Entwicklung der IT-Bedrohungen im zweiten Quartal 2017. Statistik

Inhalt

Das Quartal in Zahlen

Laut den Daten des Kaspersky Security Network (KSN) wehrten die Produkte von Kaspersky Lab 342.566.061 Attacken von Internet-Ressourcen ab, die sich in 191 Ländern der Welt befinden.

Kaspersky Anti-Virus schlug bei 33.006.783 individuellen URLs Alarm.

Infektionsversuche durch Malware, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist, wurden auf den Computern von 224.675 Nutzern von Kaspersky-Produkten abgewehrt.

Angriffe durch Verschlüsselungstrojaner wurden auf den Computern von 246.675 individuellen Anwendern abgewehrt.

Die Antiviren-Lösungen von Kaspersky Lab registrierten 185.801.835 individuelle schädliche beziehungsweise potentiell unerwünschte Objekte.

Die Kaspersky-Lab-Produkte zum Schutz mobiler Geräte entdeckten im ersten Quartal 2017:

  • 1.319.148 schädliche Installationspakete;
  • 28.976 Installationspakete mobiler Banktrojaner;
  • 200.054 Installationspakete mobiler Ransomware.

Mobile Bedrohungen

Die wichtigsten Ereignisse des Quartals

SMS-Spam

Im vergangenen Quartal berichteten wir über die Aktivierung des mobilen Banktrojaners Trojan-Banker.AndroidOS.Asacub,der intensiv via SMS-Spam verbreitet wurde. Zum Ende des Quartals deckten wir eine weitaus umfassendere Kampagne zur Ausbreitung dieses Schädlings auf: Im Juni wurden drei Mal mehr angegriffene Nutzer registriert als noch im April. Und nimmt man die erste Juliwoche als Maßstab, so wird sich diese Wachstumstendenz auch weiter fortsetzen.

Zahl der individuellen Nutzer, die im zweiten Quartal 2017 von Trojan-Banker.AndroidOS.Asacub angegriffen wurden

Ztorg-Updates

Ein weiteres interessantes Thema, über das wir ebenfalls in unserem Bericht für das erste Quartal geschrieben haben, verlor auch im zweiten Quartal nicht an Aktualität: Cyberkriminelle platzieren nach wie vor Apps bei Google Play, die ein schädliches Ztorg-Modul enthalten. Interessant ist, dass wir im Laufe des Quartals auch Fälle registrierten, in denen nicht nur die Hauptmodule, sondern auch noch zusätzliche Schadmodule von Ztrog veröffentlicht wurden. Wir entdeckten damit einen Trojaner, der in der Lage ist, Apps in Google Play zu installieren und sogar zu kaufen. Darüber hinaus entdeckten wir Trojan-SMS.AndroidOS.Ztorg.a – einen Schädling, der in der Lage ist, kostenpflichtige SMS zu verschicken.

Bemerkenswert ist in diesem Zusammenhang, dass beide Schädlinge im Gegensatz zum Ztrog-Hauptmodul nicht versucht haben, Sicherheitslücken im System auszunutzen, um sich Superuser-Rechte zu verschaffen. Zur Erinnerung: Trojan.AndroidOS.Ztorg versucht sich Root-Rechte zu verschaffen, um Werbung anzuzeigen und verborgen neue Apps zu installieren, unter anderem die oben beschriebenen zusätzlichen Module.

Neuer Trojaner Dvmap

Im April entdeckten wir einen weiteren Trojaner, der mit Root-Rechten operiert und der über den Google Play Store verbreitet wird — Trojan.AndroidOS.Dvmap.a. Dabei handelt es sich um einen recht ungewöhnlichen Trojaner, dessen größte Besonderheit darin besteht, dass er die Systembibliotheken modifiziert. Der Schädling nutzt Sicherheitslücken im System aus, um Superuser-Rechte zu erhalten, woraufhin er seinen Code in eine Systembibliothek schreibt.

WAP-Abos

Im zweiten Quartal 2017 stellten wir fest, dass die Aktivität von Trojanern, die den Nutzern Geld mittels kostenpflichtiger Abos stehlen, zunimmt (bereits vor zwei Jahren haben wir erstmals über derartige Attacken berichtet). Wir erinnern daran, dass es sich bei den kostenpflichtigen Abo-Diensten um spezielle Websites handelt, die es dem Anwender ermöglichen, Dienste mit Mitteln vom Konto seines Smartphones zu bezahlen. Bevor er einen Dienst in Anspruch nehmen kann, wird der Kunde auf die Website des Mobilfunkanbieters umgeleitet, wo er aufgefordert wird, die Aktion zu bestätigen. Zur Bestätigung der Zahlung können auch SMS benutzt werden. Alle diese Einschränkungen wissen die Trojaner mittlerweile zu umgehen. Sie können unter Verwendung spezieller JS-Dateien für den Nutzer unbemerkt auf Bestätigungsformulare klicken. Zudem sind die Trojaner in der Lage, die Mitteilungen des Mobilfunkanbieters vor dem Nutzer zu verbergen.

