Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Inhalt

Das Quartal in Zahlen

Laut den Daten des Kaspersky Security Network (KSN) wehrten die Produkte von Kaspersky Lab 479.528.279 Attacken von Internet-Ressourcen ab, die sich in 190 Ländern der Welt befinden.

Kaspersky Anti-Virus schlug bei 79.209.775 individuellen URLs Alarm.

Infektionsversuche durch Malware, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist, wurden auf den Computern von 288.000 Nutzern von Kaspersky-Produkten abgewehrt.

Angriffe durch Verschlüsselungstrojaner wurden auf den Computern von 240.799 individuellen Anwendern abgewehrt.

Die Antiviren-Lösungen von Kaspersky Lab registrierten 174.989.956 individuelle schädliche beziehungsweise potenziell unerwünschte Objekte.

Die Kaspersky-Lab-Produkte zum Schutz mobiler Geräte entdeckten im ersten Quartal 2017:

  • 1.333.605 schädliche Installationspakete
  • 32.038 Installationspakete mobiler Banktrojaner
  • 218.625 Installationspakete mobiler Ransomware

Mobile Bedrohungen

Die wichtigsten Ereignisse des Quartals

Zunahme von Trojan-Ransom.AndroidOS.Egat

Im ersten Quartal 2017 registrierten die Kaspersky-Experten eine explosionsartige Zunahme der Angriffe seitens der mobilen Erpresserfamilie Trojan-Ransom.AndroidOS.Egat: Die Zahl der von ihr angegriffenen Nutzer ist gegenüber dem vorangegangenen Quartal um mehr als das 13-Fache gestiegen. Obwohl uns dieser Trojaner schon seit Juni 2016 bekannt ist, registrieren wir erst jetzt eine aktive Zunahme der Attacken.

Der Schädling verfügt über eine für mobile Erpresser typische Funktionalität: Er blockiert die Funktion des Gerätes, indem er alle anderen Fenster mit seinem eigenen überlagert und fordert dann Geld für das Entsperren. In den meisten Fällen liegt die Lösegeldsumme zwischen 100 und 200 US-Dollar. Die meisten angegriffenen Nutzer befanden sich in Europa, in erster Linie in Deutschland, England und Italien.

ZTorg-Update

Wir konnten um die 30 neue Trojaner der Familie Ztorg im Google Play Store ausmachen. Zur Erinnerung: Das ist dieselbe Familie, zu der auch die infizierte Anleitung für das Spiel Pokémon GO gehört, die Kaspersky Lab im Sommer 2016 bei Google Play entdeckte und die über 500.000 Mal installiert wurde. Diese Familie stellt nach der Installation sicher, dass sie auf dem realen Gerät installiert ist und nicht auf der virtuellen Maschine. Ist diese Überprüfung abgeschlossen, wird von einem entfernten Server das Hauptmodul geladen, das unter Ausnutzung einer Sicherheitslücke im System versucht, Superuser-Rechte zu erhalten. Gelingt das, so installiert der Schädling seine Module in Systemverzeichnissen und modifiziert die Geräteeinstellungen dahingehend, dass er auf dem Gerät verbleibt, selbst wenn es auf Werkseinstellungen zurückgesetzt wird.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

TrojanerTrojan.AndroidOS.Ztorg.bp im Google Play Store

Der Trojaner verwendet mehrere unterschiedliche Module, die verborgen verschiedene Programme auf das Gerät laden und dort installieren, die Werbung anzeigen und sogar Apps kaufen können. Bemerkenswert ist auch, dass sich die Funktionalität des Schädlings ein wenig verändert hat: Die Zahl der Überprüfungen auf Echtheit des Geräts hat sich verringert und der Download-Code, der Dechiffrierungscode und der Download des Hauptmoduls wurden in die zu ladende Bibliothek verlagert.

Aktivierung von Asacub

Im ersten Quartal 2017 registrierte Kaspersky Lab eine aktive Verbreitung des mobilen Bank-Trojaners Trojan-Banker.AndroidOS.Asacub. Innerhalb von drei Monaten griffen Vertreter dieser Familie mehr als 43.000 mobile Geräte an, das sind 2,5 Mal mehr als im vorangegangenen Quartal. Mehr als 97 Prozent der angegriffenen Nutzer befanden sich in Russland. In erster Linie wurde Asacub via SMS-Spam verbreitet. Beim Klick auf einen schädlichen Link landete der Nutzer auf einer Seite mit der Aufforderung, sich eine ММS anzuschauen, unter deren Deckmantel dann der Trojaner geladen wurde. Interessant ist, dass beim Klick auf ein und denselben Link unter Windows der Schädling Backdoor.Win32.Htbot.bs geladen wurde.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Webseite, von der aus Trojan-Banker.AndroidOS.Asacub geladen wird

Interessant ist auch, dass Trojan-Banker.AndroidOS.Asacub sich immer mehr Spionage-Funktionen aneignet. Neben den für mobile Bankenschädlinge typischen Möglichkeiten wie Diebstahl und Versand von SMS und das Überdecken verschiedener Apps mit Phishing-Fenstern stiehlt dieser Trojaner auch die Anrufliste, die Kontakte sowie die GPS-Koordinaten des Mobilgeräts.

