Rok w liczbach

• W 2015 roku zarejestrowano 1 966 324 powiadomień dotyczących prób infekcji przy użyciu szkodliwego oprogramowania, którego celem była kradzież pieniędzy za pośrednictwem dostępu online do kont bankowych.    
• Programy ransomware zostały wykryte na 753 684 komputerach unikatowych użytkowników; celem oprogramowania ransomware szyfrującego dane stało się 179 209 komputerów.

• Rozwiązania firmy Kaspersky Lab odparły 798 113 087 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie.
• 34,2% komputerów użytkowników było celem co najmniej jednego ataku WWW w ciągu roku.
• W celu przeprowadzenia swoich ataków cyberprzestępcy wykorzystali 6 563 145 unikatowych hostów.
• 24% ataków WWW zneutralizowanych przez produkty firmy Kaspersky Lab zostało przeprowadzonych przy użyciu szkodliwych zasobów WWW zlokalizowanych w Stanach Zjednoczonych.
• Rozwiązania antywirusowe firmy Kaspersky Lab wykryły łącznie 4 000 000 unikatowych szkodliwych i potencjalnie niechcianych obiektów.  

Podatne na ataki aplikacje wykorzystywane w cyberatakach

W 2015 r. zaobserwowaliśmy wykorzystywanie nowych technik maskowania exploitów, kodu powłoki oraz szkodliwych funkcji w celu utrudnienia wykrycia infekcji i analizowania szkodliwego kodu. W szczególności, cyberprzestępcy:

-          Wykorzystali protokół szyfrowania Diffie-Hellmana

-          Ukryli pakiety exploitów w obiektach Flash

Jednym z bardziej znaczących zdarzeń w badanym roku było wykrycie dwóch rodzin krytycznych luk dla Androida. Wykorzystanie luk Stagefright umożliwiło osobie atakującej zdalne wykonanie arbitralnego kodu na urządzeniu poprzez wysłanie specjalnie stworzonego MMS-a na numer ofiary. Wykorzystanie Stagefright 2 miało na celu to samo, tym razem jednak przy użyciu specjalnie stworzonego pliku multimedialnego.

W 2015 r. popularnością wśród twórców szkodliwego oprogramowania cieszyły się exploity dla aplikacji Adobe Flash Player. Można to wyjaśnić tym, że w ciągu badanego roku zidentyfikowano ogromną liczbę luk w tym produkcie. Ponadto, cyberprzestępcy wykorzystali informacje o nieznanych lukach w aplikacji Flash Player, które zostały upublicznione w wyniku incydentu naruszenia bezpieczeństwa danych związanego z grupą Hacking Team.    

Po wykryciu nowych luk w zabezpieczeniach aplikacji Adobe Flash Player miała miejsce dość szybka reakcja twórców różnych pakietów exploitów, którzy dodali do swoich produktów nowe exploity. Poniżej przedstawiamy dwanaście luk w zabezpieczeniach Adobe Flash Playera, które zyskały największą popularność wśród cyberprzestępców i zostały dodane do popularnych pakietów exploitów: 

1)      CVE-2015-0310

2)      CVE-2015-0311

3)      CVE-2015-0313

4)      CVE-2015-0336

5)      CVE-2015-0359

6)      CVE-2015-3090

7)      CVE-2015-3104

8)      CVE-2015-3105

9)      CVE-2015-3113

10)   CVE-2015-5119

11)   CVE-2015-5122

12)   CVE-2015-5560

13)   CVE-2015-7645

Niektóre znane pakiety exploitów tradycyjnie zawierały exploita wykorzystującego lukę w Internet Explorerze (CVE-2015-2419). Zidentyfikowaliśmy również lukę Microsoft Silverlight (CVE-2015-1671) wykorzystywaną w 2015 r. do zainfekowania użytkowników. Warto jednak zauważyć, że exploit ten nie jest popularny wśród głównych "graczy" na rynku exploitów.

Rozkład exploitów wykorzystywanych w cyberatakach według rodzaju zaatakowanej aplikacji, 2015 r.

Podatne na ataki aplikacje zostały uszeregowane w oparciu o dane dotyczące exploitów zablokowanych przez produkty firmy Kaspersky Lab, wykorzystywanych zarówno w atakach online jak i do kompromitacji lokalnych aplikacji, w tym tych znajdujących się na urządzeniach mobilnych.    

Chociaż udział exploitów dla aplikacji Adobe Flash Player w naszym rankingu wynosił jedynie 4%, dość często występują one na wolności. Studiując te statystyki należy pamiętać, że technologie firmy Kaspersky Lab wykrywają exploity na różnych etapach. W efekcie, kategoria Przeglądarki (62%) obejmuje również wykrywanie stron rozprzestrzeniających exploity. Z naszych obserwacji wynika, że exploity dla aplikacji Adobe Flash Player są najczęściej rozprzestrzeniane przez takie strony.

Liczba przypadków obejmujących wykorzystywanie exploitów Javy odnotowała spadek w ciągu roku. Pod koniec 2014 r. ich odsetek w stosunku do wszystkich zablokowanych exploitów wynosił 45%, jednak w ciągu roku stopniowo zmniejszył się o 32 punkty procentowe, wynosząc ostatecznie 13%. Ponadto, exploity Javy zostały obecnie usunięte z wszystkich znanych pakietów exploitów.    

Jednocześnie, wykorzystywanie exploitów dla pakietu Microsoft Office zwiększyło się z 1% do 4%. Z naszych obserwacji wynika, że w 2015 r. exploity te były rozprzestrzeniane za pośrednictwem wysyłek masowych.

 

Zagrożenia online w sektorze bankowym

Statystyki te opierają się na werdyktach wykrywania generowanych przez moduł antywirusowy, uzyskiwanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.

Roczne statystyki dla 2015 roku opierają się na danych otrzymanych między listopadem 2014 r. a październikiem 2015 r.

W 2015 r. rozwiązania firmy Kaspersky Lab zablokowały próby uruchomienia szkodliwego oprogramowania potrafiącego kraść pieniądze za pośrednictwem bankowości online na 1 966 324 komputerach. Liczba ta jest o 2,8% wyższa niż w 2014 r. (1 910 520).   

Liczba użytkowników zaatakowanych przez szkodliwe oprogramowanie, listopad 2014 -październik 2015 r.

 

Liczba użytkowników zaatakowanych przez finansowe szkodliwe oprogramowanie w 2014 i 2015 r.