Wir haben beobachtet, dass der Trojaner Ztorg in manchen Fällen nach der Infektion zusätzliche Module mit dieser Funktionalität installieren kann. Und die Trojaner-Familie Trojan-Clicker.AndroidOS.Xafekopy ist in der Lage, derartige Dienste in Indien und Russland anzugreifen, wobei sie JS-Dateien verwendet, die den von Ztrog benutzten ähnlich sind.

Zwei Schädlinge aus unseren ТOР 20 der populärsten Trojaner dieses Quartals greifen ebenfalls WAP—Abos an. Es sind Trojan-Clicker.AndroidOS.Autosus.a und Trojan-Dropper.AndroidOS.Agent.hb. Überdies waren die populärsten Trojaner des Quartals, die von unserem System, das auf Maschinenlernen basiert, detektiert wurden, ebenfalls Schädlinge, die mobile Abos ausnutzen.

Statistik der mobilen Bedrohungen

Im zweiten Quartal 2017 entdeckte Kaspersky Lab 1.319.148 schädliche Installationspakete. Dieser Wert blieb gegenüber den vorangegangenen zwei Quartalen praktisch unverändert.

Zahl der entdeckten schädlichen Installationspakete, drittes Quartal 2016 bis zweites Quartal 2017

Verteilung der entdeckten mobilen Schädlinge nach Typen

Verteilung der entdeckten neuen mobilen Schädlinge nach Typen, erstes und zweites Quartal 2017

Von allen im zweiten Quartal entdeckten mobilen Schädlingen legte der Anteil von AdWare (13,31%) am stärksten zu, und zwar um 5,99 Prozentpunkte gegenüber dem vorangegangenen Quartal. Der Hauptteil der entdeckten Installationspakete wird als AdWare.AndroidOS.Ewind.iz und als AdWare.AndroidOS.Agent.n detektiert.

Auf Platz zwei im Rating nach Zuwachstempo befinden sich Schädlinge des Typs Trojan-SMS (6,83%), deren Anteil um 2,15 PP zugenommen hat. Die meisten entdeckten Installationspakete gehören zu Trojan-SMS.AndroidOS.Opfake.bo und Trojan-SMS.AndroidOS.FakeInst.a – sie hatten gegenüber dem vorangegangenen Quartal einen dreimal so hohen Anteil.

Am stärksten abgenommen hat der Anteil von Trojan-Spy, und zwar bis auf 3,88 Prozent. Im vorangegangenen Quartal gehörte diese Schädlingsart zu den am schnellsten wachsenden Typen, was der Zunahme von Vertretern der Familien Trojan-Spy.AndroidOS.SmForw und Trojan-Spy.AndroidOS.SmsThief geschuldet war.

Der Anteil von Trojan-Ransom – der Schädlingstyp mit dem größten Zuwachs im letzten Quartal – ging um 1,33 PP auf 15,09% zurück.

TOP 20 der mobilen Schadprogramme

Im untenstehenden Rating der mobilen Schadprogramme werden potentiell gefährliche und unerwünschte Programme wie RiskTool und Adware nicht berücksichtigt.

1 DangerousObject.Multi.Generic 62,27%
2 Trojan.AndroidOS.Boogr.gsh 15,46%
3 Trojan.AndroidOS.Hiddad.an 4,20%
4 Trojan-Dropper.AndroidOS.Hqwar.i 3,59%
5 Backdoor.AndroidOS.Ztorg.c 3,41%
6 Trojan-Dropper.AndroidOS.Agent.hb 3,16%
7 Backdoor.AndroidOS.Ztorg.a 3,09%
8 Trojan.AndroidOS.Sivu.c 2,78%
9 Trojan-Dropper.AndroidOS.Lezok.b 2,30%
10 Trojan.AndroidOS.Ztorg.ag 2,09%
11 Trojan-Clicker.AndroidOS.Autosus.a 2,08%
12 Trojan.AndroidOS.Hiddad.pac 2,08%
13 Trojan.AndroidOS.Ztorg.aa 1,74%
14 Trojan.AndroidOS.Agent.bw 1,67%
15 Trojan.AndroidOS.Agent.gp 1,54%
16 Trojan.AndroidOS.Hiddad.ao 1,51%
17 Trojan-Banker.AndroidOS.Svpeng.q 1,49%
18 Trojan.AndroidOS.Agent.ou 1,39%
19 Trojan.AndroidOS.Loki.d 1,38%
20 Trojan.AndroidOS.Agent.eb 1,32%

* Prozentualer Anteil der vom jeweiligen Schädling angegriffenen Anwender an allen angegriffenen Anwendern von Kaspersky Mobile Security.

