You are on page 1of 89

KASPERSKY SECURITY

BULLETIN 2015

#KLReport

KASPERSKY SECURITY BULLETIN 2015

ОГЛАВЛЕНИЕ
РАЗВИТИЕ УГРОЗ В 2015 ГОДУ................................................ 5
ЦЕЛЕВЫЕ АТАКИ И ВРЕДОНОСНЫЕ КАМПАНИИ..................... 6
ВЗЛОМЫ И УТЕЧКИ ДАННЫХ.............................................................15
УМНЫЕ (ЧТО НЕ ЗНАЧИТ «БЕЗОПАСНЫЕ») УСТРОЙСТВА..... 17
МЕЖДУНАРОДНОЕ СОТРУДНИЧЕСТВО В БОРЬБЕ
ПРОТИВ КИБЕРПРЕСТУПНИКОВ.................................................... 19
АТАКИ НА ИНДУСТРИАЛЬНЫЕ ОБЪЕКТЫ....................................21
ЗАКЛЮЧЕНИЕ............................................................................................24
ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ..................................... 25
ЦИФРЫ ГОДА.............................................................................................26
ЦЕЛЕВЫЕ АТАКИ НА БИЗНЕС: APT И ПРЕСТУПНИКИ........... 27
СТАТИСТИКА..............................................................................................31
Веб-угрозы (атаки через интернет)...............................................................31
Локальные угрозы................................................................................................. 32

ОСОБЕННОСТИ АТАК НА БИЗНЕС................................................34
Эксплойты в атаках на бизнес........................................................................ 34
Шифровальщики.....................................................................................................37

АТАКИ НА POS-ТЕРМИНАЛЫ.............................................................40
ЗАКЛЮЧЕНИЕ............................................................................................ 41
ПРОГНОЗЫ.................................................................................................42
ЧТО ДЕЛАТЬ?..............................................................................................43

2

СОДЕРЖАНИЕ

ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД..............................45
ЦИФРЫ ГОДА.............................................................................................46
УЯЗВИМЫЕ ПРИЛОЖЕНИЯ, ИСПОЛЬЗУЕМЫЕ
ЗЛОУМЫШЛЕННИКАМИ...................................................................... 47
ФИНАНСОВОЕ ВРЕДОНОСНОЕ ПО.............................................50
География атак.........................................................................................................51
TOP 10 семейств банковского вредоносного ПО................................53

2015 – ИНТЕРЕСНЫЙ ГОД ДЛЯ ПРОГРАММ‑
ВЫМОГАТЕЛЕЙ..........................................................................................56
Число пользователей, подвергшихся атакам...........................................57
TOP 10 наиболее распространенных семейств троянцеввымогателей.............................................................................................................57
TOP 10 стран, подвергшихся атакам троянцев-вымогателей........ 59
Шифровальщики.................................................................................................... 60

ВРЕДОНОСНЫЕ ПРОГРАММЫ В ИНТЕРНЕТЕ
(АТАКИ ЧЕРЕЗ ВЕБ‑РЕСУРСЫ)............................................................63
Угрозы в интернете: TOP 20............................................................................. 63
Страны - источники веб-атак: TOP 10......................................................... 65
Страны, в которых пользователи подвергались наибольшему
риску заражения через интернет.................................................................. 66

ЛОКАЛЬНЫЕ УГРОЗЫ.............................................................................69
ЗАКЛЮЧЕНИЕ............................................................................................ 74
ПРОГНОЗЫ НА 2016 ГОД: КОНЕЦ АРТ-УГРОЗ –
КАКИМИ МЫ ИХ ЗНАЕМ.......................................................... 77
ВВЕДЕНИЕ................................................................................................... 78
КОНЕЦ APT.................................................................................................. 79
ПРОДОЛЖЕНИЕ КОШМАРА С ТРОЯНЦАМИВЫМОГАТЕЛЯМИ......................................................................................80

3

KASPERSKY SECURITY BULLETIN 2015

ФИНАНСОВЫЕ ПРЕСТУПЛЕНИЯ НА САМОМ
ВЫСОКОМ УРОВНЕ: ИГРА ПРОТИВ ЗАВЕДЕНИЯ.................... 81
АТАКИ НА ПРОИЗВОДИТЕЛЕЙ ЗАЩИТНЫХ СИСТЕМ..........82
ВРЕДИТЕЛЬСТВО, ВЫМОГАТЕЛЬСТВО
И ПРЕДАНИЕ ПОЗОРУ .........................................................................83
КОМУ ДОВЕРЯТЬ?....................................................................................84
APT-ГРУППИРОВКИ: ЧТО НАС ЖДЕТ В БУДУЩЕМ.................85
БУДУЩЕЕ ИНТЕРНЕТА...........................................................................86
БУДУЩЕЕ ТРАНСПОРТА....................................................................... 87
ПРИБЛИЖЕНИЕ КРИПТОАПОКАЛИПСИСА..............................88

4

РАЗВИТИЕ УГРОЗ В 2015 ГОДУ 5 .

6 . о которых мы рассказывали в течение года. Мы бы хотели предложить наш обычный обзор основных событий. злоумышленники провели разведку. чьи банкоматы начали выдавать деньги «случайным образом». • • • • • Слияние киберпреступности и APT-угроз Фрагментация крупных APT-группировок Развитие вредоносных технологий Новые методы передачи краденых данных «Гонка кибервооружений». предназначенный для шпионских действий. Carbanak использовал три способа кражи денег: 1) выдачу наличных средств в  банкоматах. Внедрившись на  один банковский компьютер. мы обозначили некоторые контуры будущего APT-угроз. Кампания была раскрыта весной 2015 г. которые формировали ландшафт информационных угроз в 2015 г. вполне ожидаемо. им посвящается целый раздел нашего годового отчёта. время для  переосмысления жизни и  мыслей о будущем. Злоумышленники использовали методы APT-атак для проникновения на  компьютеры своих жертв – рассылали сотрудникам банка адресные фишинговые сообщения. которые характерны для целевых атак. 2) перевод денег киберпреступникам через сеть SWIFT и 3) создание фальшивых счетов и вывод денег через «финансовых мулов». Carbanak совместил киберпреступную деятельность – в данном случае кражу денег из финансовых учреждений – с методами проникновения в  сеть жертвы. в прошлом году.KASPERSKY SECURITY BULLETIN 2015 Традиционно конец года – это время для размышлений. кражи данных и  удаленного управления зараженной системой. связанные с  обработкой данных. Оказалось. что компьютерная сеть банка заражена.: «Лабораторию Касперского» пригласили провести расследование. в наших прогнозах на 2015 год. Carbanak – это бэкдор. каким оно нам тогда представлялось. и  просто имитировали деятельность сотрудников банка. определив системы. связанное с  работой системы одного банка. ЦЕЛЕВЫЕ АТАКИ И ВРЕДОНОСНЫЕ КАМПАНИИ Целевые атаки в  наши дни – это уже характерная часть ландшафта информационных угроз. ведением учёта и  банкоматами. появление новых APT-агентов Вот главные APT-кампании.

проводящей полноценные операции по кибершпионажу. Во время проведения расследования инцидента на  Ближнем Востоке экспертами «Лаборатории Касперского» была обнаружена активность ранее неизвестной группировки. набор вредоносных инструментов включал две уязвимости нулевого дня. Среди жертв оказались государственные и  дипломатические учреждения. Видна связь с другими известными атаками – Stuxnet и Flame. Сирии. Первые признаки деятельности Desert Falcons относятся к 2011 году. что позволяет. первые заражения произошли в 2013 году. которые позже использовались в Stuxnet. в частности. телекоммуникационные и  энергетические компании. Афганистане. по всей видимости. продиктованы политической ситуацией в регионе. обеспечивая ей более долгое пребывание в  системе. разработанных группировкой. Очевидно. проводящей целевые атаки. России. которые. которые нам приходилось видеть: один из многих модулей. вносит изменения в прошивку жестких дисков.РАЗВИТИЕ УГРОЗ В 2015 ГОДУ Группировка Equation. что разработка данного вредоносного кода началась не позже 2001 г. стала одной из самых нашумевших новостей I квартала 2015 г. по сравнению с другими целевыми атаками. а пик активности группы пришелся на конец 7 . США и  в  других странах. Группа под названием Desert Falcons («Соколы пустыни») является первой арабской группировкой. Это одна из  самых сложных APT-кампаний. Члены группировки успешно заразили компьютеры тысяч жертв в  Иране. занимающаяся кибершпионажем. более надежно скрывать вредоносную программу.

что данная группа использоваладвеизтрехzero-dayуязвимостей. Израиле и Иордании. Германии. NBOT. что одна из программ в арсенале группировки. разработана для проведения DDoS-атак. Также одно из зловредных «животных» имеет странное название Tafacalou – возможно. Например. Атака проводится с использованием сложных технологий. CozyDuke APT (также известный как CozyBear. В марте 2015 г. Было обнаружено. Египте. искусно организовали атаки. в которое уже входят MiniDuke. мы сообщили о появлении нового члена вредоносного семейства Duke. Норвегию и некоторые африканские страны. выявленных Центром безопасности коммуникации Канады (CSEC). Из особенностей данной кампании интересно отметить. поддельные вебсайты и  поддельные аккаунты в социальных сетях. атака со взломанного сайта министерства юстиции Сирии с использованием эксплойтов к уязвимости CVE-2014-0515 приводила к загрузке одного из инструментов Animal Farm под названием Casper. упомянутой CSEC. это слово из окситанского языка. По мнению CSEC. Члены Desert Falcons – явно не новички: они с нуля создали вредоносные программы под Windows и Android. были идентифицированы самплы. данная операция могла быть инициирована французскими разведывательными службами. нацеленной на  франкоговорящие канадские СМИ. CozyCar и Office Monkeys) атакует правительственные организации и  коммерческие компании в  США. защита от обнаружения антивирусными программами и тщательно разработанного набора компонентов. которое совпадало с именем программы. вышел наш отчёт об APT-кампании Animal Farm.KASPERSKY SECURITY BULLETIN 2015 2014 – начало 2015 года. имеющих много общего с  программами операции Snowglobe. таких как шифрование. Описанный инструментарий использовался в  операции Snowglobe. Грецию. в  числе которых политические активисты и лидеры. в которых использовались фишинговые электронные сообщения. расположенные в основном в Палестине. назвали стоящую за ними группировку «Animal Farm».найденных«Лабораторией Касперского» в  2014 году и  используемых киберпреступниками. содержащие внутреннее имя Babar. В апреле 2015 г. проанализировав вредоносные программы данной кампании и выявив связь между ними. хотя информация о задействованных в ней инструментах. военные и государственные организации. Эксперты «Лаборатории Касперского». в  частности. 3) некоторых вредоносных программ. начала появляться еще в  прошлом году. Годом позже исследователи опубликовали анализ (1. на  котором говорят во Франции и  некоторых других странах. а это нехарактерно для APT-групп. в  марте 2014 французская газета Le  Monde опубликовала статью о наборе инструментов кибершпионажа. 2. Южной Корее и  Узбекистане. Злоумышленники украли более миллиона файлов более чем у 3000 жертв. которые сходны по своей структуре с  более 8 . Францию. СМИ и финансовые учреждения. CosmicDuke и OnionDuke.

– подтверждает необходимость обучения персонала основам корпоративной безопасности. назначается свой оператор. Используется также специальный прокси-сервер внутри страны.zip. на  которую нацелены атаки. загрузить и отправить данные. показывая пустой PDF-файл в  качестве подсадной утки. При этом одной из отличительных особенностей CozyDuke является использование методов социальной инженерии. как Филиппины. по-видимому. в  которых используются приемы целевого фишинга. Индонезия. работающих в  офисе. Некоторые электронные письма. Сингапур. злоумышленники широко используют приёмы социальной инженерии. Таиланд. Камбоджа. Среди них – возможность получить полную информацию об аппаратном и  программном обеспечении компьютера. Пока воспроизводится приманкавидеоролик с  забавным сюжетом об обезьянах. Интересным примером такого видео (по имени которого названо и вредоносное ПО) является OfficeMonkeys LOL Video. зловред загружает на  компьютер исполняемый файл CozyDuke. а  также использовать программы-кейлоггеры для получения регистрационных данных сотрудников. Родным языком злоумышленников. – с  помощью CozyDuke и  других целевых вредоносных программ. гражданские и  военные организации таких стран. чтобы ввести сотрудников в заблуждение и заставить делать то. которая поддерживает 48 команд. 9 . с помощью которых злоумышленники могут управлять зараженными компьютерами. Непал. который управляет соединениями с  зараженными компьютерами и  перенаправляет данные на  командные серверы злоумышленников. Этот архив содержит самораспаковывающийся RAR-архив. на  которых размещен ZIP-архив. Успешное использование методов социальной инженерии. Забавное видео провоцирует сотрудников разослать его коллегам в офисе. Малайзия. являлся китайский. Главный модуль Naikon представляет собой утилиту удаленного администрирования. Другой вариант – отправка в  качестве вложений к письмам мошеннических флеш-видео. Вьетнам. Атаки APT-группировки Naikon были в основном направлены на важные цели в  Юго-Восточной Азии и  регионе Южно-Китайского моря. установить модули расширения. Каждой стране. что поставит под угрозу безопасность компании. а действовала группировка уже не менее 5 лет. например привычку использовать свой личный аккаунт в  электронной почте для работы. содержат ссылку на  взломанные сайты (в том числе на  популярные легитимные сайты). Как и во многих других целевых атаках. который использует ее культурные особенности. что способствует увеличению числа зараженных компьютеров. Мьянма.РАЗВИТИЕ УГРОЗ В 2015 ГОДУ ранними угрозами семейства Duke. чтобы хитростью заставить сотрудников организаций-жертв установить вредоносное ПО на  своих компьютерах. Их атаки были нацелены в  основном на  государственные учреждения высокого уровня. Наш основной отчет и следующий за ним можно прочитать на нашем сайте. Лаос и Китай. который устанавливает вредоносное ПО.

что группировка Hellsing. что АРТ-группировки могли случайно наступить на ногу конкуренту. 10 . Сама по себе Hellsing – небольшая и  технически непримечательная кибершпионская группировка. но  взаимные APT-атаки – вещь необычная. Интересно то. Очевидно. кто ее организовал и  собрать информацию о  его деятельности. Они получили ответ атакующего. Вместо этого через некоторое время они отправляли письмо обратно атакующим. Эта группа нацелена в  основном на  правительственные и  дипломатические организации в Азии: большинство жертв располагалось в Малайзии и на Филиппинах. но  вложение открывать не  стали. что подверглась целевой атаке. хотя мы также фиксировали пострадавших в Индии. мы также раскрыли деятельность АРТ-группировки APT-группировки Hellsing. что эта группировка стала объектом целевого фишинга со стороны АРТ-группировки Naikon – и  решила нанести ответный удар! Получив электронное сообщение. атаковавшая на данный момент около 20 организаций. поняв. Индонезии и США. например украсть у  жертв электронную адресную книгу и  затем делать рассылки по всем адресам списка. адресаты просили отправителя подтвердить авторство адресной рассылки.KASPERSKY SECURITY BULLETIN 2015 Исследуя операции Naikon. Мы и  раньше сталкивались с  тем. решила установить. и оно содержало уже другую вредоносную программу.

РАЗВИТИЕ УГРОЗ В 2015 ГОДУ Многие целевые атаки направлены на  крупные предприятия. Это наводит на  мысль о том. посвященными 70-й годовщиной освобождения Освенцима. Мишенями злоумышленников были такие секторы экономики. Весной 2015 года в  ходе своей плановой проверки безопасности «Лаборатория Касперского» обнаружила попытку вторжения. Однако одна из кампаний. сельское хозяйство. в результате которого мы обнаружили новую вредоносную платформу. Эта вредоносная программа не меняет настроек диска или системы. атаки начались в тех местах. При этом «Лаборатория Касперского» была не единственной целью. Одной из наиболее примечательных особенностей Duqu  2. Очевидно. нанотехнологии. что зловред практически не  оставляет следов своего присутствия в системе. расположенных в  основном в  Таиланде. что злоумышленников интересует не только крупная рыба. ОАЕ. Мы дали этой новой вредоносной платформе имя «Duqu 2. По всей видимости. поскольку ее платформа разработана таким образом. Аналогичную атаку группировка предприняла и  в  связи с  мероприятиями. о которой мы рассказывали в  прошлом квартале. Китае. Германии и других странах. что злоумышленники были абсолютно уверены. группой. средства массовой информации и строительство. России. ясно показала. на данный момент украдено около 10 000 файлов.0 связаны с  работой «иранской шестерки» и  проведением переговоров с Ираном по ядерной программе. затрагивающую несколько внутренних систем компании. что для злоумышленников интерес представляют именно такие организации. что потенциальной целью для Grabit является любая компания – либо благодаря своим активам. в атаке на «Лабораторию Касперского» использовалась уязвимость нулевого дня в  ядре Windows (закрыта Microsoft 9 июня 2015 года) и. правительственные структуры и  другие известные учреждения. даже  если компьютер конкретной 11 .0 явилось то. либо как способ проникнуть в  другую организацию. стоящей за проведением этих атак. что они могут сохранить свое присутствие в  системе. хотя нам встречались ее жертвы и в США. которую еще иногда называют «сводным братом» Stuxnet. легко представить себе. Поэтому читая заголовки. что она сохраняется практически исключительно в  памяти зараженных систем.0». Турции. разработанную одной из наиболее профессионально подготовленных. Вьетнаме и  Индии. еще одна-две уязвимости нулевого дня (на данный момент уже закрытые). вероятно. где проходили некоторые из встреч на высоком уровне. загадочных и мощных APT-группировок – Duqu. исследования и  внутренние процессы «Лаборатории Касперского». как химическая промышленность. образование. Некоторые из новых случаев заражения Duqu 2. Кибершпионская кампания Grabit разработана для кражи данных компаний малого и среднего бизнеса. По нашей оценке. Основной задачей злоумышленников был шпионаж: их интересовали технологии. Было проведено широкомасштабное расследование.