Statistik der mobilen Bedrohungen

Im ersten Quartal 2017 entdeckte Kaspersky Lab 1.333.605 schädliche Installationspakete. Dieser Wert blieb gegenüber dem vierten Quartal 2016 praktisch unverändert.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Zahl der entdeckten schädlichen Installationspakete (zweites Quartal 2016 bis erstes Quartal 2017)

Verteilung der entdeckten mobilen Schädlinge nach Typen

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Verteilung neuer mobiler Schädlinge nach Typen (viertes Quartal 2016 und erstes Quartal 2017)

Den größten Zuwachs an schädlichen Installationspaketen demonstrierten im ersten Quartal die Vertreter der mobilen trojanischen Erpresser: Ihr Anteil stieg von 4,64 auf 16,42 Prozent, das heißt der Wert ist 3,5 Mal höher. Die größte Zunahme unter den Familien verzeichnete Trojan-Ransom.AndroidOS.Congur; von dieser Familie wird später noch die Rede sein.

Auf Platz zwei im Rating nach Zuwachstempo positionierten sich die Spionage-Trojaner: Ihr Anteil stieg um 1,83 auf nunmehr 10,27 Prozent. Diese Entwicklung ist in erster Linie auf die der Schädlinge aus den Familien Trojan-Spy.AndroidOS.SmForw und Trojan-Spy.AndroidOS.SmsThief zurückzuführen, die auf den Diebstahl von SMS spezialisiert sind.

Am stärksten zurückgegangen sind im ersten Quartal die Anteile von Adware (7,32 %) und Trojan-Dropper (6,99 %) – um 4,99 respektive 4,48 Prozentpunkte. Überdies ist der Anteil der unerwünschten Programme der Kategorie RiskTool um 2,55 Prozent zurückgegangen.

Top 20 der mobilen Schadprogramme

Im untenstehenden Rating der mobilen Schadprogramme werden potenziell gefährliche und unerwünschte Programme wie RiskTool und Adware nicht berücksichtigt.

Im ersten Quartal 2017 landeten 14 Trojaner in unseren Top 20, die versuchen, Superuser-Rechte zu erhalten, und in erster Linie mit Werbung Geld zu verdienen (in der untenstehenden Tabelle blau hervorgehoben). Ihr Ziel besteht darin, dem Nutzer so viel Werbung wie möglich zuzuspielen, unter anderem auch durch die Installation weiterer Werbeprogramme. Verfügen sie dabei über Superuser-Rechte, können sie sich in einem Systemverzeichnis „verstecken“, woraus sie nur noch überaus schwer zu löschen sind.

Name Prozentualer Anteil
der angegriffenen
Anwender*
1 DangerousObject.Multi.Generic 70,09 %
2 Trojan.AndroidOS.Hiddad.an 9,35 %
3 Trojan.AndroidOS.Boogr.gsh 4,51 %
4 Backdoor.AndroidOS.Ztorg.c 4,18 %
5 Trojan.AndroidOS.Sivu.c 4,00 %
6 Backdoor.AndroidOS.Ztorg.a 3,98 %
7 Trojan.AndroidOS.Hiddad.v 3,89 %
8 Trojan-Dropper.AndroidOS.Hqwar.i 3,83 %
9 Trojan.AndroidOS.Hiddad.pac 2,98 %
10 Trojan.AndroidOS.Triada.pac 2,90 %
11 Trojan.AndroidOS.Iop.c 2,60 %
12 Trojan-Banker.AndroidOS.Svpeng.q 2,49 %
13 Trojan.AndroidOS.Ztorg.ag 2,34 %
14 Trojan.AndroidOS.Ztorg.aa 2,03 %
15 Trojan.AndroidOS.Agent.eb 1,81 %
16 Trojan.AndroidOS.Agent.bw 1,79 %
17 Trojan.AndroidOS.Loki.d 1,76 %
18 Trojan.AndroidOS.Ztorg.ak 1,67 %
19 Trojan-Downloader.AndroidOS.Agent.bf 1,59 %
20 Trojan-Dropper.AndroidOS.Agent.cv 1,54 %

* Prozentualer Anteil der vom jeweiligen Schädling angegriffenen Anwender an allen angegriffenen Anwendern von Kaspersky Mobile Security.

Den ersten Platz in den Тop 20 belegen für das erste Quartal traditionell schädliche Programme des Typs DangerousObject.Multi.Generic (70,09 %), die mit Hilfe von Cloud-Technologien aufgespürt werden. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Auf Platz zwei befindet sich der mobile Trojaner Trojan.AndroidOS.Hiddad.an (9,35 %). Dieser Schädling gibt sich selbst als unterschiedliche populäre Spiele oder Programme aus. Interessant ist, dass er nach dem Start die Anwendung lädt und installiert, als die er sich zuvor ausgegeben hatte. Dabei fordert der Trojaner Administratorenrechte auf dem Gerät an, um zu verhindern, gelöscht zu werden. Das Hauptziel von Trojan.AndroidOS.Hiddad.an ist das aggressive Anzeigen von Werbung, seine Hauptzielgruppe befindet sich in Russland (86 Prozent der angegriffenen Anwender).

Rang drei belegt der Schädling Trojan.AndroidOS.Boogr.gsh (4,51 %). Unter dieser Bezeichnung werden Dateien detektiert, die von unserem auf Maschinenlernen basierenden System als schädlich eingestuft werden. Davon abgesehen, dass dieses System jede Art von Schädling erkennen kann, erwiesen sich in diesem Quartal die Werbetrojaner, die Superuser-Rechte nutzen, als die populärsten unter den detektierten Schädlingen.