W 2015 roku liczba ataków odnotowywała stały wzrost między lutym a kwietniem, przy czym okres szczytu przypadł na marzec i kwiecień. Między czerwcem a październikiem zarówno w 2014 jak i 2015 rokiem liczba zaatakowanych użytkowników stopniowo zmniejszała się.

 

Rozkład geograficzny ataków

Aby ocenić popularność finansowego szkodliwego oprogramowania wśród cyberprzestępców oraz ryzyko zainfekowania komputerów użytkowników przez trojany bankowe na całym świecie, obliczyliśmy odsetek użytkowników programów firmy Kaspersky Lab, którzy trafili na tego rodzaju zagrożenie w badanym okresie w danym państwie w stosunku do wszystkich użytkowników naszych produktów w tym państwie.

 

Rozkład ataków szkodliwego oprogramowania bankowego w 2015 r. (użytkownicy zaatakowani przy użyciu trojanów bankowych jako odsetek wszystkich użytkowników zaatakowanych przez wszystkie rodzaje szkodliwego oprogramowania)

 

TOP 10 państw według odsetka zaatakowanych użytkowników

	Państwo*	% zaatakowanych użytkowników **
1	Singapur	11,6
2	Austria	10,6
3	Szwajcaria	10,6
4	Australia	10,1
5	Nowa Zelandia	10,0
6	Brazylia	9,8
7	Namibia	9,3
8	Hong Kong	9,0
9	Republika Południowej Afryki	8,2
10	Liban	6,6

 

* Wyłączyliśmy te państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).
** Unikatowi użytkownicy, których komputery stanowiły cel ataków www, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

W rankingu prowadzi Singapur. Spośród wszystkich użytkowników produktów firmy Kaspersky Lab zaatakowanych przez szkodliwe oprogramowanie w danym państwie 11,6% zostało co najmniej jeden raz zaatakowanych przez trojany bankowe. Odzwierciedla to popularność zagrożeń finansowych względem wszystkich zagrożeń w danym państwie.

W 2015 r. 5,4% użytkowników zaatakowanych w Hiszpanii co najmniej jeden raz trafiło na trojana bankowego. Dla Włoch udział ten wynosił 5%; dla Wielkiej Brytanii - 5,1%, dla Niemiec - 3,8%; dla Francji - 2,9%; dla Stanów Zjednoczonych - 3,2%; natomiast dla Japonii - 2,5%;       

2% użytkowników zaatakowanych w Rosji stanowiło cel trojanów bankowych.

TOP 10 rodzin szkodliwego oprogramowania bankowego

Tabela poniżej zawiera 10 rodzin szkodliwego oprogramowania najczęściej wykorzystywanego w 2015 r. do atakowania użytkowników bankowości online (jako odsetek zaatakowanych użytkowników):

	Nazwa*	% zaatakowanych użytkowników**
1	Trojan-Downloader.Win32.Upatre	42,36
2	Trojan-Spy.Win32.Zbot	26,38
3	Trojan-Banker.Win32.ChePro	9,22
4	Trojan-Banker.Win32.Shiotob	5,10
5	Trojan-Banker.Win32.Banbra	3,51
6	Trojan-Banker.Win32.Caphaw	3,14
7	Trojan-Banker.AndroidOS.Faketoken	2,76
8	Trojan-Banker.AndroidOS.Marcher	2,41
9	Trojan-Banker.Win32.Tinba	2,05
10	Trojan-Banker.JS.Agent	1,88

* Statystyki te opierają się na werdyktach wykrywania wygenerowanych przez produkty firmy Kaspersky Lab, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.      
** Unikatowi użytkownicy, których komputery zostały zaatakowane przez szkodliwe oprogramowanie, jako odsetek wszystkich unikatowych użytkowników będących celem ataków z wykorzystaniem finansowego szkodliwego oprogramowania.

Większość szkodliwych programów z pierwszej dziesiątki działa poprzez wstrzykiwanie losowego kodu HTML do strony internetowej wyświetlanej przez przeglądarkę oraz przechwytywanie danych płatniczych wprowadzanych przez użytkownika do oryginalnych lub załączonych formularzy sieciowych.

Szkodliwe programy z rodziny Trojan-Downloader.Win32.Upatre utrzymały się na szczycie rankingu przez cały rok. Rozmiar tego szkodnika nie przekracza 3,5 KB, a działanie samego trojana ogranicza się do pobierania na komputer ofiary szkodliwej funkcji, zazwyczaj trojana bankowego z rodziny Dyre/Dyzap/Dyreza, którego głównym celem jest kradzież danych płatniczych użytkownika. Dyre dokonuje tego poprzez przechwytywanie danych z sesji bankowej pomiędzy przeglądarką ofiary a aplikacją sieciową bankowości online, innymi słowy, poprzez wykorzystywanie techniki Man-in-the-Browser (MITB). Szkodnik ten rozprzestrzenia się za pośrednictwem specjalnie stworzonych wiadomości e-mail z załącznikiem zawierającym dokument, który kryje downloadera.

Innym stałym elementem opisywanego rankingu jest Trojan-Spy.Win32.Zbot (na drugim miejscu), który konsekwentnie zajmuje w nim jedną z wiodących pozycji. Trojany z rodziny Zbot jako pierwsze wykorzystywały wstrzykiwania sieciowe w celu skompromitowania danych płatniczych użytkowników bankowości online oraz modyfikacji zawartości bankowych stron internetowych. Szkodniki te szyfrują swoje pliki konfiguracyjne na wielu poziomach; odszyfrowany plik konfiguracji nigdy nie jest całkowicie przechowywany w pamięci, ale ładowany w częściach.   

Przedstawiciele rodziny Trojan-Banker.Win32.ChePro zostali po raz pierwszy wykryci w październiku 2012 r. W tym czasie te trojany bankowe były w większości wykorzystywane w atakach na użytkowników w Brazylii, Portugalii oraz Rosji. Obecnie są wykorzystywane do atakowania użytkowników na całym świecie. Większość tego typu programów to downloadery, które potrzebują innych plików w celu skutecznego zainfekowania systemu. Ogólnie, są to szkodliwe programy bankowe, które umożliwiają oszustom wykonywanie zrzutów ekranu, przechwytywanie uderzeń na klawiaturze oraz odczytywanie zawartości bufora kopiowania. tj. posiadają funkcjonalność, która umożliwia wykorzystywanie szkodliwego programu w atakach na niemal każdy system bankowości elektronicznej.     