недвижимость. робототехника. в  коде бэкдора Blue Termite прописаны данные о нем. а также компании. банки. провайдеры финансовых сервисов. что усложняет анализ вредоносного ПО – для расшифровки каждого образца требуется уникальный ключ. которая обычно довольно велика. Вредоносное ПО модифицируется с  учетом особенностей каждой конкретной жертвы. химическая и автомобильная промышленность. принадлежащего известному члену правительства Японии. – таким образом были взломаны несколько японских сайтов. и выявить фактическое местонахождение командного сервера 12 . в их числе drive-by загрузки с применением эксплойта для Flash (CVE-2015-5119) – одного из украденных при взломе Hacking Team. в  своих дальнейших действиях группа использует спутниковую связь для управления трафиком своих командных серверов. Техническое описание Duqu 2. Ключевое преимущество этого метода для киберпреступников состоит в  его анонимности – атакующих очень сложно вычислить.0. а также контрольные суммы (MD5) команд бэкдора и  информация о внутреннем прокси-сервере. значения мьютексов. Мы также обнаружили атаки типа watering hole. Данные хранятся в зашифрованном виде. стоящая за кибершпионской кампанией Turla. транспорт и  др. пищевая промышленность. в том числе с использованием сайта. применяя на начальном этапе атаки типа watering hole. В августе мы писали об APT-группировке Blue Termite. Группировка отбирает жертв определенного «профиля». новостные СМИ. строительство. При этом. активна уже больше восьми лет (см. Спутниковый приемник может находиться в  любом месте зоны покрытия спутника. группы общественных активистов. целевые атаки которой были направлены на  кражу информации у организаций в  Японии. строки для защиты от анализа вредоносного кода. не  требует подписки на  спутниковый интернет. производство электрооборудования. – адресная рассылка фишинговых электронных писем. Одной из наиболее заметных жертв группировки стала пенсионная служба Японии.KASPERSKY SECURITY BULLETIN 2015 жертвы будет перезагружен и вредоносные программы будут удалены из памяти. университеты. Способ. Группировка. местные органы управления. страхование. информационные услуги. построенных на  целевых атаках. имена API функций. как и  во многих других кампаниях. здравоохранение. полупроводники. сохраняющего присутствие в сети можно найти на нашем веб-сайте.0 и анализ модуля Duqu 2. Однако мы обнаружили и другие методы заражения. связь. тяжелая. включая командные серверы. последующий анализ и  обзор вредоносной кампании на  сайте Securelist). работающие в таких отраслях. Основной метод заражения. как энергетика. как описано в  нашем последнем отчете. в  число жертв группировки вошли правительственные ведомства. за это время были заражены сотни компьютеров более чем в  45 странах. используемый группировкой Turla для взлома нисходящих спутниковых каналов. наш первый отчет.

Нигерии. расположенных на Ближнем Востоке и в Африке. Это делает менее вероятным его применение для организации крупных ботнетов.РАЗВИТИЕ УГРОЗ В 2015 ГОДУ и физически захватить оборудование сложно. Ливии. несколько уровней прокси и  взломанные веб-сайты) – и  все эти методы Turla тоже использует. Использование спутникового интернета киберпреступниками – интересный новый ход. если этот метод получит распространение среди APT-группировок или киберпреступников. Ливане. с  другой стороны. Тем не  менее. чем перехват сетевого трафика между жертвой и  оператором спутниковой связи и  внедрение своих пакетов. в том числе в Конго. Сомали и ОАЭ. прост в реализации и  обеспечивает высокий уровень анонимности. Взлом полосы частот нисходящих спутниковых каналов обходится недорого (около 1000 долларов первоначальных инвестиций и  примерно такая же сумма в год на текущее обслуживание). Группировка Turla. 13 . как более традиционные методы (абузоустойчивый хостинг. это поставит серьезную задачу для перед индустрией IT-безопасности и правоохранительными органами. Кроме того. Нигере. чем покупка подписки на спутниковый интернет. данный метод не  всегда так же надежен. выбирает провайдеров спутникового интернета. передаваемый на  эти страны обычно не  покрывает страны Европы и  Северной Америки. как правило. что значительно усложняет для экспертов по безопасности анализ подобных атак. этот метод дешевле. и проще. Спутниковый сигнал.

стоящие за этой APT-кампанией. расширили свой арсенал. Японии.KASPERSKY SECURITY BULLETIN 2015 В августе 2015 года мы опубликовали обновленный отчет об APT-кампании Darkhotel. Бангладеш. Для этих атак изначально было характерно использование краденых сертификатов. Мозамбика и Германии. Индии. Продолжая применять упомянутые выше методы. внедрение HTA-файлов различными способами и  проникновение в  гостиничные Wi-Fi сети с целью загрузки бэкдоров на компьютеры жертв. России. в  том числе эксплойт нулевого дня. в  дополнение к использованию HTA-файлов они также распространяют зараженные RAR-файлы. применяя RTLO-механизм (right to left override) для маскировки настоящих расширений файлов. в  частности. 14 . злоумышленники. Злоумышленники также используют Flash-эксплойты. География действий группировки также расширилась – теперь в число её жертв входят пользователи из Северной и Южной Кореи. украденный при взломе Hacking Team. Таиланда. они в  большей степени стали концентрировать внимание на  адресных фишинговых атаках на  выбранных ими жертв.

двухфакторная аутентификация повышает уровень безопасности. в т. очевидным стал тот факт. По этой причине в наши дни многие провайдеры. связанных с нарушением систем безопасности. в числе крупнейших инцидентов 2015 года – атаки на Anthem. Experian и TalkTalk. 15 . пользователь может минимизировать возможный ущерб в  случае взлома на  уровне провайдера. LastPass. Вообще. то пользователь по сути оказывается незащищенным от возможной кражи идентификационных данных. цифр и  символов всей клавиатуры. когда она обязательно требуется. Apple. обязана обеспечивать их эффективную защиту. Безусловно. Проблема усугубляется. что многие компании не  предпринимают соответствующих действий для своей защиты. особенно если коголибо внутри компании обманом заставят совершить действия. а не предлагается как вариант. при которой пользователю нужно ввести код. Дело заключается не только в защите периметра корпоративной сети. предлагают двухфакторную аутентификацию. любая организация. что взломы и утечка данных стали повседневностью: частная информация – это ценная вещь. в качестве альтернативы можно пользоваться менеджером паролей. который легко угадать. который генерирует аппаратный ключ или который посылается на мобильное устройство пользователя. что система защищена от взлома. которая хранит данные личного характера. с другой стороны. Google и Microsoft. Если выбрать слишком простой пароль. С другой стороны. Hacking Team. Ashley Madison. Управление кадрами США (Us Office of Personnel Management).РАЗВИТИЕ УГРОЗ В 2015 ГОДУ ВЗЛОМЫ И УТЕЧКИ ДАННЫХ В этом году наблюдался непрерывный поток инцидентов. не приходится удивляться тому. но только в том случае. который возьмёт на себя все задачи по созданию надежных паролей и их хранения. если один и то же пароль используется в  разных онлайн-аккаунтах – в  этом случае взлом одного из них ставит под угрозу безопасность всех учетных записей пользователя. которые поставят под угрозу корпоративную безопасность. когда пользователю нужно зайти на сайт или внести изменения в настройки учетной записи. в результате некоторых из них оказались украдены огромные объёмы данных. и не может быть полной гарантии того. причем не только для легитимных компаний. Carphone Warehouse. но и для киберпреступников. выбирая уникальные сложные пароли: идеальный пароль должен быть не короче 15 символов и  состоять из комбинации букв. Методы такой защиты включают хранение пользовательских паролей в хэшированном и подсоленном виде и шифрование прочих конфиденциальных данных. Стопроцентной безопасности не существует.ч. тема паролей встаёт вновь и  вновь.

Взлом Hacking Team привёл к утечке и публикации 400 ГБ данных. в некоторых случаях. такая кража может вызвать цепную реакцию. Вполне ожидаемо. 16 .KASPERSKY SECURITY BULLETIN 2015 Кража личных данных может иметь серьезные последствия для тех. включая информацию об эксплойтах. которые эта итальянская компания использовала в  своих программах. предназначенных для слежки. вскоре после публикации были выпущены патчи к вскрытым уязвимостям. Некоторые из этих эксплойтов использовались в APT-атаках Darkhotel и Blue Termite. кто стал её жертвой.

К сожалению. Этот подход подвергся пересмотрю. возможно. чайники и  т. как её слабость с  позиции безопасности становится очевидной после какого-либо неприятного события. Читатель. помнит. Продолжение истории доступно здесь. на конкурентном рынке важнее оказываются. к нему каждый день подключается всё большее число бытовых приборов и устройств. при создании которой о безопасности не думали. На протяжении нескольких лет специалисты исследуют потенциальные риски. касающиеся всех устройств с  возможностью подключения к сети. которые облегчают жизнь потребителя. те функции. сетевое подключение обычно просто накладывается на  уже существующую коммуникационную сеть. связанных с безопасностью «подключенных автомобилей».д. Кроме того. До этого года исследователи занимались только доступом к системам автомобиля при физическом подключении к нему. используемых в  современном доме: «умные» телевизоры. 17 . видеоняни. счётчики. как один из наших экспертов изучил свой собственный дом на  предмет кибербезопасности.) Эта история вскрывает некоторые проблемы. в июле 2014 г. и  эти проблемы выходят далеко за пределы сферы автомобильной промышленности. из истории видно. поводом для которого послужило вышеуказанное исследование.РАЗВИТИЕ УГРОЗ В 2015 ГОДУ УМНЫЕ (ЧТО НЕ ЗНАЧИТ «БЕЗОПАСНЫЕ») УСТРОЙСТВА Интернет стал неотъемлемой частью нашей жизни. и наконец. Впрочем. когда исследователи Чарли Миллер и  Крис Валашек нашли способ подключиться к критически важным системам автомобиля Jeep Cherokee через беспроводное соединение  – они смогли перехватить управление машиной и заставили ее съехать в кювет! (Историю можно прочитать здесь. что изменения в исторически сложившуюся систему обычно вносятся только после того. функции безопасности сложно продать потребителю. «интернет вещей» включает в  себя не  только устройства. как правило. «Лаборатория Касперского» и IAB опубликовали обзор потенциальных проблем. которые несут в себе автомобили с сетевыми возможностями. используемые дома. Подробнее об этой проблематике можно почитать в  блогпосте Евгения Касперского.

поддерживаемая «Лабораторией Касперского». так что атакующая сторона могла создать свою собственную версию используемого ПО и  получить возможность вмешиваться в  пересылаемые данные. Передаваемые по ячеистой сети пакеты данных не шифровались. Если же посмотреть шире. Например. изучить технические параметры и  создать в  лаборатории собственную модель. Если меры безопасности не  планируются на  этапе разработки. Используемое оборудование было оснащено эффективными средствами безопасности. не забывая о кибербезопасности. внедрять код в сеть. то это может привести к серьезным последствиям. камеры никак не  были скрыты или замаскированы. следует применять шифрование видеоданных. наконец. заменяя данные с  камеры поддельными. К сожалению. передаваемые на  полицейские участки. то проблема заключается в  том. защищенное надежными паролями. в  частности. 18 . Важно. чтобы потенциальным злоумышленникам было не  так просто выяснить. направлена на  то. что всё больше аспектов нашей каждодневной жизни приобретают «цифровое значение». чтобы помочь ответственным за разработку «умных» городов делать свою работу. а  также отключать системы. так что можно было легко увидеть их названия и  модели. чтобы в этих сетях было внедрено WPA-шифрование. но они не использовались. Отчет Василиоса доступен на нашем сайте. проблемы устраняются. Злоумышленники могут. пересылаемых по сети. за последние годы резко выросло использование государственными и  правоохранительными структурами систем видеонаблюдения в  общественных местах. благодаря чему полиция может следить за ними удалённо. и  таким образом заставить полицию поверить. и отвлечь ее силы от реального происшествия в другом месте. Два эксперта по системам безопасности (Василиос Хиуреас (Vasilios Hioureas) из «Лаборатории Касперского» и Томас Кинзи (Tomas Kinsey) из компании Exigent Systems) недавно провели исследование потенциальных слабых мест в системах видеонаблюдения в одном городе. отвечающим за системы видеобезопасности. Исследователи сообщили о выявленных проблемах соответствующим органам. а  исправлять задним числом проблемы безопасности может оказаться не таким простым делом. подменять видеопотоки. что в  каком-либо месте произошёл инцидент. с  оборудования следует удалять всю маркировку моделей и  производителей. Инициатива Securing Smart Cities.KASPERSKY SECURITY BULLETIN 2015 Проблемытакогорода также актуальны и для «умных городов». Однако такая практика не  всегда является безопасной: киберпреступники могут незаметно отслеживать потоки данных с камер. как работает оборудование. Многие камеры видеонаблюдения подключаются к интернету по беспроводным каналам.

признавая тем самым. японский Cyber Defense Institute. В апреле «Лаборатория Касперского» приняла участие в  операции по уничтожению ботнета Simda. США. Например. В сентябре полиция Нидерландов арестовала двух человек по подозрению в причастности к атакам с использованием программывымогателя CoinVault. Злоумышленникам удалось зашифровать файлы более чем на  1500  компьютерах 19 . причем большинство – в  Нидерландах. Польше и России. что меняется сама природа преступности в обществе. Предварительный анализ некоторых логов sinkhole-серверов. сотрудники голландского Национального центра по борьбе с  преступлениями в  сфере высоких технологий (NHTCU). Теперь этот факт отражается в официальной статистике. в этом году прошли несколько показательных операций правоохранительных органов. учитывая его глобальную природу. компании Panda Security и голландского Национального центра по борьбе с преступлениями в сфере высоких технологий (NHTCU). в  результате совместных действий была остановлена работа 14  командных серверов в  Нидерландах. и  здесь многое зависит от  действий правоохранительных органов всего мира. Это стало результатом совместных усилий «Лаборатории Касперского». Данная вредоносная кампания началась в  мае 2014 года и  захватила часть текущего года. киберпреступления могут приносить неплохой доход. затем круг участников расширился. а  также сотрудники Управления  «К» МВД России и  Национального центрального бюро Интерпола в  Москве. ФБР. но  при  этом киберпреступники не  всегда могут проворачивать свои тёмные дела и  оставаться безнаказанными. Без сомнения. подменивших командные серверы. очень важно международное сотрудничество. Это расследование было начато компанией Microsoft. США. что от ботнета Simda пострадали 190 стран. и  к  расследованию подключились компания TrendMicro. координируемой Глобальным инновационным комплексом Интерпола. в  борьбе с  киберпреступностью.РАЗВИТИЕ УГРОЗ В 2015 ГОДУ МЕЖДУНАРОДНОЕ СОТРУДНИЧЕСТВО В БОРЬБЕ ПРОТИВ КИБЕРПРЕСТУПНИКОВ Киберпреступность стала одной из характерных черт нашего существования – как следствие постоянно растущей активности пользователей онлайн. Национальная статистическая служба Великобритании теперь включает информацию о киберпреступлениях в  свои отчёты по статистике преступности. показал. Германии. полиция Люксембурга. Франции и  Великобритании. Люксембурге. её жертвы находились более чем в  20 странах.