Den ersten Platz in den ТOP 20 belegen für das zweite Quartal traditionell schädliche Programme des Typs DangerousObject.Multi.Generic (62,27%), die mit Hilfe von Cloud-Technologien aufgespürt werden. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Position zwei belegt der Schädling Trojan.AndroidOS.Boogr.gsh (15,46%). Unter dieser Bezeichnung werden Dateien detektiert, die von unserem auf Maschinenlernen basierenden System als schädlich eingestuft werden. Der Anteil dieses Schädlings hat sich gegenüber dem vorangegangenen Quartal fast verdreifacht, was seinen Aufstieg von Platz drei auf Rang zwei zur Folge hatte. Im zweiten Quartal detektierte dieses System am häufigsten Trojaner, die den Nutzer bei bezahlpflichtigen Services registrieren, sowie Werbetrojaner, die Superuser-Rechte nutzen.

Auf Platz drei befindet sich der mobile Trojaner Trojan.AndroidOS.Hiddad.an (4,20%). Dieser Schädling gibt sich als unterschiedliche populäre Spiele oder Programme aus. Interessant ist, dass er nach dem Start die Anwendung lädt und installiert, als die er sich zuvor ausgegeben hat. Dabei fordert der Trojaner Administratorenrechte auf dem Gerät an, um zu verhindern, gelöscht zu werden. Das Hauptziel von Trojan.AndroidOS.Hiddad.an ist das aggressive Anzeigen von Werbung, seine Hauptzielgruppe befindet sich in Russland. Im ersten Quartal 2017 belegte dieser Trojaner den zweiten Platz unseres Ratings.

Aufgestiegen von Platz acht auf Platz vier ist Trojan-Dropper.AndroidOS.Hqwar.i (3,59%). So werden Trojaner detektiert, die mit einem bestimmten Packer/Obfuskator geschützt sind. In den meisten Fällen verbergen sich unter diesem Namen Vertreter der mobilen Banktrojaner-Familien FakeToken und Svpeng.

Position fünf wird von dem Trojaner Backdoor.AndroidOS.Ztorg.c belegt. Dabei handelt es sich um einen der aktivsten Werbetrojaner, die Superuser-Rechte verwenden. Im gesamten Quartal 2017 wurden elf Plätze (in der Tabelle blau hervorgehoben) unserer ТOР 20 von Trojanern belegt, die versuchen, Root-Rechte zu erhalten oder zu nutzen und deren wichtigstes Monetarisierungs-Instrument Werbung ist. Ihr Ziel besteht darin, dem Nutzer so viel Werbung wie möglich aufzudrängen, unter anderem auch durch die verborgene Installation neuer Werbeprogramme. Unter Verwendung von Superuser-Rechten sind sie zudem in der Lage, sich in einem Systemverzeichnis zu verstecken, woraus sie nur äußerst schwer wieder zu löschen sind. Bemerkenswert ist, dass wir in der letzten Zeit einen Rückgang der Anzahl derartiger Schädlinge in unseren TOP 20 beobachten (zum Vergleich: Im vorangegangenen Quartal waren in diesem Rating vierzehn derartige Trojaner vertreten).

Auf Rang sechs befindet sich Trojan-Dropper.AndroidOS.Agent.hb (3,16%), bei dem es sich um einen komplexen modularen Trojaner handelt, dessen wichtigste Schadkomponente vom Server der Cyberkriminellen geladen werden muss. Es ist anzunehmen, dass dieser Trojaner auf den Diebstahl von Geld mittels bezahlpflichtiger Abos spezialisiert ist.

Position elf belegt Trojan-Clicker.AndroidOS.Autosus.a (2,08%), dessen Hauptaufgabe in der Aktivierung von bezahlpflichtigen Abos liegt. Daher ist er in der Lage, auf eine Schaltfläche in einem Abo-Webkatalog zu klicken und zudem eingehende SMS zu verbergen, die Informationen über diese Kataloge enthalten.

Trojan.AndroidOS.Agent.bw befindet sich auf Position vierzehn im Rating (1,67%). Dieser Trojaner, der sich in erster Linie gegen Nutzer in Indien richtet, versucht – ebenso wie Trojan.AndroidOS.Hiddad.an -, sich als legitimes Programm oder Spiel auszugeben. Tatsächlich lädt und installiert er verschiedene Apps vom Server der Cybergangster.

Den fünfzehnten Platz belegt Trojan.AndroidOS.Agent.gp (1,54%), der den Nutzern Geld stiehlt, indem er bezahlpflichtige Anrufe tätigt. Mit Hilfe von Administratorenrechten verhindert er erfolgreich Versuche, ihn von einem infizierten Gerät zu löschen.

Platz sechzehn unseres Ratings wird von dem mobilen Banktrojaner Trojan-Banker.AndroidOS.Svpeng.q (1,49%) belegt. Diese Familie war im letzten Jahr überaus aktiv und gehört zu den populärsten mobilen Banktrojanern im zweiten Quartal 2017.

