm IP adresy pro tři jedinečné oběti Javabot. Všechny z nich se nachází ve Spojených státech - jeden byl velmi velký nezávislý ropy a zemního plynu společnost, která působí v mnoha zemích. Je možné, že Javafog vyvinul pro americko-určité operace, ten, který byl navržen tak, aby být delší, než je typické Icefog útoky. Jedním z Pravděpodobnou příčinou vytvoření Java verze malwaru je to, že je více nenápadný a těžší odhalit.

Za maskou
V únoru, tým Kaspersky Lab bezpečnostní výzkum zveřejnila zprávu o komplexní cyber-špionáže kampaně s názvem Maska nebo Careto (španělský slang pro "ošklivou tvář" nebo "maska"). Tato kampaň byla navržena tak, aby ukrást citlivá data z různých typů cílů. Oběti, které se nacházejí v 31 zemích po celém světě, jsou vládní agentury, zastupitelské úřady, energetické společnosti, výzkumné instituce, private equity a aktivisty - najdete úplný seznam zde .

Útoky začít s hlášením kopí-phishing, který obsahuje odkaz na nebezpečné webové stránky obsahující mnoho hrdinských činech. Jakmile oběť je infikován, oni jsou pak přesměrováni na legitimní stránky popsané v e-mailu, které obdržel (např. zpravodajský portál, nebo video). Maska obsahuje sofistikovaný backdoor Trojan schopen zachycovat všechny komunikační kanály a sklizeň všech druhů dat z infikovaného počítače. Stejně jako Rudý říjen a dalších cílených útoků před ním, kód je vysoce modulární, což umožňuje útočníkům přidat nové funkce na přání. Maska také vrhá její čistý široký - existuje verze backdoor pro Windows a Mac OS X, a tam jsou odkazy, které naznačují, že může být i verze pro Linux, iOS a Android. Trojan také používá velmi sofistikované stealth techniky skrýt své aktivity.

Hlavním účelem útočníků pod maskou je ukrást data z jejich obětí.

Malware shromažďuje celou řadu údajů z infikovaného systému, včetně šifrovacích klíčů, konfigurace VPN, SSH klíče, RDP soubory a některé neznámé typy souborů, které by mohly být v souvislosti s zakázku vojenské / šifrovacích nástrojů vládní úrovni.

Nevíme, kdo je za kampaň. Některé stopy naznačují, že používání španělského jazyka, ale to nepomůže hodit dolů, protože tento jazyk je mluvený v mnoha částech světa. Je také možné, že by to mohlo být použito jako falešnou stopu, odvést pozornost od toho, kdo to napsal. Velmi vysoký stupeň profesionality skupiny za tímto útokem je neobvyklé pro cybercriminal skupiny - jeden ukazatel, který Maska může být státem sponzorované kampaň.

Tato kampaň zdůrazňuje skutečnost, že existují vysoce profesionální útočníci, kteří mají prostředky a schopnosti k rozvoji komplexní malware - v tomto případě, krást citlivé informace. Zdůrazňuje také opět skutečnost, že cílené útoky, protože vytvářejí malou nebo žádnou aktivitu nad rámec svých konkrétních obětí, může "letět pod radarem".

Ale to je stejně důležité si uvědomit, že bez ohledu na propracovanosti The Mask, výchozí bod (stejně jako u mnoha předchozích cílených útoků) zahrnuje podvádět jednotlivce, aby dělali něco, co ohrožuje bezpečnost organizace, pro kterou pracují - v tomto případě, klepnutím na odkaz.

V současné době, všechny známé C & C (Command-and-Control) servery slouží ke správě infekcí je v režimu offline. Ale je to možné, útočníci obnovit kampaň v budoucnu.

Červ a had
Počátkem března byl rozšířený diskuse v rámci bezpečnosti IT komunity o cyber-špionáže kampaně s názvem Turla (také známý jako had a Uroburos). Výzkumníci z G-DATA, že malware používá, může být vytvořen ruské zvláštní služby. Výzkum provádí BAE Systems spojené Turla na malware s názvem "Agent.btz", který se datuje do roku 2007 a byl použit v roce 2008 infikovat lokálních sítí amerických vojenských operací na Blízkém východě.

Kaspersky Lab stal se vědomý této cílené kampaně při vyšetřování události související s vysoce sofistikovaný rootkit, který jsme nazvali "Ne rootkit". Ukázalo se, že "Slunce rootkit" a Uroburos byla jedna a ta samá hrozba.

Jsme stále vyšetřuje Turla, které si myslíme, že je mnohem složitější, než je navrženo materiály, které byly dosud publikovány. Nicméně, naše prvotní analýzy se ukázalo nějaké zajímavé spojení.

Agent.btz je self-replikace červ, který je schopen se šířit přes USB flash disky s využitím zranitelnost umožňující jej spustit pomocí "autorun.inf". Tento malware byl schopen rychle šíří po celém světě. I přesto, že nebyly vytvořeny žádné nové varianty červa na několik let, a výše uvedený zranitelnost byla uzavřena v novějších verzích systému Windows, v roce 2013 sám se zjištěn Agent.btz 13832 krát ve 107 zemích!

Červ vytvoří soubor s názvem "thumb.dll" na všech USB flash disky připojené k infikovaného počítače (obsahující "winview.ocx" soubory, "wmcache.nld" a "mssysmgr.ocx"). Tento soubor je kontejner pro ukradených dat, která jsou uložena na flash disku, pokud to nemůže být zaslána přímo přes internet k ovládání a-příkazu serveru spravovaného útočníků. Pokud je pak vložen jako flash disk do jiného počítače, soubor "thumb.dll 'se zkopíruje do nového počítače s názvem" mssysmgr.ocx.

Věříme, že rozsah epidemie, spolu s výše uvedeným funkce, znamená to, že tam jsou desítky tisíc USB flash disky na celém světě obsahující soubory s názvem "thumb.dll" vytvořil Agent.btz. V současné době je většina variant tohoto malwaru jsou detekovány Kaspersky Lab jako "Worm.Win32.Orbina".

Samozřejmě, Agent.btz není jediným malware, který se šíří přes USB flash disky.

Modul "USB zloděj" v červeném říjnu obsahuje seznam souborů, které hledá na USB flash disky připojené k infikovaných počítačů. Všimli jsme si, že tento seznam obsahuje soubory "mysysmgr.ocx" a "thumb.dll", tj. dva soubory písemných flash disky podle Agent.btz.

Při pohledu zpět další, když jsme analyzovali Flame a jeho bratranci Gauss a miniFlame , jsme si také všiml podobnosti s Agent.btz. Tam je analogická pojmenování, zvláště použití "OCX." Rozšíření. Kromě toho bylo také jasné, že oba Gauss a miniFlame byli vědomi souboru "thumb.dll" a podíval se na ni na USB flash disky.

Konečně, Turla používá stejné názvy souborů jako Agent.btz pro přihlášení se ukládá na infikovaných počítačích - "mswmpdat.tlb", "winview.ocx" a "wmcache.nld". To také používá stejný klíč XOR šifrování soubory protokolu.

Všechny tyto body oproti lze nalézt níže.

Zatím, co víme, je, že všechny z těchto škodlivých programů sdílet některé body podobnosti. Je jasné, že Agent.btz byla zdrojem inspirace pro ty, kteří vyvinuli další malware. Ale my nejsme schopni s jistotou říci, jestli je to titíž lidé stojí za všemi těmito hrozbami.

Malware příběhy: loupání cibule
Tor (zkratka pro The Onion Router) je software navržen tak, aby někdo zůstat v anonymitě při přístupu na internet. To bylo asi na nějakou dobu, ale na mnoho let byl používán hlavně odborníci a nadšenci. Nicméně, použití sítě Tor se špičatý v posledních měsících, zejména z důvodu rostoucích obav o soukromí. Tor se stal užitečným řešením pro ty, kteří z jakéhokoliv důvodu, se obávají, dohled a úniku důvěrných informací. Nicméně, to je jasné, šetření jsme provedli v posledních měsících, že Tor je také atraktivní pro zločinci: oni také oceňují anonymitu, které nabízí.

V roce 2013 jsme začali vidět zločinci aktivně používat Tor hostit jejich škodlivého malware infrastrukturu a odborníci společnosti Kaspersky Lab zjistili různé škodlivé programy, které se specificky používají Tor. Vyšetřování síťových zdrojů Tor odhaluje spoustu prostředků určených na malware, včetně Command-a-Control serverů, správy panely a další. Tím, hosting svých serverů v síti Tor, zločinci, aby byly těžší identifikovat, blacklist a eliminovat.

Cybercriminal fóra a tržiště se seznámili na "normální" Internetu. Ale v poslední době Tor-založené podzemí tržiště se také objevil. Všechno to začalo s notoricky známé Silk Road trhu a se vyvinul do desítek specializovaných trhů - pro drogy, zbraně a, samozřejmě, malware.

Carding obchody jsou pevně stanoveny v darknet, kde ukradl osobní informace jsou k prodeji, s širokou škálou hledání atributů, jako země, banka atd. Nabízené zboží nejsou omezeny pouze na kreditní karty: skládky, sběrače a mykání zařízení jsou na prodej taky.

Registrace jednoduchý postup, obchodník hodnocení, garantovaná služba a uživatelsky přívětivé rozhraní - to jsou standardní rysy Tor underground trhu. Některé obchody požadují prodejci složit slib - fixní částku peněz - před zahájením obchodování. To má zajistit, že obchodník je skutečný a jeho služby nejsou podvod nebo nekvalitní.

Vývoj Tor se shodoval se vznikem anonymní krypto-měnu, Bitcoin. Téměř vše, co v síti Tor je kupoval a prodával pomocí Bitcoins. Je to téměř nemožné spojit Bitcoin peněženku a skutečnou osobu, aby provádění transakcí v darknet pomocí Bitcoin znamená, že útočníci mohou zůstat prakticky nepostižitelné.

Zdá se pravděpodobné, že Tor a další anonymní sítě se stala běžnou rysem internetu jako zvyšující se počet obyčejných lidí pomocí internetu hledají způsob, jak chránit své osobní údaje. Ale je to také přitažlivým mechanismem pro zločinci - způsob, jak jim utajit funkce malware, které vytvářejí, na obchod se počítačové kriminality služby a vyprat své nezákonné zisky. Věříme, že jsme jen svědky začátku jejich užívání těchto sítí.

Web bezpečnosti a narušení bezpečnosti osobních údajů
Vzestupy a pády Bitcoin
Bitcoin je digitální crypto-měna. To funguje na modelu peer-to-peer, kde peníze bere podobu řetězce digitálních podpisů, které představují části na Bitcoin. Neexistuje žádný centrální řídící orgán, a nejsou tam žádné mezinárodní transakční poplatky - z nichž oba přispěly k tomu, že je atraktivní jako platební prostředek. Najdete přehled Bitcoin, a jak to funguje, na Kaspersky Daily stránkách.

Vzhledem k použití Bitcoin zvýšila, se stala více atraktivní cíl pro zločinci.

V našich end-of-rok prognóz , jsme očekávali útoky na Bitcoin, a to konkrétně tím, že "útoky na Bitcoin bazény, výměny a uživatelů Bitcoin se stane jedním z nejvíce vysoce postavených témat roku". Takové útoky, jsme si řekli, "bude obzvláště populární s podvodníky, protože jejich poměr nákladů a výnosů je velmi příznivý."