что в будущем будут создаваться новые программы-вымогатели. Наш анализ разнообразных ухищрений. а  также разместили в  интернете инструмент для расшифровки файлов. необходимую для расшифровки данных. Данный случай показывает. чтобы они могли поражать все новые жертвы. когда восстановить данные по-другому просто невозможно). Преступники. Применение программ-вымогателей имеет смысл. что пострадавшие должны заплатить требуемую сумму. Во-вторых. а плату за расшифровку данных от жертв требовали в  биткойнах. можно найти здесь. – и это вызвало серьезные разногласия. не  выплачивая выкуп кибервымогателям. нет гарантии. но  он опасен. в  ноябре 2014 года «Лаборатория Касперского» и  голландский Национальный центр по борьбе с преступлениями в сфере высоких технологий запустили веб-сайт. получение денег подкрепляет эту преступную бизнес-модель и повышает вероятность того. что сотрудничество между экспертами и правоохранительными органами может привести к положительным результатам. связанного с  данным типом вредоносного ПО. 20 . только если жертвы готовы платить за расшифровку своих данных. что  в  обмен на  деньги киберпреступники предоставят программу. и индивидуальным пользователям регулярно создавать резервные копии данных – таким образом вы не окажетесь в этой незавидной ситуации. стоящие за этой кампанией кибервымогательства. чтобы и индивидуальные.KASPERSKY SECURITY BULLETIN 2015 под управлением Windows. на  первый взгляд. в  сентябре агент ФБР внес предложение о том. и корпоративные пользователи принимали меры для нейтрализации риска. это прагматичный подход (хотя бы потому. которые использовали авторы CoinVault. действующий как репозиторий для ключей расшифровки. Программы-вымогатели стали заметной частью ландшафта угроз. чтобы помочь жертвам вернуть свои файлы. Во-первых. чтобы восстановить свои данные. и поэтому чрезвычайно важно. изменяли свои творения несколько раз. что бывают случаи. Мы бы рекомендовали и компаниям.

по данным US ICS CERT в  2014 финансовом году в  США было зафиксировано 245 таких инцидентов.  приложение на  английском). BSI не  предоставил никакой дополнительной информации. это инцидент. какое именно вредоносное программное обеспечение использовалось и  как оно работало.РАЗВИТИЕ УГРОЗ В 2015 ГОДУ АТАКИ НА ИНДУСТРИАЛЬНЫЕ ОБЪЕКТЫ Инциденты. эксперты по кибербезопасности также пребывают в неведении и тоже не могу предложить клиентам защитные методы. которые привлекли наше внимание в 2015 году. BSI) выпустил отчет (документ на  немецком. Однако. Результатом этого происшествия стало физическое повреждение доменной печи. произошедшие из-за проблем с  кибербезопасностью. на  индустриальных объектах происходят довольно регулярно. эти числа не  отражают действительной ситуации – киберинцидентов гораздо больше. и мы не можем сказать. 21 . Давайте посмотрим на два случая. По данным Reuters. произошедший на одном из сталелитейных предприятий Германии. Такая секретность не  полезна всем – операторы аналогичных предприятий (пожалуй. Например. повлекшей за собой физическое повреждение промышленного оборудования. К сожалению. а  затем хакеры смогли заразить SCADA-компьютер и  произвести атаку на  оборудование. изначально посредством фишинговой рассылки была заражена офисная сеть предприятия. это вызвало задержку дюжины вылетов. по нашему мнению. кроме немецких) не  могут изучить атаку и внедрить методы противодействия. описывающий киберинцидент. см. Во-первых. а  в  июле и  в  августе 2015 – 22. На сегодня это второй после Stuxnet случай кибератаки. и если о части инцидентов операторы и  владельцы предприятий просто предпочитают молчать. то о другой части они просто не знают. По заявлению представителей BSI. в самом конце 2014 года федеральный офис по информационной безопасности Германии (Bundesamt für Sicherheit in der Informations technik. в  один из воскресных дней электронная система подготовки полетных планов польской авиакомпании LOT была выведена из строя приблизительно на 5 часов. Другим интересным случаем является атака на аэропорт Фредерика Шопена в  Варшаве в  июне 2015 года. произошедший в Германии на сталелитейном заводе.

Либо эта атака на сравнительно небольшой аэропорт Варшавы была лишь предвестником более масштабных действий злоумышленников в других крупных аэропортах мира. что компания стала жертвой целевой атаки: система не  смогла сформировать планы полета из-за того. без этих знаний очень сложно защитить их от будущих угроз. Инцидент мог произойти из-за человеческого фактора или сбоя в  оборудовании. а вот в производственные процессы он приходит на  наших глазах.0. интернет изобрели достаточно давно. Основываясь на утверждениях представителей LOT. активно подключается к Сети. прозрачность и  обмен информацией о кибератаках – важная составляющая построения адекватной защиты индустриальных объектов. и  каковы бы ни были их цели. которая уже начала влиять и  будет влиять в  ближайшие годы на  всех нас: оборудование. либо атака была нацелена на устройства наземной связи и  привела к неспособности осуществить и  валидировать загрузку данных в бортовые компьютеры (в том числе планы полетов). что есть два возможных сценария этой атаки. насколько прочно вошли в  нашу жизнь компьютеры и какими уязвимыми стали с годами инфраструктурные объекты. Конечно же.KASPERSKY SECURITY BULLETIN 2015 Деталей менеджмент аэропорта так и  не предоставил. Рубен Сантамарта (Ruben Santamarta). и  на  самом деле никакого проникновения не  было. 22 . главный консультант по безопасности в  компании IOActive. В заключение хотелось бы отметить еще одну тенденцию. он предположил. Позже официально было объявлено. либо гадать об истинных причинах и целях атаки. но  опять же – детальная информация об этом инциденте не  раскрывается. что были скомпрометированы ключевые узлы бэк-офиса. ранее уже обращал внимание на  проблемы информационной безопасности в  авиации. и  эксперты выражали свое мнение. основываясь на  своем опыте. и  нам остается либо верить официальной информации. Кто бы ни стоял за атаками. что это была DDoS-атака. в  итоге предприятия получают много дополнительных преимуществ и  повышают эффективность производства. политика закрытости используется сейчас многими государствами и  регуляторами. По нашему мнению. Наши эксперты тоже отреагировали на инцидент: мы предположили. К сожалению. используемое на  промышленных предприятиях. Без преуменьшения эту тенденцию можно назвать индустриальной революцией – рождается «Промышленный интернет вещей» или Предприятие 4. на  примере этих атак мы имеем прекрасную возможность убедиться. о которых мы рассказали.

самыми плачевными. Это означало. как и меры. что если устройство спроектировано в  соответствии с  требованиями функциональной безопасности. В мире физических устройств все промышленные устройства. Кибератака может вывести из строя технологический процесс. не  пострадают ни люди. да и бывают. что с оснащением любого устройства функциями работы с  Сетью появляются новые риски и  угрозы. что подключено к Сети. но  и  хакер. то  при его эксплуатации без нарушения техники безопасности не  должно случиться никаких отказов. подключают устройство к Сети и  получают «новое оборудование».РАЗВИТИЕ УГРОЗ В 2015 ГОДУ Чтобы успеть за этим трендом. Поэтому производителям во время разработки нового подключенного индустриального оборудования необходимо прорабатывать меры защиты от киберугроз так же тщательно. это уже не  «физические» устройства. приборы. зачастую не учитывают. может быть атаковано. обеспечивающие функциональную безопасность.. разработанное для мира «без интернета». что теперь с их устройством возможно будет «работать» не  только инженер. «Предприятие 4. «дореволюционные» принципы проектирования. а все. а «киберфизические». производители оборудования просто оснащают необходимыми датчиками и контроллерами проверенное и надежное оборудование. ни экология. связанные с  кибербезопасностью. почему сейчас компании с  опытом и  традициями выпускают хорошее и  надежное с  точки зрения функциональной безопасности оборудование. протоколы связи и  т. для которого нет понятия «неразрешенные действия с  удаленным объектом». Инженеры. проектировались с  оглядкой на функциональную безопасность или другими словами – с «защитой от дурака». которое не  обеспечивает достаточный уровень кибербезопасности предприятий. Хакеры – это реальная угроза. последствия такого подключения могут быть. но они забывают.д.и физическая составляющие тесно связаны. повредить оборудование или вызвать техногенную катастрофу. что можно делать. В мире киберфизических устройств кибер. который знает.0» получило новое измерение безопасности  – безопасность информационную или защиту от намеренного внешнего воздействия. 23 . исповедующие старые. Нельзя просто подключить к интернету объект или устройство родом из «до-интернет эры». а  чего нельзя. в  этом кроется одна из основных причин того.

KASPERSKY SECURITY BULLETIN 2015

ЗАКЛЮЧЕНИЕ
В 2015 году, пожалуй впервые за историю существования интернета,
проблемы защиты сетей и защиты в Сети обсуждались применительно
к каждому сектору экономики и  повседневной жизни. Выберите
любую отрасль современной цивилизации: финансы, промышленное
производство, автомобили, самолеты, мобильные устройства,
здравоохранение и  многое другое, – и  вы гарантированно найдете
публикации этого года об инцидентах или проблемах кибербезопасности,
касающиеся ее.
К сожалению, кибербезопасность теперь неразрывно связана
и  с  проявлениями терроризма в  Сети. Методы защиты и  нападения
в  Сети являются объектом значительного интереса различных
нелегальных структур и группировок.
Вопросы кибербезопасности вышли на  уровень дипломатических
ведомств и  высших руководителей государств. в  этом году были
подписаны договоры о кибербезопасности между Россией и Китаем,
Китаем и США, Китаем и Великобританией. в рамках этих документов
государства обязуются не  только сотрудничать, но  и  не допускать
атаки друг на  друга. Одновременно активно обсуждались недавние
поправки к Вассенаарским соглашениям по ограничению экспорта
шпионского программного обеспечения. Одной из главных тем года
стало использование незащищенных почтовых сервисов различными
политиками по всему миру, включая бывшего (на время событий –
действующего) госсекретаря США Хиллари Клинтон.
Все это привело к значительному росту интереса к проблеме
кибербезопасности
не  только
со
стороны
масс-медиа,
но и со стороны индустрии развлечений: снимались полнометражные
фильмы, сериалы, некоторые эксперты в области кибербезопасности
приглашались для участия в фильмах, иногда они играли самих себя.
В 2015 году слово «кибербезопасность» стало модным, но это не значит,
что проблема решена. Мы наблюдаем практически экспоненциальный
рост во всем, что связано с  кибербезопасностью: рост числа атак
и атакующих, жертв, расходов на оборону и защиту, законов и договоров,
регламентирующих существующие и  устанавливающих новые нормы.
Мы, со своей стороны, сталкиваемся с заметным увеличением сложности
обнаруживаемых атак. Противостояние перешло в активную фазу и до
завершающей стадии еще очень и очень далеко.
О том, что нас ждет в ближайшем будущем, читайте в наших прогнозах
на 2016 год.

24

ЭВОЛЮЦИЯ УГРОЗ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
В БИЗНЕС-СРЕДЕ

25

KASPERSKY SECURITY BULLETIN 2015

В конце 2014 года мы опубликовали наше видение того, как будут
развиваться события в мире кибер(без)опасности в 2015 году. Четыре
из девяти наших прогнозов напрямую были связаны с  угрозами
для бизнеса, и три пункта из четырех уже сбылись:



Киберпреступники осваивают целевые атаки APT-класса – да.
Фрагментация и диверсификация атак АРТ-групп – да.
Эскалация атак на банкоматы и PoS-терминалы – да.
Атаки на виртуальные платежные системы – нет.

Давайте посмотрим, какими в 2015 году были наиболее значительные
инциденты и  какие новые тренды, связанные с  информационной
безопасностью в бизнес-среде, мы увидели.

ЦИФРЫ ГОДА
• В 2015 году на 58% корпоративных компьютеров была отражена
хотя бы одна атака вредоносного ПО, что на 3 п.п. больше, чем
в прошлом году.
• 29% компьютеров, т.е. почти каждый третий компьютер в бизнессреде, подверглись хотя бы одной атаке через интернет.
• При атаках на бизнес эксплойты к  офисным приложениям
используются в  три раза чаще, чем в  атаках на домашних
пользователей.
• Файловый антивирус сработал на 41% компьютеров
корпоративных пользователей (детектировались объекты,
обнаруженные на компьютерах или на съемных носителях,
подключенных к  компьютерам, — флешках, картах памяти,
телефонах, внешних жестких дисках, сетевых дисках).

26

ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ

ЦЕЛЕВЫЕ АТАКИ НА БИЗНЕС: APT И ПРЕСТУПНИКИ
2015 год запомнится рядом атак APT-класса на бизнес. Арсенал
и  методы, использованные злоумышленниками, были очень похожи
на  то, с  чем мы встречались при разборе APT-атак, но за  атаками
стояли не  государственный структуры, а  киберкриминал. Хотя
киберпреступники  и  использовали не характерные для них методы,
основная цель атак осталась неизменной — получение финансовой
выгоды.
Ярким примером смещения фокуса целевых атак APT-класса
на  финансовые организации стала операция Carbanak. Это было
настоящее ограбление банка в  цифровую эру: злоумышленники
проникали в сеть банка-жертвы и искали критически важную систему,
с  помощью которой из атакованной финансовой организации
выводили денежные средства. Украв у банка значительную сумму
(от 2,5 до 10 млн долларов), преступники искали следующую жертву.
Большинство жертв вредоносной кампании располагалось
в  Восточной  Европе. При этом кампания Carbanak нацелена также
и  на организации в  США, Германии и  Китае. Всего же по миру
насчитывается более 100  жертв этой атаки, а  суммарные убытки
пострадавших организаций (в  основном это были банки) могут
достигать миллиарда долларов.

27

Казахстане. Отметим. Twitter и Microsoft. а также индивидуальные пользователи. что китайская киберпреступная группировка Winnti атакует только 28 . учреждения здравоохранения. Алжире и  США. в том числе криптовалют. Франции.  Палестине. Подпись компании Acer в установщике Wild Neutron Тренд на диверсификацию APT-атак хорошо иллюстрирует изменение мишеней атак группировки Winnti. Среди пострадавших  — юридические фирмы. а  именно в  России. Facebook. Наши исследования показали. Впервые эта кампания кибершпионажа получила широкую огласку в 2013 году — тогда от нее пострадало несколько известных компаний. Австрии. украденный у компании Acer. риэлтерские компании. После того. что в  ходе кампании кибершпионажа были заражены компьютеры пользователей в 11 странах и территориях. что в ходе кампании Wild Neutron использовался сертификат подписи кода. инвестиционные компании. IT-компании. Долгое время считалось. Однако примерно через год «Лаборатория Касперского» зафиксировала возобновление активности Wild Neutron.KASPERSKY SECURITY BULLETIN 2015 Не стоит забывать. особенно если ее можно использовать при заключении сделок или для игры на различных биржах товаров. Словении. является Wild Neutron (известна также как Jripbot и  Morpho). ценных бумаг или валют. группы компаний и  предприятия. включая Apple. организаторы кибершпионской операции свернули свою деятельность. работающие с криптовалютой Bitcoin. организации. вовлеченные в  сделки слияния и  поглощения. Примером целевой атаки. ОАЭ. Германии. как эти инциденты получили огласку. которая могла быть нацелена на получение подобной информации. Швейцарии. что информация также может представлять большую ценность.

К моменту обнаружения насчитывалось около 300 жертв. она является первой арабской группировкой. 2015 год также отметился расширением географии – как атак. стараются получить выгоду от  атак на новые мишени. проводящей таргетированные атаки. что руткит Winnti подписан украденным сертификатом. среди которых были и финансовые организации. так и  атакующих. занимающиеся компьютерными играми. обкатавшие свои инструменты и методы. проводящей полноценные операции по  кибершпионажу. было выявлено. При анализе новой волны атак Winnti. Однако начиная c  весны 2015 года стала поступать информация. во время проведения расследования инцидента на Ближнем Востоке экспертами «Лаборатории Касперского» была обнаружена активность неизвестной ранее группировки. Их интересы больше не ограничивается индустрией развлечений: группировка нацелилась на фармацевтические и телекоммуникационные компании. Например. что злоумышленники. свидетельствующая о том. Группа была названа «Соколы Пустыни» (Desert Falcons).ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ компании. А группировка Blue Termite атаковала организации и компании в Японии: 29 . как и  в  случае с  Wild Neutron. принадлежащим одному из подразделений огромного японского конгломерата.