Szczególnie interesujący jest tu fakt, że w rankingu tym znajdują się dwie rodziny trojanów bankowości mobilnej: Faketoken oraz Marcher. Szkodliwe programy należące do tej ostatniej rodziny kradną szczegóły dotyczące płatności z urządzeń znajdujących się pod kontrolą Androida.   

Przedstawiciele rodziny Trojan-Banker.AndroidOS.Faketoken współdziałają z trojanami komputerowymi. W celu rozprzestrzeniania tego szkodliwego oprogramowania cyberprzestępcy wykorzystują metody socjotechniki. Gdy użytkownik odwiedza swoje konto bankowości online, trojan ten modyfikuje stronę, prosząc go o pobranie aplikacji dla Androida, która jest rzekomo niezbędna do bezpiecznego potwierdzania transakcji. W rzeczywistości odsyłacz ten prowadzi do aplikacji Faketoken. Jak tylko aplikacja ta znajdzie się na smartfonie użytkownika, cyberprzestęcy uzyskają dostęp do konta bankowego użytkownika za pośrednictwem komputera zainfekowanego trojanem  bankowym, natomiast zhakowane urządzenie mobilne umożliwia przechwytywanie jednorazowego kodu potwierdzającego (mTAN).

Druga rodzina mobilnych trojanów bankowych to Trojan-Banker.AndroidOS.Marcher. Po zainfekowaniu urządzenia szkodniki te śledzą uruchomienie tylko dwóch aplikacji - klienta bankowości mobilnej banku europejskiego oraz Google Play. Jeśli użytkownik uruchomi Google Play, Marcher wyświetli fałszywe okno żądające podania danych dotyczących karty kredytowej, które trafią następnie do oszustów. Ta sama metoda jest wykorzystywana przez trojana, jeśli użytkownik uruchomi aplikację bankową.   

Dziesiąte miejsce w rankingu dla 2015 r. zajmowała rodzina Trojan-Banker.JS.Agent. Jest to szkodliwy kod JavaScript będący wynikiem wstrzyknięcia do strony bankowości online. Celem tego kodu jest przechwytywanie danych dotyczących płatności wprowadzanych przez użytkownika do formularzy bankowości online.    

2015 - ciekawy rok dla oprogramowania ransomware

Klasa trojan-ransom reprezentuje szkodliwe oprogramowanie, które dokonuje nieautoryzowanej modyfikacji danych użytkownika, w wyniku której komputer przestaje działać (np. programy szyfrujące) lub blokuje normalne działanie komputera. W zamian za odszyfrowanie plików oraz odblokowanie komputera właściciele szkodliwego oprogramowania żądają zwykle od ofiar okupu.

Od czasu pojawienia się (w 2013 r. gdy pojawił się CryptoLocker) oprogramowanie ransomware przeszło długą drogę. Na przykład, w 2014 r. zidentyfikowaliśmy pierwszą wersję oprogramowania ransomware dla Androida. Zaledwie rok później 17% infekcji, jakie wykryliśmy, pojawiło się na urządzeniach z Androidem.     

W 2015 roku pojawiło się pierwsze oprogramowanie ransomware dla systemu Linux, które można zaliczyć do klasy Trojan-Ransom.Linux. Pozytywnym aspektem jest to, że autorzy szkodnika popełnili niewielki błąd implementacyjny, który umożliwia odszyfrowanie plików bez zapłacenia okupu.

Niestety, takie błędy implementacyjne zdarzają się coraz rzadziej. W efekcie FBI oświadczyło: "Oprogramowanie ransomware jest tak dobre. Mówiąc szczerze, często radzimy ofiarom, aby po prostu zapłaciły okup". O tym, że nie zawsze jest to dobry pomysł, mogliśmy przekonać się w tym roku, gdy policja holenderska zdołała schwytać dwóch podejrzanych powiązanych ze szkodliwym oprogramowaniem CoinVault. Nieco później otrzymaliśmy wszystkie 14 000 kluczy szyfrowania, które dodaliśmy do nowego narzędzia deszyfrującego. Wszystkie ofiary CoinVaulta mogły więc odszyfrować swoje pliki bez konieczności zapłacenia okupu.

W 2015 roku powstał TeslaCrypt. TeslaCrypt znany jest z wykorzystywania interfejsów graficznych innych rodzin oprogramowania ransomware. Na początku był to CryptoLocker, później jednak zmienił się w CryptoWalla. Tym razem cyberprzestępcy skopiowali całkowicie stronę HTMP CryptoWalla 3.0, zmieniając tylko adresy URL.     

Liczba zaatakowanych użytkowników

Poniższy wykres pokazuje wzrost liczby użytkowników, na urządzeniach których zostały wykryte w zeszłym roku szkodliwe programy klasy Trojan-Ransom:

 

Liczba użytkowników zaatakowanych przez szkodliwe oprogramowanie klasy Trojan-Ransom (IV 2014 - III 2015)

W 2015 r. szkodliwe oprogramowanie klasy Trojan-Ransom zostało wykryte łącznie na 753684 komputerach. To pokazuje, że ransomware staje się coraz większym problemem.

TOP 10 rodzin trojanów żądających okupu

Poniżej przedstawiamy ranking Top 10 najbardziej rozpowszechnionych rodzin oprogramowania ransomware. Lista ta zawiera rodziny opartych na przeglądarce trojanów wyłudzających okup i blokujących urządzenia. Tak zwane programy blokujące system Windows, które ograniczają dostąp do systemu (np. rodzina Trojan-Ransom.Win32.Blocker) i żądają okupu, były bardzo popularne kilka lat temu - pojawiły się w Rosji, skąd rozprzestrzeniły się na zachód - nie są już tak szeroko rozpowszechnione i nie są reprezentowane w rankingu Top 10.  

	Nazwa*	Odsetek użytkowników**
1	Trojan-Ransom.HTML.Agent	38,0
2	Trojan-Ransom.JS.Blocker	20,7
3	Trojan-Ransom.JS.InstallExtension	8,0
4	Trojan-Ransom.NSIS.Onion	5,8
5	Trojan-Ransom.Win32.Cryakl	4,3
6	Trojan-Ransom.Win32.Cryptodef	3,1
7	Trojan-Ransom.Win32.Snocry	3,0
8	Trojan-Ransom.BAT.Scatter	3,0
9	Trojan-Ransom.Win32.Crypmod	1,8
10	Trojan-Ransom.Win32.Shade	1,8

 

*Statystyki te opierają się na werdyktach wykrywania wygenerowanych przez produkty firmy Kaspersky Lab, uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.  