Už jsme viděli dostatek důkazů o to. Mt.Gox, jeden z největších Bitcoin výměn, byla pořízena v režimu offline dne 25. února. Stalo se tak po bouřlivé měsíce, ve kterém byla výměna sužovaný problémy - problémy, které viděl na obchodní cenu Bitcoins na webu podzim dramaticky. Objevily se zprávy , že výměna v platební neschopnosti následované hack, která vedla ke ztrátě 744.408 Bitcoins - v hodnotě zhruba 350 milionů dolarů na místě, Mt.Gox byla pořízena v režimu offline. Zdá se, že transakce tvárnost byla ústředním tématem zde. To je problém s protokolem Bitcoin, že za určitých okolností umožňuje útočníkovi vydávat různé transakční ID pro stejné transakce, takže se zdá, jako by transakce nestalo. Můžete si přečíst naši posouzení otázek obklopujících kolaps Mt.Gox zde . Transakce tvárnost chyba byla nyní pevně . Samozřejmě, Mt.Gox není jen virtuální bankovní služby poskytovatelem, který byl napaden, jak jsme diskutovali na konci loňského roku. Rostoucí využívání virtuálních měn je určitě znamenat další útoky v budoucnu.

Není to jen výměna virtuální měny, které jsou náchylné k útoku. Lidé, kteří používají crypto-měny můžete také najít sami terčem kybernetických zločinců. V polovině března, osobní blog a Reddit účet Mt.Gox generální ředitel Mark Karepeles, byly napadeny hackery. Tyto účty byly použity k přidání souboru, "MtGox2014Leak.zip". Tvrdí se, že tento soubor obsahoval cenné databáze skládek a specializovaný software umožňující vzdálený přístup k datům Mt.Gox. Co to ​​vlastně obsahoval byl malware navržen tak, aby najít a ukrást Bitcoin peněženky soubory. Naše write-up malware lze nalézt zde . To poskytuje jasný příklad toho, jak zločinci manipulovat zájem lidí v horké zprávy jako způsob šíření malwaru.

Jedna věc velký význam hozený do všech takových útoků je, jak ti z nás, kteří využívají každé krypto-měně zabezpečit sami sebe v prostředí, kde - na rozdíl od reálného světových měn - neexistují žádné vnější normy a předpisy. Naše poradenství je pro ukládání Bitcoins v open-source off Bitcoin klienta (spíše než v on-line burzovních služeb s neznámou skladbu záznamu); a pokud máte hodně Bitcoins - udržet je v peněžence na počítači, který není připojen k Internetu. Na vrcholu tohoto, aby se fráze pro vaše Bitcoin peněženku tak složité, jak je to možné, a zajistit, že váš počítač je chráněn s dobrou Internet Security produktu.

Spammeři se také rychle využívat techniky sociálního inženýrství k tomu lidi do podvodu. Oni využili stoupání v ceně Bitcoins v první části tohoto čtvrtletí (před kolapsem Mt.Gox), aby se pokusili vydělat na touze lidí rychle zbohatnout. Jak jsme uvedeno v únoru, tam bylo několik Bitcoin témata týkající se používané spammery. Jsou součástí nabídky sdílet tajemství milionáře o tom, jak zbohatnout investováním do Bitcoins; a nabízí se připojit k Bitcoin loterii.

Dobrý software, které by mohly být použity pro špatné účely
V únoru, v Analyst Summit 2014 Kaspersky Security , jsme nastínil, jak nesprávné implementace proti krádeži technologií, kteří mají bydliště ve firmwaru běžně používaných notebooků a některých stolních počítačů, by se mohla stát mocnou zbraní v rukou zločinci.

Náš výzkum začal, když zaměstnanec společnosti Kaspersky Lab zažil opakované procesní systém havaruje na jednom z jeho osobních notebooků. Analýza protokolu událostí a stav paměti bylo zjištěno, že dojde k selhání důsledkem nestability v modulech s názvem "identprv.dll" a "wceprv.dll", které byly vloženy do adresového prostoru jednoho z hostitelských procesů systému služeb ("svchost.exe "). Tyto moduly byly vytvořeny Absolute Software, legitimní společnosti, a jsou součástí softwaru Absolute Computrace.

Náš kolega tvrdil, že není nainstalován software a ani nevěděl, že byl přítomen na notebooku. To nám způsobilo znepokojení, protože podle absolutní Software bílého papíru , by měla být instalace provedena vlastníka počítače nebo jejich IT služby. Na vrcholu tohoto, zatímco většina pre-instalovaný software může být trvale odstraněna nebo zakázat majitel počítače, Computrace je navržen tak, aby přežil profesionální systém vyčištění, a dokonce i výměnu pevného disku. Navíc, nemohli jsme prostě odmítnout to jako výskyt jednorázový, protože jsme zjistili podobných údajů z Computrace software běžící na osobních počítačích, které patří do některé z našich výzkumných pracovníků a některých podnikových počítačů. V důsledku toho jsme se rozhodli provést hloubkovou analýzu .

Když jsme se poprvé podíval na Computrace, jsme se mylně domnívali, že byl škodlivý software, protože používá mnoho triků, které jsou populární v současné malware: využívá specifického ladění a anti-reverzní inženýrství, vstřikuje do paměti jiných procesů, stanoví Tajemství komunikace, skvrny systémové soubory na disku, šifruje konfigurační soubory a kapky Windows spustitelný přímo z BIOS / firmware. To je důvod, proč se v minulosti, software byl detekován jako malware; i když v současné době většina anti-malware společnosti whitelist Computrace spustitelné soubory.

Věříme, že Computrace byl navržen s dobrými úmysly. Nicméně, náš výzkum ukazuje, že zranitelnosti v softwaru by mohla umožnit zločinci ji zneužít. Podle našeho názoru, silnou autentizaci a šifrování, musí být postaven do takové mocný nástroj. Nenašli jsme žádný důkaz, že Computrace moduly byly tajně na počítačích jsme analyzovali. Ale je jasné, že existuje mnoho počítačů s aktivovaným agenty Comutrace. Věříme, že je to odpovědnost výrobců, a Absolute Software, oznámit tyto lidi a vysvětlit, jak mohou deaktivovat software, pokud nechtějí, aby ji používat. V opačném případě budou tyto osiřelé agenti pokračovat v jízdě bez povšimnutí a bude poskytovat příležitosti pro vzdálenou využití.

Mobilní malware

V posledním čtvrtletí se procento hrozeb zaměřených na Android překročil 99% všech mobilních malware. Detekce více než v posledních třech měsících v ceně:

1 258 436 instalační balíčky,
110 324 nových škodlivých programů pro mobilní zařízení,
1 182 nové mobilní bankovnictví trojské koně.
Mobilní bankovnictví trojské koně
Na začátku roku společnost Kaspersky Lab se přihlásit 1.321 jedinečné soubory pro mobilní bankovní trojské koně, a na konci prvního čtvrtletí, že počet vzrostl na 2503. Výsledkem je, že v průběhu prvních tří měsíců letošního roku se počet bankovních trojských koní téměř zdvojnásobil.

Stejně jako dříve, že hrozby jsou nejvíce aktivní v Rusku, Kazachstánu, Bělorusku a na Ukrajině:

Mobilní bankovnictví hrozby po celém světě, v 1. čtvrtletí 2014

Top 10 zemí, na něž je zaměřen bankovních trojských koní:

Země % Ze všech útoků
Rusko 88.85%
Kazachstán 3,00%
Ukrajina 2,71%
Bělorusko 1.18%
Litva 0,62%
Bulharsko 0,60%
Ázerbajdžán 0,54%
Německo 0,39%
Lotyšsko 0.34%
Uzbekistán 0,30%
Faketoken je bankovnictví Trojan, který vstoupil Top 20 nejčastěji detekovaných hrozeb společnosti Kaspersky Lab na konci čtvrtletí. Tato hrozba se krade mTANs a pracuje ve shodě s počítačem na bázi bankovních trojských koní. Během on-line bankovnictví zasedání, počítač-založené trojské koně použít webový inject na osivo požadavek na infikované webové stránky, ke stažení Android aplikace, která je údajně potřebná k provedení bezpečné transakce, ale odkaz skutečně vede k Faketoken. Poté, co mobilní hrozba skončí na smartphonu uživatele, zločinci pak pomocí počítače na bázi trojské koně k získání přístupu k bankovnímu účtu oběti, a Faketoken jim umožňuje sklizeň mTANs a převést peníze na oběti na jejich účty.

O čem jsme psali několikrát, že většina mobilní bankovnictví hrozby jsou navrženy a zpočátku používané v Rusku, a že později zločinci mohou používat v jiných zemích. Faketoken je jeden takový program. Během prvních tří měsíců roku 2014, Kaspersky Lab zjištěn útoků zahrnujících tuto hrozbu v 55 zemích, včetně Německa, Švédska, Francie, Itálie, Velké Británie a USA.

Nový vývoj od autoři virů
TOR-řízené roboty
Anonymní sítě Tor, který je postaven na síti proxy serverů, nabízí uživatelské anonymitu a umožňuje účastníkům hostit "anonymní" webové stránky na. Cibule domény zóny. Tyto webové stránky jsou pak přístupné pouze přes Tor. V únoru, Kaspersky Lab zjištěn první Android Trojan, který je spuštěn přes C & C hostované na doméně v. cibule pseudo-zóny.

Backdoor.AndroidOS.Torec.a je modifikace Orbot, běžně používané Tor klienta, ve kterém uživatelé se zlými úmysly byly oseté svůj vlastní kód. Všimněte si, že, aby se zajistilo, že Backdoor.AndroidOS.Torec.a je schopen využít Tor, je třeba mnohem více kódu než na své hlavní funkce.

Trojan může zobrazit následující příkazy z C & C:

zahájit / ukončit odposlech příchozích textových zpráv
zahájit / ukončit krádež příchozích textových zpráv
vydá požadavek USSD
odesílat data o telefonu (telefonní číslo, země, IMEI, model, verze OS) na C & C
poslat seznam aplikací nainstalovanou v mobilním zařízení na C & C
posílat textové zprávy na číslo zadané v příkazu
Proč uživatelé se zlými úmysly najít tam byla potřeba pro anonymní síť? Odpověď je jednoduchá: C & C hostil v síti Tor nelze vypnout. Mimochodem, tvůrci Android trojské koně přizpůsobit tento přístup od autorů virů, kteří vyvinuli hrozby zaměřené na Windows.

E-peněženka krádeže
Uživatelé se zlými úmysly jsou vždy hledají nové způsoby, jak ukrást peníze pomocí mobilních trojské koně. V březnu, Kaspersky Lab zjištěn Trojan-SMS.AndroidOS.Waller.a, které kromě typických SMS trojské funkcí je také schopen krást peníze z QIWI peněženky z infikovaných telefonů.

Poté, co obdrží příslušnou C & C velení, Trojan kontroluje QIWI peněženky rovnováhu zasláním textové zprávy na odpovídající číslo systému QIWI. Trojan zachytí odpověď a odešle ji jejími provozovateli.