используемые в атаках на бизнес «рядовыми» киберпреступниками. выполняющие различные операции с  деньгами: банки. собирают информацию о поставщиках оборудования и услуг. 30 .KASPERSKY SECURITY BULLETIN 2015 Информацию о целевых атаках на бизнес можно узнать в опубликованных «Лабораторией Касперского» отчетах: Carbanak. Хотя атак класса APT. • Атаки тщательно готовятся. в том числе с биржами криптовалют. Winnti. относительно немного. • Расширение географии атак. Такая схема дает злоумышленникам возможность повторно использовать взломанный ресурс через несколько месяцев. тенденции их развития несомненно влияют на подходы и методы. Grabit. злоумышленники исследуют интересы потенциальных жертв (сотрудников атакуемой компании) и  выявляют  сайты. • Собранные при подготовке атаки данные активно используются. более подробные результаты исследования предоставляется подписчикам Kaspersky Intelligence Service. • Активное использование подписанных файлов и  легального ПО для сбора информации из атакованной сети. DarkHotel 2015. Анализ данных атак позволяет выделить несколько тенденций развития целевых атак на бизнес: • Под прицел злоумышленников попали организации. исследуют контакты жертвы. Такие сайты/аккаунты используются в  течение нескольких  часов — с  них распространяется вредоносный код. связанные с биржами. аккаунты пользователей из бизнес-контактов сотрудников атакуемой компании. фонды и  компании. после  чего заражение прекращается. которые они часто посещают. нацеленных на бизнес: крупная атака в Японии. • Диверсификация атак. APT группы из арабского мира. Wild Neutron. Атакующие взламывают выявленные легитимные сайты. Blue Termit. за  которыми стоит киберкриминал. Desert Falcons. атаки на малый и средний бизнес.

и  данные по атакам.2 9 Packed.Win32.0 8 Exploit. В 2015 году хотя бы одна атака вредоносного ПО была отражена на 58% корпоративных компьютеров. 31 . нацеленным именно на бизнес-пользователей. которые распространяют вредоносные программы без учета специфики атакуемого.0 2 Trojan. Практически весь TOP 10 состоит из вердиктов. рейтинг детектируемых объектов) в принципе совпадает со статистикой по домашним пользователям. атаки через интернет Отметим. их компьютеры становятся объектами атак злоумышленников. которые действуют весьма назойливо и  доставляют неприятности пользователю. Название* % атакованных пользователей** 1 Malicious URL 57. которые присваиваются объектам. мало влияют на общую статистику. что на 3 п.1 5 Trojan-Downloader. Веб-угрозы (атаки через интернет) В 2015 году 29%.9 * Детектирующие вердикты модуля веб-антивируса.ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ СТАТИСТИКА Отметим.Generic 2.Script.Script. использующимся в  drive-by атаках.Multi.JS.Script.0 10 Trojan-Downloader. т.7 3 Trojan.Iframer 16. подтвердившими свое согласие на передачу статистических данных ** Процент пользователей.Generic 24. что в данном рейтинге представлены только вредоносные программы.Generic 0.MultiPacked. от всех атакованных пользователей. подвергся хотя бы одной атаке через интернет. Информация предоставлена пользователями продуктов «Лаборатории Касперского».0 4 Exploit.Iframe.Generic 1. мы исключили из него рекламные программы. TOP 10 вредоносных программ.3 7 Trojan-Downloader. атакованных данным зловредом. больше. практически каждый третий компьютер в бизнессреде. но не наносят вреда компьютеру.Win32.п.Script.Script. Таких атак/зловредов большинство. что общая статистика по корпоративным пользователям (география атак. – это различные троянцы-загрузчики и эксплойты. Это неудивительно  – бизнес-пользователи не существуют в  изолированной среде.gen 1.5 6 Trojan.Generic 2.diq 2. чем в прошлом году.Blocker 4.е.

обнаруженные на компьютерах или на съемных носителях.KASPERSKY SECURITY BULLETIN 2015 География веб-атак География атак через веб-ресурсы. TOP 10 вредоносных программ. картах памяти.1% 2 Trojan.Win32.gena 7. 2015 год (процент атакованных корпоративных пользователей в стране) Локальные угрозы Файловый антивирус сработал на 41% компьютеров корпоративных пользователей (детектировались объекты.Dinihou.Sality. внешних жестких дисках.Generic 23. атакованных данным зловредом.gen 4.Kido.r 4.0% 7 Virus.2% 4 Trojan. 32 . подключенных к компьютерам.StartPage. которые действуют весьма назойливо и доставляют неприятности пользователю. — флешках. ** Процент пользователей. от всех атакованных пользователей.VBS. которые были предоставлены пользователями продуктов «Лаборатории Касперского».Win32. мы исключили из него рекламные программы.Win32.Generic 18. локальные угрозы Отметим. Название* % атакованных пользователей** 1 DangerousObject.Generic 2.0% 8 Trojan.Multi. телефонах.Debris.AutoRun.8% 5 Worm.ih 4.WinLNK. сетевых дисках).Multi.Win32.Win32.8% 3 Trojan. подтвердившими свое согласие на передачу статистических данных.6% * Детектирующие вердикты модулей OAS и  ODS антивируса.Script.Generic 2. но не наносят вреда компьютеру.a 2.7% 10 Worm.6% 6 Net-Worm. что в  данном рейтинге представлены только вредоносные программы.9% 9 DangerousPattern.gen 4.

когда в  антивирусных базах еще нет ни сигнатуры. География локальных угроз География обнаружения локальных угроз. не желающих отсылать какую-либо статистику в  облако. В случае компаний. ни эвристики для детектирования вредоносной программы. само­ распространяющиеся программы и их компоненты.Multi. обнаруженные с помощью облачных технологий и детектируемые как DangerousObject. 2015 год (процент атакованных корпоративных пользователей в стране) 33 . Облачные технологии работают.Generic. таким образом компьютеры в сети получают защиту из облака. Остальные представители рейтинга – это. вместо отключения облачных технологий используют Kaspersky Private Security Network. в  основном.ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ На первом месте различные вредоносные программы. зато у антивирусной компании «в облаке» уже есть информация об объекте.

атакованных программамишифровальщиками.KASPERSKY SECURITY BULLETIN 2015 ОСОБЕННОСТИ АТАК НА БИЗНЕС Общая статистика по корпоративным пользователям не отражает специфики атак на бизнес. мы отметили активный рост числа компьютеров корпоративных пользователей. • в ходе атак используются доступные легальные программы. используются эксплойты к офисным приложениям. Кроме того. в  том числе на мобильных устройствах пользователей. так и  при компрометации локальных приложений. на нее больше влияет вероятность заражения компьютера в  стране или популярность того или иного зловреда у злоумышленников. Речь в  данном случае далеко не всегда идет об атаках класса APT: «рядовые» злоумышленники фокусируются на корпоративных пользователях — а иногда и на отдельно взятой компании. что позволяет атакующим дольше оставаться незамеченными. Однако более детальный анализ выявляет особенности атак на корпоративных пользователей: • в 3 раза чаще. подписанные валидными цифровыми сертификатами. • используются вредоносные файлы. используемых злоумышленниками как в  атаках через интернет и  почту. чем в  атаках на домашних пользователей. Эксплойты в атаках на бизнес Рейтинг уязвимых приложений построен на основе данных о  заблокированных нашими продуктами эксплойтах. 34 .

по типам атакуемых приложений (корпоративные пользователи. использованных в атаках злоумышленников. 2015 год) 35 .ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ Распределение эксплойтов. 2015 год) Распределение эксплойтов. по типам атакуемых приложений (домашние пользователи. использованных в атаках злоумышленников.

и 8 п.).п.).п. которые «раздают» эксплойты. использованных в атаках злоумышленников. Как и в атаках на домашних пользователей. что технологии «Лаборатории Касперского» детектируют эксплойты на различных этапах. . в 2014 и в 2015 году 36 По сравнению с  2014 годом значительно снизилась доля Javaи PDF-эксплойтов — на 14 п. по типам атакуемых приложений.п. Если в  атаках на домашних пользователей мы встречали их лишь в  4% случаев. в атаках на корпоративных пользователей среди атакуемых эксплойтами приложений на первом месте остается категория браузеры. При  этом выросла доля атак с  использованием уязвимостей в офисных программах (+8 п. При рассмотрении данной статистики необходимо учитывать. чаще всего это эксплойты к Adobe Flash Player. соответственно. несмотря на то.). а также Android (+3 п.). В  категорию «браузеры» попадают также детектирования лэндингстраниц.п. в  первую очередь бросается в глаза значительно более активное использование эксплойтов к  офисным программам в  атаках на бизнес.п. Распределение эксплойтов. использованных злоумышленниками для  атак на домашних и  корпоративных пользователей. браузеров (+9 п.п. Adobe Flash Player (+9 п. то  в  атаках на корпоративных пользователей эксплойты для уязвимостей в  офисных приложениях составляют 12% от  всех обнаруженных за год эксплойтов. что в  течение года было найдено несколько zero-day уязвимостей. Java‑эксплойты стали пользоваться меньшей популярностью. По нашим наблюдениям.KASPERSKY SECURITY BULLETIN 2015 При сравнении эксплойтов.

Шифровальщики Троянцы-шифровальщики долгое время считались угрозой только для домашних пользователей. даже в  целевых атаках на корпорации злоумышленники чаще используют эксплойты к уже известным уязвимостям. Рост доли эксплойтов. что обусловлено медленной установкой патчей в  корпоративной среде. Количество уникальных корпоративных пользователей. наживающиеся на шифровальщиках. Теперь же. все чаще стали обращать свое внимание на организации.ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ Как показывает практика разбора инцидентов безопасности. по нашим данным. атакованных троянцами‑шифровальщиками в 2014 и 2015 годах 37 . нацеленных на уязвимые Android-приложения до 7% говорит об  увеличивающемся интересе злоумышленников к  корпоративным данным на мобильных устройствах сотрудников. злоумышленники. В 2015 году нашими решениями были обнаружены шифровальщики на более чем 50 тысячах машин в  корпоративных сетях. что реальное количество инцидентов в  разы больше: данная статистика учитывает только результаты сигнатурного и  эвристического детектирования. а  продукты «Лаборатории Касперского» в  большинстве случаев детектируют троянцы-шифровальщики с  помощью поведенческих методов. Важно также учитывать. что в  2 раза больше.  чем годом ранее.

Учитывая распространённость *nix-серверов в  бизнес-среде. в  том числе сайты интернет магазинов.Cryptor»). Количество зараженных веб-сайтов оценивается в  2 тысячи. На втором месте по распространенности 38 . Используя уязвимости в  веб-приложениях. чем от пользователей. Практически все семейства криптолокеров. нацеленных на не-Windows платформы. Семейство Scatter – это многомодульные скриптовые многофункциональные зловреды. На первом месте расположились троянцы семейства Scatter. шанс. обзаведясь помимо возможности шифрования файлов функциональностью Email‑Worm и Trojan-PSW. атакованных зловредами данного семейства. если информация на нескольких критичных компьютерах или серверах зашифрована и недоступна. злоумышленники получали  доступ к  веб-сайтам и  загружали на них вредоносную программу. от всех атакованных пользователей. логично предположить. Во-первых.vault. требуют в качестве выкупа биткойны. сумма. зашифровывающую данные сервера. что выкуп будет заплачен. В большинстве случаев это приводило к выведению сайта из строя. может быть куда более значительной. могут получить продолжение в следующем году. в  случае пострадавшей организации выше – компании подчас просто не могут функционировать. шифрующие файлы на диске и  оставляющие зашифрованные файлы с  расширением . За расшифровку преступники требовали выкуп в  1 биткойн. нацеленного на веб-сайты.KASPERSKY SECURITY BULLETIN 2015 Столь быстро растущий интерес злоумышленников к атакам на бизнес объясняется двумя причинами. полученная в качестве выкупа от организаций. что атаки шифровальщиков. А во-вторых. За короткое время оно успело значительно эволюционировать. TOP 10 семейств троянцев-шифровальщиков Семейство % атакованных пользователей* 1 Scatter 21 2 Onion 16 3 Cryakl 15 4 Snocry 11 5 Cryptodef 8 6 Rakhni 7 7 Crypmod 6 8 Shade 5 9 Mor 3 10 Crypren 2 * Процент пользователей. Одним из самых интересных случаев на этом фронте в 2015 году стало появление первого Linux-шифровальщика (продукты «Лаборатории Касперского» детектируют его как «Trojan-Ransom. вошедшие в  ТОР 10.Linux.

что их командные серверы находятся в сети Tor. что для компании заражение подобной программой может обернуться остановкой бизнеса. известные тем. Для борьбы с этой угрозой необходимо применять ряд мер: • использовать защиту от эксплойтов. • обязательно включить поведенческие методы детектирования в  защитном продукте (в продуктах «Лаборатории Касперского» за это отвечает компонент System watcher). • настроить процесс резервного копирования данных. В некоторых случаях есть возможность расшифровать данные. нацеленных на уничтожение данных в компьютерных сетях компаний. когда в алгоритме есть какие-либо ошибки. Важно понимать. сравнимые с  атаками вредоносных программ Wiper. представленных в топе. на сегодняшний день невозможно. в  случае если будут зашифрованы критически важные данные или в  результате шифрования  данных будет заблокирована работа критически важного  сервера. 39 .ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ шифровальщики семейства Onion. зашифрованные этими зловредами – в основном. Следствием подобных атак могут стать огромные убытки. Однако расшифровать данные. На третьем месте – появившиеся еще в апреле 2014 года и написанные на Delphi шифровальщики семейства Cryakl. которые были зашифрованы последними версиями вредоносных программ.

По всему миру продукты «Лаборатории Касперского» отразили более 11. Столь большое число возможных жертв обусловлено тем. Переход на карты с  EMV-чипом должен значительно усложнить задачу получения данных для клонирования карт. особенно ведущего торговую деятельность. ведь одна успешная атака может скомпрометировать данные десятков тысяч кредитных карт. которые позволяют похищать данные карт. Мы ожидаем. благо для них достаточно легко реализуется политика безопасности «запрет запуска неизвестных программ по умолчанию». Несмотря на небольшое количество попыток атак. Злоумышленники ищут подобные компьютеры и заражают их зловредами. нацеленных на кражу данных с PoS-терминалов. поэтому зараженным терминал может оставаться очень долго. не стоит недооценивать опасность. где не используются карты с  EMV-чипом. нуждающиеся в  защите. Эта проблема особенно актуальна в странах. По сути сейчас в  качестве PoS-терминала может быть использован любой компьютер с  подключенным специальным устройством для считывания карт и установленным специальным ПО. проведенных через терминал оплаты. но  это вопрос достаточно длительного времени.KASPERSKY SECURITY BULLETIN 2015 АТАКИ НА POS-ТЕРМИНАЛЫ Отдельной темой для бизнеса.5 тысяч попыток подобных атак. Поэтому требуется принимать хотя бы минимальные меры по защите POS-устройств. 40 . 7 из них появились в  этом году. в  2015 году оказалась безопасность PoS-терминалов (Point Of Sale — точка продажи). и все это время вредоносная программа будет отсылать злоумышленникам считанные терминалом данные кредитных карт. Сейчас в  нашей коллекции 10 семейств программ. что PoS-терминалы не воспринимаются владельцами и администраторами как объекты. что в  будущем киберпреступники начнут атаковать мобильные PoS-устройства под управлением Android.

атакующими бизнес. что инструментарий атак на бизнес отличается от того. получив доступ к сети организации. В  первую очередь киберпреступники стали применять эти методы для  проведения  атак на банки с  целью вывода крупных сумм денег. и  злоумышленники требовали выкуп. вредоносные файлы часто оказываются подписанными валидными цифровыми сертификатами. Все чаще объектами атак злоумышленников становятся серверы организаций. атакованных программамишифровальщиками. мы отметили активный рост числа компьютеров корпоративных пользователей. Когда организация сталкивается с этим. злоумышленники активно используют подписанные вредоносные файлы и легальные инструменты для  создания канала вывода информации: в  ход идут известные программы для удаленного администрирования.ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ ЗАКЛЮЧЕНИЕ Наши данные показывают. которые стали жертвами атак. а иногда – сотрудников конкретных компаний. что это утверждение справедливо как для Windows-. 41 .д. в первую очередь нужно обращаться в  правоохранительные органы и  к  специалистам по  компьютерной безопасности. когда атакованные  серверы использовались в  качестве инструмента DDoS  атак. Кроме того. Этими  же методами они могут выводить со счетов в  банках и  деньги компаний. которая не остановилась после получения денег. плюс к этому злоумышленники стараются использовать в своих целях доступные легальные программы. Многие организации. методов и  программ из мира APT переводит эти атаки на  другой  уровень и  делает их значительно более опасными. известны случаи. что применяют в атаках на домашних пользователей. получив выкуп. В атаках на корпоративных пользователей значительно чаще используются  эксплойты  к  офисным приложениям. как в случае с DDoS-атакой на компанию ProtonMail. расшифровку данных или за  неразглашение украденной информации. Последние события показали. Это касается не только атак класса APT: «рядовые» злоумышленники целенаправленно атакуют корпоративных пользователей. программы для восстановления паролей и т. так и для Linux-серверов. преступники могут не сдержать слово. Кроме того. SSH-клиенты. Использование киберкриминальными группировками.  или данные просто шифровались. столкнулись с  требованиями злоумышленников заплатить выкуп за  остановку DDoS-атаки. Потому что. В своих атаках криминал полагается на использование уже известных уязвимостей. что связанно с  медленной установкой обновлений для  ПО  в  организациях. Помимо кражи данных. чтобы дольше оставаться незамеченными.