** Odsetek użytkowników zaatakowanych przez szkodniki z rodziny trojan-ransom w stosunku do wszystkich użytkowników zaatakowanych przy użyciu tego rodzaju szkodliwego oprogramowania.  

 

Pierwsze miejsce zajmuje Trojan-Ransom.HTML.Agent (38%), drugie rodzina Trojan-Ransom.JS.Blocker (20.7%). Stanowią one strony internetowe blokujące przeglądarkę, które zawierają różnego rodzaju niechcianą zawartość, zwykle prezentującą komunikat wyłudzenia (np. "ostrzeżenie" od organów ścigania) lub zawierającą kod JavaScript, który blokuje przeglądarkę wraz z komunikatem.      

Na trzecim miejscu znajduje się Trojan-Ransom.JS.InstallExtension (8%) - strona internetowa blokująca przeglądarkę, która narzuca użytkownikowi instalację rozszerzenia Chrome'a. Podczas próby zamknięcia strony często odtwarzany jest plik mp3: "Aby zamknąć stronę, wciśnij przycisk "Dodaj"". Rozszerzenia te nie są szkodliwe, ale propozycja jest bardzo nachalna i trudna do odrzucenia przez użytkownika. Ten sposób rozprzestrzenianie rozszerzeń jest wykorzystywany przez program partnerski. Te trzy rodziny są szczególnie szeroko rozpowszechnione w Rosji i równie powszechnie występują w niektórych państwach byłego Związku Radzieckiego.   

Państwa, w których oprogramowanie ransomware jest najbardziej rozpowszechnione (nie tylko trzy wspomniane wyżej rodziny), obejmują głównie Kazachstan, Rosję oraz Ukrainę.

Cryakl stał się stosunkowo aktywny w III kwartale 2015 roku, gdy każdego dnia odnotowaliśmy rekordową liczbę do 2300 prób infekcji. Interesującym aspektem Cryakla jest jego metoda szyfrowania. Zamiast szyfrować cały plik Cryakl szyfruje pierwsze 29 bajtów oraz trzy dodatkowe bloki zlokalizowane losowo w pliku. W ten sposób cyberprzestępcy chcą obejść wykrywanie behawioralne, podczas gdy zaszyfrowanie pierwszych 29 bajtów niszczy nagłówek.       

Cryptodef to niesławne oprogramowanie ransomware Cryptowall. Cryptowall jest najczęściej wykrywany, w przeciwieństwie do innych omawianych tu rodzin, w Stanach Zjednoczonych. W rzeczywistości, liczba infekcji w Stanach Zjednoczonych jest trzykrotnie wyższa niż w Rosji. Cryptowall jest rozprzestrzeniany za pośrednictwem e-maili spamowych, w których użytkownik otrzymuje spakowany JavaScript. Po wykonaniu JavaScript pobiera Cryptowalla i zaczyna szyfrować dane. Zmienił się również komunikat oprogramowania ransomware: autorzy szkodnika gratulują ofiarom "że stały się częścią dużej społeczności Cryptowall".

Programy szyfrujące mogą zostać zaimplementowane nie tylko jako pliki wykonywalne, ale również przy użyciu prostych języków skryptowych, takich jak w przypadku rodziny Trojan-Ransom.BAT.Scatter. Rodzina Scatter pojawiła się w 2014 r. i szybko ewoluowała, zyskując funkcjonalność robaka pocztowego oraz trojana PSW. W szyfrowaniu wykorzystano dwie pary kluczy asymetrycznych, co pozwoliło zaszyfrować pliki użytkownika bez ujawniania ich klucza prywatnego. W celu szyfrowania plików oprogramowanie stosuje legalne narzędzia ze zmienionymi nazwami. 

Szkodliwe oprogramowanie szyfrujące, Trojan-Ransom.Win32.Shade, które również jest szeroko rozpowszechnione w Rosji, potrafi zażądać listy z serwera kontroli (C&C) zawierającej adresy URL dodatkowego szkodliwego oprogramowania. Następnie pobiera to szkodliwe oprogramowanie i instaluje je w systemie. Wszystkie jego serwery kontroli (C&C) są zlokalizowane w sieci Tor. Podejrzewa się również, że Shade rozprzestrzenia się za pośrednictwem programu partnerskiego.

TOP 10 państw atakowanych przez trojany wyłudzające okup

	Państwo*	% użytkowników zaatakowanych przez trojana wyłudzającego okup**
1	Kazachstan	5,47
2	Ukraina	3,75
3	Federacja Rosyjska	3,72
4	Holandia	1,26
5	Belgia	1,08
6	Białoruś	0,94
7	Kirgistan	0,76
8	Uzbekistan	0,69
9	Tadżykistan	0,69
10	Włochy	0,57

* Wykluczyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000)

**Unikatowi użytkownicy, których komputery stały się celem trojanów wyłudzających okup, jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab w danym państwie. 

Programy szyfrujące

Chociaż dzisiejsze programy szyfrujące nie cieszą się tak dużą popularnością wśród cyberprzestępców jak kiedyś programy blokujące, wyrządzają użytkownikom większe szkody. Dlatego też warto zbadać je osobno. 

Liczba nowych trojanów szyfrujących wyłudzających okup

Poniższy wykres ilustruje wzrost liczby nowo utworzonych modyfikacji programów szyfrujących na przestrzeni roku.

 

Liczba modyfikacji trojanów szyfrujących wyłudzających okup w kolekcji wirusów firmy Kaspersky Lab (2013 - 2015)

Dotychczasowa łączna liczba modyfikacji programów szyfrujących w naszej Kolekcji Wirusów wynosi co najmniej 11000. W 2015 r. stworzono 10 nowych rodzin programów szyfrujących.

 

Liczba użytkowników zaatakowanych przez programy szyfrujące

 

 

Liczba użytkowników zaatakowanych przez szkodliwe oprogramowanie szyfrujące dane i żądające okupu (2012 - 2015)

W 2015 r. programy szyfrujące zaatakowały 179 209 unikatowych użytkowników. Około 20% zaatakowanych reprezentowało sektor korporacyjny.   

Należy pamiętać, że rzeczywista liczba incydentów jest kilkakrotnie wyższa: statystyki odzwierciedlają jedynie wyniki wykrywania opartego na sygnaturach i heurystycznego, podczas gdy w większości przypadków produkty firmy Kaspersky Lab identyfikują trojany szyfrujące w oparciu o modele rozpoznawania zachowania.