Pokud vlastník infikovaného zařízení má peněženku účet QIWI a Trojan získává data, která existuje kladný zůstatek v peněžence účtu, malware může převést peníze z účtu uživatele na peněženky účet QIWI určený pro zločinci. Trojan majitelé Poslat řadu speciální systém QIWI textem uvedením peněženku ID z uživatelů se zlými úmysly, a částku, která má být převedena.

Zatím to Trojan má pouze cílené ruských uživatelů. Nicméně, útočníci mohou použít k ukrást peníze od uživatelů v jiných zemích, kde se běžně používají textové řízené systémy e-peněženka.

Špatné zprávy
V prvním čtvrtletí roku 2014, Trojan cílení iOS byla zjištěna. Tento škodlivý program je plug-in pro Cydia substrátu, široce používané rámce pro kořeny / hacknuté zařízení. Existuje mnoho affiliate programy pro vývojáře app, které jim umožní prosazovat své aplikace pomocí reklamní modul, a vydělávat peníze pro reklamní displeje. V některých reklamních modulů, Trojan přepne se na ID vývojářů aplikací pro ID uživatelů se zlými úmysly. Jako výsledek, všechny peníze na reklamních displejů jde k uživateli se zlými úmysly místo.

Odborníci z Turecka byly zjištěny zranitelnosti využít způsobující odmítnutí služby na přístroji a následném restartu. Smyslem této chyby zabezpečení je, že uživatelé se zlými úmysly mohou využít ji rozvíjet Android aplikace s AndroidManifest.xml, který obsahuje velké množství dat v každém poli Název (AndroidManfiest.xml je speciální soubor nalézt v každé Android app). Tento soubor obsahuje údaje o aplikace, včetně přístupových oprávnění pro systémové funkce, markery pro procesory pro různé události, atd. Nové aplikace mohou být instalovány bez jakýchkoliv problémů, ale například, když aktivita se nazývá s určitým názvem, přístroj spadne. Například, psovod může být vyvinut pro příchozí textové zprávy pomocí špatné jméno, a po obdržení jakékoliv textové zprávy, telefon se prostě zhroutí a stane se nepoužitelným. Přístroj začne neustále restartovat, a uživatel bude mít pouze jeden způsob, jak vyřešit problém: Návrat firmware, což povede ke ztrátě všech dat uložených v přístroji.

Škodlivý spam
Jedním ze standardních metod používaných pro šíření mobilního malware je škodlivý spam. Tato metoda je jednou z nejlepších voleb mezi zločinci, kteří používají mobilní trojské koně krást peníze z uživatelských účtech.

Škodlivé spam texty obvykle obsahují buď nabídku stáhnout si aplikaci pomocí odkazu, který odkazuje na malware, nebo odkaz na webové stránky nasazený se škodlivý program, který přesměruje uživatele na nějakou nabídky. Stejně jako s nebezpečným spam v e-mailu, útočníci spoléhají na sociální inženýrství, jak získat pozornost uživatele.

Olympic-themed spam
Olympiáda je velká událost, a uživatelé se zlými úmysly využil zájmu letošních hrách v Soči.

V únoru jsme zaznamenali SMS spam s odkazy na údajné vysílání olympijských událostí. Jestliže neopatrný uživatel klikl na odkaz, jeho smartphone se pokusí načíst Trojan detekován Kaspersky Lab jako HEUR: Trojan-SMS.AndroidOS.FakeInst.fb.

Tento Trojan je schopen reagovat na nebezpečné příkazy uživatele a posílání textových zpráv na velké ruské banky a převodu peněz z mobilního účtu majitele prostřednictvím infikovaného telefonu. Uživatel se zlými úmysly může pak převést peníze z účtu oběti do svého e-peněženky. Mezitím, všechny zprávy z banky, pokud jde o přenos bude skryta oběti.

Spam s odkazy na škodlivé webové stránky
Mezi zločinci, kteří šíří Opfake Trojan poslal SMS spam s odkazem na speciálně vytvořených škodlivé webové stránky.

Jeden z textových zpráv informovat příjemce, že se jim dostalo balíček a vede na webové stránky se tváří jako ruské poštovní služby.

V jiných zprávách, uživatelé se zlými úmysly využil popularity ruské Inzerce zdarma webové stránky, Avito.ru. Tyto textové zprávy sdělil příjemce, že obdržel nabídku v reakci na jejich reklamu, nebo že někdo měl zájem o koupi jejich zboží, a zahrnoval odkazy na falešný Avito.ru stránku.

Škodlivé padělané webové stránky

Pokud uživatel klikne na odkaz vedoucí na falešné internetové stránky, bude jeho smartphone se pokusí stáhnout Trojan-SMS.AndroidOS.Opfake.a. Kromě zasílání placených textových zpráv, tento škodlivý program se používá také k šíření další hrozby pro mobilní zařízení, včetně multi-funkční Backdoor.AndroidOS.Obad.a.

Sociální inženýrství je vždy nebezpečný nástroj v rukou zločinci. Uživatelé internetu je třeba být opatrný a na naprosté minimum, zdržet kliknutím na žádné odkazy obdrželi od neznámých odesílatelů. V těchto případech, tam je vždy riziko pádu do pasti nastražené uživatelů se zlými úmysly a přichází o peníze jako výsledek.

Statistika
Distribuce mobilních hrozeb podle druhu

Distribuce mobilních hrozeb podle druhu, 1. čtvrtletí 2014

Během prvních tří měsíců roku 2014, číslo jedna mobilní hrozba se ukázalo být Adware, jedinou funkcí, která je trvale zobrazovat reklamy. Tento druh malwaru je obzvláště obyčejný v Číně.

Po dlouhou dobu v čele, SMS trojské koně byly srazil na druhé místo poté, co se jejich podíl klesl z 34% na 22%. Nicméně, tato kategorie malwaru stále vede mezi Top 20 nejčastěji detekovaných mobilních hrozeb.

Top 20 mobilních hrozeb
Název % Ze všech útoků
1 Trojan-SMS.AndroidOS.Stealer.a 22.77%
2 RiskTool.AndroidOS.MimobSMS.a 11.54%
3 Trojan-SMS.AndroidOS.OpFake.bo 11.30%
4 RiskTool.AndroidOS.Mobogen.a 10.50%
5 DangerousObject.Multi.Generic 9,83%
6 Trojan-SMS.AndroidOS.FakeInst.a 9,78%
7 Trojan-SMS.AndroidOS.OpFake.a 7,51%
8 Trojan-SMS.AndroidOS.Erop.a 7,09%
9 Trojan-SMS.AndroidOS.Agent.u 6,45%
10 Trojan-SMS.AndroidOS.FakeInst.ei 5,69%
11 Backdoor.AndroidOS.Fobus.a 5,30%
12 Trojan-SMS.AndroidOS.FakeInst.ff 4,58%
13 Trojan-Banker.AndroidOS.Faketoken.a 4,48%
14 AdWare.AndroidOS.Ganlet.a 3,53%
15 Trojan-SMS.AndroidOS.Agent.ao 2,75%
16 AdWare.AndroidOS.Viser.a 2.31%
17 Trojan-SMS.AndroidOS.Agent.dr 2,30%
18 Trojan-SMS.AndroidOS.Agent.fk 2,25%
19 RiskTool.AndroidOS.SMSreg.dd 2.12%
20 RiskTool.AndroidOS.SMSreg.eh 1.87%
Nové úpravy Trojan-SMS.AndroidOS.Stealer.a byly hlavním faktorem v nárůstu nových mobilních hrozeb. Na tom není nic zvlášť zvláštního o této hrozbě; je vybaven standardní SMS trojské funkce, ale je to stále poprvé v Top 20 nejčastěji detekovaných mobilních hrozeb.

To dává smysl, že loňské vůdci - Opfake.bo a Fakeinst.a - jsou stále pevně drží na svých místech a pokračovat být hlavními hráči v útocích na mobilní uživatelských zařízení, je zaplavení s nekonečnými vlnami nových škodlivých instalátory.

Mimochodem, Top 20 nejčastěji detekované hrozby pro mobilní zařízení společnosti Kaspersky Lab nyní obsahuje Faketoken bankovnictví Trojan poprvé (13. místo).

Hrozby po celém světě

Země, kde se uživatelé setkávají největší riziko infekce mobilní malware, Q1 2014
(procento všech napadených unikátních uživatelů)

Top 10 nejčastěji cílových zemí:
Název % Ze všech útoků
1 Rusko 48.90%
2 Indie 5,23%
3 Kazachstán 4,55%
4 Ukrajina 3,27%
5 Spojené království 2,79%
6 Německo 2.70%
7 Vietnam 2.44%
8 Malajsie 1.79%
9 Španělsko 1.58%
10 Polsko 1.54%
Statistika

Všechny statistické údaje použité v této zprávě byly získány z tzv. cloud-based systému Kaspersky Security Network (KSN). Statistické údaje byly získány z KSN uživatelů, kteří souhlasili, aby se podělili o své lokální data. Miliony uživatelů produktů společnosti Kaspersky Lab ve 213 zemích, podílet se na globální výměny informací o nebezpečné činnosti.

On-line hrozeb (útoky prostřednictvím webu)
Statistiky v této části byly odvozeny z webových antivirových komponentů, které chrání uživatele při škodlivý kód se pokusí stáhnout z škodlivého / infikovaný stránkách. Škodlivé webové stránky jsou záměrně vytvořeny uživatelů se zlými úmysly; infikované weby mohou být ty s uživatelem přispěly obsah (jako fór), jakož i legitimní prostředky, které byly hacknutý.

Top 20 škodlivé objekty detekovány on-line
V prvním čtvrtletí roku 2014, Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.

Identifikovali jsme 20 nejvíce aktivní škodlivé programy, které byly zapojeny do on-line útokům proti počítačích uživatelů. Tyto 20 představovaly 99,8% všech útoků na internetu.

Název % Ze všech útoků
1 Škodlivý URL 81.73%
2 Trojan.Script.Generic 8,54%
3 AdWare.Win32.BetterSurf.b 2.29%
4 Trojan-Downloader.Script.Generic 1.29%
5 Trojan.Script.Iframer 1.21%
6 AdWare.Win32.MegaSearch.am 0,88%
7 Trojan.Win32.AntiFW.b 0,79%
8 AdWare.Win32.Agent.ahbx 0.52%
9 AdWare.Win32.Agent.aiyc 0.48%
10 Trojan.Win32.Generic 0.34%
11 AdWare.Win32.Yotoon.heur 0,28%
12 Trojan.Win32.Agent.aduro 0.23%
13 Adware.Win32.Amonetize.heur 0.21%
14 Trojan-Downloader.Win32.Generic 0.21%
15 Trojan-Clicker.JS.FbLiker.k 0.18%
16 Trojan.JS.Iframe.ahk 0.13%
17 AdWare.Win32.Agent.aiwa 0.13%
18 Exploit.Script.Blocker 0.12%
19 AdWare.MSIL.DomaIQ.pef 0.12%
20 Exploit.Script.Generic 0,10%
* Tyto statistiky představují detekce rozsudky na web antivirového modulu. Informace byly poskytnuty ze strany uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.