совершение финансовых махинаций на биржах В будущем году мы ожидаем как увеличения количества атак на  финансовые организации. проведенные в  2015 году.KASPERSKY SECURITY BULLETIN 2015 ПРОГНОЗЫ Увеличение количества атак на финансовые организации. такими как криптовалюты. Помимо перевода денег на свои счета с  последующим обналичиванием. Использование уязвимостей в  IoT для проникновения в  сети организаций Практически во всех современных корпоративных сетях сегодня есть IoT устройства. 42 . показали. а  на серверах в  датацентрах. так и  с  новыми финансовыми инструментами. заинтересованные в  сохранности своих цифровых ценностей. злоумышленники могут применять новые техники. где работают как с  традиционными. используя их в качестве первой ступени проникновения в сеть организации. Атаки на инфраструктуру Практически все ценные данные организаций подчас расположены не в  самой организации. так и  изменения качества таких атак. что существует ряд проблем с  безопасностью этих устройств. Это может привести к  более эффективной работе по поимке киберпреступников. Организации. в  том числе связанные с  манипуляцией данными на торговых площадках. и в 2016 году мы узнаем о новых арестах. Более жесткие стандарты безопасности. будут активнее сотрудничать с  правоохранительными органами. либо упомянутые выше стандарты их к  этому обяжут. чем очевидно попробуют воспользоваться злоумышленники. Получение доступа к этим элементам инфраструктуры и будет одним из важных векторов атак на компании в 2016 году. кооперация с  право­ охранительными органами Ответом регуляторов на увеличивающееся количество компьютерных инцидентов в  бизнес-среде и  в  целом на изменение ландшафта киберугроз будет разработка новых и  обновление уже принятых стандартов безопасности. Исследования.

• Ограничение прав административного доступа к операционной системе и  приложениям. что не менее 85% целевых кибервторжений можно нейтрализовать применением четырех базовых стратегий. исходя из служебных обязанностей каждого пользователя. охватывающие эти три важнейшие стратегии). • Исправление уязвимостей в операционной системе при помощи патчей. и  об использовании spearphishing и  waterholeатак. программ просмотра PDF-файлов.ЭВОЛЮЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БИЗНЕС-СРЕДЕ ЧТО ДЕЛАТЬ? 2015 год показал. • Установка исправлений для Java. что киберпреступники активно стали использовать методы APT-атак для проникновения в  сети компаний. Более подробную информацию о стратегиях ASD можно найти в  документе о стратегиях нейтрализации угроз в  энциклопедии Securelist. первым делом. составленный управлением радиотехнической обороны Австралии. стоит обратить внимание на TOP 35 стратегий по нейтрализации атак на предприятия. ASD пришло к  выводу. 43 . Три из этих стратегий связаны с  использованием специализированных защитных решений (в состав продуктов «Лаборатории Касперского» входят технологические решения. Переходя к конкретным рекомендациям. Flash. веб-браузеров и пакета Microsoft Office. Проведя всесторонний детальный анализ локальных атак и  угроз. изучения сети и  «восстановления» паролей. Здесь мы говорим и  о предварительной разведке с  целью выявления слабых звеньев в  инфраструктуре и  получении информации о  сотрудниках. снижающие вероятность успешной целевой атаки: • Применение белых списков приложений позволяет заблокировать выполнение вредоносного ПО и неутвержденных программ. Четыре основные стратегии. а  также об использовании в атаках помимо троянских программ легального ПО для удаленного администрирования. Все это требует развития методов и  технологий защиты сетей предприятий. активном использовании эксплойтов для выполнения кода и  получения прав администратора.

44 . • Использование новых технологий и  методов: каждый дополнительный слой защиты позволяет снизить риск проникновения в сеть.KASPERSKY SECURITY BULLETIN 2015 Вторым важным фактором является использование данных об  актуальных  угрозах.е. сервисов Threat Intelligence (например. «Лаборатория Касперского» предоставляет услуги Kaspersky Intelligence Service). но и обязанность каждого отдельно взятого сотрудника. • Налаживание процессов безопасности: система безопасности должна адекватно отвечать на эволюционирующие угрозы. ведь информационная безопасность — это не только забота службы безопасности. т. Основные же принципы обеспечения безопасности в корпоративных сетях остаются прежними: • Обучение персонала. Своевременная настройка и  проверка сети на основе этих данных позволяет защититься от  атаки либо выявить атаку на ранних стадиях.

ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД 45 .

• Для проведения атак через интернет злоумышленники воспользовались 6 563 145 уникальными хостами. исполняемые файлы и т. • Нашим файловым антивирусом на  компьютерах пользователей задетектировано 4 миллиона вредоносных и  потенциально нежелательных программ. 46 .д.KASPERSKY SECURITY BULLETIN 2015 ЦИФРЫ ГОДА • В 2015 году решения «Лаборатории Касперского» отразили попытки атак вредоносного ПО для кражи денежных средств через онлайн-доступ к  банковским счетам на  1 966 324 компьютерах пользователей. • Решения «Лаборатории Касперского» отразили 798 113 087 атак. заблокированных нашими продуктами. • В течение года нашим веб-антивирусом было задетектировано 121  262 075 уникальных вредоносных объектов (скрипты. расположенных в США. эксплойты. проводившихся с  интернет-ресурсов. размещенных в  разных странах мира. • 24% веб-атак. проводились с  использованием вредоносных веб-ресурсов. • 34.).2% компьютеров пользователей интернета в течение года хотя бы раз подвергались веб-атаке. при  этом программамишифровальщиками было атаковано 179 209 компьютеров. • Программы-вымогатели обнаружены на  753 684 компьютерах уникальных пользователей.

CVE-2015-0311 3. В частности. злоумышленники: - - Использовали криптографический протокол Диффи-Хеллмана Прятали эксплойт-пак во Flash-объекте Одним из  знаменательных событий года стало обнаружение двух семейств критических уязвимостей под Android. шеллкодов и  полезной нагрузки с  целью затруднить обнаружение заражения и  анализ вредоносного кода. Это можно объяснить тем. Эксплуатация уязвимостей Stagefright позволяла атакующему. Разработчики различных эксплойт-паков оперативно реагировали на  обнаружение новых уязвимостей в  Adobe Flash Player и  добавляли новые эксплойты в свои продукты. CVE-2015-3104 8. CVE-2015-3090 7. Вот «чертова дюжина» востребованных злоумышленниками уязвимостей в Adobe Flash Player. CVE-2015-0313 4. CVE-2015-0336 5. отправившему специально подготовленную MMS на  номер жертвы. CVE-2015-5119 47 . Эксплуатация Stagefright 2 производилась с  той же целью. чем и воспользовались злоумышленники. поддержка которых была добавлена в распространенные эксплойт-паки: 1. CVE-2015-3105 9. в результате утечки данных от Hacking Team в  публичном доступе оказалась информация о  неизвестных уязвимостях во Flash Player.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД УЯЗВИМЫЕ ПРИЛОЖЕНИЯ. но  уже с  помощью специально подготовленного медиафайла. CVE-2015-0310 2. Кроме того. что в  течение года было найдено большое количество уязвимостей в данном продукте. ИСПОЛЬЗУЕМЫЕ ЗЛОУМЫШЛЕННИКАМИ В 2015 году мы наблюдали использование новых техник маскировки эксплойтов. В 2015 году у вирусописателей пользовались популярностью эксплойты для Adobe Flash Player. CVE-2015-0359 6. CVE-2015-3113 10. удаленно выполнить произвольный код на  ее устройстве.

KASPERSKY SECURITY BULLETIN 2015 11. CVE-2015-5122 12. так и  при компрометации локальных приложений. CVE-2015-7645 Традиционно в некоторые известные эксплойт-паки входил эксплойт для уязвимости в Internet Explorer (CVE-2015-2419). данный эксплойт не  пользуется популярностью среди основных «игроков» на рынке эксплойтов. использованных в атаках злоумышленников. CVE-2015-5560 13. Распределение эксплойтов. «в дикой природе» они встречаются довольно часто. Хотя доля эксплойтов для Adobe Flash Player в  нашем рейтинге составляет всего 4%. При рассмотрении данной статистики необходимо учитывать. в  том числе на  мобильных устройствах пользователей. по типам атакуемых приложений. Также в 2015 году было зафиксировано использование уязвимости в Microsoft Silverlight (CVE-2015-1671) для заражения пользователей. используемых злоумышленниками как в  атаках через интернет. что технологии «Лаборатории Касперского» детектируют эксплойты 48 . Впрочем. 2015 год Рейтинг уязвимых приложений построен на  основе данных о  заблокированных нашими продуктами эксплойтах.

И по  нашим наблюдениям.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД на  различных этапах.п. которые «раздают» эксплойты. Согласно нашим наблюдениям. Если в конце 2014 года их доля среди всех заблокированных эксплойтов составляла 45%. 49 . на данный момент Java-эксплойты полностью исключены из  всех известных эксплойт-паков. В то же время мы отметили рост использования эксплойтов для  Microsoft Office – c 1 до 4%. такие страницы чаще всего загружают именно эксплойты к Adobe Flash Player. то за этот год она постепенно уменьшилась на 32 п. в 2015 году эти эксплойты распространялись посредством массовых почтовых рассылок. В течение года мы наблюдали снижение количества случаев использования Java-эксплойтов. – до 13%. В результате в  категорию «Браузеры» (62%) попадают также детектирования лэндинг-страниц. Более того.

атакованных финансовым вредоносным ПО. В 2015 году решения «Лаборатории Касперского» отразили попытки атак вредоносного ПО для кражи денежных средств через онлайн-доступ к  банковским счетам на  1 966 324 компьютерах пользователей. Число пользователей. которые были предоставлены пользователями. По сравнению с  2014 годом (1 910 520) данный показатель увеличился на 2. подтвердившими свое согласие на  передачу статистических данных.8%.KASPERSKY SECURITY BULLETIN 2015 ФИНАНСОВОЕ ВРЕДОНОСНОЕ ПО Настоящая статистика основана на  детектирующих вердиктах продуктов «Лаборатории Касперского». Годовая статистика за  2015 год составлена на  основе данных следующего отчетного периода: ноябрь 2014 – октябрь 2015. ноябрь 2014 – октябрь 2015 года 50 .

Еще один всплеск был зафиксирован в июне. которому подвергаются компьютеры пользователей в разных странах мира. атакованных финансовым вредоносным ПО в 2014 и 2015 годах В 2015 году активность финансового вредоносного ПО росла в период с февраля по апрель с максимальными показателями в марте-апреле. мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского». В 2014 году больше всего пользователей было атаковано финансовыми зловредами в мае-июне. 51 . С июня по  октябрь в  2014 и  2015 годах количество атакованных пользователей постепенно уменьшалось. которые столкнулись с  этой угрозой в  отчетный период. от всех атакованных уникальных пользователей наших продуктов в стране. География атак Чтобы оценить популярность финансового вредоносного ПО у  злоумышленников и  риск.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД Число пользователей.

В этой стране из  всех атакованных зловредами пользователей «Лаборатории Касперского» хотя бы раз в  течение года с  банковскими троянцами столкнулись 11.KASPERSKY SECURITY BULLETIN 2015 География атак банковского вредоносного ПО в 2015 году (процент пользователей. ** Процент уникальных пользователей «Лаборатории Касперского». от всех атакованных уникальных пользователей продуктов «Лаборатории Касперского» в стране.6 6 Бразилия 4.0 7 Намибия 4. Лидером этого рейтинга стал Сингапур. Этот факт иллюстрирует популярность финансовых угроз по отношению ко всем угрозам в данной стране.0 8 Гонконг 2.9 9 ЮАР 2.6 * При расчетах мы исключили страны. 52 .6%  пользователей.2 4 Австралия 4. в  которых число пользователей «Лаборатории Касперского». от всех атакованных зловредами пользователей) TOP-10 стран по проценту атакованных пользователей в 2015 году Страна* % атакованных пользователей** 1 Сингапур 23.1 2 Австрия 18.8 3 Швейцария 7.7 10 Ливан 2. относительно мало (меньше 10 тысяч). атакованных банковскими троянцами. подвергшихся атакам финансовых зловредов.8 5 Новая Зеландия 4.

05 10 Trojan-Banker.14 7 Trojan-Banker. в  Италии — 5. Зловреды семейства Trojan-Downloader. Основной задачей банковских троянцев этого семейства является кража платежных данных пользователя.0% атакованных пользователей.22 4 Trojan-Banker.Win32.AndroidOS.41 9 Trojan-Banker.Upatre на протяжении всего года лидируют в данном рейтинге.10 5 Trojan-Banker.Caphaw 3.0%.Win32.Marcher 2. Отметим.2%. что данный зловред активно 53 . использованных для атак на пользователей онлайн-банкинга в 2015 году (по доле атакованных пользователей): Название* % атакованных пользователей** 1 Trojan-Downloader.Shiotob 5.Win32. в  Британии – 5. ** Процент уникальных пользователей.3. Размер троянцев не превышает 3. используют классическую для банковских троянцев технику внедрения произвольного HTML-кода в  отображаемую браузером веб-страницу и последующего перехвата платежных данных.5%.Zbot 26.Tinba 2.Win32. попавших в TOP 10. в  Германии .8%.ChePro 9.88 * Детектирующие вердикты продуктов «Лаборатории Касперского». известного как Dyre/Dyzap/Dyreza.36 2 Trojan-Spy.Win32.Win32. в  США данный показатель составил 3.Agent 1.4% атакованных пользователей. а их функции ограничиваются загрузкой «полезной нагрузки» на  зараженный компьютер – чаще всего это троянцы-банкеры семейства.Win32.AndroidOS.9%.Win32.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД В Испании с  банковскими троянцами хотя бы раз в  течение года столкнулись 5.76 8 Trojan-Banker. Информация предоставлена пользователями продуктов «Лаборатории Касперского».5 Кб. вводимых пользователем в оригинальные и добавленные троянцем веб-формы. TOP 10 семейств банковского вредоносного ПО TOP 10 семейств вредоносных программ. атакованных финансовым вредоносным ПО.Upatre 42. Подавляющее большинство семейств зловредов. подтвердившими свое согласие на  передачу статистических данных.38 3 Trojan-Banker. В России с  банковскими троянцами столкнулись 2.Faketoken 2.51 6 Trojan-Banker. от всех пользователей. атакованных данным зловредом.1%. во  Франции – 2. в Японии – 2. Для этого Dyre использует перехват данных банковской сессии между браузером жертвы и  веб-приложением онлайн-банкинга – другими словами. реализует технику «Man-inthe-Browser» (MITB).JS.Banbra 3.

Upatre был замечен на  скомпрометированных домашних роутерах. Представители семейства троянцев Trojan-Banker. Представители семейства Trojan-Banker. Троянцы семейства Zbot одними из  первых стали использовать веб-инжекты для компрометации платежных данных пользователей систем онлайнбанкинга и  модификации содержимого банковских веб-страниц. Как правило. Зловреды этих семейств воруют платежные данные с мобильных устройств под управлением операционной системы Android. это банковские вредоносные программы.AndroidOS. После того как зловред оказывается на  смартфоне жертвы. Большинство образцов ChePro – загрузчики.Zbot (второе место). Для их распространения киберпреступники используют технологии социальной инженерии: когда клиент банка с зараженного компьютера посещает страницу онлайн-банкинга. что в этом рейтинге присутствуют два семейства мобильных банковских троянцев: Faketoken и  Marcher. в  которых содержится вложение – документ с  загрузчиком. в  настоящее время его используют для атак на  пользователей многих стран. также уверенно держит свои позиции.Faketoken работают в  паре с  компьютерными банковскими троянцами. Они использовали несколько уровней шифрования своих конфигурационных файлов и при этом сам расшифрованный файл конфигурации не хранится в памяти целиком. Кроме того. а загружается по частям. Другой бессменный резидент данного рейтинга — Trojan-Spy. которое якобы будет защищать транзакции. дающий возможность использовать вредоносную программу для атаки практически на любые системы онлайн-банкинга.ChePro были впервые обнаружены в октябре 2012 г. позволяющие делать снимки экрана. а зараженное мобильное устройство позволяет им перехватывать одноразовый пароль двухфакторной аутентификации (mTAN).KASPERSKY SECURITY BULLETIN 2015 распространяется и  посредством специально сформированных электронных писем. т. что говорит о  многоцелевом использовании этого троянца злоумышленниками. Тогда троянцы атаковали преимущественно пользователей из Бразилии. Его постоянное присутствие на  верхних строчках рейтинга неслучайно. Отметим.Win32.е.Win32. имеющие функционал. летом 2015 года загрузчик TrojanDownloader. На самом деле ссылка ведет на  вредоносное приложение Faketoken. Португалии и России. регистрировать клавиатурные нажатия и читать содержимое буфера копирования.Win32. троянец модифицирует эту страницу. предлагая загрузить Android-приложение. 54 . которым для успешной атаки необходимы другие файлы. преступники через зараженный банковским троянцем компьютер пользователя получают доступ к  банковскому счету.