Den achten Platz belegte Trojan-Dropper.AndroidOS.Hqwar.i (3,83 %). So werden Trojaner detektiert, die mit einem bestimmten Packer/Obfuskator geschützt sind. In den meisten Fällen verbergen sich unter diesem Namen Vertreter der mobilen Banktrojaner-Familien FakeToken und Svpeng.

Position zwölf im Rating besetzt der mobile Banktrojaner Trojan-Banker.AndroidOS.Svpeng.q (2,49 %). Diese Familie war insbesondere in den letzten drei Quartalen überaus aktiv und gehört zu den populärsten mobilen Banktrojanern im ersten Quartal 2017.

Trojan.AndroidOS.Agent.bw belegt den 16. Platz im Rating (1,79 %). Dieser Trojaner richtet sich in erster Linie gegen Nutzer in Indien (mehr als 92 % der angegriffenen Anwender). Ebenso wie Trojan.AndroidOS.Hiddad.an gibt er sich als ein beliebtes Programm oder Spiel aus und lädt und installiert nach seinem Start verschiedene Anwendungen vom Server der Cyberkriminellen.

Geografie der mobilen Bedrohungen

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Karte der Infektionsversuche mit mobilen Schädlingen im ersten Quartal 2017
(Anteil der angegriffenen Anwender im jeweiligen Land)

Top 10 der Länder nach Anteil der von mobilen Schädlingen angegriffenen Anwender

Land* Anteil
der angegriffenen
Anwender**
1 Iran 47,35 %
2 Bangladesch 36,25 %
3 Indonesien 32,97 %
4 China 32,47 %
5 Nepal 29,90 %
6 Indien 29,09 %
7 Algerien 28,64 %
8 Philippinen 27,98 %
9 Nigeria 27,81 %
10 Ghana 25,85 %

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der im jeweiligen Land angegriffenen Anwender an allen Nutzern von Kaspersky Mobile Security im Land.

Im ersten Quartal 2017 wurden die mobilen Anwender im Iran (47,35 %) anteilsmäßig am häufigsten von Schadprogrammen angegriffen. Den zweiten Platz belegt Bangladesch: 36,25 Prozent der Nutzer in diesem Land wurden mindestens einmal im Laufe des Quartals mit mobilen Schädlingen konfrontiert. Es folgen Indonesien und China – der Anteil der in beiden Ländern angegriffenen Nutzer liegt bei etwas über 32 Prozent.

Russland (11,6 %) belegt in diesem Rating den 40. Platz, Frankreich (8,1 %) den 57. Platz. Die USA (6,9 %) landeten auf Position 69, Italien (7,1 %) auf Platz 66, Deutschland (6,2 %) auf Platz 72 und Großbritannien (5,8 %) auf Rang 75.

Die nach Anteil der angegriffenen Anwender sichersten Länder sind Finnland (2,7 %), Georgien (2,5 %) und Japan (1,5 %).

In allen Ländern aus den Top 20 werden in etwa ein und dieselben mobilen Objekte detektiert – Werbeprogramme, und zwar in erster Linie Vertreter der Familien AdWare.AndroidOS.Ewind.

Mobile Bank-Trojaner

Innerhalb des Berichtszeitraums entdeckte das Team von Kaspersky Lab 32.038 Installationspakete von mobilen Bank-Trojanern. Das ist ein um das 1,1-Fache geringerer Wert als im vierten Quartal 2016.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Anzahl der von Kaspersky Lab gefundenen Installationspakete mobiler Bank-Trojaner (zweites Quartal 2016 bis erstes Quartal 2017)

Das dritte Quartal in Folge steht Trojan-Banker.AndroidOS.Svpeng.q ganz an der Spitze des Ratings der populärsten mobilen Banktrojaner. Das Hauptziel des hauptsächlich auf russischsprachige Nutzer fixierten Schädlings ist der Diebstahl von Geld. Um beispielsweise an Bankkarteninformationen oder die Login-Daten im Online-Banking-System zu kommen, verwendet der Trojaner Phishing-Fenster. Überdies stehlen die Cybergangster Geld mit Hilfe von SMS-Diensten, unter anderem solche für das mobile Banking. Auf Svpeng folgen die mobilen Bank-Trojaner Trojan-Banker.AndroidOS.Faketoken.z und Trojan-Banker.AndroidOS.Asacub.san. Die meisten der von diesem Trio angegriffenen Nutzer befinden sich in Russland.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Geografie der mobilen Bank-Bedrohungen im ersten Quartal 2017
(Anteil der angegriffenen Anwender)

Top 10 der Länder nach prozentualem Anteil der von mobilen Bank-Trojanern angegriffenen Anwender

Land* Prozentualer Anteil
der von Bankschädlingen
angegriffenen Anwender**
1 Russland 1,64 %
2 Australien 1,14 %
3 Türkei 0,81 %
4 Usbekistan 0,61 %
5 Tadschikistan 0,48 %
6 Moldawien 0,43 %
7 Ukraine 0,41 %
8 Kasachstan 0,37 %
9 Kirgisien 0,32 %
10 Singapur 0,26 %

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der individuellen Anwender im Land, die Attacken von mobilen Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky Mobile Security im Land.

Auch wenn die Familie Svpeng in diesem Quartal erneut an der Spitze des Ratings steht, so nimmt die Aktivität dieser Familie im Vergleich zum dritten Quartal 2016 jedoch ab: Der Anteil der von diesen Schädlingen angegriffenen Nutzer hat sich in Russland praktisch halbiert – von 3,12 auf 1,64 Prozent. Dabei blieb Russland trotzdem noch Spitzenreiter in unseren Тop 20.