** Procento všech internetových útoků zaznamenala na počítači unikátních uživatelů.

Jak je často případ, Top 20 převážně se jedná o rozsudky přiřazené objekty používané v drive-by útoky a adware programy. Počet pozic obsazených adware rozsudků zvýšil sedm až devět v prvním čtvrtletí roku 2014.

Ze všech škodlivých programů v tomto pořadí, Trojan.Win32.Agent.aduro na dvanáctém místě, stojí za zvláštní zmínku. Tento program se šíří z webových stránek, které vyzve uživatele ke stažení prohlížeče plug-in na pomoc on-line nakupování.

Pokud uživatel klikne na tlačítko "Stáhnout", Trojan.Win32.Agent.aduro pokusí stáhnout do počítače uživatele. Trojan si klade za cíl stáhnout ad plug-in, stejně jako program pro těžbu na crypto-currency Litecoin. Po úspěšném infikován, bude počítač uživatele se používají zločinci k výrobě tohoto crypto-měnu, která bude jít přímo do svých peněženek.

Zajímavá je škodlivý skript Trojan-Clicker.JS.FbLiker.k na patnáctém místě v Top 20.. To je většinou přítomen na vietnamských stránkách nabízí různé druhy zábavy a webových zdrojů, které nabízejí filmy a software ke stažení. Když uživatel navštíví takové stránky, skript napodobuje uživatelské kliknutím na tlačítko "Like" na stránce v Facebook. Po tomto, může být stránka Facebook zobrazen jako "líbí" na novinek uživatele a v profilu uživatele. Obrovské množství "likes" na určitou stránku mění své výsledky hledání Facebooku.

Země, kde se on-line zdrojů nasazený s malware: Top 10
Následující statistiky jsou založeny na fyzickém umístění on-line zdrojů, které byly použity při útocích a zablokovaných antivirových komponentů (webové stránky, které obsahují přesměrování na exploity, stránky, které obsahují využije a další malware, botnet velitelských středisek, atd.). Každý jedinečný hostitel se může stát zdrojem jedné nebo více webových útoků.

Aby bylo možné určit zeměpisný zdroj webovými útoky, byla použita metoda, kterou jsou doménová jména uzavřeno proti skutečné domény IP adres, a pak zeměpisná poloha konkrétní IP adresu (GeoIP) je založena.

V 1. čtvrtletí 2014, Lab řešení Kaspersky zablokoval 353 216 351 útokům z webových zdrojů umístěných v různých zemích po celém světě. 83,4% z on-line zdrojů používaných k šíření škodlivých programů jsou umístěny v 10 countries.This je o 0,3 procentního bodu méně než ve 4. čtvrtletí 2013.

Distribuce on-line zdrojů nasazený škodlivými programy, v 1. čtvrtletí 2014

Toto pořadí prošel pouze menší změny v posledních měsících. Všimněte si, že 39% všech internetových útoků blokovaných produkty společnosti Kaspersky Lab byla zahájena za použití škodlivých webových zdrojů umístěných v USA a Rusku.

Země, kde se uživatelé setkávají největší riziko infekce on-line
Aby bylo možné posoudit, ve kterých zemích uživatelé čelit kybernetickým hrozbám nejčastěji, jsme vypočítali, jak často uživatelé Kaspersky setkat detekce rozsudky na svých strojích v každé zemi. Výsledná data charakterizuje riziko infekce na počítače, které jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.

Země * % Unikátních uživatelů **
1 Vietnam 51.44%
2 Rusko 49.38%
3 Kazachstán 47.56%
4 Arménie 45.21%
5 Mongolsko 44.74%
6 Ukrajina 43.63%
7 Ázerbajdžán 42.64%
8 Bělorusko 39.40%
9 Moldavsko 38.04%
10 Kyrgyzstán 35.87%
11 Tádžikistán 33.20%
12 Gruzie 32.38%
13 Chorvatsko 31.85%
14 Katar 31.65%
15 Alžírsko 31.44%
16 Turecko 31.31%
17 Litva 30.80%
18 Řecko 30.65%
19 Uzbekistán 30.53%
20 Španělsko 30.47%
Tyto statistiky jsou založeny na detekci rozsudky vrácených web antivirového modulu, obdržely od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).

** jedinečných uživatelů, jejichž počítače byly terčem internetových útoků jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v zemi.

Q1 2014 došlo ke změně lídra v tomto pořadí: Vietnam, kde 51,4% uživatelů čelí webové nese útoky, je nyní na prvním místě. Mongolsko byl nováčkem na tomto seznamu, přichází rovnou na páté s 44,7% napadených uživatelů. Zbývající pozice v top 10 je stále obsazené Ruskem a bývalými státy SNS.

Mezi země s nejbezpečnějších on-line prostředí, surfování jsou Singapur (10,5%), Japonsko (13,2%), ve Švédsku (14,5%), Jižní Afrika (15,6%), Tchaj-wan (16,1%), v Dánsku (16,4%), Finsko (16,8% ), Nizozemí (17,7%) a Norsko (19,4%).

* Podíl z celkového počtu napadených unikátních uživatelů

V průměru 33,2% uživatelů počítačů připojených k Internetu byly podrobeny alespoň jeden web útoku během posledních tří měsíců.

Místní hrozby
Místní statistiky infekce pro uživatele počítačů jsou velmi důležitým ukazatelem. Tato data upozorňuje na hrozby, které pronikly na počítačový systém přes něco jiného než Internet, e-mail, nebo síťových portů na.

Tato část obsahuje analýzu statistických údajů získaných na základě provozu antivirový program, který skenuje soubory na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupné, a výsledky skenování různých vyměnitelných datových úložišť.

V 1. čtvrtletí 2014, antivirových řešení společnosti Kaspersky Lab úspěšně zablokoval 645 809 230 malware útoky na počítačích uživatelů. V těchto incidentů, bylo zjištěno celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.

Top 20 škodlivé objekty zjištěné na uživatelských počítačích

Hodnost Název % Unikátních uživatelů napadených *
1 DangerousObject.Multi.Generic 20.37%
2 Trojan.Win32.Generic 18.35%
3 AdWare.Win32.Agent.ahbx 12.29%
4 Trojan.Win32.AutoRun.gen 7,38%
5 AdWare.Win32.BetterSurf.b 6,67%
6 Adware.Win32.Amonetize.heur 5,87%
7 Virus.Win32.Sality.gen 5,78%
8 Worm.VBS.Dinihou.r 5,36%
9 AdWare.Win32.Yotoon.heur 5,02%
10 Trojan-Dropper.Win32.Agent.jkcd 4,94%
11 Worm.Win32.Debris.a 3,40%
12 Trojan.Win32.Starter.lgb 3,32%
13 Exploit.Java.Generic 3,00%
14 AdWare.Win32.Skyli.a 2,80%
15 Trojan.Win32.AntiFW.b 2,38%
16 Virus.Win32.Nimnul.a 2.23%
17 Trojan.WinLNK.Runner.ea 2.22%
18 AdWare.Win32.DelBar.a 2.21%
19 AdWare.Win32.BrainInst.heur 2.11%
20 Worm.Script.Generic 2.06%
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky vytvořených skenerem modulů on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily s tím, aby předložily své statistické údaje.

* Podíl jednotlivých uživatelů na jehož počítače antivirový modul detekoval tyto objekty jako procentní podíl všech jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program.

Toto hodnocení obvykle zahrnuje rozsudky uvedené na adware programy, červi šíří na vyměnitelném médiu, a viry.

Podíl virů v této Top 20 pokračuje pomalu, ale vytrvale klesat. V 1. čtvrtletí 2014, viry byly zastoupeny rozsudků Virus.Win32.Sality.gen a Virus.Win32.Nimnul.a, s celkovým podílem ve výši 8%. Ve 4. čtvrtletí roku 2013, že číslo bylo 9,1%.

Červ Worm.VBS.Dinihou.r na osmém místě je VBS skript; se ukázalo, koncem loňského roku, a to je poprvé, co to dělal to k tomuto žebříčku. Spam je jedním ze způsobů, jak tento červ se šíří. Červ poskytuje širokou funkčnost plnohodnotného backdoor, od zahájení příkazového řádku pro nahrávání ze zadaného souboru na serveru. Je také infikuje úložné zařízení USB připojená k počítači oběti.

Země, kde se uživatelé setkávají nejvyšší riziko lokální infekce

Hodnost Země * % Unikátních uživatelů **
1 Vietnam 60.30%
2 Mongolsko 56.65%
3 Nepál 54.42%
4 Alžírsko 54.38%
5 Jemen 53.76%
6 Bangladéš 53.63%
7 Egypt 51.30%
8 Irák 50.95%
9 Afghánistán 50.86%
10 Pákistán 49.79%
11 Indie 49.02%
12 Súdán 48.76%
13 Tunisko 48.47%
14 Džibuti 48.27%
15 Laos 47.40%
16 Sýrie 46.94%
17 Myanmar 46.92%
18 Kambodža 46.91%
19 Maroko 46.01%
20 Indonésie 45.61%
Tyto statistiky jsou založeny na detekci rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů. Údaje zahrnují detekci škodlivých programů, umístěných na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty telefon, nebo externí pevné disky.

* Při výpočtu jsme vyřadili země, kde existují méně než 10.000 uživatelů Kaspersky Lab.

** Podíl unikátních uživatelů v zemi s počítači, které zablokoval místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.

Top 20 v této kategorii nadále dominují země v Africe, na Středním východě a jihovýchodní Asii. Vietnam na prvním místě, jak tomu bylo ve 4. čtvrtletí 2013, zatímco Mongolsko zůstává na druhém místě. Nepál posunul o jedno místo na třetí místo, zatímco Bangladéš klesl o tři místa na šestou ve 4. čtvrtletí 2014. Maroko je nová položka v tomto pořadí.

* Podíl z celkového počtu napadených unikátních uživatelů

Z nejbezpečnějších zemí, pokud jde o lokální infekce, rizika jsou: Japonsko (12,6%), ve Švédsku (15%), Finsko (15,3%), v Dánsku (15,4%), Singapur (18,2%), Nizozemí (19,1%), a Česká republika (19,5%).

V průměru 34,7% počítačů uživatelů byly podrobeny alespoň jedné místní ohrožení v průběhu posledních tří měsíců.

IT hrozby vývoj Q1 2014
23.4.2014 Analýzy

Zdroj: Kaspersky

Q1 2014 v číslech

Podle údajů KSN, produkty společnosti Kaspersky Lab zablokoval celkem 1 131 000 866 škodlivými útoky na počítačích a mobilních zařízeních v prvním čtvrtletí roku 2014.
Laboratorní řešení Kaspersky odrazili 353 216 351 útokům z on-line zdrojů umístěných po celém světě.
Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.
81 736 783 unikátních adres URL byly uznány jako nebezpečný webový antivirus.
39% webových útoků neutralizuje produkty společnosti Kaspersky Lab byly provedeny za použití škodlivých webových zdrojů umístěných v USA a Rusku.
Antivirových řešení společnosti Kaspersky Lab zjištěn 645 809 230 virovým útokům na počítačích uživatelů. Byly zjištěny v těchto incidentech celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.
Přehled

Cílené útoky / APT
Mlha dále čistí
V září 2013 jsme se hlásil na cíleném útoku s názvem Icefog, zaměřena především na cíle v Jižní Koreji a Japonsku. Většina APT kampaně jsou trvalé po měsíce nebo roky, neustále krade data z jejich obětí. Naopak, útočníci stojí za Icefog zaměřena na své oběti jeden po druhém, v krátké trvání, přesné hit-and-run útoky, jejichž cílem je ukrást specifické údaje. Kampaň, v provozu nejméně od roku 2011, se týkala použití řady různých verzí malware, včetně jednoho zaměřené na Mac OS.