Geografie der mobilen Bedrohungen

Karte der Infektionsversuche mit mobilen Schädlingen im zweiten Quartal 2017
(Anteil der angegriffenen Anwender im jeweiligen Land)

TOP 10 der Länder nach Anteil der von mobilen Schädlingen angegriffenen Anwender:

Land* Anteil der angegriffenen Anwender**
1 Iran 44,78%
2 China 31,49%
3 Bangladesch 27,10%
4 Indonesien 26,12%
5 Algerien 25,22%
6 Nigeria 24,81%
7 Indien 24,53%
8 Elfenbeinküste 24,31%
9 Ghana 23,20%
10 Kenia 22,85%

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der im jeweiligen Land angegriffenen Anwender an allen Nutzern von Kaspersky Mobile Security im Land.

Wie bereits im vorangegangenen Quartal wurden auch im zweiten Quartal 2017 die mobilen Anwender im Iran (44,78%) anteilsmäßig am häufigsten von mobilen Schadprogrammen angegriffen. Auf den zweiten Platz aufgestiegen ist China (31,49%), gefolgt von Bangladesch (27,10 %).

Russland (12,10%) belegte dieses Mal den 26. Platz (im vorangegangenen Quartal belegte das Land Platz 40). Frankreich (6,04%) landete auf Position 58, die USA (4,5%) auf Rang 71, Italien (5,7%) belegt Platz 62, Deutschland (4,8%) Platz 67 und Großbritannien (4,3%) belegt Position 73.

Die nach Anteil der angegriffenen Anwender sichersten Länder sind Dänemark (2,7%), Finnland (2,6%) und Japan (1,3%).

Mobile Bank-Trojaner

Innerhalb des Berichtszeitraums entdeckte das Team von Kaspersky Lab 28.976 Installationspakete von mobilen Bank-Trojanern. Das ist ein um das 1,1-Fache geringerer Wert als im ersten Quartal 2017.

Anzahl der von Kaspersky Lab gefundenen Installationspakete mobiler Bank-Trojaner (drittes Quartal 2016 bis zweites Quartal 2017)

Im Laufe des letzten Jahres war Trojan-Banker.AndroidOS.Svpeng.q der populärste mobile Bank-Trojaner. Das Hauptziel des hauptsächlich auf russischsprachige Nutzer fixierten Schädlings ist der Diebstahl von Geld. Um beispielsweise an Bankkarteninformationen oder die Login-Daten im Online-Banking-System zu kommen, verwendet der Trojaner Phishing-Fenster. Überdies stehlen die Cybergangster Geld mit Hilfe von SMS-Diensten, unter anderem solche für das mobile Banking.

Auf Svpeng folgen die mobilen Bank-Trojaner Trojan-Banker.AndroidOS.Hqwar.jck und Trojan-Banker.AndroidOS.Asacub.af. Die meisten der von diesem Trio angegriffenen Nutzer befinden sich im Übrigen in Russland.

Geografie der mobilen Bank-Bedrohungen im zweiten Quartal 2017
(Anteil der angegriffenen Anwender)

TOP 10 der Länder nach prozentualem Anteil der von mobilen Bank-Trojanern angegriffenen Anwender:

Land* Prozentualer Anteil der von Bank-Schädlingen angegriffenen Anwender**
1 Russland 1,63%
2 Australien 0,81%
3 Türkei 0,81%
4 Tadschikistan 0,44%
5 Usbekistan 0,44%
6 Ukraine 0,41%
7 Lettland 0,38%
8 Kirgisien 0,34%
9 Moldawien 0,34%
10 Kasachstan 0,32%

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der individuellen Anwender im Land, die Attacken von mobilen Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky Mobile Security im Land.

Im zweiten Quartal 2017 hat sich das Rating gegenüber dem vorangegangenen Quartal praktisch nicht verändert: Russland (1,63%) bleibt an der Spitze der ТOР 10. Platz zwei belegt Australien (0,81%); ein großer Teil der Attacken in diesem Land entfiel auf Vertreter der Familien Trojan-Banker.AndroidOS.Acecard und Trojan-Banker.AndroidOS.Marcher. Abgeschlossen wird das Trio von der Türkei mit einem Anteil von ebenfalls 0,81 Prozent.

Mobile Ransomware

Im zweiten Quartal 2017 entdeckte das Team von Kaspersky Lab 200.054 Installationspakete mobiler Trojaner, das sind etwas weniger als im vorangegangenen Quartal, deutlich mehr jedoch als im vierten Quartal 2016.