Den zweiten Platz im Rating belegt Australien (1,14 %). Ein großer Teil der Attacken in diesem Land entfiel auf Vertreter der Familien Trojan-Banker.AndroidOS.Acecard und Trojan-Banker.AndroidOS.Marcher. Platz drei auf dem Siegertreppchen belegt die Türkei (0,81 %).

Mobile Ransomware

Im ersten Quartal 2017 entdeckte das Team von Kaspersky Lab 218.625 Installationspakete mobiler Erpresser-Trojaner, das sind 3,5 Mal mehr als im vorangegangenen Quartal.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Zahl der von Kaspersky Lab entdeckten Installationspakete mobiler Erpresser-Trojaner (zweites Quartal 2016 bis erstes Quartal 2017)

In der ersten Hälfte des Jahres 2016 beobachteten wir eine Zunahme der Installationspakete mobiler Erpresserschädlinge, die mit der aktiven Verbreitung der Familie Trojan-Ransom.AndroidOS.Fusob zusammenhing. In der zweiten Jahreshälfte 2016 nahm die Aktivität dieser Familie ab, was Auswirkungen auf die Zahl der gefundenen Installationspakete hatte. Im vierten Quartal 2016 war erneut eine Zunahme zu verzeichnen, die im ersten Quartal 2017 schwer an Fahrt aufnahm. Der Grund dafür war die Familie Trojan-Ransom.AndroidOS.Congur: Mehr als 86 Prozent der gefundenen Installationspakete mobiler Erpresser sind ihr zuzuordnen. Normalerweise verfügen die Vertreter von Congur nur über eine sehr simple Funktionalität – sie ändern den PIN-Code des Gerätes (oder stellen einen eigenen ein, wenn es bisher keinen gab), woraufhin sie eine Verbindung mit den Cyberkriminellen via QQ-Messenger für die Entsperrung anfragen. Es existieren auch Modifikationen dieses Trojaners, die in der Lage sind, die bestehenden Superuser-Rechte zu benutzen, um ihr Modul in einem Systemverzeichnis zu installieren.

Trotzdem war der populärste mobile Erpresser auch im ersten Quartal wieder Trojan-Ransom.AndroidOS.Fusob.h. Mit ihm hatten es mehr als 45 Prozent der von mobiler Ransomware angegriffenen Nutzer zu tun. Nach dem Start fragt dieser Trojaner Administratorenrechte an, sammelt Informationen über das Gerät, unter anderem die GPS-Koordinaten und die Anruferliste, und lädt sie daraufhin auf den Server der Cybergangster. Danach kann der Schädling den Befehl zum Sperren des Geräts entgegennehmen.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Geografie der mobilen Erpresser-Trojaner im ersten Quartal 2017
(Anteil der angegriffenen Anwender im jeweiligen Land)

Top 10 der Länder nach Anteil der von mobiler Ransomware angegriffenen Anwender

Land* Prozentualer Anteil
der von mobiler Ransomware
angegriffenen Anwender**
1 USA 1,23 %
2 Usbekistan 0,65 %
3 Kanada 0,56 %
4 Kasachstan 0,54 %
5 Italien 0,44 %
6 Deutschland 0,37 %
7 Korea 0,35 %
8 Dänemark 0,30 %
9 Großbritannien 0,29 %
10 Spanien 0,28 %

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der individuellen Anwender im jeweiligen Land, die von mobilen Erpresser-Programmen angegriffen wurden, an allen Nutzern von Kaspersky Mobile Security im Land.

Den ersten Platz der Тop 10 belegen die USA (1,23 %), wo die Familie Trojan-Ransom.AndroidOS.Svpeng die aktivste Familie war. Diese Erpresser-Trojaner traten im Jahr 2014 als Modifikation der mobilen Bank-Trojaner-Familie Trojan-Banker.AndroidOS.Svpeng auf den Plan. Für die Entsperrung des Gerätes fordern sie üblicherweise zwischen 100 und 500 US-Dollar.

In Usbekistan (0,65 %), das Platz zwei im Rating belegt, entfiel der größte Teil der Angriffe mobiler Ransomware auf Trojan-Ransom.AndroidOS.Loluz.a. Dieser simple Trojaner blockiert die Funktion des Gerätes durch sein eigenes Fenster und fordert die Opfer auf, sich per Telefon mit den Online-Betrügern in Verbindung zu setzen.

Position vier belegt Kasachstan (0,54 %). Die Hauptbedrohung für die Nutzer in diesem Land stellen Erpresser-Trojaner der Familie Small dar. Dabei handelt es sich um einen recht einfachen Schädling, der mit seinem eigenen Fenster alle anderen Fenster auf dem Gerät überdeckt und so jede Arbeit mit dem Gerät unmöglich macht. Für die Entsperrung fordern die Verbrecher normalerweise 10 US-Dollar aufwärts.

In allen anderen Ländern der Top 10 war die Familie Fusob am weitesten verbreitet.