Po zveřejnění naší zprávě, operace Icefog přestal a útočníci zavřeli všechny známé rozkazech a kontrolních serverů. Nicméně jsme nadále sledovala operaci sinkholing domén a analýzu zapojení obětí. Naše pokračující analýza odhalila existenci další generace Icefog zadní vrátka - tentokrát, Java verzi malware, který jsme nazvali "Javafog". Připojení k jedné z sinkholed domén, "lingdona [dot] com", uvedla, že klient může být aplikace Java; a následné vyšetřování ukázalo se vzorek této aplikace (najdete podrobnosti o analýze zde ).

Během operace sinkholing této domény, jsme pozorovali osm IP adresy pro tři jedinečné oběti Javabot. Všechny z nich se nachází ve Spojených státech - jeden byl velmi velký nezávislý ropy a zemního plynu společnost, která působí v mnoha zemích. Je možné, že Javafog vyvinul pro americko-určité operace, ten, který byl navržen tak, aby být delší, než je typické Icefog útoky. Jedním z Pravděpodobnou příčinou vytvoření Java verze malwaru je to, že je více nenápadný a těžší odhalit.

Za maskou
V únoru, tým Kaspersky Lab bezpečnostní výzkum zveřejnila zprávu o komplexní cyber-špionáže kampaně s názvem Maska nebo Careto (španělský slang pro "ošklivou tvář" nebo "maska"). Tato kampaň byla navržena tak, aby ukrást citlivá data z různých typů cílů. Oběti, které se nacházejí v 31 zemích po celém světě, jsou vládní agentury, zastupitelské úřady, energetické společnosti, výzkumné instituce, private equity a aktivisty - najdete úplný seznam zde .

Útoky začít s hlášením kopí-phishing, který obsahuje odkaz na nebezpečné webové stránky obsahující mnoho hrdinských činech. Jakmile oběť je infikován, oni jsou pak přesměrováni na legitimní stránky popsané v e-mailu, které obdržel (např. zpravodajský portál, nebo video). Maska obsahuje sofistikovaný backdoor Trojan schopen zachycovat všechny komunikační kanály a sklizeň všech druhů dat z infikovaného počítače. Stejně jako Rudý říjen a dalších cílených útoků před ním, kód je vysoce modulární, což umožňuje útočníkům přidat nové funkce na přání. Maska také vrhá její čistý široký - existuje verze backdoor pro Windows a Mac OS X, a tam jsou odkazy, které naznačují, že může být i verze pro Linux, iOS a Android. Trojan také používá velmi sofistikované stealth techniky skrýt své aktivity.

Hlavním účelem útočníků pod maskou je ukrást data z jejich obětí.

Malware shromažďuje celou řadu údajů z infikovaného systému, včetně šifrovacích klíčů, konfigurace VPN, SSH klíče, RDP soubory a některé neznámé typy souborů, které by mohly být v souvislosti s zakázku vojenské / šifrovacích nástrojů vládní úrovni.

Nevíme, kdo je za kampaň. Některé stopy naznačují, že používání španělského jazyka, ale to nepomůže hodit dolů, protože tento jazyk je mluvený v mnoha částech světa. Je také možné, že by to mohlo být použito jako falešnou stopu, odvést pozornost od toho, kdo to napsal. Velmi vysoký stupeň profesionality skupiny za tímto útokem je neobvyklé pro cybercriminal skupiny - jeden ukazatel, který Maska může být státem sponzorované kampaň.

Tato kampaň zdůrazňuje skutečnost, že existují vysoce profesionální útočníci, kteří mají prostředky a schopnosti k rozvoji komplexní malware - v tomto případě, krást citlivé informace. Zdůrazňuje také opět skutečnost, že cílené útoky, protože vytvářejí malou nebo žádnou aktivitu mimo jejich specifických obětí, může "letět pod radarem".

Ale to je stejně důležité si uvědomit, že bez ohledu na propracovanosti The Mask, výchozí bod (stejně jako u mnoha předchozích cílených útoků) zahrnuje podvádět jednotlivce, aby dělali něco, co ohrožuje bezpečnost organizace, pro kterou pracují - v tomto případě, klepnutím na odkaz.

V současné době, všechny známé C & C (Command-and-Control) servery slouží ke správě infekcí je v režimu offline. Ale je to možné, útočníci obnovit kampaň v budoucnu.

Červ a had
Počátkem března byl rozšířený diskuse v rámci bezpečnosti IT komunity o cyber-špionáže kampaně s názvem Turla (také známý jako had a Uroburos). Výzkumníci z G-DATA, že malware používá, může být vytvořen ruské zvláštní služby. Výzkum provádí BAE Systems spojené Turla na malware s názvem "Agent.btz", který se datuje do roku 2007 a byl použit v roce 2008 infikovat lokálních sítí amerických vojenských operací na Blízkém východě.

Kaspersky Lab stal se vědomý této cílené kampaně při vyšetřování události související s vysoce sofistikovaný rootkit, který jsme nazvali "Ne rootkit". Ukázalo se, že "Slunce rootkit" a Uroburos byla jedna a ta samá hrozba.

Jsme stále vyšetřuje Turla, které si myslíme, že je mnohem složitější, než je navrženo materiály, které byly dosud publikovány. Nicméně, naše prvotní analýzy se ukázalo nějaké zajímavé spojení.

Agent.btz je self-replikace červ, který je schopen se šířit přes USB flash disky s využitím zranitelnost umožňující jej spustit pomocí "autorun.inf". Tento malware byl schopen rychle šíří po celém světě. I přesto, že nebyly vytvořeny žádné nové varianty červa na několik let, a výše uvedený zranitelnost byla uzavřena v novějších verzích systému Windows, v roce 2013 sám se zjištěn Agent.btz 13832 krát ve 107 zemích!

Červ vytvoří soubor s názvem "thumb.dll" na všech USB flash disky připojené k infikovaného počítače (obsahující "winview.ocx" soubory, "wmcache.nld" a "mssysmgr.ocx"). Tento soubor je kontejner pro ukradených dat, která jsou uložena na flash disku, pokud to nemůže být zaslána přímo přes internet k ovládání a-příkazu serveru spravovaného útočníků. Pokud je pak vložen jako flash disk do jiného počítače soubor "thumb.dll 'se zkopíruje do nového počítače s názvem" mssysmgr.ocx.

Věříme, že rozsah epidemie, spolu s výše uvedeným funkce, znamená to, že tam jsou desítky tisíc USB flash disky na celém světě obsahující soubory s názvem "thumb.dll" vytvořil Agent.btz. V současné době je většina variant tohoto malwaru jsou detekovány Kaspersky Lab jako "Worm.Win32.Orbina".

Samozřejmě, Agent.btz není jediným malware, který se šíří přes USB flash disky.

Modul "USB zloděj" v červeném říjnu obsahuje seznam souborů, které hledá na USB flash disky připojené k infikovaných počítačů. Všimli jsme si, že tento seznam obsahuje soubory "mysysmgr.ocx" a "thumb.dll", tj. dva soubory písemných flash disky podle Agent.btz.

Při pohledu zpět další, když jsme analyzovali Flame a jeho bratranci Gauss a miniFlame , jsme si také všiml podobnosti s Agent.btz. Tam je analogická pojmenování, zvláště použití "OCX." Rozšíření. Kromě toho bylo také jasné, že oba Gauss a miniFlame byli vědomi souboru "thumb.dll" a podíval se na ni na USB flash disky.

Konečně, Turla používá stejné názvy souborů jako Agent.btz pro přihlášení se ukládá na infikovaných počítačích - "mswmpdat.tlb", "winview.ocx" a "wmcache.nld". To také používá stejný klíč XOR šifrování soubory protokolu.

Všechny tyto body oproti naleznete níže.

Zatím, co víme, je, že všechny z těchto škodlivých programů sdílet některé body podobnosti. Je jasné, že Agent.btz byla zdrojem inspirace pro ty, kteří vyvinuli další malware. Ale my nejsme schopni s jistotou říci, jestli je to titíž lidé stojí za všemi těmito hrozbami.

Malware příběhy: loupání cibule
Tor (zkratka pro The Onion Router) je software navržen tak, aby někdo zůstat v anonymitě při přístupu na internet. To bylo asi na nějakou dobu, ale na mnoho let byl používán hlavně odborníci a nadšenci. Nicméně, použití sítě Tor se špičatý v posledních měsících, zejména z důvodu rostoucích obav o soukromí. Tor se stal užitečným řešením pro ty, kteří z jakéhokoliv důvodu, se obávají, dohled a úniku důvěrných informací. Nicméně, to je jasné, šetření jsme provedli v posledních měsících, že Tor je také atraktivní pro zločinci: oni také oceňují anonymitu, které nabízí.

V roce 2013 jsme začali vidět zločinci aktivně používat Tor hostit jejich škodlivého malware infrastrukturu a odborníci společnosti Kaspersky Lab zjistili různé škodlivé programy, které se specificky používají Tor. Vyšetřování síťových zdrojů Tor odhaluje spoustu prostředků určených na malware, včetně Command-a-Control serverů, správy panely a další. Tím, hosting svých serverů v síti Tor, zločinci, aby byly těžší identifikovat, blacklist a eliminovat.

Cybercriminal fóra a tržiště se seznámili na "normální" Internetu. Ale v poslední době Tor-založené podzemí tržiště se také objevil. Všechno to začalo s notoricky známé Silk Road trhu a se vyvinul do desítek specializovaných trhů - pro drogy, zbraně a, samozřejmě, malware.

Carding obchody jsou pevně stanoveny v darknet, kde ukradl osobní údaje je na prodej, s širokou škálou hledání atributů, jako země, banka atd. Nabízené zboží nejsou omezeny na kreditní karty: skládky, sběrače a mykání zařízení jsou na prodej taky.

Registrace jednoduchý postup, obchodník hodnocení, garantovaná služba a uživatelsky přívětivé rozhraní - to jsou standardní rysy Tor underground trhu. Některé obchody požadují prodejci složit slib - fixní částku peněz - před zahájením obchodování. To má zajistit, že obchodník je skutečný a jeho služby nejsou podvod nebo nekvalitní.

Vývoj Tor se shodoval se vznikem anonymní krypto-měnu, Bitcoin. Téměř vše, co v síti Tor je kupoval a prodával pomocí Bitcoins. Je to téměř nemožné spojit Bitcoin peněženku a skutečnou osobu, aby provádění transakcí v darknet pomocí Bitcoin znamená, že útočníci mohou zůstat prakticky nepostižitelné.

Zdá se pravděpodobné, že Tor a další anonymní sítě se stala běžnou rysem internetu jako zvyšující se počet obyčejných lidí, kteří používají internet hledají způsob, jak chránit své osobní údaje. Ale je to také přitažlivým mechanismem pro zločinci - způsob, jak jim utajit funkce malware, které vytvářejí, na obchod se počítačové kriminality služby a vyprat své nezákonné zisky. Věříme, že jsme jen svědky začátku jejich užívání těchto sítí.