Zahl der von Kaspersky Lab entdeckten Installationspakete mobiler Erpresser-Trojaner (drittes Quartal 2016 bis zweites Quartal 2017)

Insgesamt entdeckten wir innerhalb des ersten Halbjahres 2017 deutlich mehr neue Installationspakete mobiler Erpresser-Trojaner als in irgendeinem anderen Zeitraum vorher. Verantwortlich für diese Zunahme ist in erster Linie die Familie Trojan-Ransom.AndroidOS.Congur. Normalerweise verfügen die Vertreter von Congur nur über eine sehr simple Funktionalität – sie ändern den PIN-Code des Gerätes (oder stellen einen eigenen ein, wenn es bisher keinen gab), woraufhin sie eine Verbindung mit den Cyberkriminellen via QQ-Messenger für die Entsperrung anfragen. Es existieren auch Modifikationen dieses Trojaners, die in der Lage sind, die bestehenden Superuser-Rechte zu benutzen, um ihr Modul in einem Systemverzeichnis zu installieren.

Trotzdem war der populärste mobile Erpresser auch im zweiten Quartal wieder Trojan-Ransom.AndroidOS.Fusob.h. Mit ihm hatten es mehr als 20 Prozent der von mobiler Ransomware angegriffenen Nutzer zu tun, weniger als halb so viele wie im vorangegangenen Quartal. Nach dem Start fragt dieser Trojaner Administratorenrechte an, sammelt Informationen über das Gerät, unter anderem die GPS-Koordinaten und die Anruferliste, und lädt sie daraufhin auf den Server der Cybergangster. Danach kann der Schädling den Befehl zum Sperren des Geräts entgegennehmen.

Geografie der mobilen Erpresser-Trojaner im zweiten Quartal 2017
(Anteil der angegriffenen Anwender im jeweiligen Land)

TOP 10 Länder nach Anteil der von mobiler Ransomware angegriffenen Anwender:

Land* Prozentualer Anteil der von mobiler Ransomware angegriffenen Anwender**
1 USA 1,24%
2 China 0,88%
3 Italien 0,57%
4 Belgien 0,54%
5 Kanada 0,41%
6 Kasachstan 0,41%
7 Irland 0,37%
8 Deutschland 0,34%
9 Norwegen 0,31%
10 Schweden 0,29%

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der individuellen Anwender im jeweiligen Land, die von mobilen Erpresser-Programmen angegriffen wurden, an allen Nutzern von Kaspersky Mobile Security im Land.

Den ersten Platz der Тop 10 belegen die USA (1,24 %), wo die Familie Trojan-Ransom.AndroidOS.Svpeng die aktivste Familie war. Diese Erpresser-Trojaner traten im Jahr 2014 als Modifikation der mobilen Bank-Trojaner-Familie Trojan-Banker.AndroidOS.Svpeng auf den Plan. Für die Entsperrung des Gerätes fordern sie üblicherweise um die 500 US-Dollar.

In China (0,88%), das den zweiten Platz belegt, entfiel ein großer Teil der Attacken mobiler Ransomware auf die Nutzer im Land auf die Familie Trojan-Ransom.AndroidOS.Congur.

Auf Position drei befindet sich Italien (0,57%), wo Trojan-Ransom.AndroidOS.Egat.d der aktivste Trojaner war. Dieser Trojaner, der in erster Linie in Europa verbreitet wird, fordert ein Lösegeld in Höhe von 100 bis 200 Dollar für die Entsperrung des Gerätes.

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Das zweite Quartal 2017 war geprägt von Sicherheitslücken in freier Wildbahn. Das Auftreten gleich mehrerer 0-Day-Schwachstellen für Microsoft Office hatte eine deutliche Veränderung in der Zusammensetzung der eingesetzten Exploits zur Folge.

Eine logische Schwachstelle in der Verarbeitung von HTA-Objekten (CVE-2017-0199), die es einem Cyberkriminellen ermöglicht, mit Hilfe einer speziell aufgebauten Datei willkürlichen Code auf einem entfernten Rechner auszuführen, wurde Anfang April entdeckt. Und ungeachtet dessen, dass bereits am 11. April ein Update veröffentlicht wurde, das diese Sicherheitslücke beseitigt, ist die Zahl der angegriffenen Microsoft-Office-Nutzer auf 1,5 Millionen angestiegen und hat sich damit fast verdreifacht. Unter Ausnutzung eben dieser Sicherheitslücke wurden 71% aller Angriffe auf die Nutzer des Office-Paketes von Microsoft durchgeführt, Dokumente mit Exploits für CVE-2017-0199 wurden aktiv via Spam verschickt.

Verteilung der in Cyberattacken eingesetzten Exploits nach Typen der angegriffenen Anwendungen, zweites Quartal 2017

Gründe dafür gibt es gleich mehrere: Zum einen können alle MS Office- und Windows-Versionen einfach und zuverlässig ausgenutzt werden, zum anderen wurden sehr schnell Generatoren für die Erzeugung von Dokumenten mit einem Exploit für CVE-2017-0199 öffentlich verfügbar gemacht, was die Eintrittsschwelle zur Ausnutzung dieser Schwachstelle wesentlich senkte. Zum Vergleich: Auf zwei andere Zero-Day-Sicherheitslücken in MS Office, die mit einer Speicherbeschädigung aufgrund der inkorrekten Verarbeitung von Dateien des Formats EPS zusammenhängen — CVE-2017-0261 und CVE-2017-0262 – entfielen nur 5 Prozent.