Top 10 państw atakowanych przez szkodliwe programy szyfrujące

	Państwo*	% użytkowników zaatakowanych przez program szyfrujące
1	Holandia	1,06
2	Belgia	1,00
3	Federacja Rosyjska	0,65
4	Brazylia	0,44
5	Kazachstan	0,42
6	Włochy	0,36
7	Łotwa	0,34
8	Turcja	0,31
9	Ukraina	0,31
10	Austria	0,30

* Wykluczyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

**Unikatowi użytkownicy, których komputery zostały zaatakowane przy użyciu trojana szyfrującego dane wyłudzającego okup, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie.

Pierwsze miejsce zajmuje Holandia. Najbardziej rozpowszechnioną rodziną programów szyfrujących jest CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). W 2015 r. został uruchomiony program afiliowany wykorzystujący CTB-Lockera i dodano nowe języki, w tym holenderski. Użytkownicy są infekowani głównie za pośrednictwem wiadomości e-mail zawierających szkodliwe załączniki. Wydaje się, że w kampanię zaangażowany był holenderskojęzyczny cyberprzestępca, ponieważ wiadomości e-mail są napisane stosunkowo dobrym holenderskim.     

Podobna sytuacja występuje w Belgii: CTB-Locker jest najbardziej rozpowszechnionym programem szyfrującym również w tym państwie.

W Rosji z kolei na szczycie rankingu programów szyfrujących dane użytkownika znajduje się Trojan-Ransom.Win32.Cryakl.

 

Zagrożenia internetowe (ataki WWW)

Zaprezentowane w tej sekcji dane statystyczne zostały opracowane na podstawie komponentów oprogramowania antywirusowego, które chroni użytkowników przed próbami pobrania szkodliwych obiektów z zainfekowanej/szkodliwej strony. Szkodliwe strony internetowe są tworzone celowo przez szkodliwych użytkowników; zainfekowane strony obejmują również te zawierające treści tworzone przez użytkowników (takie jak fora) jak również zhakowane legalne zasoby.   

TOP 20 szkodliwych obiektów wykrywanych online

W 2015 roku technologie ochrony przed zagrożeniami WWW firmy Kaspersky Lab wykryły 121 262 075 unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd.

Zidentyfikowaliśmy 20 szkodliwych programów, które najaktywniej wykorzystywane były w atakach online przeprowadzanych na komputery w 2015 r. Podobnie jak w poprzednim roku programy wyświetlające reklamy i ich komponenty zostały zarejestrowane na 26,1% wszystkich komputerach użytkowników, na których zostało zainstalowane nasze oprogramowanie antywirusowe. Wzrost liczby programów wyświetlających reklamy, agresywne metody ich dystrybucji oraz próby przeciwdziałania wykrywaniu antywirusowemu stanowią kontynuację tendencji z 2014 r.   

Chociaż agresywna reklama drażni użytkowników, nie wyrządza szkód na komputerach. Z tego powodu stworzyliśmy kolejny ranking zawierający wyłącznie szkodliwe obiekty wykryte online, który nie zawiera programów klasy Adware czy Riskware. Te 20 programów stanowiło 96,6% wszystkich ataków online. 

* Statystyki te odzwierciedlają werdykty wykrywania wygenerowane przez moduł ochrony WWW. Informacje zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane lokalne. 

** Odsetek wszystkich ataków WWW przy użyciu szkodliwego oprogramowania zarejestrowany na komputerach unikatowych użytkowników.

Jak często bywa, ranking TOP 20 tworzą w większości obiekty wykorzystywane w atakach drive-by. Są one wykrywane heurystycznie pod nazwą Trojan.Script.Generic, Expoit.Script.Blocker, Trojan-Downloader.Script.Generic itd. Obiekty te zajmują siedem pozycji w rankingu. 

Zajmujący pierwsze miejsce "Malicious URL" to werdykt identyfikujący odsyłacze umieszczone na naszej czarnej liście (odsyłacze do stron internetowych zawierających przekierowania do exploitów, strony kryjące exploity oraz inne szkodliwe programy, centra kontroli botnetów, strony wykorzystywane do wyłudzeń itd.).

Werdykt Trojan.JS.Redirector.ads (8 miejsce) jest przypisany skryptowi umieszczanemu przez cyberprzestępców w zainfekowanych zasobach sieciowych. Przekierowuje użytkowników na inne strony internetowe, takie jak kasyna online. Występowanie tego werdyktu w rankingu powinno stanowić ostrzeżenie dla administratorów sieci przed tym, jak łatwo ich strony mogą zostać automatycznie zainfekowane programami - nawet takimi, które nie są bardzo złożone.

Werdykt Trojan-Ransom.JS.Blocker.a (9 miejsce) to skrypt, który próbuje zablokować przeglądarkę przy użyciu cyklicznej aktualizacji strony i wyświetla komunikat informujący o konieczności zapłacenia "kary" za przeglądanie nieodpowiednich materiałów. Użytkownik otrzymuje polecenie przelania pieniędzy do wskazanego portfela cyfrowego. Ten skrypt można głównie znaleźć na stronach pornograficznych i jest wykrywany w Rosji oraz państwach byłego Związku Radzieckiego.

Skrypt z werdyktem Trojan-Downloader.JS.Iframe.djq (11 miejsce) można znaleźć na zainfekowanych stronach opartych na aplikacjach WordPress, Joomla oraz Drupal. Kampania, której celem było zainfekowanie stron tym skryptem, rozpoczęła się na skalę masową w sierpniu 2015 r. Na początku wysyłane są informacje dotyczące nagłówka zainfekowanej strony, obecnej domeny oraz adresu, z którego użytkownik dostał się na stronę zawierającą skrypt do serwera oszustów. Następnie, przy użyciu ramki iframe pobierany jest kolejny skrypt w przeglądarce użytkownika. Gromadzi on informacje dotyczące systemu na komputerze użytkownika, strefy czasowej oraz dostępności aplikacji Adobe Flash Player. Następnie, po serii przekierowań, użytkownik ląduje na stronie, która "przekonuje" go do zainstalowania aktualizacji dla aplikacji Adobe Flash Player, stanowiącej w rzeczywistości oprogramowanie adware, lub zainstalowania wtyczek do przeglądarki.     