Web bezpečnosti a narušení bezpečnosti osobních údajů
Vzestupy a pády Bitcoin
Bitcoin je digitální crypto-měna. To funguje na modelu peer-to-peer, kde peníze bere podobu řetězce digitálních podpisů, které představují části na Bitcoin. Neexistuje žádný centrální řídící orgán, a nejsou tam žádné mezinárodní transakční poplatky - z nichž oba přispěly k tomu, že je atraktivní jako platební prostředek. Najdete přehled Bitcoin, a jak to funguje, na Kaspersky Daily stránkách.

Vzhledem k použití Bitcoin zvýšila, se stala více atraktivní cíl pro zločinci.

V našich end-of-rok prognóz , jsme očekávali útoky na Bitcoin, a to konkrétně tím, že "útoky na Bitcoin bazény, výměny a uživatelů Bitcoin se stane jedním z nejvíce vysoce postavených témat roku". Takové útoky, jsme si řekli, "bude obzvláště populární s podvodníky, protože jejich poměr nákladů a výnosů je velmi příznivý."

Už jsme viděli dostatek důkazů o to. Mt.Gox, jeden z největších Bitcoin výměn, byla pořízena v režimu offline dne 25. února. Stalo se tak po bouřlivé měsíce, ve kterém byla výměna sužovaný problémy - problémy, které viděl na obchodní cenu Bitcoins na webu podzim dramaticky. Objevily se zprávy , že výměna v platební neschopnosti následované hack, která vedla ke ztrátě 744.408 Bitcoins - v hodnotě zhruba 350 milionů dolarů na místě, Mt.Gox byla pořízena v režimu offline. Zdá se, že transakce tvárnost byla ústředním tématem zde. To je problém s protokolem Bitcoin, že za určitých okolností umožňuje útočníkovi vydávat různé transakční ID pro stejné transakce, takže se zdá, jako by transakce nestalo. Můžete si přečíst naši posouzení otázek obklopujících kolaps Mt.Gox zde . Transakce tvárnost chyba byla nyní pevně . Samozřejmě, Mt.Gox není jen virtuální bankovní služby poskytovatelem, který byl napaden, jak jsme diskutovali na konci loňského roku. Rostoucí využívání virtuálních měn je určitě znamenat další útoky v budoucnu.

Není to jen výměna virtuální měny, které jsou náchylné k útoku. Lidé, kteří používají crypto-měny můžete také najít sami terčem kybernetických zločinců. V polovině března, osobní blog a Reddit účet Mt.Gox generální ředitel Mark Karepeles, byly napadeny hackery. Tyto účty byly použity k přidání souboru, "MtGox2014Leak.zip". Tvrdí se, že tento soubor obsahoval cenné databáze skládek a specializovaný software umožňující vzdálený přístup k datům Mt.Gox. Co to ​​vlastně obsahoval byl malware navržen tak, aby najít a ukrást Bitcoin peněženky soubory. Naše write-up malware lze nalézt zde . To poskytuje jasný příklad toho, jak zločinci manipulovat zájem lidí v horké zprávy jako způsob šíření malwaru.

Jedna věc velký význam hozený do všech takových útoků je, jak ti z nás, kteří využívají každé krypto-měně zabezpečit sami sebe v prostředí, kde - na rozdíl od reálného světových měn - neexistují žádné vnější normy a předpisy. Naše poradenství je pro ukládání Bitcoins v open-source off Bitcoin klienta (spíše než v on-line burzovních služeb s neznámou skladbu záznamu); a pokud máte hodně Bitcoins - udržet je v peněžence na počítači, který není připojen k Internetu. Na vrcholu tohoto, aby se fráze pro vaše Bitcoin peněženku tak složité, jak je to možné, a zajistit, že váš počítač je chráněn s dobrou Internet Security produktu.

Spammeři se také rychle využívat techniky sociálního inženýrství k tomu lidi do podvodu. Oni využili stoupání v ceně Bitcoins v první části tohoto čtvrtletí (před kolapsem Mt.Gox), aby se pokusili vydělat na touze lidí rychle zbohatnout. Jak jsme uvedeno v únoru, tam bylo několik Bitcoin témata týkající se používané spammery. Jsou součástí nabídky sdílet tajemství milionáře o tom, jak zbohatnout investováním do Bitcoins; a nabízí se připojit k Bitcoin loterii.

Dobrý software, které by mohly být použity pro špatné účely
V únoru, v Analyst Summit 2014 Kaspersky Security , jsme nastínil, jak nesprávné implementace proti krádeži technologií, kteří mají bydliště ve firmwaru běžně používaných notebooků a některých stolních počítačů, by se mohla stát mocnou zbraní v rukou zločinci.

Náš výzkum začal, když zaměstnanec společnosti Kaspersky Lab zažil opakované procesní systém havaruje na jednom z jeho osobních notebooků. Analýza protokolu událostí a stav paměti bylo zjištěno, že dojde k selhání důsledkem nestability v modulech s názvem "identprv.dll" a "wceprv.dll", které byly vloženy do adresového prostoru jednoho z hostitelských procesů systému služeb ("svchost.exe "). Tyto moduly byly vytvořeny Absolute Software, legitimní společnosti, a jsou součástí softwaru Absolute Computrace.

Náš kolega tvrdil, že není nainstalován software a ani nevěděl, že byl přítomen na notebooku. To nám způsobilo znepokojení, protože podle absolutní Software bílého papíru , by měla být instalace provedena vlastníka počítače nebo jejich IT služby. Na vrcholu tohoto, zatímco většina pre-instalovaný software může být trvale odstraněna nebo zakázat majitel počítače, Computrace je navržen tak, aby přežil profesionální systém vyčištění, a dokonce i výměnu pevného disku. Navíc, nemohli jsme prostě odmítnout to jako výskyt jednorázový, protože jsme zjistili podobných údajů z Computrace software běžící na osobních počítačích, které patří do některé z našich výzkumných pracovníků a některých podnikových počítačů. V důsledku toho jsme se rozhodli provést hloubkovou analýzu .

Když jsme se poprvé podíval na Computrace, jsme se mylně domnívali, že byl škodlivý software, protože používá mnoho triků, které jsou populární v současné malware: využívá specifického ladění a anti-reverzní inženýrství, vstřikuje do paměti jiných procesů, stanoví Tajemství komunikace, skvrny systémové soubory na disku, šifruje konfigurační soubory a kapky Windows spustitelný přímo z BIOS / firmware. To je důvod, proč se v minulosti, software byl detekován jako malware; i když v současné době, většina anti-malware společnosti whitelist Computrace spustitelné soubory.

Věříme, že Computrace byl navržen s dobrými úmysly. Nicméně, náš výzkum ukazuje, že zranitelnosti v softwaru by mohla umožnit zločinci ji zneužít. Podle našeho názoru, silnou autentizaci a šifrování, musí být postaven do takové mocný nástroj. Nenašli jsme žádný důkaz, že Computrace moduly byly tajně na počítačích jsme analyzovali. Ale je jasné, že existuje mnoho počítačů s aktivovaným agenty Comutrace. Věříme, že je to odpovědnost výrobců, a Absolute Software, oznámit tyto lidi a vysvětlit, jak mohou deaktivovat software, pokud nechtějí, aby ji používat. V opačném případě budou tyto osiřelé agenti pokračovat v jízdě bez povšimnutí a bude poskytovat příležitosti pro vzdálenou využití.

Mobilní malware

V posledním čtvrtletí se procento hrozeb zaměřených na Android překročil 99% všech mobilních malware. Detekce více než v posledních třech měsících v ceně:

1 258 436 instalační balíčky,
110 324 nových škodlivých programů pro mobilní zařízení,
1 182 nové mobilní bankovnictví trojské koně.
Mobilní bankovnictví trojské koně
Na začátku roku společnost Kaspersky Lab se přihlásit 1.321 jedinečné soubory pro mobilní bankovní trojské koně, a na konci prvního čtvrtletí, že počet vzrostl na 2503. Výsledkem je, že v průběhu prvních tří měsíců letošního roku se počet bankovních trojských koní téměř zdvojnásobil.

Stejně jako dříve, že hrozby jsou nejvíce aktivní v Rusku, Kazachstánu, Bělorusku a na Ukrajině:

Mobilní bankovnictví hrozby po celém světě, v 1. čtvrtletí 2014

Top 10 zemí, na něž je zaměřen bankovních trojských koní:

Země % Ze všech útoků
Rusko 88.85%
Kazachstán 3,00%
Ukrajina 2,71%
Bělorusko 1.18%
Litva 0,62%
Bulharsko 0,60%
Ázerbajdžán 0,54%
Německo 0,39%
Lotyšsko 0.34%
Uzbekistán 0,30%
Faketoken je bankovnictví Trojan, který vstoupil Top 20 nejčastěji detekovaných hrozeb společnosti Kaspersky Lab na konci čtvrtletí. Tato hrozba se krade mTANs a pracuje ve shodě s počítačem na bázi bankovních trojských koní. Během on-line bankovnictví zasedání, počítač-založené trojské koně použít webový inject na osivo požadavek na infikované webové stránky, ke stažení Android aplikace, která je údajně potřebná k provedení bezpečné transakce, ale odkaz skutečně vede k Faketoken. Poté, co mobilní hrozba skončí na smartphonu uživatele, zločinci pak pomocí počítače na bázi trojské koně k získání přístupu k bankovnímu účtu oběti, a Faketoken jim umožňuje sklizeň mTANs a převést peníze na oběti na jejich účty.

O čem jsme psali několikrát, že většina mobilní bankovnictví hrozby jsou navrženy a zpočátku používané v Rusku, a že později zločinci mohou používat v jiných zemích. Faketoken je jeden takový program. Během prvních tří měsíců roku 2014, Kaspersky Lab zjištěn útoků zahrnujících tuto hrozbu v 55 zemích, včetně Německa, Švédska, Francie, Itálie, Velké Británie a USA.

Nový vývoj od autoři virů
TOR-řízené roboty
Anonymní sítě Tor, který je postaven na síti proxy serverů, nabízí uživatelské anonymitu a umožňuje účastníkům hostit "anonymní" webové stránky na. Cibule domény zóny. Tyto webové stránky jsou pak přístupné pouze přes Tor. V únoru, Kaspersky Lab zjištěn první Android Trojan, který je spuštěn přes C & C hostované na doméně v. cibule pseudo-zóny.

Backdoor.AndroidOS.Torec.a je modifikace Orbot, běžně používané Tor klienta, ve kterém uživatelé se zlými úmysly byly oseté svůj vlastní kód. Všimněte si, že, aby se zajistilo, že Backdoor.AndroidOS.Torec.a je schopen využít Tor, je třeba mnohem více kódu než na své hlavní funkce.