Doch das wichtigste Ereignis des zweiten Quartals ist die Veröffentlichung eines Archivs mit Tools und Exploits, die höchstwahrscheinlich von Geheimdiensten der USA entwickelt wurden, durch die Hacker-Gruppe Shadow Brokers. Das Archiv Lost In Translation enthielt eine große Zahl an Netzwerk-Exploits für verschiedene Windows-Versionen. Und obwohl es sich bei einem großen Teil der aufgedeckten Sicherheitslücken nicht um Zero-Days handelt und sie einen Monat vor der Veröffentlichung durch die Shadow Brokers mit dem Update MS17-010 geschlossen worden waren, hatte diese Veröffentlichung entsetzliche Folgen. Die Schäden, die durch Würmer, Trojaner und Verschlüsselungsschädlinge entstanden sind, die sich im Netz mit Hilfe von EternalBlue und EternalRomance verbreitet haben, sowie die Zahl der infizierten Nutzer lassen sich nicht berechnen. Kaspersky Lab hat allein im zweiten Quartal 2017 mehr als fünf Millionen Angriffsversuche unter Verwendung von Netzwerk-Exploits aus dem Archiv blockiert. Dabei stieg die durchschnittliche Angriffsmenge pro Tag stetig an: 82% aller Attacken wurden innerhalb der letzten 30 Tage aufgedeckt.

Statistik der Komponente IDS unter Verwendung von Exploits der ShadowBrokers innerhalb des letzten Monats. Starker Anstieg zum Ende des Monats — Auftreten des Verschlüsselungsschädlings ExPetr, der sich unter anderem mit Hilfe der modifizierten Exploits EternalBlue und EternalRomance ausgebreitet hat:

Schadprogramme im Internet (Attacken über Webressourcen)

Online-Bedrohungen im Bankensektor

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden und deren Anwender ihre Zustimmung zur Übertragung der Informationen gegeben haben. Beginnend mit dem ersten Quartal 2017 fließen Schadprogramme für Geldautomaten und PoS-Terminals mit in die Statistik ein, nicht aber mobile Bedrohungen.

Im zweiten Quartal 2017 wehrten die Lösungen von Kaspersky Lab auf den Computern von 224.000 Nutzern Ausführungsversuche eines oder mehrerer Schadprogramme ab, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert sind.

Zahl der von Finanzmalware angegriffenen Computer, April bis Juni 2017

Geografie der Attacken

Um den Grad des Risikos einer Infektion mit Bank-Trojanern und Schädlingen für Geldautomaten und PoS-Terminals, dem Computer in den verschiedenen Ländern der Welt ausgesetzt sind, beurteilen und vergleichen zu können, haben wir für jedes Land den Anteil der Nutzer von Kaspersky-Lab-Produkten, die im Berichtszeitraum mit dieser Bedrohung konfrontiert wurden, an allen Nutzern unserer Produkte im Land berechnet.

Geografie der Attacken von Bankschädlingen im zweiten Quartal 2017
(Prozentsatz der angegriffenen Anwender)

TOP 10 der Länder nach prozentualem Anteil der angegriffenen Anwender

Land* Prozentualer Anteil der angegriffenen Anwender**
Deutschland 2,61
Togo 2,14
Libyen 1,77
Palästina 1,53
Libanon 1,44
Venezuela 1,39
Tunesien 1,35
Serbien 1,28
Bahrain 1,26
Taiwan 1,23

Die vorliegende Statistik basiert auf den Detektionen von Kaspersky Anti-Virus, die von Nutzern der Produkte von Kaspersky Lab zur Verfügung gestellt wurden, die ihre Zustimmung zur Übermittlung statistischer Daten gegeben haben.
* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender von Kaspersky-Lab-Produkten, die Angriffen von Bank-Trojanern und Schädlingen für Geldautomaten und PoS-Terminals ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im zweiten Quartal war Deutschland (2,61%) Spitzenreiter in diesem Rating. Auf dem zweiten Platz positionierte sich mit deutlichem Abstand die Republik Togo (2,14%), den dritten Platz belegt Libyen (1,77%).

TOP 10 der Bank-Malware-Familien

Die TOP 10 der Schadprogramm-Familien, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet wurden, sehen für das zweite Quartal 2017 folgendermaßen aus (nach Anzahl der angegriffenen Anwender):

Name* Prozentualer Anteil der angegriffenen Anwender**
Trojan-Spy.Win32.Zbot 32,58
Trojan.Win32.Nymaim 26,02
Trojan-Banker.Win32.Emotet 7,05
Trojan.Win32.Neurevt 6,08
Trojan-Spy.Win32.SpyEyes 6,01
Worm.Win32.Cridex 4,09
Trojan-Banker.Win32.Gozi 2,66
Backdoor.Win32.Shiz 2,19
Trojan.Multi.Capper 1,9
Trojan.Win32.Tinba 1,9

 

* Die vorliegende Statistik basiert auf den Detektionen von Kaspersky Anti-Virus, die von Nutzern der Produkte von Kaspersky Lab zur Verfügung gestellt wurden, die ihre Zustimmung zur Übermittlung statistischer Daten gegeben haben.
** Prozentualer Anteil individueller Anwender, die von dem jeweiligen Schädling angegriffen wurden, an allen von Finanz-Malware angegriffenen Anwendern.

