Rok 2017: złośliwe oprogramowanie w liczbach

2018-04-04 09:47:00

Zestawienie ilościowe nowych próbek złośliwego oprogramowania, jakie pojawiło się w drugiej połowie 2017 roku oraz ataków, którym udało się zapobiec w tym samym okresie, wskazuje na istnienie pewnych trendów. Co gorsze, zarejestrowano około 8,4 miliona nowych próbek złośliwego oprogramowania atakującego komputery, czyli 16 na minutę!

Produkcja kwitnie

Sposób, w jaki zliczane zostały typy złośliwego oprogramowania i który umożliwia przyjrzenie się ewolucji ilościowej tego zjawiska, opiera się na sygnaturach. Takie podejście wykracza poza metodę zliczania złośliwych plików i uwzględnia wyłącznie te odmiany, które posiadają wspólne fragmenty złośliwego kodu. Od momentu pojawienia się zagrożenia, jakim są wirusy, liczba nowych wersji bezustannie wzrasta. Jedynie rok 2015 uplasował się poniżej rekordowo wysokiego poziomu z 2014 roku. W 2017 roku liczba nowych rodzajów złośliwego oprogramowania wzrosła i osiągnęła poziom 8 400 058. W skali całego roku 2017, na jego drugą połowę przypadło 41,8% nowych przypadków złośliwego oprogramowania, a więc łączna liczba wynosi 3 508 754.

W drugiej połowie 2017 roku na godzinę odkrywanych było średnio 795 nowych przykładów złośliwego oprogramowania, co daje 13 próbek na minutę. Średnia roczna dla całego roku 2017 jest nieco wyższa: 959 próbek na godzinę, a więc odpowiednio 16 na minutę. Historyczne porównanie z rokiem 2007 pokazuje, że w roku 2017 liczba ta była ponad 63 razy wyższa!

Jeśli chodzi o rodzaje złośliwego oprogramowania, prym wiodą konie trojańskie (82,7%). Ich udział w zestawieniu zmniejszył się o 6,1%. Na drugim miejscu, po odnotowanym wzroście, znalazły się złośliwe reklamy – Adware (13,0%) i dalej potencjalnie niechciane programy (PUP, 3,3%). Ich udział wzrósł o 6%. Następnie w zestawieniu znajdują się backdoory, robaki i ransomware. Podczas gdy złośliwe oprogramowanie typu ransomware było ledwie zauważalne w pierwszej połowie 2017 roku, w drugiej połowie jego udział wzrósł sześciokrotnie. Mimo że wynik ten nie jest wysoki, zauważyć trzeba, że w drugiej połowie 2017 roku ransomware było najszybciej rozwijającą się grupą złośliwego oprogramowania.

Druga połowa 2017 roku: udaremnione ataki

Liczba nowych próbek złośliwego oprogramowania niewiele mówi o liczbie przeprowadzonych ataków. Jeden program może w końcu zaatakować tysiące, a nawet miliony komputerów, jednak większość ataków wchodzi w skład niewielkich “kampanii”, często przeprowadzanych w odległych krajach. Na potrzeby porównania ilości ataków, którym udało się zapobiec w różnych krajach i różnych przedziałach czasowych, ujednolicono dane liczbowe. Wartości dla drugiej połowy 2017 roku oscylują wokół średniej arytmetycznej 119,4, co oznacza, że każdego dnia średnio niemal co ósmy użytkownik zetknął się z atakiem, któremu udało się skutecznie zapobiec. Pytanie ile było ataków nieodnotowanych, tych, które niestety się powiodły? Na przestrzeni analizowanego półrocza daje to 22 udaremnione ataki. Ilość ataków waha się także w zależności od miesiąca pomiędzy 103,2 a 156,7 nieudanymi atakami dziennie w przeliczeniu na 1000 użytkowników.