Trojan může zobrazit následující příkazy z C & C:

zahájit / ukončit odposlech příchozích textových zpráv
zahájit / ukončit krádež příchozích textových zpráv
vydá požadavek USSD
odesílat data o telefonu (telefonní číslo, země, IMEI, model, verze OS) na C & C
poslat seznam aplikací nainstalovanou v mobilním zařízení na C & C
posílat textové zprávy na číslo zadané v příkazu
Proč uživatelé se zlými úmysly najít tam byla potřeba pro anonymní síť? Odpověď je jednoduchá: C & C hostil v síti Tor nelze vypnout. Mimochodem, tvůrci Android trojské koně přizpůsobit tento přístup od autorů virů, kteří vyvinuli hrozby zaměřené na Windows.

E-peněženka krádeže
Uživatelé se zlými úmysly jsou vždy hledají nové způsoby, jak ukrást peníze pomocí mobilních trojské koně. V březnu, Kaspersky Lab zjištěn Trojan-SMS.AndroidOS.Waller.a, které kromě typických SMS trojské funkcí je také schopen krást peníze z QIWI peněženky z infikovaných telefonů.

Poté, co obdrží příslušnou C & C velení, Trojan kontroluje QIWI peněženky rovnováhu zasláním textové zprávy na odpovídající číslo systému QIWI. Trojan zachytí odpověď a odešle ji jejími provozovateli.

Pokud vlastník infikovaného zařízení má peněženku účet QIWI a Trojan získává data, která existuje kladný zůstatek v peněžence účtu, malware může převést peníze z účtu uživatele na peněženky účet QIWI určený pro zločinci. Trojan majitelé Poslat řadu speciální systém QIWI textem uvedením peněženku ID z uživatelů se zlými úmysly, a částku, která má být převedena.

Zatím to Trojan má pouze cílené ruských uživatelů. Nicméně, útočníci mohou použít k ukrást peníze od uživatelů v jiných zemích, kde se běžně používají textové řízené systémy e-peněženka.

Špatné zprávy
V prvním čtvrtletí roku 2014, Trojan cílení iOS byla zjištěna. Tento škodlivý program je plug-in pro Cydia substrátu, široce používané rámce pro kořeny / hacknuté zařízení. Existuje mnoho affiliate programy pro vývojáře app, které jim umožní prosazovat své aplikace pomocí reklamní modul, a vydělávat peníze pro reklamní displeje. V některých reklamních modulů, Trojan přepne se na ID vývojářů aplikací pro ID uživatelů se zlými úmysly. Jako výsledek, všechny peníze na reklamních displejů jde k uživateli se zlými úmysly místo.

Odborníci z Turecka byly zjištěny zranitelnosti využít způsobující odmítnutí služby na přístroji a následném restartu. Smyslem této chyby zabezpečení je, že uživatelé se zlými úmysly mohou využít ji rozvíjet Android aplikace s AndroidManifest.xml, který obsahuje velké množství dat v každém poli Název (AndroidManfiest.xml je speciální soubor nalézt v každé Android app). Tento soubor obsahuje údaje o aplikace, včetně přístupových oprávnění pro systémové funkce, markery pro procesory pro různé události, atd. nová aplikace mohou být instalovány bez jakýchkoliv problémů, ale například, když aktivita se nazývá s určitým názvem, přístroj spadne. Například, psovod může být vyvinut pro příchozí textové zprávy pomocí špatné jméno, a po obdržení jakékoliv textové zprávy, telefon se prostě zhroutí a stane se nepoužitelným. Přístroj začne neustále restartovat, a uživatel bude mít pouze jeden způsob, jak vyřešit problém: Návrat firmware, což povede ke ztrátě všech dat uložených v přístroji.

Škodlivý spam
Jedním ze standardních metod používaných pro šíření mobilního malware je škodlivý spam. Tato metoda je jednou z nejlepších voleb mezi zločinci, kteří používají mobilní trojské koně krást peníze z uživatelských účtech.

Škodlivé spam texty obvykle obsahují buď nabídku stáhnout si aplikaci pomocí odkazu, který odkazuje na malware, nebo odkaz na webové stránky nasazený se škodlivý program, který přesměruje uživatele na nějakou nabídky. Stejně jako s nebezpečným spam v e-mailu, útočníci spoléhají na sociální inženýrství, jak získat pozornost uživatele.

Olympic-themed spam
Olympiáda je velká událost, a uživatelé se zlými úmysly využil zájmu letošních hrách v Soči.

V únoru jsme zaznamenali SMS spam s odkazy na údajné vysílání olympijských událostí. Jestliže neopatrný uživatel klikl na odkaz, jeho smartphone se pokusí načíst Trojan detekován Kaspersky Lab jako HEUR: Trojan-SMS.AndroidOS.FakeInst.fb.

Tento Trojan je schopen reagovat na nebezpečné příkazy uživatele a posílání textových zpráv na velké ruské banky a převodu peněz z mobilního účtu majitele prostřednictvím infikovaného telefonu. Uživatel se zlými úmysly může pak převést peníze z účtu oběti do svého e-peněženky. Mezitím, všechny zprávy z banky, pokud jde o přenos bude skryta oběti.

Spam s odkazy na škodlivé webové stránky
Mezi zločinci, kteří šíří Opfake Trojan poslal SMS spam s odkazem na speciálně vytvořených škodlivé webové stránky.

Jeden z textových zpráv informovat příjemce, že se jim dostalo balíček a vede na webové stránky se tváří jako ruské poštovní služby.

V jiných zprávách, uživatelé se zlými úmysly využil popularity ruské Inzerce zdarma webové stránky, Avito.ru. Tyto textové zprávy sdělil příjemce, že obdržel nabídku v reakci na jejich reklamu, nebo že někdo měl zájem o koupi jejich zboží, a zahrnoval odkazy na falešný Avito.ru stránku.

Škodlivé padělané webové stránky

Pokud uživatel klikne na odkaz vedoucí na falešné internetové stránky, bude jeho smartphone se pokusí stáhnout Trojan-SMS.AndroidOS.Opfake.a. Kromě zasílání placených textových zpráv, tento škodlivý program se používá také k šíření další hrozby pro mobilní zařízení, včetně multi-funkční Backdoor.AndroidOS.Obad.a.

Sociální inženýrství je vždy nebezpečný nástroj v rukou zločinci. Uživatelé internetu je třeba být opatrný a na naprosté minimum, zdržet kliknutím na žádné odkazy obdrželi od neznámých odesílatelů. V těchto případech, tam je vždy riziko pádu do pasti nastražené uživatelů se zlými úmysly a přichází o peníze jako výsledek.

Statistika

Distribuce mobilních hrozeb podle druhu

Distribuce mobilních hrozeb podle druhu, 1. čtvrtletí 2014

Během prvních tří měsíců roku 2014, číslo jedna mobilní hrozba se ukázalo být Adware, jedinou funkcí, která je trvale zobrazovat reklamy. Tento druh malwaru je obzvláště obyčejný v Číně.

Po dlouhou dobu v čele, SMS trojské koně byly srazil na druhé místo poté, co se jejich podíl klesl z 34% na 22%. Nicméně, tato kategorie malwaru stále vede mezi Top 20 nejčastěji detekovaných mobilních hrozeb.

Top 20 mobilních hrozeb
Název % Ze všech útoků
1 Trojan-SMS.AndroidOS.Stealer.a 22.77%
2 RiskTool.AndroidOS.MimobSMS.a 11.54%
3 Trojan-SMS.AndroidOS.OpFake.bo 11.30%
4 RiskTool.AndroidOS.Mobogen.a 10.50%
5 DangerousObject.Multi.Generic 9,83%
6 Trojan-SMS.AndroidOS.FakeInst.a 9,78%
7 Trojan-SMS.AndroidOS.OpFake.a 7,51%
8 Trojan-SMS.AndroidOS.Erop.a 7,09%
9 Trojan-SMS.AndroidOS.Agent.u 6,45%
10 Trojan-SMS.AndroidOS.FakeInst.ei 5,69%
11 Backdoor.AndroidOS.Fobus.a 5,30%
12 Trojan-SMS.AndroidOS.FakeInst.ff 4,58%
13 Trojan-Banker.AndroidOS.Faketoken.a 4,48%
14 AdWare.AndroidOS.Ganlet.a 3,53%
15 Trojan-SMS.AndroidOS.Agent.ao 2,75%
16 AdWare.AndroidOS.Viser.a 2.31%
17 Trojan-SMS.AndroidOS.Agent.dr 2,30%
18 Trojan-SMS.AndroidOS.Agent.fk 2,25%
19 RiskTool.AndroidOS.SMSreg.dd 2.12%
20 RiskTool.AndroidOS.SMSreg.eh 1.87%
Nové úpravy Trojan-SMS.AndroidOS.Stealer.a byly hlavním faktorem v nárůstu nových mobilních hrozeb. Na tom není nic zvlášť zvláštního o této hrozbě; je vybaven standardní SMS trojské funkce, ale je to stále poprvé v Top 20 nejčastěji detekovaných mobilních hrozeb.

To dává smysl, že loňské vůdci - Opfake.bo a Fakeinst.a - jsou stále pevně drží na svých místech a pokračovat být hlavními hráči v útocích na mobilní uživatelských zařízení, je zaplavení s nekonečnými vlnami nových škodlivých instalátory.

Mimochodem, Top 20 nejčastěji detekované hrozby pro mobilní zařízení společnosti Kaspersky Lab nyní obsahuje Faketoken bankovnictví Trojan poprvé (13. místo).

Hrozby po celém světě

Země, kde se uživatelé setkávají největší riziko infekce mobilní malware, Q1 2014
(procento všech napadených unikátních uživatelů)

Top 10 nejčastěji cílových zemí:
Název % Ze všech útoků
1 Rusko 48.90%
2 Indie 5,23%
3 Kazachstán 4,55%
4 Ukrajina 3,27%
5 Spojené království 2,79%
6 Německo 2.70%
7 Vietnam 2.44%
8 Malajsie 1.79%
9 Španělsko 1.58%
10 Polsko 1.54%
Statistika

Všechny statistické údaje použité v této zprávě byly získány z tzv. cloud-based systému Kaspersky Security Network (KSN). Statistické údaje byly získány z KSN uživatelů, kteří souhlasili, aby se podělili o své lokální data. Miliony uživatelů produktů společnosti Kaspersky Lab ve 213 zemích, podílet se na globální výměny informací o nebezpečné činnosti.

On-line hrozeb (útoky prostřednictvím webu)
Statistiky v této části byly odvozeny z webových antivirových komponentů, které chrání uživatele při škodlivý kód se pokusí stáhnout z škodlivý / infikované webové stránky. Škodlivé webové stránky jsou záměrně vytvořeny uživatelů se zlými úmysly; infikované weby mohou být ty s uživatelem přispěly obsah (jako fór), jakož i legitimní prostředky, které byly hacknutý.

Top 20 škodlivé objekty detekovány on-line
V prvním čtvrtletí roku 2014, Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.

Identifikovali jsme 20 nejvíce aktivní škodlivé programy, které byly zapojeny do on-line útokům proti počítačích uživatelů. Tyto 20 představovaly 99,8% všech útoků na internetu.