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Das erste Quartal 2017 war gekennzeichnet von der Rückkehr des Exploit-Packs Neutrino, das im dritten Quartal 2016 vorläufig von der Bildfläche verschwunden war. Wie zuvor auch schon Magnitude ändert Neutrino sein Verbreitungsschema, indem es von den massenhaften Kampagnen Abstand nimmt und sich zu einem „privaten“ Exploit-Pack wandelt. Seinen Platz versuchten – allerdings ohne Erfolg – einige andere Player einzunehmen, unter anderem Nebula und Terror, die jedoch nach einer kurzen Aktivitätsperiode recht schnell nicht weiter verbreitet wurden. Zum gegenwärtigen Zeitpunkt ist RIG mit seinen Modifikationen das populärste und am stärksten gepushte öffentliche Exploit.

Die Statistik für das erste Quartal 2017 zeigt einen Rückgang der angegriffenen Nutzer um fast zehn Prozent. Das liegt in erster Linie an der schwachen Exploit-Pack-Szene sowie der insgesamt schwindenden Effizienz von Exploits. Die einzige Plattform, die diesbezüglich ein Wachstum zu verzeichnen hat, ist Adobe Flash. Obwohl es hier schon seit Langem keine neuen Schwachstellen mehr gab, ist die Zahl der angegriffenen Nutzer um 20 Prozent gestiegen. Den stärksten Rückgang wiederum haben die Browserexploits zu verzeichnen – nur 44 Prozent der Angriffe richteten sich gegen Browser (gegenüber 54 % im vorangegangenen Quartal).

Die am häufigsten ausgenutzten Sicherheitslücken im ersten Quartal waren wie gehabt CVE-2016-0189, CVE-2014-6332 und CVE-2013-2551. Nicht unerwähnt bleiben dürfen die Sicherheitslücken in der Microsoft Edge Chakra Engine, die zu Beginn des Jahres öffentlich gemacht wurden. Neben einer genauen Beschreibung der Sicherheitslücken enthielt die Studie auch ein gebrauchsfertiges Proof of Concept, das kurz nach seiner Veröffentlichung in das Exploit-Pack Sundown integriert wurde, von wo aus es zu Neutrino, Kaixin und anderen weiterzog. Die Ausnutzung dieser Sicherheitslücken war allerdings nicht unbedingt erfolgversprechend und bereits im November wurden zusammen mit dem Update MS16-129 entsprechende Patches herausgegeben. Aus diesem Grund wurden die Exploits nicht stark verbreitet und werden heute praktisch gar nicht mehr eingesetzt.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Verteilung der in Cyberattacken eingesetzten Exploits nach Typen der angegriffenen Anwendungen, erstes Quartal 2017

Im ersten Quartal 2017 waren viele Kampagnen mit massenhaftem Versand von infizierten Dokumenten zu beobachten, für deren Verbreitung Exploits für Microsoft Office verwendet wurden. Und obgleich sich der Anteil der angegriffenen Nutzer des Office-Pakets fast gar nicht verändert hat, sehen wir, dass ein und dieselben Nutzer mehrfach angegriffen wurden – durchschnittlich erhielt ein attackierter Anwender innerhalb des Quartals drei schädliche Dokumente.

Insgesamt ist eine Tendenz zum vermehrten Social Engineering bei der Zustellung der schädlichen Payload auf den Computer des potenziellen Opfers zu beobachten. Die Kampagnen mit den infizierten Schreiben basieren immer darauf, dass der Nutzer dazu gebracht wird, irgendwelche Aktionen durchzuführen: das Entpacken einer Datei aus einem passwortgeschützten Archiv, das Erteilen der Erlaubnis zum Ausführen von Makros aus dem Dokument und so weiter. Diese Methode wird zunehmend auch in Browser-Exploits angewandt. Magnitude beispielsweise fordert die Nutzer von Internet Explorer 11 und Windows 10 auf, eine schädliche Datei unter dem Deckmantel eines Updates für die Schutzlösung Microsoft Defender herunterzuladen. Und einige Spam-Kampagnen fußen auf der Imitation von Update-Seiten von Google Chrome. Wir bei Kaspersky Lab glauben, dass sich diese Tendenz in nächster Zeit fortsetzen wird – solche Kampagnen sind einfacher zu unterhalten und umzusetzen, und ihr „Ausbaulevel“ steigt beständig.

Schadprogramme im Internet (Attacken über Webressourcen)

Online-Bedrohungen im Bankensektor

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden und deren Anwender ihre Zustimmung zur Übertragung der Informationen gegeben haben. Beginnend mit dem ersten Quartal 2017 fließen Schadprogramme für Geldautomaten und PoS-Terminals mit in die Statistik ein, nicht aber mobile Bedrohungen.

Im ersten Quartal 2017 wehrten die Lösungen von Kaspersky Lab auf den Computern von 288.000 Nutzern Ausführungsversuche eines oder mehrerer Schadprogramme ab, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert sind.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Zahl der von Finanzmalware angegriffenen Computer, Januar bis März 2017

Geografie der Attacken

Um den Grad des Risikos einer Infektion mit Bank-Trojanern und Schädlingen für Geldautomaten und PoS-Terminals, dem Computer in den verschiedenen Ländern der Welt ausgesetzt sind, beurteilen und vergleichen zu können, haben wir für jedes Land den Anteil der Nutzer von Kaspersky-Lab-Produkten, die im Berichtszeitraum mit dieser Bedrohung konfrontiert wurden, an allen Nutzern unserer Produkte im Land berechnet.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Geografie der Attacken von Bankschädlingen im ersten Quartal 2017
(Prozentsatz der angegriffenen Anwender)

Top 10 der Länder nach prozentualem Anteil der angegriffenen Anwender

Land* Prozentualer Anteil
der angegriffenen
Anwender**
1 Deutschland 1,70 %
2 China 1,37 %
3 Litauen 1,12 %
4 Kasachstan 1,02 %
5 Palästina 0,92 %
6 Togo 0,91 %
7 Tunesien 0,89 %
8 Armenien 0,89 %
9 Venezuela 0,88 %
10 Taiwan 0,87 %

Die vorliegende Statistik basiert auf den Detektionen von Kaspersky Anti-Virus, die von Nutzern der Produkte von Kaspersky Lab zur Verfügung gestellt wurden, die ihre Zustimmung zur Übermittlung statistischer Daten gegeben haben.