Kategorie złośliwego oprogramowania

Wyróżniliśmy dwa rodzaje ataków: złośliwe oprogramowanie oraz potencjalnie niechciane program (PUP). Złośliwe oprogramowanie, przeprowadzając szkodliwe bądź zakazane działania na komputerze, działa bez zgody użytkownika i w większości przypadków pozostaje przez niego niezauważone. W przypadku PUP sytuacja nieco się komplikuje. Istnieją narzędzia i aplikacje, które pozwalają np. administratorom systemów na zarządzanie komputerami i sieciami. Gdy dostaną się w niepowołane ręce, może dojść do ich szkodliwego (nad)użycia. W wielu przypadkach chodzi tu również o programy z reklamami i paski narzędzi. W odpowiedzi na wątpliwości co do legalności ich działania, wyświetlane są umowy licencyjne. W większości przypadków użytkownik zostaje oszukany.

Większy udział w atakach w drugiej połowie 2017 roku mają PUPy (67,6%), a więc na złośliwe oprogramowanie przypada 32,4%. W czwartym kwartale udział PUPów wzrasta do 73,5%, a złośliwego oprogramowania spada do 26,5%. W uproszczeniu: udział PUPów i złośliwego oprogramowania w drugiej połowie roku wynosi 2:1, w czwartym kwartale wzrasta do 3:1. Z uwagi na przedstawione różnice, potencjalnie niechciane programy zajmują większość z 10 pozycji listy najczęściej występujących niebezpiecznych programów różnego typu. Niżej przedstawiony podział na złośliwe oprogramowanie i potencjalnie niechciane programy pozwala przyjrzeć się oddzielnie obydwu grupom i uwidacznia ich indywidualne cechy. Dla każdej kategorii przedstawiamy 10 najszerzej rozpowszechnionych programów wraz z ich udziałem procentowym i krótkim opisem.

10 najszerzej rozpowszechnionych przykładów złośliwego oprogramowania zawiera kilka skryptów. Większość z nich działa w odniesieniu do stron internetowych. Poweliks, złośliwe oprogramowanie zajmujące czołową pozycję w rankingu, oraz powiązane exploity działają bez uzyskiwania dostępu do systemu plików. Poweliks opiera się na skryptach Powershell, które mogą być zapisywane w pozycjach rejestru. Program ten był liderem w pierwszej połowie 2017 roku i utrzymywał wysoką pozycję (pierwsze miejsce) przez trzeci kwartał, jednak w czwartym kwartale spadł na dwunaste miejsce. Oprócz typowych downloaderów (jak sama nazwa wskazuje, są to programy pobierające i wykonujące pliki z internetu) i robaków, na miejscach od 7 do 9 znajdziemy złośliwe oprogramowanie wykorzystywane w niebezpiecznych kampaniach związanych z infoliniami wsparcia technicznego. Pojawiło się w tym zakresie wiele zgłoszeń o rzekomych pracownikach działu zabezpieczeń Microsoftu (w szczególności z Indii). Strony będące nośnikiem tego rodzaju złośliwego oprogramowania pokazują nieprawdziwą informację, że komputer, z którego są odwiedzane, został zainfekowany lub błędnie skonfigurowany, co bardzo przypomina dawne oszustwa oparte na fałszywych programach antywirusowych. Jednak w tym przypadku od użytkownika żąda się wykonania telefonu na infolinię wsparcia technicznego. Oszuści po drugiej stronie słuchawki przekonują ofiary do udzielenia zdalnego dostępu do komputera i zainstalowania niebezpiecznego oprogramowania. Przeszkolono ich, by przekonywali rozmówców, że powiadomienia wysyłane przez programy antywirusowe stanowią fałszywy alarm. W takim przypadku należy jednak ufać programom antywirusowym!