Das Rating wird auch im zweiten Quartal weiterhin von Trojan-Spy.Win32.Zbot (32,58%) angeführt. Der Quellcode dieses Schädlings ist infolge eines Lecks für alle Interessierten frei verfügbar. Daher fügen Cyberkriminelle dieser Familie regelmäßig neue Samples hinzu, die auf der Grundlage des Quellcodes kompiliert werden und sich nur minimal vom Original unterscheiden.

Auf Platz zwei befindet sich der Trojaner Trojan.Win32.Nymaim (26,02%). Bei den ersten Versionen der Schadprogramme dieser Familie handelte es sich um trojanische Ladeprogramme, die auf einen infizierten Computer für jedes Land individuelle Programme luden, die die Funktionsfähigkeit des Computers blockierten. In der Folge wurden neue Trojaner-Versionen der Familie Trojan.Win32.Nymaim gefunden, unter anderem eine Komponente des trojanischen Programms Gozi, das von Cyberkriminellen für den Diebstahl von Zugangsdaten zu Online-Banking-Systemen genutzt wird. Der Trojaner Gozi selbst (2,66%) landete dabei auf Platz sieben in unserem Rating.

Schädliche Verschlüsselungsprogramme

Im Mai 2017 nahm die beispiellose Epidemie des Verschlüsselungsschädlings Wannacry 2.0 ihren Anfang, der sich mit Hilfe eines Wurms ausbreitete, der wiederum eine Sicherheitslücke im Betriebssystem Windows in verschiedenen Versionen ausnutzte.

Diese Epidemie war noch nicht abgeklungen, als im Juni 2017 eine massive Attacke eines anderen Trojaners Schlagzeilen machte — ExPetr. Während Wannacry 2.0 kein eindeutiges geografisches Ziel hatte und wahllos alle Länder angriff, so war das Hauptziel von ExPetr die Ukraine. Die Experten von Kaspersky Lab fanden heraus, dass ExPetr die MFT unwiederbringlich verschlüsselt (Hauptdatei des Dateisystems NTFS), so dass die betroffenen Computer selbst bei Zahlung des Lösegeldes an die Cyberkriminellen nicht vollständig wiederhergestellt werden können.

Neben den großen Epidemien, die die Welt erschütterten, zeichnete sich im zweiten Quartal auch eine interessante Tendenz ab: Gleich mehrere Verbrechergruppen, die hinter verschiedenen Verschlüsselungstrojanern steckten, haben ihre Tätigkeit eingestellt und die geheimen Schlüssel veröffentlicht, die für die Decodierung der Dateien der Opfer notwendig sind. Es folgt die Liste der Familien, deren Schlüssel im Berichtszeitraum öffentlich zugänglich gemacht wurden:

  • Crysis (Trojan-Ransom.Win32.Crusis);
  • AES-NI (Trojan-Ransom.Win32.AecHu);
  • xdata (Trojan-Ransom.Win32.AecHu);
  • Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr).

Anzahl neuer Modifikationen

Im zweiten Quartal 2017 entdeckten wir 15 neue Familien von Verschlüsselungsschädlingen. Die Anzahl der neuen Modifikationen betrug 15.663 – eine deutlich geringere Zahl als noch im ersten Quartal. Und während es sich im ersten Quartal bei den meisten Modifikationen noch um Exemplare des Verschlüsselungsschädlings Cerber handelte, so geriet dieses Schadprogramm im zweiten Quartal in den Hintergrund und machte Platz für einen neuen Verschlüsselungsschädling – Wannacry —, der sich rund um den Globus ausbreitete.

Anzahl neuer Modifikationen von Verschlüsselungsschädlingen, zweites Quartal 2016 bis zweites Quartal 2017

Wir beobachten eine starke Abnahme der Zahl neuer Samples des Trojaners Cerber. Möglicherweise weist das darauf hin, dass diese Schädlingsfamilie demnächst nicht mehr entwickelt und verbreitet werden wird. Ob dem so ist oder nicht, wird die Zeit zeigen. Zusammen mit Cerber ging auch die Gesamtzahl der Modifikationen von Verschlüsselungsschädlingen zurück.

Zahl der von Verschlüsselungstrojanern angegriffenen Anwender

Im zweiten Quartal 2017 wurden auf den Computern von 246.675 individuellen KSN-Anwendern Infektionsversuche von Verschlüsselungsschädlingen registriert – ein Wert, der dem aus dem vorangegangenen Quartal sehr nahe kommt. Obgleich die Zahl neuer Modifikationen abgenommen hat, ist die Zahl der Nutzer gestiegen, auf deren Computern Angriffe von Verschlüsselungstrojanern abgewehrt wurden.