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.

** Prozentualer Anteil individueller Anwender von Kaspersky-Lab-Produkten, die Angriffen von Bank-Trojanern und Schädlingen für Geldautomaten und PoS-Terminals ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im ersten Quartal war Deutschland (1,70 %) Spitzenreiter in diesem Rating. Auf Platz zwei positionierte sich mit deutlichem Abstand China (1,37 %), den dritten Platz belegt Litauen (1,12 %).

Was andere europäischen Staaten betrifft, so landete Spanien (0,24 %) nach den Ergebnissen des ersten Quartals beispielsweise auf Platz 89 und Großbritannien mit einem Anteil von 0,15 Prozent auf Rang 126.

Top 10 der Bank-Malware-Familien

Die Top 10 der Schadprogramm-Familien, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet wurden, sehen für das erste Quartal 2017 folgendermaßen aus (nach Anzahl der angegriffenen Anwender):

Name* Prozentualer Anteil
der angegriffenen
Anwender**
1 Trojan-Spy.Win32.Zbot 45,93 %
2 Trojan.Win32.Nymaim 29,70 %
3 Trojan.Win32.Neurevt 3,31 %
4 Trojan-Banker.Win32.Gozi 3,15 %
5 Trojan-Spy.Win32.SpyEyes 2,71 %
6 Backdoor.Win32.ZAccess 2,11 %
7 Backdoor.Win32.Shiz 1,67 %
8 Trojan.Multi.Capper 1,67 %
9 Trojan.Win32.Tinba 1,00 %
10 Trojan.Win32.Shifu 1,00 %

* Die vorliegende Statistik basiert auf den Detektionen von Kaspersky Anti-Virus, die von Nutzern der Produkte von Kaspersky Lab zur Verfügung gestellt wurden, die ihre Zustimmung zur Übermittlung statistischer Daten gegeben haben.

** Prozentualer Anteil individueller Anwender, die von dem jeweiligen Schädling angegriffen wurden, an allen von Finanz-Malware angegriffenen Anwendern.

Wie auch schon im vorangegangenen Quartal führte auch in Q1/2017 wieder Trojan-Spy.Win32.Zbot (45,93 %) das Rating an. Der Quellcode dieses Schädlings ist infolge eines Lecks für alle Interessierten frei verfügbar. Daher fügen Cyberkriminelle dieser Familie regelmäßig neue Samples hinzu, die auf der Grundlage des Quellcodes kompiliert werden und sich nur minimal vom Original unterscheiden.

Auf Platz zwei befindet sich der Trojaner Trojan.Win32.Nymaim (29,70 %). Bei den ersten Versionen der Schadprogramme dieser Familie handelte es sich um trojanische Ladeprogramme, die auf einen infizierten Computer für jedes Land individuelle Programme luden, die die Funktionsfähigkeit des Computers blockierten. In der Folge wurden neue Trojaner-Versionen der Familie Trojan.Win32.Nymaim gefunden, unter anderem eine Komponente des trojanischen Programms Gozi, das von Cyberkriminellen für den Diebstahl von Zugangsdaten zu Online-Banking-Systemen genutzt wird. Der Trojaner Gozi selbst (3,15 %) landete dabei auf Platz vier in unserem Rating.

Position drei wird von dem Schädling Trojan.Win32.Neurevt (3,31 %) belegt – einem multifunktionalen Trojaner, der in C++ programmiert ist. Der Trojaner verwendet Rootkit-Technologie, um seine Anwesenheit im System zu verbergen, er schleust seinen Code in alle laufenden Prozesse ein, blockiert die Funktion einiger Antiviren-Programme und kann zudem die Installation anderer verbreiteter Trojaner verfolgen und blockieren.

Verschlüsselungstrojaner

Im ersten Quartal 2017 entdeckten wir elf neue Familien und 55.679 neue Modifikationen von Verschlüsselungsschädlingen.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Zahl neuer Modifikationen von Verschlüsselungstrojanern, zweites Quartal 2016 bis erstes Quartal 2017

Die meisten neu entdeckten Modifikationen gehörten zu der Familie Cerber (detektiert als Trojan-Ransom.Win32.Zerber). Dieser Verschlüsselungsschädling, der erstmals vor einem Jahr entdeckt wurde, wird immer weiterentwickelt und wir stoßen regelmäßig auf neue und verbesserte Versionen.