PUP

Lista 10 najszerzej rozpowszechnionych potencjalnie niechcianych programów PUP jest zdominowana przez typowe przykłady oprogramowania reklamowego i instalatorów zbiorczych. W trzecim kwartale 2017 roku pojawił się na miejscu dziesiątym nowy „okaz”: „Application.BitCoinMiner.SX”. W czwartym kwartale jego pozycja stale rosła, aż uplasował się na samej górze. Ponadto, trzecie miejsce zajmuje podobna do niego odmiana programu, co pokazuje, że w ostatnim kwartale 2017 roku powstało nowe zagrożenie: CoinMining. Podczas odwiedzania strony internetowej lub instalowania pliku połączonego z innymi plikami, maszyna wykorzystuje urządzenie do zarabiania pieniędzy na pozyskiwaniu kryptowalut. Najbardziej rozpowszechnioną usługą jest Coinhive pozyskująca Moneros. Ofiara ponosi zwiększone koszty energii elektrycznej, podczas gdy dostawca “usługi” otrzymuje pieniądze z monet.

Cóż za różnorodność!

W zależności od kraju, udaremniano ataki różnego typu i miało to miejsce z różną częstotliwością. Dotarliśmy do większości incydentów w Izraelu, Norwegii i Meksyku i przedstawiliśmy je w przeliczeniu na dzień i na 1000 użytkowników. Tabela poniżej przedstawia kraje z największą liczbą incydentów dla złośliwego oprogramowania różnego typu. Scenariusze są bardzo różne. Podczas gdy we Francji PUPy i złośliwe oprogramowanie plasują się na podobnym poziomie (odpowiednio miejsca 5 i 6), w wielu krajach obserwuje się pewne różnice. Niemcy zajmują 27 miejsce zarówno w kategorii „Wszystkie Ataki”, jak i „Złośliwe oprogramowanie”, podczas gdy PUPy zajmują miejsce 19. Szwajcaria ma więcej problemów ze złośliwym oprogramowaniem (miejsce 10) niż z PUPami (miejsce 23). Izrael doświadcza wielu ataków PUPów, podczas gdy Norwegia jest bardziej dotknięta złośliwym oprogramowaniem.

Nareszcie!

Przyjrzyjmy się najszerzej rozpowszechnionym próbkom złośliwego oprogramowania oraz liczbie udaremnionych ataków, a uzyskamy obraz branż, metod i struktur ekonomii cyberprzestępców – przynajmniej tej części, która odnosi się do większej rzeszy użytkowników. W środowisku reklam zarabia się duże pieniądze. Na topie jest nowa działalność – CoinMining. Przykład nadużywania wsparcia technicznego pokazuje, że cyberprzestępcom nie zależy już na natychmiastowym zainfekowaniu systemu. Chcą oni raczej „przekonywać” użytkowników, by zadzwonili na infolinię, gdzie faktycznie dochodzi do przestępstwa. Biznes ransomware zwalnia, ale nadal pozostaje aktywny. Mamy także do czynienia ze złośliwym oprogramowaniem opartym na tworzeniu i utrzymywaniu botnetów jako kluczowej infrastruktury, wysyłaniu wiadomości ze spamem lub przeprowadzaniu ataków DoS.

Większość przykładów złośliwego oprogramowania to pliki wykonywalne dla systemu Windows, jednak wiele ataków jest przeprowadzanych z wykorzystaniem skryptów lub makr na stronach internetowych, plikach PDF i dokumentach. Należy zachować ostrożność podczas otwierania nieznanych plików lub stron internetowych oraz korzystać z dobrego rozwiązania antywirusowego chroniącego przed bieżącymi zagrożeniami.

Więcej informacji

Raport dotyczący złośliwego oprogramowania w pierwszym półroczu 2017 roku można znaleźć na stronie: https://www.gdatasoftware.com/blog/2017/07/29905-malware-zahlen-des-ersten-halbjahrs-2017

Media:

Kontakt

G DATA Software Sp. z o.o.
Warcisława IV 2
78-400 Szczecinek

Telefon: +48 94 37 29 650
E-Mail: sales@remove-this.gdata.pl