AndroidOS.Marcher.Agent  – вредоносный JS-код. 55 .ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД Второе семейство мобильных банковских троянцев – Trojan-Banker.JS. Задача данного кода – перехватить платежные данные. Заразив мобильное устройство. Аналогичным образом троянец действует и  в  случае открытия пользователем банковского приложения. В случае если пользователь входит в  магазин Google Play. зловреды отслеживают запуск всего двух приложений: клиента мобильного банкинга одного из  европейских банков и  Google Play. которые пользователь вводит в формы на странице онлайн-банкинга. которые затем попадают к  злоумышленникам. На десятом месте рейтинга находится семейство Trojan-Banker. Marcher демонстрирует пользователю фальшивое окно для ввода данных о  платежной карте. который является результатом процедуры инжекта в страницу онлайн-банкинга.

Например. В 2015 году появилась первая программа-вымогатель для Linux – она относится к  классу Trojan-Ransom. Кроме всего прочего. что такой план не всегда разумен.KASPERSKY SECURITY BULLETIN 2015 2015 – ИНТЕРЕСНЫЙ ГОД ДЛЯ ПРОГРАММ‑ВЫМОГАТЕЛЕЙ Троянцы-вымогатели – это класс вредоносного ПО. Чуть позже они выдали все 14 000 ключей шифрования. То. связанных с  вредоносной программой CoinVault. В последнем случае они полностью скопировали HTML-страницу из CryptoWall 3. Он известен в  том числе благодаря использованию графических интерфейсов других семейств программ-вымогателей: сначала авторы зловреда позаимствовали интерфейс CryptoLocker. Для расшифровки данных и  разблокировки компьютера владельцы вредоносных программ обычно требуют от жертв выплаты определенной суммы денег («выкупа»). которые «Лаборатория Касперского» внесла в свой новый инструмент дешифровки. К счастью.. которое вносит несанкционированные изменения в  пользовательские данные (это. ФБР заявило по  этому поводу следующее: «Программывымогатели сделаны настолько хорошо..Linux. 2015 год ознаменовался появлением зловреда TeslaCrypt. изменив только ссылки. в  2014 году был обнаружен первый вымогатель для ОС Android. стало понятно в этом году. затем CryptoWall. что позволяет расшифровать данные без выплаты выкупа. созданные для ОС Android. например. такие ошибки при  реализации допускаются все реже и  реже. создатели зловреда допустили небольшую ошибку при реализации программы. С момента появления CryptoLocker в  2013 году. Скажем прямо: мы часто рекомендуем просто заплатить требуемую сумму». программы-шифровальщики) или блокирует нормальную работу компьютера. когда голландская полиция смогла задержать двоих подозреваемых. 56 . программывымогатели прошли длинный путь развития.0. К сожалению. Всего через год уже 17% всех случаев заражения вымогателями приходилось на программы-вымогатели. В результате все жертвы CoinVault смогли расшифровать свои файлы бесплатно.

) За весь 2015 год программы-вымогатели обнаружены на 753 684 компьютерах. а затем переместились на  Запад. TOP 10 наиболее распространенных семейств троянцев-вымогателей Ниже представлен список десяти наиболее широко распространенных семейств троянцев-вымогателей.Win32. В список вошли семейства браузерных вымогателей. Таким образом вымогатели становятся все большей проблемой.Blocker) и  требуют выкупа – начали они распространяться в  России.  которые ограничивают доступ к  системе (например.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД Число пользователей. блокировщиков и  некоторых хорошо известных шифровальщиков. семейство Trojan-Ransom. Несколько лет назад были очень популярны так называемые блокировщики Windows. подвергшихся атакам На следующем графике представлен рост числа пользователей. Но в наши дни они уже не так широко распространены и не попали в TOP 10. атакованных троянцами-вымогателями (Q4 2014 г. – Q3 2015 г. 57 . ставших жертвами программ-вымогателей в прошедшем году: Число пользователей.

Agent 38.Win32. Информация предоставлена пользователями продуктов «Лаборатории Касперского». Россия и Украина.Cryakl 4.7%).mp3: «Чтобы закрыть страницу.InstallExtension (8%)  – это блокирующая браузер веб-страница. В третьем квартале 2015 года активизировался Cryakl – за  день мы фиксировали до 2300 попыток заражения.Cryptodef 3.JS.0 4 Trojan-Ransom. указанные выше). от всех пользователей.InstallExtension 8. подвергшихся атакам троянцев-вымогателей. где класс троянцев-вымогателей наиболее широко распространен (весь класс. «предупреждение от  правоохранительных органов») или содержит код JavaScript. Интересна схема шифрования  Cryakl: вместо всего файла он шифрует первые 29 байт плюс три других блока.Onion 5. то окажется. Оба семейства блокируют браузер.BAT. но  сама страница так назойлива.Blocker (20. Это делается.JS. расположенных в файле случайным образом.8 10 Trojan-Ransom.0 9 Trojan-Ransom. демонстрируя веб-страницы с  различным нежелательным контентом. подтвердившими свое согласие на передачу статистических данных. подвергшихся атакам конкретного семейства троянцев-вымогателей.Scatter 3. Эти три вредоносных семейства особенно широко распространены в  России и  почти также широко представлены в  некоторых странах постсоветского пространства. Предлагаемые расширения не  являются вредоносными.HTML.NSIS.Blocker 20.Win32.HTML. что пользователю сложно отказаться. Если посмотреть. При попытке закрыть страницу часто проигрывается файл voice.3 6 Trojan-Ransom.Agent (38%).Snocry 3. блокирующий браузер вместе с сообщением. Такой вид продвижения расширений используется партнерской программой.8 * Статистика основана на  детектирующих вердиктах продуктов «Лаборатории Касперского».1 7 Trojan-Ransom. нажмите кнопку «Добавить».Win32.Shade 1.7 3 Trojan-Ransom. что в тройке лидеров – Казахстан.Win32.0 2 Trojan-Ransom. 58 . На третьем месте находится Trojan-Ransom.JS.8 5 Trojan-Ransom.Crypmod 1.JS. которая навязывает пользователю установку расширения Chrome. тогда как шифрование первых 29 байт уничтожает заголовок. чтобы избежать распознавания поведенческими методами. ** Процент уникальных пользователей «Лаборатории Касперского». который обычно включает сообщение с  требованием выплаты денег (например. на  втором – Trojan-Ransom. На первом месте находится семейство Trojan-Ransom. не только три семейства.0 8 Trojan-Ransom.Win32.KASPERSKY SECURITY BULLETIN 2015 Название* Процент пользователей** 1 Trojan-Ransom.

атакованных троянцем-вымогателем** 1 Казахстан 5. от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.26 5 Бельгия 1. совмещая функции почтового червя и  троянца. подвергшихся атакам троянцеввымогателей Страна* % пользователей. Далее он загружает эти зловреды и  устанавливает их в  систему. компьютеры которых были атакованы троянцами-вымогателями. Cryptowall чаще всего обнаруживается в США – частота заражений в этой стране в  три раза выше.69 9 Таджикистан 0. 59 .57 * При расчетах мы исключили страны. чем в  России. о которых здесь идет речь. что они «стали частью огромного сообщества Cryptowall».47 2 Украина 3. и стало быстро развиваться. что позволяет шифровать пользовательские файлы  без раскрытия секретного ключа. содержащие заархивированный код JavaScript. В отличие от других семейств вымогателей. данный троянец распространяется и через партнерскую программу. содержащий ссылки на  дополнительные вредоносные программы. При исполнении JavaScript загружает на  компьютер Сryptowall. ** Процент уникальных пользователей. который начинает шифровать файлы.76 8 Узбекистан 0.08 6 Беларусь 0.Shade.75 3 Российская Федерация 3.69 10 Италия 0. Шифровальщик Trojan-Ransom. умеет запрашивать с командного сервера список.72 4 Нидерланды 1.Win32. В сообщение с  требованием выкупа злоумышленники внесли изменения: теперь жертв поздравляют с тем. как в  случае семейства Trojan-Ransom. Cryptowall распространяется через спам-сообщения. в  которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000). который тоже широко распространен в России.BAT.94 7 Кыргызстан 0. TOP 10 стран. Предположительно. Шифровальщики могут быть реализованы не только в виде исполняемых файлов. написанных с использованием простых скриптовых языков.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД Cryptodef – это пресловутый троянец-вымогатель Cryptowall. При шифровании используются две пары асимметричных ключей. Все командные серверы шифровальщика расположены в  сети Tor. крадущего учетные данные с  пораженного компьютера.Scatter. Это семейство появилось в 2014 г. но и в виде скриптов. Для шифрования файлов используются легитимные утилиты под другими именами.

они причиняют пользователям больше вреда. Число модификаций троянцев-шифровальщиков в коллекции «Лаборатории Касперского» (2013-2015 гг. 60 . Число новых троянцев-шифровальщиков На следующей диаграмме представлен рост числа новых версий троянцев-шифровальщиков за последние несколько лет.KASPERSKY SECURITY BULLETIN 2015 Шифровальщики Хотя сегодня шифровальщики не  настолько популярны среди киберпреступников. насколько были популярны блокировщики.) На сегодняшний день в  коллекции «Лаборатории Касперского» содержится около 11 тысяч модификаций троянцев-шифровальщиков. В 2015 году появилось десять новых семейств шифровальщиков. И их стоит рассмотреть отдельно.

Около 20% атак пришлось на корпоративный сектор. Важно помнить.) В 2015 году шифровальщиками было атаковано 179 209 уникальных пользователей. атакованных шифровальщиками Число пользователей. 61 .ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД Число пользователей. атакованных троянцами-шифровальщиками (2012-2015 гг. что реальное число инцидентов в  несколько раз выше: статистика отражает только результаты сигнатурного и  эвристического обнаружения. тогда как большая часть троянцевшифровальщиков детектируется продуктами «Лаборатории Касперского» поведенческими методами.

Win32. 62 .Cryakl. в  кампании по  заражению компьютеров участвует носитель голландского – сообщения написаны на довольно неплохом голландском.Onion). В этой стране наиболее распространено семейство шифровальщиков CTB-Locker (TrojanRansom.30 * При расчетах мы исключили страны.31 10 Австрия 0. Пользователи заражаются в  основном через электронные сообщения с  вредоносными вложениями.00 3 Российская Федерация 0. Похожая ситуация в Бельгии: здесь CTB-Locker тоже является самым распространенным троянцем-шифровальщиком.42 6 Италия 0.KASPERSKY SECURITY BULLETIN 2015 TOP 10 стран. В России список шифровальщиков. возглавляет Trojan-Ransom.31 9 Украина 0. заражающих компьютеры пользователей. использующая CTB-Locker. в  том числе голландский.06 2 Бельгия 1. ** Процент уникальных пользователей. В 2015 году злоумышленниками была запущена партнерская программа.34 8 Турция 0. подвергшихся атакам троянцевшифровальщиков Страна* % пользователей.65 4 Бразилия 0. от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране. Первое место занимают Нидерланды. в  которых число пользователей «Лаборатории Касперского» относительно мало (менее 10 000). атакованных шифровальщиками** 1 Нидерланды 1. были добавлены новые языки. Вероятно.44 5 Казахстан 0. компьютеры которых были атакованы троянцамишифровальщиками.Win32/NSIS.36 7 Латвия 0.

Script. TOP 20 вредоносных объектов в интернете Название* % от всех атак** 1 Malicious URL 75.76 2 Trojan.д.Generic 8.Script.36 63 .08 4 Trojan. рекламные программы не наносят вреда компьютерам.Script. исполняемые файлы и т.6% атак вредоносных программ.Blocker 0. Угрозы в интернете: TOP 20 Всего в течение года нашим веб-антивирусом было задетектировано 121 262 075 уникальных вредоносных объектов (скрипты. В течение года рекламные программы и  их компоненты были зафиксированы на  26.Win32.Generic 1. на  которых сработал наш веб-антивирус.Script. в  который вошли только вредоносные объекты (в нем не учитываются программы классов Adware и Riskware). рекламные программы и  их компоненты заняли 12 позиций в  этом TOP 20. форумы). контент которых создается пользователями (например. а также взломанные легитимные ресурсы. эксплойты.). которые в  2015 году чаще всего встречались в интернете.01 5 Expoit.1% всех компьютеров пользователей. Поэтому мы составили другой рейтинг.Iframer 8.19 3 Trojan. который защищает пользователей в момент загрузки вредоносных объектов с  вредоносной/зараженной веб-страницы.Win32. Увеличение количества рекламных программ. На эти вредоносные объекты пришлось 96. Вредоносные сайты специально создаются злоумышленниками. агрессивные способы их распространения и  их противодействие детектированию со  стороны антивирусов продолжают тренд 2014 года. Мы выделили двадцать угроз.79 6 Trojan-Downloader.Generic 0. зараженными могут быть веб-ресурсы. Как и в прошлом году.69 7 Trojan-Downloader.Generic 0.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД ВРЕДОНОСНЫЕ ПРОГРАММЫ В ИНТЕРНЕТЕ (АТАКИ ЧЕРЕЗ ВЕБ‑РЕСУРСЫ) Статистические данные в  этой главе получены на  основе работы веб-антивируса. Хотя агрессивная реклама и  доставляет неудобство пользователям.

использующимся.a 0.JS.diq 12 Trojan. который злоумышленники размещают на  зараженных веб-ресурсах.06 19 Trojan-Downloader.KASPERSKY SECURITY BULLETIN 2015 Название* % от всех атак** 8 Trojan.JS. сайты-вымогатели и т.Redirector.Blocker.д.13 Trojan-Downloader. Деньги пользователю надо перевести на  указанный электронный кошелек.Agent.). сайты с эксплойтами и  другими вредоносными программами.JS.JS.06 20 Trojan-Downloader.Script.Blocker. в  drive-by атаках.a 0.Redirector.14 11 0. как правило.Script. Trojan-Downloader.Win32.19 10 Trojan-Clicker. подтвердившими свое согласие на  передачу статистических данных.09 15 Exploit.Generic. 64 .qhcr 0.Generic и  другие.09 16 Trojan.gen 0.Iframe.12 13 Exploit. Вердикт Trojan-Ransom. центры управления ботнетами.Script.pq 0.Genome.ads 0.Blocker.ajh 0.09 17 Trojan-Clicker.a 0.JS. детектируется в России и странах СНГ.Script.hbs 0.JS. которые были зафиксированы на  компьютерах уникальных пользователей.Agent. который с  помощью циклического обновления страницы пытается блокировать браузер и  выводит сообщение о  необходимости оплаты «штрафа» за  просмотр неподобающих материалов.05 * Детектирующие вердикты модуля веб-антивируса. Под вердиктом Trojan. ** Процент от всех веб-атак вредоносных программ.JS.JS. Информация предоставлена пользователями продуктов «Лаборатории Касперского».31 9 Trojan-Ransom. Попадание данного вердикта в рейтинг должно служить напоминанием администраторам веб-ресурсов о легкости автоматического заражения их сайтов даже не самыми сложными программами.Script.Iframe. Malicious URL – вердикт для ссылок из нашего черного списка (ссылки на веб-страницы с редиректами на эксплойты. Такие объекты занимают семь позиций в нашем рейтинге.a (9-е место) представляет собой скрипт.Generic 0. Они детектируются эвристически как Trojan. Встречается данный скрипт в  основном на порносайтах. например.10 14 Packed.u 0. Expoit.Multi.MultiPacked. которые присваиваются объектам.HTML.ev 0. на  сайты онлайн-казино.09 18 Hoax.Iframe. Он перенаправляет пользователей на  другие веб-сайты.Script.HTML.ExtInstall.ads (8-е место) детектируется скрипт.Blocker. В TOP 20 представлены по  большей части вердикты.Iframer.