TOP 10 państw, w których znajduje się najwięcej szkodliwego oprogramowania w zasobach online

Poniższe dane statystyczne opierają się na fizycznej lokalizacji zasobów online, które zostały wykorzystane w atakach i zablokowane przez nasze komponenty antywirusowe (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity oraz inne rodzaje szkodliwego oprogramowania, centra kontroli botnetów itd.). Każdy unikatowy host może być źródłem jednego lub większej liczby ataków WWW. Statystyki te nie wskazują źródeł wykorzystywanych do dystrybucji oprogramowania wyświetlającego reklamy czy hostów związanych z aktywnością programów wyświetlających reklamy.

W celu określenia źródła geograficznego ataków WWW nazwy domen porównuje się z ich rzeczywistymi adresami IP domen, a następnie ustala się położenie geograficzne określonego adresu IP (GEOIP).  

W 2015 roku rozwiązania firmy Kaspersky Lab zablokowały 798 113 087 ataków przeprowadzonych z zasobów sieciowych zlokalizowanych w różnych państwach na całym świecie. W celu przeprowadzenia swoich ataków oszuści wykorzystali 798 113 087 unikatowych hostów.

80% powiadomień dotyczących ataków zablokowanych przez komponenty oprogramowania antywirusowego pochodziło z zasobów online zlokalizowanych w 10 krajach.

Rozkład zasobów online, w których znajdowało się najwięcej szkodliwych programów w  2015 roku

Czwórka państw, w których zasoby online kryły najwięcej szkodliwego oprogramowania, nie zmieniła się w stosunku do poprzedniego roku. Francja awansowała z 7 miejsca na 5 (5,07%), natomiast Ukraina spadła z 5 pozycji na siódmą (4,16%). Z rankingu Top 20 wypadła Kanada oraz Wietnam. Nowościami w ranking w badanym roku były Chiny oraz Szwecja, które znalazły się odpowiednio na 9 i 10 miejscu.

Ranking ten pokazuje, że cyberprzestępcy wolą wykorzystywać usługi hostingowe w różnych krajach, które posiadają dobrze rozwinięty rynek hostingowy.  

Państwa, w których użytkownicy są narażeni na największe ryzyko infekcji online

Aby określić państwa, w których użytkownicy najczęściej trafiają na cyberzagrożenia, obliczyliśmy, jak często użytkownicy produktów firmy Kaspersky Lab otrzymywali werdykty wykrycia na swoich maszynach w poszczególnych państwach. Uzyskane dane określają ryzyko infekcji, na jakie są narażone komputery na całym świecie, stanowiąc miernik agresywności danego środowiska komputerów w różnych częściach świata. 

TOP 20 państw, w których użytkownicy są narażeni na największe ryzyko infekcji online 

Statystyki te opierają się na werdyktach wykrywania generowanych przez moduł ochrony WWW, uzyskiwanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.

* Wykluczyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10000)

**  Unikatowi użytkownicy, których komputery stanowiły cel ataków WWW, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie 

W 2015 roku pierwsza trójka powyższego rankingu nie odnotowała zmian w stosunku do poprzedniego roku. Na pierwszym miejscu utrzymała się Rosja, mimo że odsetek unikatowych użytkowników w tym państwie zmniejszył się o 4,9 punktu procentowego.

Z rankingu Top 20 wypadły Niemcy, Tadżykistan, Gruzja, Arabia Saudyjska, Austria, Sri Lanka oraz Turcja. Wśród nowości znalazła się Łotwa, Nepal, Brazylia, Chiny, Tajlandia, Zjednoczone Emiraty Arabskie oraz Portugalia.

Państwa te można podzielić na trzy grupy, które odzwierciedlają różne poziomy ryzyka infekcji.

1. Grupa wysokiego ryzyka (ponad 41%)
   W 2015 roku grupa ta zawierała trzy pierwsze państwa z ranking Top 20 - Rosję, Kazachstan oraz Azerbejdżan.
2. Grupa średniego ryzyka (21-40,9%)
   Grupa ta zawiera 109 państw; wśród nich znajduje się Francja (32,1%), Niemcy (32,0%), Indie (31,6%), Hiszpania (31,4%), Turcja (31,0%), Grecja (30,3%), Kanada (30,2%), Włochy (29,4%), Szwajcaria (28,6%), Australia (28,0%), Bułgaria (27,0%), Stany Zjednoczone (26,4%), Gruzja (26,2%), Izrael (25,8%), Meksyk (24,3%), Egipt (23,9%), Rumunia (23,4%), Wielka Brytania (22,4%), Republika Czeska (22,0%), Irlandia (21,6%) oraz Japonia (21,1%).  
3. Grupa najmniejszego ryzyka (0-20,9%)
   Wśród 52 państw posiadających najbezpieczniejsze środowisko surfowania online obejmuje Kenię (20,8%), Węgry (20,7%), Maltę (19,4%), Holandię (18,7%), Norwegię (18,3%), Argentynę (18,3%), Singapur (18,2%), Szwecję (18%), Koreę Południową (17,2%), Finlandię (16,5%) oraz Danię (15, 2%).

 

 

W 2015 r. 34,2% komputerów zostało zaatakowanych co najmniej jeden raz, podczas gdy ich właściciele korzystali z internetu. 

Ryzyko infekcji podczas surfowania po internecie zmniejszyło się średnio o 4,1 punktu procentowego w ciągu roku. Może to wynikać z kilku czynników:

• Po pierwsze, twórcy przeglądarek i wyszukiwarek uświadomili sobie konieczność zabezpieczenia swoich użytkowników i zaczęli brać udział w zwalczaniu szkodliwych stron. 
• Po drugie, użytkownicy coraz częściej wykorzystują urządzenia mobilne i tablety w celu surfowania po internecie. 
• Po trzecie, wiele pakietów exploitów zaczęło sprawdzać, czy na komputerze użytkownika został zainstalowany produkt firmy Kaspersky Lab.

Zagrożenia lokalne

Statystyki dotyczące infekcji lokalnych na komputerach użytkowników stanowią bardzo istotny wskaźnik - odzwierciedlają zagrożenia, które przeniknęły systemy komputerowe poprzez zainfekowanie plików lub nośników wymiennych lub dostały się na komputer w postaci zaszyfrowanej (np. programy zintegrowane w złożonych instalatorach, zaszyfrowanych plikach itd.). Ponadto, statystyki te obejmują obiekty wykryte na komputerach użytkowników po pierwszym skanowaniu systemu przeprowadzonym przez rozwiązanie antywirusowe firmy Kaspersky Lab.