Zahl der von Verschlüsselungstrojanern angegriffenen Anwender

Im ersten Quartal 2017 wurden auf den Computern von 240.799 individuellen KSN-Anwendern Infektionsversuche von Verschlüsselungsschädlingen registriert.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Zahl individueller von Verschlüsselungstrojanern angegriffener Anwender, erstes Quartal 2017

Dieser Wert ist fast nur halb so hoch wie der entsprechende Wert für das vierte Quartal 2016, doch von einer nachlassenden Bedrohung zu sprechen ist nicht angebracht. Am wahrscheinlichsten ist, dass dieser Unterschied mit der Methodologie zusammenhängt und der realen Zahl von Vorfällen oben: Die Statistik spiegelt nur die Ergebnisse der Signatur-basierten und der heuristischen Erkennung wider, während ein großer Teil der Verschlüsselungstrojaner von den Produkten von Kaspersky Lab als Objekte der Kategorie Generic detektiert wird, und zwar mit Hilfe von verhaltensbasierten Methoden, die es nicht ermöglichen, die verschiedenen Typen von Schadprogrammen zu unterscheiden.

Geografie der Attacken

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Geografie der Angriffe von Erpresser-Trojanern im ersten Quartal 2017 (Anteil der angegriffenen Anwender im jeweiligen Land)

Top 10 der von Verschlüsselungstrojanern angegriffenen Anwender

Land* Prozentualer Anteil
der von Verschlüsselungstrojanern
angegriffenen Anwender**
1 Italien 1,87 %
2 Brasilien 1,07 %
3 Japan 0,99 %
4 Vietnam 0,74 %
5 Niederlande 0,73 %
6 Kambodscha 0,70 %
7 Uganda 0,66 %
8 Philippinen 0,65 %
9 Venezuela 0,63 %
10 Nigeria 0,60 %

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 50.000 liegt.
** Prozentualer Anteil der individuellen Nutzer, deren Computer von Verschlüsselungstrojanern angegriffen wurden, an allen individuellen Nutzern von Kaspersky-Produkten in diesem Land.

Italien, das im dritten Quartal 2016 gar nicht im Rating vertreten war, belegt jetzt den ersten Platz (1,87 %). Auf Position zwei befindet sich Brasilien (1,07 %), das früher gar nicht in den Тop 10 der am häufigsten von Verschlüsselungsschädlingen angegriffenen Ländern vorkam. Das deckt sich mit unseren Beobachtungen bezüglich der steigenden Zahl von Erpresser-Trojanern, die sich gegen Anwender in Brasilien richten. Ein grelles Beispiel für derartige Schadsoftware ist Xpan, dessen Analyse wir im vergangenen Jahr veröffentlicht haben.

Japan (0,99 %), das Land, das das Rating im zweiten und dritten Quartal 2016 anführte, ist um zwei Positionen abgerutscht, befindet sich aber nach wie vor im oberen Teil der Hitliste.

Top 10 der am weitesten verbreiteten Familien von Verschlüsselungstrojaner

Name Detektiert als* Prozentualer Anteil
der angegriffenen
Anwender**
1 Cerber Trojan-Ransom.Win32. Zerber 18,04 %
2 Spora Trojan-Ransom.Win32.Spora 7,59 %
3 Locky Trojan-Ransom.Win32.Locky 7,35 %
4 Sage Trojan-Ransom.Win32.SageCrypt 3,44 %
5 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 3,20 %
6 Shade Trojan-Ransom.Win32.Shade 2,82 %
7 (generic verdict) Trojan-Ransom.Win32.Gen 2,37 %
8 Crysis/Dharma Trojan-Ransom.Win32.Crusis 2,30 %
9 CryptoWall Trojan-Ransom.Win32.Cryptodef 2,25 %
10 (generic verdict) Trojan-Ransom.Win32.Snocry 2,16 %

* Die Statistik basiert auf Daten der Produkte von Kaspersky Lab, deren Anwender der Übermittlung statistischer Informationen zugestimmt haben.
** Prozentualer Anteil der von einer bestimmten Trojan-Ransom-Familie angegriffenen individuellen Nutzer von Kaspersky Lab-Produkten an allen von einem Schädling der Klasse Trojan-Ransom angegriffenen Nutzern.

Der Trojaner Cerber (18,04%) war im ersten Quartal 2017 nach Zahl der angegriffenen Anwender Spitzenreiter unter den Verschlüsselungsschädlingen. Bedenkt man die enorme Anzahl der verschiedenen Modifikationen dieses Trojaners und seine aktive Verbreitung durch Cyberkriminelle, so war das durchaus zu erwarten.

Rang zwei belegt der Verschlüsseler Spora (7,59 %). Dabei handelt es sich um einen neuen Trojaner, der erstmals im Januar 2017 auf den Plan trat und „zu Beginn seiner Karriere“ ausschließlich russischsprachige Opfer angriff. Einige Wochen nach seiner Entdeckung breitete er sich allerdings auf der ganzen Welt aus und zum Ende des ersten Quartals war er bereits unter den ersten Drei der am weitesten verbreiteten Verschlüsselungsschädlinge. Auf Platz drei positionierte sich Locky (7,35 %), der vor etwa einem Jahr aufgetaucht war und seine Aktivität in letzter Zeit etwas heruntergefahren hatte.

Ein weiterer neuer Trojaner – Sage (3,44 %) – trat ebenso wie Spora im ersten Quartal 2017 erstmals in Erscheinung und belegt Platz vier unseres Ratings. Die übrigen Positionen besetzen „alte Bekannte“, die schon in den vorangegangenen Quartalen in unseren Berichten Erwähnung fanden.