который собирает информацию о системе на компьютере пользователя. что каждый уникальных хост мог быть источником одной и  более веб-атак.JS. сайты с  эксплойтами и  другими вредоносными программами. расположенных в  десяти странах мира. Кампания по массовому заражению сайтов данным скриптом началась в августе 2015 года. Отметим. заблокированных в 2015 году. и установление географического местоположения данного IP-адреса (GEOIP). Joomla и Drupal. с  которой пользователь перешел на  страницу со  скриптом.). Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом. 80% нотификаций о  заблокированных веб-атаках были получены при  блокировании атак с  веб-ресурсов. Сначала он передает на сервер злоумышленников информацию о  заголовке зараженной страницы.Iframe.д. центры управления ботнетами и т. злоумышленники воспользовались 6 563 145 уникальными хостами. Для проведения 798 113 087 атак через интернет.источники веб-атак: TOP 10 Данная статистика показывает распределение по  странам источников заблокированных антивирусом веб-атак на  компьютеры пользователей (веб-страницы с  редиректами на  эксплойты. на котором размещен данный домен. В данной статистике мы не  учитывали источники распространения рекламных программ и хосты. либо предлагающие установить плагины для браузера. После этого с  помощью iframe в браузер пользователя загружается другой скрипт. текущем домене и  адресе страницы. После этого и серий перенаправлений пользователь попадает на  сайты. предлагающие установить под видом обновления Adobe Flash Player рекламную программу.diq (11-е место) также встречается на зараженных сайтах под управлением WordPress. 65 . Страны . временной зоне и наличии Adobe Flash Player. связанные с деятельностью рекламных программ.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД Скрипт с  вердиктом Trojan-Downloader.

Германия (13. 66 . Выбыли из  топа Канада и  Вьетнам. рынок хостинг-услуг в которых очень развит. Украина (4. Франция (5.08 п. насколько часто в течение года пользователи продуктов «Лаборатории Касперского» в  каждой стране сталкивались со  срабатыванием веб-антивируса.07%) набрала 2. Данный топ демонстрирует.95%) – разместились на девятом и десятом месте соответственно.KASPERSKY SECURITY BULLETIN 2015 Распределение по странам источников веб-атак.98%). в которых пользователи подвергались наибольшему риску заражения через интернет Чтобы оценить степень риска заражения через интернет.97%) и Швеция (1. в которой работают компьютеры в разных странах. что киберпреступники предпочитают вести свою деятельность и использовать хостинги в развитых странах. а новички – Китай (2. которому подвергаются компьютеры пользователей в разных странах мира.п. 2015 год Первые четыре места не изменились по сравнению с прошлым годом: США (24. и поднялась с  седьмого места на  пятое. Нидерланды (10.68%) и  Россия (8.03%). Полученные данные являются показателем агрессивности среды. мы подсчитали.16%) опустилась с  пятого на  седьмое место. Показатель каждой из  этих стран уменьшился на  несколько процентных пунктов. Страны.15%).

Россия по-прежнему сохраняет лидерство.58 20 Португалия 32. Эта группа уменьшилась: по итогам 2014 года в нее входило 9 стран.64 10 Катар 35.23 4 Украина 40.40 5 Вьетнам 39. от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране. Покинули TOP 20 Германия. Таджикистан.12 17 Таиланд 32.9 п. Казахстан и  Азербайджан.66 14 Киргизия 33. ** Процент уникальных пользователей. Все страны мира по  степени риска заражения при  серфинге в интернете можно распределить на три группы. Грузия. Группа повышенного риска В эту группу с  результатом выше 41% вошли первые три страны из  TOP 20 – Россия.63 9 Алжир 35.27 7 Белоруссия 37.55 11 Латвия 34.31 Настоящая статистика основана на  детектирующих вердиктах модуля веб-антивируса. 67 . Шри-Ланка и  Турция. подтвердившими свое согласие на передачу статистических данных. Непал.п. Китай.37 15 Молдавия 33.90 2 Казахстан 46.80 19 ОАЭ 32. однако процент уникальных пользователей там уменьшился на 4. Саудовская Аравия.28 16 Китай 33. Первые три страны в данном рейтинге не изменились по сравнению с  2014 годом.55 6 Монголия 38. 1. в  которых отмечен наибольший риск заражения компьютеров через интернет Страна* 1 Россия % уникальных пользователей** 48. в  которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч). которые были предоставлены пользователями продуктов «Лаборатории Касперского».ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД 20 стран.94 13 Бразилия 33. ОАЭ и Португалия. * При расчетах мы исключили страны. Австрия. Таиланд. Бразилия. Среди новичков – Латвия. подвергшихся веб-атакам.92 18 Литва 32.91 8 Армения 36.20 12 Непал 33.27 3 Азербайджан 43.

2%).1%). 68 . Нидерланды (18.0%). Если продукт стоит. Мексика (24. Индия (31. Группа наиболее безопасных стран (0-20.3%).2%).0%). в том числе: Кения (20. Южная Корея (17.4%). 2%).3%).4%). Венгрия (20.6%). • В-третьих. Группа риска В эту группу с  показателями 21-40. все чаще пользователи отдают предпочтение для серфинга в интернете мобильным устройствам и планшетам. свой вклад в борьбу с вредоносными сайтами стали вносить браузеры и  поисковые системы. стоит ли у пользователя наш продукт. Греция (30.1%). многие эксплойт-паки стали проверять. США (26.8%). • Во-вторых. разработчики которых обеспокоились безопасностью пользователей. Австралия (28.3%).п. В среднем уровень опасности интернета за  год снизился на  4.6%). то эксплойты не пытаются атаковать компьютер пользователя. Германия (32. 3.0%).4%). Дания (15. Болгария (27. Финляндия (16. Аргентина (18.8%). Великобритания (22.1 п. Египет (23.0%). Румыния (23.2%). Швеция (18%). Испания (31.4%).3%).4%). Израиль (25.2%).2% компьютеров пользователей интернета.0%). Он может быть обусловлен несколькими факторами: • Во-первых. в  том числе: Франция (32. Мальта (19.5%). Италия (29. Канада (30. Ирландия (21. Швейцария (28.4%). Данный тренд плавного снижения начался в 2014 году.KASPERSKY SECURITY BULLETIN 2015 2.6%). В 2015 году при  серфинге в  интернете веб-атакам хотя бы раз подверглись 34. Сингапур (18.9% попали 109 стран. и продолжается второй год подряд. Чехия (22. Турция (31.9%). Грузия (26.7%). Норвегия (18.9%) В эту группу попали 52 страны.7%). Япония (21.

29 5 Virus.36 10 Trojan. программы в  составе сложных инсталляторов.40 7 Trojan. и данные по сканированию различных съемных носителей информации.gen 6.Win32.StartPage.Win32. которые в  2015 году чаще всего детектировались на  компьютерах пользователей.Generic 39.01 8 DangerousPattern. которые проникли на  компьютер путем заражения файлов или съемных носителей либо изначально попали на  компьютер не  в  открытом виде (например.Agent.42 11 3.r 5.79 13 Trojan. Вредоносные объекты.WinLNK.gen 5.cfo 2.Multi.Generic 4.Agent. В этом разделе мы анализируем статистические данные.VBS. В данный рейтинг также не входят программы классов Adware и Riskware.Generic 5. Всего в  2015 году было зафиксировано около 4 миллионов вредоносных и потенциально нежелательных программ. обнаруженные на компьютерах пользователей: TOP 20 Мы выделили двадцать угроз.53 6 Worm.19 4 Trojan.Multi.93 9 Trojan-Downloader.WinLNK. Название* % уникальных атакованных пользователей** 1 DangerousObject. Кроме того.Dinihou.Autoit. полученные на основе работы антивируса.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД ЛОКАЛЬНЫЕ УГРОЗЫ Важным показателем является статистика локальных заражений пользовательских компьютеров.Generic 4.Win32.AutoRun. которые были обнаружены на  компьютерах пользователя после установки нашего продукта и  первого сканирования системы файловым антивирусом.Generic 27.Debris. Сюда попадают объекты.Sality. чем в прошлом году.30 3 Trojan.Win32. сканирующего файлы на жестком диске в момент их создания или обращения к ним.ew 3.ue 2.VBS. в  этой статистике учитываются объекты.a 12 Trojan.61 69 . зашифрованные файлы и  т.).24 Worm.Win32.д.gena 17.Win32. Это в два раза больше.Script.70 2 Trojan.

у которых происходило срабатывание антивируса на вредоносные программы.Generic 1.23 16 Trojan.gen в прошлом году встречался у 6. распространяющихся на  съемных носителях. подтвердившими свое согласие на передачу статистических данных.Sality.aiy 1.Script. ** Процент уникальных пользователей. * Детектирующие вердикты модулей OAS и  ODS антивируса.lgb 2. Первое место занимает вердикт DangerousObject. от всех уникальных пользователей продуктов «Лаборатории Касперского». обнаруженных с  помощью облачных технологий. Показатель Virus. который извлекает из себя и сохраняет на диск Virus.97 18 Worm.Nimnul.37%. ни эвристики для детектирования вредоносной программы.VBS. Учитывались детектируемые объекты. – флешках.8%.Agent. подтвердившими свое согласие на  передачу статистических данных.37 15 Worm.Win32. Червь может продолжать свое распространение на  протяжении длительного времени. Помимо эвристических вердиктов и вирусов в TOP 20 представлены вердикты для червей. в которых компьютеры пользователей подвергались наибольшему риску локального заражения Для каждой из  стран мы подсчитали.VBS.Nimnul.Generic (39. которые были предоставлены пользователями продуктов «Лаборатории Касперского». даже если его серверы управления уже не действуют. найденные непосредственно на компьютерах пользователей или же на съемных носителях.bp представляет собой VBS-скрипт.KASPERSKY SECURITY BULLETIN 2015 Название* 14 Virus.Autoit.Agent. когда в  антивирусных базах еще нет ни сигнатуры.Nimnul.04 17 Worm. насколько часто в  течение года пользователи в ней сталкивались со срабатыванием файлового антивируса.a % уникальных атакованных пользователей** 2. Их попадание в двадцатку обусловлено характером их распространения и  созданием множества копий.Win32. подключенных к компьютерам. По сути.Generic 2. но в облаке антивирусной компании уже есть информация об объекте. в 2015 – у 5.55 Данная статистика представляет собой детектирующие вердикты модулей OAS и  ODS антивируса.66 20 Trojan-Dropper.Win32.Win32. используемый для вредоносных программ. так детектируются самые новые вредоносные программы.53%. картах памяти 70 .70%). Эти технологии работают.Win32. на  компьютерах которых файловый антивирус детектировал данный объект.94 19 HiddenObject. Продолжает падать доля вирусов: например. Virus.Generic 1.Win32.bp 1. Присутствующий в  рейтинге на  двадцатом месте вердикт TrojanDropper.Multi. в  2015 – 2.a в  2014 году – 2. которые были предоставлены пользователями продуктов ЛК.Win32.Multi. Страны.69% пользователей.Starter. и их компонентов.

30%) опустилась со  второго на  четвертое место. на компьютерах которых были заблокированы локальные угрозы. TOP 20 стран по уровню зараженности компьютеров Страна* %** 1 Вьетнам 70. Сомали. а  Бангладеш (69. Россия (68.55 3 Россия 68.71 11 Ирак 63. Афганистан. Среди новичков – Россия.66 16 Руанда 61.75 14 Алжир 62.81 4 Монголия 66. не вошедшая в TOP 20 в прошлом году. Турция. в  которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч).83 2 Бангладеш 69.37 17 Пакистан 61.65 10 Казахстан 63. телефонов.22 7 Грузия 65. Палестинская территория. 71 . Покинули TOP 20 Индия. Мьянма. Первое место в этом рейтинге третий год подряд занимает Вьетнам (70.20 8 Непал 65.30 5 Армения 65. Шри-Ланка. Саудовская Аравия.81%). внешних жестких дисках.36 18 Сирия 61.55%) поднялся с  четвертого на  второе. Монголия и  Бангладеш в  2015 году поменялись местами: Монголия (66. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.78 Настоящая статистика основана на  детектирующих вердиктах файлового антивируса.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД фотоаппаратов.61 6 Сомали 65.95 20 Украина 60.37 12 Иран 63. * При расчетах мы исключили страны.10 9 Йемен 64. Египет.83%). ** Процент уникальных пользователей. подтвердившими свое согласие на  передачу статистических данных. Иран. от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.68 15 Камбоджа 61. в 2015 году оказалась сразу на третьем месте.14 13 Лаос 62. Украина. Армения.00 19 Палестинская территория 60. Грузия. которые были предоставлены пользователями продуктов ЛК. Судан. Руанда.

Сингапур (31. 6%).8%). Франция (42.8%).5%). Швеция (27.0%). подключенном к  нему. ОАЭ (52. Италия (39. Финляндия (27. В случае локальных угроз мы можем разделить все страны мира на несколько категорий. Корея (41.7%. Германия (44. Сербия (50.1%).77%). Польша (44. Турция (56. Венгрия (38. – у 67. Средний уровень заражения (21-40. Китай (53. предоставляющих нам информацию.1%).7%).7% пользователей KSN. Испания (44.7%). Египет (57. Израиль (47.4%).2%). 2. в  том числе Румыния (40. Белоруссия (56. Австралия (38.6%). 3.7%).5%).7%).3%). Нидерланды (32.2%). в  том числе: Киргизия (60. Аргентина (47.9%).7%).4%). Ирландия (32. 1.3%). в том числе Индия (59.2%). Латвия (45.5%).7%).6%).3%).4%).4%).KASPERSKY SECURITY BULLETIN 2015 В среднем в группе стран из TOP 20 вредоносный объект хотя бы раз был обнаружен на компьютере – на жестком диске или на съемном носителе. Австрия (41. 54%). Чехия (31.9%). тогда как в 2014 году – у 58. Высокий уровень заражения (41-60%) В эту группу попали 98 страны мира. Максимальный уровень заражения (более 60%) В эту группу вошли 22 страны. Дания (25.4%).7%). Бразилия (53. Канада (39. Афганистан (60.3%). Швейцария (37. Норвегия (30. США (36. Великобритания (34.9%) В группу вошли 45 стран.7%).2%). Греция (42. 72 . Япония (25.0%). Болгария (47.7%).

9 п.5 * Процент уникальных пользователей. В среднем в  десятке самых безопасных стран мира хотя бы раз в  течение года было атаковано 26. 73 .9% компьютеров пользователей.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД В десятку самых безопасных по уровню локального заражения стран попали: Страна 1 Куба % пользователей* 20. от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране. По сравнению с 2014 годом в этом списке произошли изменения – появились Андорра.4 6 Финляндия 27. на компьютерах которых были заблокированы локальные угрозы. По  сравнению с  прошлым годом этот показатель увеличился на 3. покинула рейтинг Мартиника.п.3 3 Япония 25.7 8 Норвегия 30.5 9 Сингапур 31.4 10 Чехия 31.4 7 Андорра 28.8 2 Сейшельские острова 25.6 4 Дания 25.8 5 Швеция 27.

KASPERSKY SECURITY BULLETIN 2015 ЗАКЛЮЧЕНИЕ На основе анализа статистики мы можем выделить основные направления развития деятельности киберкриминала: • Часть людей. Во-вторых. 74 . в течение года было найдено большое количество уязвимостей в  данном продукте. чем и воспользовались злоумышленники. В 2015 году у вирусописателей выросла популярность эксплойтов для Adobe Flash Player. Распространение такого ПО приносит немалые деньги.1% всех компьютеров пользователей. занимавшихся киберкриминальной деятельностью. стремится минимизировать риски уголовного преследования и  переключается с  атак вредоносных программ на  агрессивное распространение рекламного ПО. Все большая доля срабатывания антивируса приходится на  «серую зону»: в  первую очередь это различные рекламные программы и  их модули. характерные для вредоносных программ. • Злоумышленники освоили не-Windows платформы – Android и Linux: для этих платформ созданы и используются практически все виды вредоносных программ. В течение года рекламные программы и  их компоненты были зафиксированы на  26. В нашем рейтинге веб-угроз 2015 года представители этого класса программ занимают двенадцать позиций в TOP 20. агрессивные способы их распространения и  их противодействие детектированию антивирусов продолжают тренд 2014 года. По нашим наблюдениям. чем и  достигается эффективность атак. Это можно объяснить двумя причинами: во-первых. Увеличение количества рекламных программ. Такой подход позволяет злоумышленникам быстро обновлять вредоносное ПО. • В используемом в массовых атаках ПО растет доля относительно несложных программ. лэндинг-страницы с эксплойтами чаще всего загружают именно эксплойты к Adobe Flash Player. на  которых сработал наш веб-антивирус. и  его создатели в  погоне за  наживой иногда используют приемы и технологии. • В ходе своей деятельности киберкриминал активно использует современные технологии анонимизации – Tor для сокрытия командных серверов и Биткойны для проведения транзакций. в  результате утечки данных от Hacking Team в  публичном доступе оказалась информация о  неизвестных ранее уязвимостях во Flash Player.