Sekcja ta zawiera analizę danych statystycznych uzyskanych w oparciu o skanowanie antywirusowe plików znajdujących się na dysku twardym w momencie ich tworzenia lub uzyskiwania do nich dostępu, jak również wyniki skanowania różnych wymiennych nośników danych. 

W 2015 r. rozwiązania antywirusowe firmy Kaspersky Lab wykryły 4 miliony unikatowych szkodliwych i potencjalnie niechcianych obiektów, co stanowi dwukrotny wzrost w stosunku do zeszłego roku.

W celu stworzenia tego rankingu zidentyfikowaliśmy 20 najczęściej wykrywanych zagrożeń na komputerach użytkowników w 2015 r. Ranking ten nie zawiera programów klasy Adware ani Riskware.

Statystyki te zostały stworzone na podstawie werdyktów wykrywania szkodliwego oprogramowania wygenerowanych przez moduły skanowania na żądanie i podczas dostępu na komputerach użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.

* Werdykty wykrywania szkodliwego oprogramowania wygenerowane przez moduły skanowania podczas dostępu oraz na żądanie na komputerach użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.

** Odsetek indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył te obiekty, jako odsetek wszystkich indywidualnych użytkowników produktów Kaspersky Lab, na których komputerach został wykryty szkodliwy program.

Na pierwszym miejscu (39,7%) znajduje się werdykt DangerousObject.Multi.Generic, który odnosi się do szkodliwego oprogramowania wykrywanego za pomocą technologii opartych na chmurze. Technologie oparte na chmurze działają wtedy, gdy antywirusowe bazy danych nie zawierają jeszcze sygnatur ani heurystyki umożliwiających zidentyfikowanie szkodliwego oprogramowania, za to oparta na chmurze antywirusowa baza danych firmy posiada już informacje dotyczące danego obiektu. W rzeczywistości, w ten sposób wykrywane są najnowsze szkodliwe programy.   

Odsetek wirusów nadal zmniejsza się: np. w zeszłym roku Virus.Win32.Sality.gen zainfekował 6,69% użytkowników, podczas gdy w 2015 r - tylko 5,53%. W przypadku szkodnika Virus.Win32.Nimnul, odsetek ten wynosił 2,8% w 2014 r. i 2,37% w 2015 r. Werdykt Trojan-Dropper.VBS.Agent.bp, który znajduje się na 20 miejscu w rankingu, to skrypt VBS, który wypakowuje z siebie Virus.Win32.Nimnul i zapisuje go na dysku.   

Oprócz werdyktów heurystycznych i wirusów ranking Top 20 zawiera werdykty dotyczące robaków rozprzestrzeniających się na nośnikach wymiennych oraz ich komponentach. Ich obecność w rankingu wynika z charakteru ich dystrybucji oraz tworzenia wielu kopii. Robak może rozprzestrzeniać się automatycznie przez długi czas, nawet jeśli jego serwery zarządzania nie są już aktywne.    

Państwa, w których użytkownicy są narażeni na największe ryzyko infekcji lokalnej

Dla każdego państwa obliczyliśmy liczbę wykryć dokonanych przez oprogramowanie antywirusowe na komputerach użytkowników w danym roku. Dane te dotyczą wykrytych obiektów zlokalizowanych na komputerach użytkowników lub na nośnikach wymiennych podłączonych do komputera, takich jak pamięci flash, karty pamięci telefonu lub aparatu czy zewnętrzne dyski twarde. Te dane statystyczne odzwierciedlają poziom zainfekowanych komputerów osobistych w różnych krajach na świecie.

TOP 20 państw według poziomu infekcji

Dane te opierają się na werdyktach wykrycia wygenerowanych przez moduł antywirusowy uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.

* Podczas obliczeń wykluczyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab wynosi poniżej 10 000
** Odsetek unikatowych użytkowników w państwie, w którym komputery zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab

Trzeci rok z rzędu na szczycie rankingu znalazł się Wietnam. Mongolia i Bangladesz zamieniły się pozycjami - Bangladesz awansował z 4 pozycji na 2, podczas gdy Mongolia spadła z 2 miejsca na 4. Rosja, która w zeszłym roku nie zakwalifikowała się do rankingu Top 20, uplasowała się na trzecim miejscu.  

Ranking opuścił Afganistan, Egipt, Arabia Saudyjska, Sri Lanka, Birma oraz Turcja. Nowości obejmowały Rosję, Armenię, Somalię, Gruzję, Iran, Ruandę, Palestynę oraz Ukrainę.

W krajach tworzących ranking Top 20 średnio co najmniej jeden szkodliwy obiekt został wykryty na 67,7% komputerach, dyskach twardych lub nośnikach wymiennych należących do użytkowników systemu KSN. W 2014 r. odsetek ten wynosił 58,7%.

Państwa można podzielić na kilka kategorii ryzyka odzwierciedlających poziom zagrożeń lokalnych.

1. Maksymalne ryzyko (ponad 60%): 22 państwa, w tym Kirgistan (60,77%), Afganistan (60,54%)
2. Wysokie ryzyko (41-60%): 98 państw, w tym Indie (59,7%), Egipt (57,3%), Białoruś (56,7%), Turcja (56,2%), Brazylia (53,9%), Chiny (53,4%), Zjednoczone Emiraty Arabskie (52,7%), Serbia (50,1%), Bułgaria (47,7%), Argentyna (47,4%), Izrael (47,3%), Łotwa (45,9%), Hiszpania (44,6%), Polska (44,3%), Niemcy (44%), Grecja (42,8%), Francja (42,6%), Korea (41,7%), Austria (41,7%).
3. Umiarkowane ryzyko infekcji lokalnych (21-40,99%): 45 państw, w tym Rumunia (40%), Włochy (39,3%), Kanada (39,2%), Australia (38,5%), Węgry (38,2%), Szwajcaria (37,2%), Stany Zjednoczone (36,7%), Wielka Brytania (34,7%), Irlandia (32,7%), Holandia (32,1%), Republika Czeska (31,5%), Singapur (31,4%), Norwegia (30,5%), Finlandia (27,4%), Szwecja (27,4%), Dania (25,8%), Japonia (25,6%).

10 najbezpieczniejszych państw:

* Odsetek unikatowych użytkowników w państwie, w którym komputery zablokowały zagrożenia lokalne, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab

Pojawienie się w rankingu Andory, która zastąpiła Martynikę, stanowiło jedyną zmianę w rankingu dla 2015 r. w porównaniu z zeszłym rokiem.