Název % Ze všech útoků
1 Škodlivý URL 81.73%
2 Trojan.Script.Generic 8,54%
3 AdWare.Win32.BetterSurf.b 2.29%
4 Trojan-Downloader.Script.Generic 1.29%
5 Trojan.Script.Iframer 1.21%
6 AdWare.Win32.MegaSearch.am 0,88%
7 Trojan.Win32.AntiFW.b 0,79%
8 AdWare.Win32.Agent.ahbx 0.52%
9 AdWare.Win32.Agent.aiyc 0.48%
10 Trojan.Win32.Generic 0.34%
11 AdWare.Win32.Yotoon.heur 0,28%
12 Trojan.Win32.Agent.aduro 0.23%
13 Adware.Win32.Amonetize.heur 0.21%
14 Trojan-Downloader.Win32.Generic 0.21%
15 Trojan-Clicker.JS.FbLiker.k 0.18%
16 Trojan.JS.Iframe.ahk 0.13%
17 AdWare.Win32.Agent.aiwa 0.13%
18 Exploit.Script.Blocker 0.12%
19 AdWare.MSIL.DomaIQ.pef 0.12%
20 Exploit.Script.Generic 0,10%
* Tyto statistiky představují detekce rozsudky na web antivirového modulu. Informace byly poskytnuty ze strany uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.

** Procento všech internetových útoků zaznamenala na počítačích unikátních uživatelů.

Jak je často případ, Top 20 převážně se jedná o rozsudky přiřazené objekty používané v drive-by útoky a adware programy. Počet pozic obsazených adware rozsudků zvýšil sedm až devět v prvním čtvrtletí roku 2014.

Ze všech škodlivých programů v tomto pořadí, Trojan.Win32.Agent.aduro na dvanáctém místě, stojí za zvláštní zmínku. Tento program se šíří z webových stránek, které vyzve uživatele ke stažení prohlížeče plug-in na pomoc on-line nakupování.

Pokud uživatel klikne na tlačítko "Stáhnout", Trojan.Win32.Agent.aduro pokusí stáhnout do počítače uživatele. Trojan si klade za cíl stáhnout ad plug-in, stejně jako program pro těžbu na crypto-currency Litecoin. Po úspěšném infikován, bude počítač uživatele se používají zločinci k výrobě tohoto crypto-měnu, která bude jít přímo do svých peněženek.

Zajímavá je škodlivý skript Trojan-Clicker.JS.FbLiker.k na patnáctém místě v Top 20.. To je většinou přítomen na vietnamských stránkách nabízí různé druhy zábavy a webových zdrojů, které nabízejí filmy a software ke stažení. Když uživatel navštíví takové stránky, skript napodobuje uživatelské kliknutím na tlačítko "Like" na stránce v Facebook. Po tomto, může být stránka Facebook zobrazen jako "líbí" na novinek uživatele a v profilu uživatele. Obrovské množství "likes" na určitou stránku mění své výsledky hledání Facebooku.

Země, kde se on-line zdrojů nasazený s malware: Top 10
Následující statistiky jsou založeny na fyzickém umístění on-line zdrojů, které byly použity při útocích a zablokovaných antivirových komponentů (webové stránky, které obsahují přesměrování na exploity, stránky, které obsahují využije a další malware, botnet velitelských středisek, atd.). Každý jedinečný hostitel se může stát zdrojem jedné nebo více webových útoků.

Aby bylo možné určit zeměpisný zdroj webovými útoky, byla použita metoda, kterou jsou doménová jména uzavřeno proti skutečné domény IP adres, a pak zeměpisná poloha konkrétní IP adresu (GeoIP) je založena.

V 1. čtvrtletí 2014, Lab řešení Kaspersky zablokoval 353 216 351 útokům z webových zdrojů umístěných v různých zemích po celém světě. 83,4% z on-line zdrojů používaných k šíření škodlivých programů jsou umístěny v 10 countries.This je o 0,3 procentního bodu méně než ve 4. čtvrtletí 2013.

Distribuce on-line zdrojů nasazený škodlivými programy, v 1. čtvrtletí 2014

Toto pořadí prošel pouze menší změny v posledních měsících. Všimněte si, že 39% všech internetových útoků blokovaných produkty společnosti Kaspersky Lab bylo zahájeno použití škodlivých webových zdrojů umístěných v USA a Rusku.

Země, kde se uživatelé setkávají největší riziko infekce on-line
Aby bylo možné posoudit, ve kterých zemích uživatelé čelit kybernetickým hrozbám nejčastěji, jsme vypočítali, jak často uživatelé Kaspersky setkat detekce rozsudky na svých strojích v každé zemi. Výsledná data charakterizuje riziko infekce na počítače, které jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.

Země * % Unikátních uživatelů **
1 Vietnam 51.44%
2 Rusko 49.38%
3 Kazachstán 47.56%
4 Arménie 45.21%
5 Mongolsko 44.74%
6 Ukrajina 43.63%
7 Ázerbajdžán 42.64%
8 Bělorusko 39.40%
9 Moldavsko 38.04%
10 Kyrgyzstán 35.87%
11 Tádžikistán 33.20%
12 Gruzie 32.38%
13 Chorvatsko 31.85%
14 Katar 31.65%
15 Alžírsko 31.44%
16 Turecko 31.31%
17 Litva 30.80%
18 Řecko 30.65%
19 Uzbekistán 30.53%
20 Španělsko 30.47%
Tyto statistiky jsou založeny na detekci rozsudky vrácených web antivirového modulu, obdržely od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).

** jedinečných uživatelů, jejichž počítače byly terčem internetových útoků jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v zemi.

Q1 2014 došlo ke změně lídra v tomto pořadí: Vietnam, kde 51,4% uživatelů čelí webové nese útoky, je nyní na prvním místě. Mongolsko byl nováčkem na tomto seznamu, přichází rovnou na páté s 44,7% napadených uživatelů. Zbývající pozice v top 10 je stále obsazené Ruskem a bývalými státy SNS.

Mezi země s nejbezpečnějších on-line prostředí, surfování jsou Singapur (10,5%), Japonsko (13,2%), ve Švédsku (14,5%), Jižní Afrika (15,6%), Tchaj-wan (16,1%), v Dánsku (16,4%), Finsko (16,8% ), Nizozemí (17,7%) a Norsko (19,4%).

* Podíl z celkového počtu napadených unikátních uživatelů

V průměru 33,2% uživatelů počítačů připojených k Internetu byly podrobeny alespoň jeden web útoku během posledních tří měsíců.

Místní hrozby
Místní statistiky infekce pro uživatele počítačů jsou velmi důležitým ukazatelem. Tato data upozorňuje na hrozby, které pronikly na počítačový systém přes něco jiného než Internet, e-mail, nebo síťových portů na.

Tato část obsahuje analýzu statistických údajů získaných na základě provozu antivirový program, který skenuje soubory na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupné, a výsledky skenování různých vyměnitelných datových úložišť.

V 1. čtvrtletí 2014, antivirových řešení společnosti Kaspersky Lab úspěšně zablokoval 645 809 230 malware útoky na počítačích uživatelů. V těchto incidentů, bylo zjištěno celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.

Top 20 škodlivé objekty zjištěné na uživatelských počítačích

Hodnost Název % Unikátních uživatelů napadených *
1 DangerousObject.Multi.Generic 20.37%
2 Trojan.Win32.Generic 18.35%
3 AdWare.Win32.Agent.ahbx 12.29%
4 Trojan.Win32.AutoRun.gen 7,38%
5 AdWare.Win32.BetterSurf.b 6,67%
6 Adware.Win32.Amonetize.heur 5,87%
7 Virus.Win32.Sality.gen 5,78%
8 Worm.VBS.Dinihou.r 5,36%
9 AdWare.Win32.Yotoon.heur 5,02%
10 Trojan-Dropper.Win32.Agent.jkcd 4,94%
11 Worm.Win32.Debris.a 3,40%
12 Trojan.Win32.Starter.lgb 3,32%
13 Exploit.Java.Generic 3,00%
14 AdWare.Win32.Skyli.a 2,80%
15 Trojan.Win32.AntiFW.b 2,38%
16 Virus.Win32.Nimnul.a 2.23%
17 Trojan.WinLNK.Runner.ea 2.22%
18 AdWare.Win32.DelBar.a 2.21%
19 AdWare.Win32.BrainInst.heur 2.11%
20 Worm.Script.Generic 2.06%
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky vytvořených skenerem modulů on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily s tím, aby předložily své statistické údaje.

* Podíl jednotlivých uživatelů na jehož počítače antivirový modul detekoval tyto objekty jako procentní podíl všech jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program.

Toto hodnocení obvykle zahrnuje rozsudky uvedené na adware programy, červi šíří na vyměnitelném médiu, a viry.

Podíl virů v této Top 20 pokračuje pomalu, ale vytrvale klesat. V 1. čtvrtletí 2014, viry byly zastoupeny rozsudků Virus.Win32.Sality.gen a Virus.Win32.Nimnul.a, s celkovým podílem ve výši 8%. Ve 4. čtvrtletí roku 2013, že číslo bylo 9,1%.

Červ Worm.VBS.Dinihou.r na osmém místě je VBS skript; se ukázalo, koncem loňského roku, a to je poprvé, co to dělal to k tomuto žebříčku. Spam je jedním ze způsobů, jak tento červ se šíří. Červ poskytuje širokou funkčnost plnohodnotného backdoor, od zahájení příkazového řádku pro nahrávání ze zadaného souboru na serveru. Je také infikuje úložné zařízení USB připojená k počítači oběti.

Země, kde se uživatelé setkávají nejvyšší riziko lokální infekce

Hodnost Země * % Unikátních uživatelů **
1 Vietnam 60.30%
2 Mongolsko 56.65%
3 Nepál 54.42%
4 Alžírsko 54.38%
5 Jemen 53.76%
6 Bangladéš 53.63%
7 Egypt 51.30%
8 Irák 50.95%
9 Afghánistán 50.86%
10 Pákistán 49.79%
11 Indie 49.02%
12 Súdán 48.76%
13 Tunisko 48.47%
14 Džibuti 48.27%
15 Laos 47.40%
16 Sýrie 46.94%
17 Myanmar 46.92%
18 Kambodža 46.91%
19 Maroko 46.01%
20 Indonésie 45.61%
Tyto statistiky jsou založeny na detekci rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů. Údaje zahrnují detekci škodlivých programů, umístěných na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty telefon, nebo externí pevné disky.

* Při výpočtu jsme vyřadili země, kde existují méně než 10.000 uživatelů Kaspersky Lab.

** Podíl unikátních uživatelů v zemi s počítači, které zablokoval místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.

Top 20 v této kategorii nadále dominují země v Africe, na Středním východě a jihovýchodní Asii. Vietnam na prvním místě, jak tomu bylo ve 4. čtvrtletí 2013, zatímco Mongolsko zůstává na druhém místě. Nepál posunul o jedno místo na třetí místo, zatímco Bangladéš klesl o tři místa na šestou ve 4. čtvrtletí 2014. Maroko je nová položka v tomto pořadí.

* Podíl z celkového počtu napadených unikátních uživatelů

Z nejbezpečnějších zemí, pokud jde o lokální infekce, rizika jsou: Japonsko (12,6%), ve Švédsku (15%), Finsko (15,3%), v Dánsku (15,4%), Singapur (18,2%), Nizozemí (19,1%), a Česká republika (19,5%).

V průměru 34,7% počítačů uživatelů byly podrobeny alespoň jedné místní ohrožení v průběhu posledních tří měsíců.