что целых два семейства мобильных банковских троянцев – Faketoken и  Marcher – попали в  TOP 10 банковских зловредов по итогам года. обзаводятся функционалом кражи данных с компьютера. который долгие годы находился на  первом месте. на  первом месте был Upatre. Среди всех банковских угроз доля атакованных Dyreza пользователей составила более 40%. Исходя из трендов. который в  большинстве случаев не  дает жертве возможности простым способом восстановить доступ к  информации. были вытеснены вредоносной программой Trojan-Banker. нацеленных на  кражу денег через системы интернет-банкинга. В течение 2015 года в  рейтинге зловредов. можно предположить. 3. то первый троянец-вымогатель для Android был обнаружен еще в  2014 году. нацеленных на  Android OS. количество пользователей. то есть практически везде. Подтверждением этого является и  появление в  2015 году первого троянцашифровальщика под Linux. что в  следующем году мобильные банкеры будут занимать куда больший процент в нашем рейтинге. известного как Dyre/Dyzap/Dyreza. В то время как популярность программ-блокеров постепенно падает. Особенно активно злоумышленники используют шифровальщики в  атаках на  бизнес-пользователей. Если на  Linux злоумышленники только-только обратили свое внимание. Шифрование файлов вместо простой блокировки компьютера – метод.ОСНОВНАЯ СТАТИСТИКА ЗА 2015 ГОД В стане банковских троянцев произошло интересное изменение. нацеленного на веб-серверы.Win32. 4. 2. помимо функционала собственно шифрования. и  по итогам года 17% атак программ-вымогателей были заблокированы именно на устройствах под управлением Android OS. Угроза активно распространяется по  всей планете: продукты «Лаборатории Касперского» обнаружили троянцев-вымогателей в 200 странах и территориях. закачивающий на  компьютер жертвы троянцы-банкеры семейства. стремительно росло. В 2015 году произошел ряд изменений и  в  стане троянцеввымогателей: 1.3%. Также отметим. При этом крипторы становятся многомодульными и. Бесчисленные модификации троянца ZeuS. чем обычные домашние пользователи.Dyreza. В 2015 число атак. атакованных программамишифровальщиками за год выросло на 48. которые идут на  оплату выкупа куда охотнее. 75 . Банкер использует эффективную схему веб-инъекций с  целью воровства данных для доступа к системе онлайн-банкинга.

KASPERSKY SECURITY BULLETIN 2015 В 2016 году мы ожидаем продолжения развития шифровальщиков. 76 . нацеленных на  не-Windows платформы: увеличение доли Android и  появление шифровальщиков. нацеленных на  Mac OS. что Android активно используется и  в  бытовой электронике. могут произойти и первые атаки крипторов на «умные» устройства. Учитывая.

77 .ПРОГНОЗЫ НА 2016 ГОД: КОНЕЦ АРТ-УГРОЗ – КАКИМИ МЫ ИХ ЗНАЕМ...

что нам предстоит и впредь сталкиваться со множеством интересных вызовов. ооперируя сухими цифрами и фактами. так и на более отдаленное будущее. Мне выпала честь отобрать некоторые из наиболее интересных и вероятных прогнозов – как на ближайший год. Во время недавней общей встречи сотрудников Глобального центра исследований и анализа угроз (GReAT) и антивирусных исследователей-экспертов (такие встречи проводятся нечасто) мы воспользовались возможностью и набросали идей относительно вероятного развития событий. как развивалась индустрия и представить свой прогноз на предстоящие годы.KASPERSKY SECURITY BULLETIN 2015 ВВЕДЕНИЕ Год подходит к концу. Возможно. проанализировать. мы сумеем избежать нагнетания страха в духе научной фантастики и взамен предложить точные прогнозы и на короткий. подводя его итоги. и для нас это повод. Перспективы нашей быстро развивающейся отрасли заставляют задуматься. 78 . и на долгий срок. ясно.

злоумышленники будут чаще отдавать предпочтение переориентации готового вредоносного ПО на новые задачи вместо того. действующих при поддержке государственных структур. Мы ожидаем. отдавая большее предпочтение резидентным. и. или бесфайловым. становящийся бесполезным после его обнаружения экспертами по безопасности.КОНЕЦ APT-УГРОЗ – КАКИМИ МЫ ИХ ЗНАЕМ… КОНЕЦ APT Прежде. что APT-группировке будет легче спрятаться и скрыть свои намерения за широкими возможностями применения стандартного. чем вы начнете праздновать. что вредоносная платформа теперь не будет терять актуальность после своего обнаружения. окупаемость инвестиций будет играть не последнюю роль в принятии решений о финансировании злоумышленников. которые связаны с продолжительностью и сложностью атак (APT – Advanced Persistent Threats. что злоумышленники будут уделять меньшее внимание продолжительности атак. оставляемых в зараженной системе. Как известно. но еще и в том. целевые продолжительные атаки повышенной сложности). вредоносным программам. легально продаваемого RAT (remote administration tool – инструмента удаленного администрирования). Киберпреступники готовы с радостью отказаться от обоих аспектов ради скрытости атак. Значение этого не только в том. руткиты и специализированный вредоносный код. следует отметить. Смысл в том. что мы имеем в виду только те аспекты APT-угроз. благодаря этому. чтобы инвестировать в буткиты. низкие первоначальные вложения – залог отличной окупаемости. Еще одно изменение в подходе будет связано с уменьшением акцента на сложность вредоносного ПО. чтобы уменьшить количество следов. Когда эйфория от возможностей нестандартного вредоносного ПО сойдет на нет. 79 . избежать обнаружения. По нашим прогнозам.

Эта угроза мало беспокоит обладающие значительными ресурсами сторонние организации. что программы-вымогатели перейдут Рубикон и будут не только заражать компьютеры Mac.FreeBSD. такие как банки.Linux. Слабые попытки реализовать программы-вымогатели на мобильных (Simplelocker) и Linuxустройствах (Ransom. однако. но и будут осваивать новые для себя платформы.Cryptor) уже делались. И вот вопрос: сколько вы готовы заплатить за возвращение доступа к просмотру телепрограмм? К холодильнику? К автомобилю? 80 . в обозримом будущем программы-вымогатели ожидает неизменный успех и открытие новых горизонтов. но и требовать у жертв выкуп «по ценам Mac». в более дальней перспективе. Мы ожидаем. и о ней редко поступают жалобы в правоохранительные органы. существует вероятность появления программвымогателей для «интернета вещей». вероятно.KASPERSKY SECURITY BULLETIN 2015 ПРОДОЛЖЕНИЕ КОШМАРА С ТРОЯНЦАМИВЫМОГАТЕЛЯМИ По нашему мнению. OS X – более желанная платформа для киберпреступников. что программы-вымогатели не только отвоюют часть рынка у банковских троянцев. Затем.Cryptor и Trojan-Ransom. У этого вида вредоносного ПО есть два преимущества для злоумышленников перед традиционными банковскими угрозами: прямая монетизация и относительно низкие затраты в расчете на жертву. Мы ожидаем.

Мы ожидаем. Еще одна группа объектов. таким как взлом используемых при высокочастотном трейдинге алгоритмов «черного ящика». 81 . – это фондовые биржи. настоящая золотая жила. не говоря уже о дерзких ограблениях Carbanak. в ходе которых злоумышленникам удалось украсть сотни миллионов долларов. В уходящем году мы видели множество примеров атак на кассовые терминалы и банкоматы. что киберпреступники будут и дальше действовать в том же духе и возьмут в оборот новинки рынка – такие как альтернативные платежные системы (ApplePay и AndroidPay). которые неизбежно вызовут интерес. чтобы обеспечить продолжительное получение выгоды при минимальном риске быть пойманными. связанные с более тонким вмешательством. В то время как лобовые атаки могут принести быстрый доход. нельзя сбрасывать со счетов возможности. позволив им элегантно перейти от атак на конечных пользователей к преследованию обслуживающих их финансовых организаций. При этом растущее число пользователей этих систем должно давать злоумышленникам новый способ прямой монетизации.КОНЕЦ APT-УГРОЗ – КАКИМИ МЫ ИХ ЗНАЕМ… ФИНАНСОВЫЕ ПРЕСТУПЛЕНИЯ НА САМОМ ВЫСОКОМ УРОВНЕ: ИГРА ПРОТИВ ЗАВЕДЕНИЯ Слияние киберпреступности и APT-угроз воодушевило финансово мотивированных преступников.

KASPERSKY SECURITY BULLETIN 2015 АТАКИ НА ПРОИЗВОДИТЕЛЕЙ ЗАЩИТНЫХ СИСТЕМ Исходя из роста числа атак на производителей систем для обеспечения безопасности. открытое для злоупотреблений. Это одна из уязвимостей. Приведем в качестве примера уязвимость в реализации утилиты Strings в Linux – CVE-2014-8485. таких как OllyDbg и WinDbg. мы прогнозируем появление интересного вектора атаки. Такие уязвимости могут пытаться эксплуатировать злоумышленники. или средств виртуализации – таких как комплекс VMware и продукт VirtualBox. что пользователи зачастую берут код из репозитория и запускают его на своих системах без элементарных мер предосторожности. которые охотно используют представители сообщества экспертов по информационной безопасности. Возможно. применяемом экспертами по безопасности при проведении исследований. Дело в том. Еще одно направление. 82 . который заключается во взломе применяемых игроками отрасли стандартных инструментов реверс-инжиниринга. обнаруженных в сложном инструментарии. стоит также с подозрением взглянуть на популярные реализации PGP. – это обмен бесплатным исследовательским инструментарием через репозитории кода. всерьез намеревающиеся атаковать самих экспертов по IT-безопасности. такие как Github. таких как IDA и Hiew. средств отладки.

использование низкого уровня кибербезопасности для демонстрации своей «хакерской силы». ВЫМОГАТЕЛЬСТВО И ПРЕДАНИЕ ПОЗОРУ От размещения в Сети обнаженных фото знаменитостей до взлома систем компаний Sony и Ashley Madison и публикации содержимого серверов HackingTeam – все говорит о том.КОНЕЦ APT-УГРОЗ – КАКИМИ МЫ ИХ ЗНАЕМ… ВРЕДИТЕЛЬСТВО. другие – результат приспособленчества. 83 . В то время как некоторые из подобных атак являются частью хорошо спланированных кампаний. – все они прибегают к хорошо продуманному размещению частных фото. распространенность подобных явлений продолжит расти по экспоненте. что случаи доксинга (DOXing – это публикация личных данных в Сети без согласия владельца). опирающиеся на государственную поддержку. данных. преступники и злоумышленники. публичного опозоривания и вымогательства становятся все более и более частыми. клиентских списков и кода с целью опозорить своих жертв. К сожалению. Хактивисты.

злоупотребления затронут еще один вид доверенных объектов – внутренние ресурсы компаний. который будет выписывать цифровые сертификаты на их вредоносные программы. В поисках возможностей закрепиться в зараженной сети и продвинуться вглубь нее коварные киберпреступники могут обратить свой взор на ресурсы. Не исключено даже.KASPERSKY SECURITY BULLETIN 2015 КОМУ ДОВЕРЯТЬ? Возможно. файловый сервер или портал ADP. самый серьезный дефицит в наш век интернета – это дефицит доверия. По нашим прогнозам. внесенные в белые списки. если киберпреступники организуют от начала до конца сфабрикованный центр сертификации. доступные только через корпоративный интранет – например. организовывать атаки типа watering hole на корпоративный Sharepoint-портал. 84 . Злоумышленники снова и снова будут использовать для своих вредоносных целей библиотеки с открытым исходным кодом и ресурсы. что мы столкнемся с крайней формой и без того вопиющего злоупотребления доверенными сертификатами. Злоупотребление доверенными ресурсами будет способствовать дальнейшему усилению этого дефицита.

что развитие целевых атак. на сторонних исполнителей и не подвергать риску свой инструментарий и инфраструктуру. Эта тенденция будет только усиливаться: спрос на возможности для проведения кибератак порождает предложение. Здесь был бы уместен термин «APT как сервис» (APT-as-a-Service). еще интереснее то.КОНЕЦ APT-УГРОЗ – КАКИМИ МЫ ИХ ЗНАЕМ… APT-ГРУППИРОВКИ: ЧТО НАС ЖДЕТ В БУДУЩЕМ Наши враги не могли не обратить внимание на выгодность кибершпионажа. на которых уже были успешно проведены атаки наемников. приведет их к уровню. Заглядывая дальше в будущее кибершпионажа. Тем временем. который можно условно назвать «Доступ как сервис» (Access-as-a-Service). на сцену начали выходить наемники. Как мы и ожидали. не имеющие критической важности. можно ожидать появления еще нескольких новых языков в вавилонском столпотворении APT. вероятно. И компании. 85 . мы видим возможный выход из тени членов наиболее серьезных APT-группировок (если угодно. но. Речь идет о продаже доступа к системам жертв высокого уровня. «элиты APT-мира»). Возможны два разных сценария такого выхода из тени: переход представителей этих группировок в частный сектор экономики в связи с распространением практики «ответных ударов» (hacking back) со стороны жертв хакерских атак или передача ими информации сообществу экспертов по информационной безопасности – например путем участия в конференциях с целью представить собственную версию ситуации. и известные APT-группировки ищут способы переложить задачи. по нашим прогнозам.

геополитической напряженностью. различные атаки на DNS-серверы и использование серверов для проведения DDoS-атак – все это говорит о безнаказанности и отсутствии в Сети регулирования и контроля в глобальном масштабе. во что превратится интернет. соединяющих крупные группы интернет-ресурсов. Если говорить о долгосрочных прогнозах. будут становиться общедоступными и все более широко применяться. разработчики. связанные с теневыми рынками. 86 . разделенному государственными границами. можно представить себе. можно ожидать. В этом случае доступность ресурсов может быть ограничена атаками на связующие звенья. Мы можем прийти к раздробленному («балканизированному») интернету. или. делающего мир единой глобальной «деревней». формирующие уязвимые точки интернета. биржами и форумами. будут создавать более современные технологии. что мы столкнемся с появлением черного рынка соединений. перехват BGP-сессий и BGP dampening. возможно. что по мере того как технологии. обеспечивающие соединения между различными сегментами интернета. Появление огромных ботнетов из маршрутизаторов. препятствующей использованию физических каналов. Можно даже предположить. которые позволят подпольным ресурсам оставаться в глубокой тени. Кроме того. если будет и дальше терять свою роль связующего звена.KASPERSKY SECURITY BULLETIN 2015 БУДУЩЕЕ ИНТЕРНЕТА В последние годы появились признаки напряжения и разрывов в инфраструктуре самого интернета.

что целью подобных атак может стать кража ценного имущества или организация аварий движущихся транспортных средств с человеческими жертвами.КОНЕЦ APT-УГРОЗ – КАКИМИ МЫ ИХ ЗНАЕМ… БУДУЩЕЕ ТРАНСПОРТА В наши дни значительные инвестиции и наиболее передовые исследовательские ресурсы направляются на разработку автономных транспортных средств как для личного. Можно предположить. Такой транспорт потребует создания распределенных систем для управления маршрутами и крупными потоками подобных транспортных средств. Возможно. лежащим в основе этих систем (концептуальную схему эксплуатации уязвимостей в широко используемой системе спутниковой связи Global Star в этом году на конференции BlackHat представил эксперт из компании Synack). а на перехват и подмену трафика. передаваемого по протоколам. атаки будут направлены не на сами распределенные системы. 87 . так и для коммерческого применения.

нельзя ожидать гладкого перехода к прогрессивным стандартам. что даже современные высококачественные криптографические системы зачастую не применяются или реализуются некорректно. как обещают предстоящие прорывы в области квантовых вычислений? Несмотря на то что поначалу квантовые вычисления не будут доступны обычным киберпреступникам. если наши вычислительные возможности перейдут на качественно новый уровень. В основе применяемых сегодня криптографических стандартов лежит представление о том. «постквантовой» криптографии. можно говорить об исчерпании ресурсов надежности текущими стандартами шифрования и необходимости создания новой. который позволил бы избежать масштабных проблем. связанных с неадекватностью криптозащиты в новых условиях. невозможно переоценить важность криптографических стандартов для поддержания функциональной роли интернета как непревзойденного средства взаимодействия и обмена информацией. что вычислительные мощности. зашифрованных на основе этих стандартов.KASPERSKY SECURITY BULLETIN 2015 ПРИБЛИЖЕНИЕ КРИПТОАПОКАЛИПСИСА И наконец. 88 . превышают возможности всех людей вместе взятых. Учитывая. необходимые для взлома данных. Но что произойдет.

ресурс экспертов «Лаборатории Касперского» с актуальной информацией о киберугрозах.Academy Business Eugene SecureList ThreatPost Daily Securelist. Сайт «Лаборатории Касперского» Daily Academy Business ThreatPost Daily B2C блог «Лаборатории Касперского» Новостная служба «Лаборатории Касперского» Cледите за нами Academy Business Eugene ThreatPost Daily Business Daily Academy Business Daily Блог Евгения Касперского B2B блог «Лаборатории Касперского» Блог Kaspersky Academy 89 .