Zu den interessanten Neuerscheinungen des Quartals zählt auch unbedingt der Verschlüsselungsschädling PetrWrap, der bei zielgerichteten Angriffen auf Organisationen zum Einsatz kommt. Die Statistik zeigt, dass diese Angriffsart in letzter Zeit immer beliebter wird.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im ersten Quartal 2017 wehrten die Lösungen von Kaspersky Lab 479.528.279 Attacken ab, die von Internet-Ressourcen in 191 Ländern der Welt durchgeführt wurden. Kaspersky Anti-Virus schlug bei 79.209.775 individuellen URLs Alarm.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Verteilung der Quellen von Webattacken nach Ländern, erstes Quartal 2017

Spitzenreiter nach Zahl der Angriffsquellen wurden im ersten Jahr die Niederlande (38 %). Die dieses Rating lange Zeit anführenden USA (30 %) landeten auf Platz zwei, obgleich sich ihr Anteil im Vergleich zu den Werten des Jahres 2016 praktisch nicht veränderte. Auf Position drei folgt mit großem Abstand Deutschland (9 %).

Russland (4 %) und Frankreich (3 %) belegen die Plätze respektive fünf.

Länder, in denen die Computer dem größten Risiko einer Infektion über das Internet ausgesetzt waren

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie hoch der prozentuale Anteil der individuellen Anwender von Kaspersky-Lab-Produkten war, bei denen Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

In diesem Rating werden nur Attacken von Schadobjekten der Klasse Malware berücksichtigt. Potenziell gefährliche und unerwünschte Programme wie etwa Programme der Klassen RiskTool und Adware fließen nicht in die Berechnungen mit ein.

Land* Anteil der individuellen
Anwender**
1 Algerien 37,67 %
2 Weißrussland 33,61 %
3 Tunesien 32,04 %
4 Ukraine 31,98 %
5 Kasachstan 29,96 %
6 Aserbaidschan 29,95 %
7 Albanien 29,80 %
8 Bangladesch 29,51 %
9 Katar 29,41 %
10 Armenien 29,02 %
11 Griechenland 28,21 %
12 Moldawien 27,46 %
13 Venezuela 27,37 %
14 Kirgisien 27,02 %
15 Vietnam 26,87 %
16 Russland 26,67 %
17 Marokko 25,65 %
18 Sri Lanka 25,42 %
19 Brasilien 25,10 %
20 Serbien 24,18 %

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken von schädlichen Objekten der Klasse Malware ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Durchschnittlich waren im Laufe des Quartals weltweit 20,05 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke durch Objekte der Klasse Malware ausgesetzt.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Geografie der Webattacken durch Malware im ersten Quartal 2017
(prozentualer Anteil der angegriffenen Anwender)

Zu den beim Surfen im Internet sichersten Ländern gehören Luxemburg (14,4 %), Deutschland (13,9 %), Norwegen (13,83 %), Südafrika (12,5 %), USA (10,56 %), Uganda (10,29 %) und Japan (9,18 %).

Lokale Bedrohungen

Ein sehr wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören sowohl Objekte, die mittels Infektion von Dateien oder über mobile Datenträger in die Systeme eindringen, als auch Objekte, die ursprünglich nicht in offener Form auf den Computer gelangt sind (beispielsweise Programme, die zu komplexen Installern gehören oder verschlüsselte Dateien).

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im ersten Quartal 2017 registrierten unsere Antiviren-Lösungen 174.989.956 individuelle schädliche und potenziell unerwünschte Objekte.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

Für jedes dieser Länder haben wir berechnet, wie hoch der prozentuale Anteil der Nutzer von Kaspersky-Lab-Produkten ist, bei denen Kaspersky Anti-Virus im Berichtszeitraum Alarm geschlagen hat. Diese Statistik spiegelt das Infektionsniveau von PCs in den verschiedenen Ländern der Welt wider.

Wir weisen darauf hin, dass seit dem dritten Quartal 2016 in diesem Rating nur Attacken von Schadobjekten der Klasse Malware berücksichtigt werden. Potenziell gefährliche und unerwünschte Programme wie etwa Programme der Klassen RiskTool und Adware fließen nicht in die Berechnungen mit ein.

Land* Prozentualer Anteil
individueller Nutzer**
1 Jemen 54,84 %
2 Afghanistan 54,27 %
3 Usbekistan 53,80 %
4 Tadschikistan 51,32 %
5 Äthiopien 50,87 %
6 Dschibuti 50,03 %
7 Algerien 49,38 %
8 Vietnam 49,15 %
9 Turkmenistan 48,39 %
10 Ruanda 47,57 %
11 Mongolei 47,25 %
12 Somalia 46,96 %
13 Syrien 46,96 %
14 Bangladesch 46,64 %
15 Irak 46,59 %
16 Sudan 46,35 %
17 Nepal 46,19 %
18 Kasachstan 46,00 %
19 Laos 45,39 %
20 Weißrussland 43,45 %

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Mobiltelefonen oder externe Festplatten.

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen der Klasse Malware blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Durchschnittlich wurden im Laufe des ersten Quartals 2017 weltweit auf 23,63 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen der Klasse Malware registriert. Russland hatte in diesem Rating einen Wert von 30,51 Prozent.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017. Statistik

Die Länder mit dem geringsten Infektionsniveau sind: Polen (14,85 %), Singapur (12,21 %), Italien (13,30 %), Frankreich (11,15 %), Australien (10,51 %), Großbritannien (9,08 %), Kanada (8,66 %), Tschechien (7,83 %), USA (7,57 %), Dänemark (6,35 %) und Japan (6,18 %).

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.