W 10 najbezpieczniejszych państwach średnio, 26,9% komputerów użytkowników zostało zaatakowanych co najmniej jeden raz w badanym roku. Stanowi to wzrost o 3,9 punktu procentowego w porównaniu z 2014 r.

Zakończenie

Na podstawie analizy danych statystycznych możemy wyróżnić główne trendy w zakresie aktywności cyberprzestępczej:

• Niektórzy cyberprzestępcy dążą do zminimalizowania ryzyka, że będą ścigani przez organy zwalczające cyberprzestępczość, i przerzucają się z ataków wykorzystujących szkodliwe oprogramowanie na agresywną dystrybucję oprogramowania adware. 
• Wzrasta odsetek stosunkowo prostych programów wykorzystywanych w atakach masowych. Podejście to pozwala osobom atakującym szybko uaktualnić szkodliwe oprogramowanie, co zwiększa skuteczność ataków.  
• Osoby atakujące opanowały platformy inne niż Windows - Android i Linux. Dla platform tych tworzone są i wykorzystywane niemal wszystkie rodzaje szkodliwych programów.
• Cyberprzestępcy aktywnie wykorzystują technologię anonimizacji sieci Tor w celu ukrycia serwerów kontroli oraz bitcoiny w celu dokonywania transakcji.

Coraz większy odsetek wykryć dokonanych przy użyciu oprogramowania antywirusowego zostaje zaklasyfikowany do tzw. "szarej strefy". Dotyczy to przede wszystkim różnych programów wyświetlających reklamy i ich modułów. W naszym rankingu zagrożeń WWW w 2015 r. przedstawiciele programów tej klasy zajmują 12 miejsc w pierwszej dwudziestce. W badanym roku programy wyświetlające reklamy i ich moduły zostały zarejestrowane na 26,1% wszystkich komputerach użytkowników, na których jest zainstalowany nasz program antywirusowy. Wzrost liczby programów wyświetlających reklamy, jak również agresywne metody dystrybucji i próby przeciwdziałania wykrywaniu antywirusowemu stanowią kontynuację trendu ustanowionego w 2014 r. Rozprzestrzenianie oprogramowania adware pozwala zarobić sporo pieniędzy, a dążąc do osiągnięcia zysków ich autorzy stosują niekiedy sztuczki i technologie typowe dla szkodliwych programów.  

W 2015 roku twórcy wirusów wykazali szczególne zainteresowanie exploitami dla aplikacji Adobe Flash Player. Z naszych obserwacji wynika, że strony docelowe zawierające exploity są często pobierane przez exploit dla aplikacji Adobe Flash Player. Występują tu dwa czynniki: po pierwsze, w badanym roku wykryto w produkcie ogromną liczbę luk w zabezpieczeniach; po drugie, na skutek wycieku danych związanym z ugrupowaniem Hacking Team, informacje dotyczące nieznanych wcześniej luk w aplikacji Flash Player zostały upublicznione, a osoby atakujące natychmiast skorzystały z tej okazji.

W sferze trojanów bankowych zaobserwowaliśmy interesujący rozwój wypadków w 2015 roku. Liczne modyfikacje ZeuSa, które przez kilka lat konsekwentnie znajdowały się na szczycie rankingu najczęściej wykorzystywanych rodzin szkodliwego oprogramowania, zostały zdetronowane przez program o nazwie Trojan-Banker.Win32.Dyreza. W ciągu roku w rankingu szkodliwych programów stworzonych w celu kradzieży pieniędzy za pośrednictwem systemów bankowości internetowej prowadził Upatre, który pobiera trojany bankowe z rodziny występującej pod nazwą Dyre/Dyzap/Dyreza. W całym sektorze trojanów bankowych udział użytkowników zaatakowanych przez Dyreza przekroczył 40%. Trojan ten wykorzystuje skuteczną metodę wstrzykiwania sieciowego w celu kradzieży danych umożliwiających dostęp do system bankowości online.

Warto wspomnieć również o tym, że w rankingu Top 10 trojanów bankowych najczęściej wykorzystywanych w 2015 r. znalazły się dwie rodziny mobilnych trojanów bankowych - Faketoken oraz Marcher. Na podstawie obecnych trendów można przyjąć, że w następnym roku mobilne trojany bankowe będą stanowiły znacznie większy odsetek w rankingu.  

W 2015 r. w obozie oprogramowania ransomware nastąpiły liczne zmiany:

1. Oprócz stopniowego spadku popularności programów blokujących w 2015 r. liczba użytkowników zaatakowanych przy użyciu oprogramowania ransomware szyfrującego zwiększyła się o 48,3%. Szyfrowanie plików zamiast zablokowania komputera to metoda, która w większości wypadków utrudnia ofiarom odzyskanie dostępu do swoich informacji. Osoby atakujące są szczególnie aktywne w zakresie wykorzystywania szyfrującego oprogramowania ransomware do ataków na użytkowników biznesowych, którzy są bardziej skłonni zapłacić okup niż zwykli użytkownicy indywidualni. Potwierdza to pojawienie się w 2015 roku pierwszego oprogramowania ransomware dla systemu Linux, atakującego serwery sieciowe.   
2. Jednocześnie programy szyfrujące stają się wielomodułowe i, oprócz szyfrowania, zawierają funkcjonalność przeznaczoną do kradzieży danych z komputerów użytkowników.
3. O ile Linux jedynie na jakiś czas przyciągnął uwagę oszustów, pierwszy trojan ransomware dla systemu Android został wykryty już w 2014 r. W 2015 r. liczba ataków, których celem był Android, gwałtownie wzrosła, a do końca roku na urządzeniach z Androidem zostało zablokowanych 17% ataków wykorzystujących oprogramowanie ransomware.  
4. Zagrożenie to aktywnie rozprzestrzenia się na całym świecie: produkty firmy Kaspersky Lab wykryły trojany ransomware w 200 krajach oraz terytoriach, czyli praktycznie wszędzie.

Spodziewamy się, że w 2016 roku cyberprzestępcy nadal będą rozwijali oprogramowanie szyfrujące wyłudzające okup, którego celem będą platformy inne niż Windows: wzrośnie odsetek programów szyfrujących atakujących system Android oraz pojawią się takie programy dla systemu Mac. Zważywszy na to, że Android jest powszechnie wykorzystywany w sektorze elektroniki konsumenckiej, może pojawić się pierwszy atak oprogramowania ransomware na "inteligentne" urządzenia.

Źródło: Kaspersky Lab