Zahl individueller von Verschlüsselungstrojanern angegriffener Anwender, zweites Quartal 2017

Geografie der Attacken

ТOР 10 der von Verschlüsselungstrojanern angegriffenen Länder

Land* Prozentualer Anteil der von Verschlüsselungstrojanern angegriffenen Anwender**
1 Brasilien 1,07%
2 Italien 1,06%
3 Japan 0,96%
4 Vietnam 0,92%
5 Südkorea 0,78%
6 China 0,75%
7 Kambodscha 0,75%
8 Taiwan 0,73%
9 Hongkong 0,66%
10 Russland 0,65%

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 50.000 liegt.
** Prozentualer Anteil der individuellen Nutzer, deren Computer von Verschlüsselungstrojanern angegriffen wurden, an allen individuellen Nutzern von Kaspersky-Produkten in diesem Land.

ТOР 10 der am weitesten verbreiteten Familien von Verschlüsselungstrojanern

Name Detektiert als* Prozentualer Anteil der angegriffenen Anwender**
1 Wannacry Trojan-Ransom.Win32.Wanna 16,90%
2 Locky Trojan-Ransom.Win32.Locky 14,91%
3 Cerber Trojan-Ransom.Win32.Zerber 13,54%
4 Jaff Trojan-Ransom.Win32.Jaff 11,00%
5 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 3,54%
6 Spora Trojan-Ransom.Win32.Spora 3,08%
7 ExPetr Trojan-Ransom.Win32.ExPetr 2,90%
8 Shade Trojan-Ransom.Win32.Shade 2,44%
9 Purgen/GlobeImposter Trojan-Ransom.Win32.Purgen 1,85%
10 (generic verdict) Trojan-Ransom.Win32.CryFile 1,67%

* Die Statistik basiert auf Daten der Produkte von Kaspersky Lab, deren Anwender der Übermittlung statistischer Informationen zugestimmt haben.
** Prozentualer
Anteil der von einer bestimmten Trojan-Ransom-Familie angegriffenen individuellen Nutzer von Kaspersky Lab-Produkten an allen von einem Schädling der Klasse Trojan-Ransom angegriffenen Nutzern.

Neben den bereits erwähnten Schädlingen Wannacry und ExPetr gibt es zwei weitere „Neueinsteiger“ in diesem Rating, und zwar Jaff und Purgen. Der Verschlüsselungsschädling Jaff belegt Platz vier – mit deutlichem Abstand auf den folgenden Cryrar. Infolge einer detaillierten Analyse des Trojaners entdeckten die Spezialisten von Kaspersky Lab einen Fehler in der Umsetzung seiner kryptografischen Algorithmen, wodurch die Entwicklung eines Tools zur Dechiffrierung der Dateien möglich wurde.

Die übrigen Positionen im Rating werden von den bekannten Schädlingen Cerber, Locky, Spora und Shade besetzt.

TOP 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im zweiten Quartal 2017 wehrten die Lösungen von Kaspersky Lab 342.566.061 Attacken ab, die von Internet-Ressourcen in 191 Ländern der Welt durchgeführt wurden. Kaspersky Anti-Virus schlug bei 33.006.783 individuellen URLs Alarm.

Verteilung der Quellen von Webattacken nach Ländern, zweites Quartal 2017

In diesem Quartal entfielen die meisten Alarme von Kaspersky Anti-Virus auf Ressourcen in den USA, zudem gab es mehr schädliche Ressourcen in Frankreich als in Russland oder Deutschland.

Länder, in denen die Computer dem größten Risiko einer Infektion über das Internet ausgesetzt waren

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie hoch der prozentuale Anteil der individuellen Anwender von Kaspersky-Lab-Produkten war, bei denen Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

Wir erinnern daran, dass wir beginnend mit dem vorangegangenen Quartalsbericht in diesem Rating nur Attacken von Schadobjekten der Klasse Malware berücksichtigen. Potentiell gefährliche und unerwünschte Programme wie etwa Programme der Klassen RiskTool und Adware fließen nicht in die Berechnungen mit ein.

Land* Anteil der individuellen Anwender
1 Algerien 29,15
2 Albanien 26,57
3 Weißrussland 25,62
4 Katar 24,54
5 Ukraine 24,28
6 Indien 23,71
7 Rumänien 22,86
8 Aserbaidschan 22,81
9 Tunesien 22,75
10 Griechenland 22,38
11 Brasilien 22,05
12 Moldawien 21,90
13 Russland 21,86
14 Vietnam 21,67
15 Armenien 21,58
16 Taiwan 20,67
17 Marokko 20,34
18 Kasachstan 20,33
19 Kirgisien 19,99
20 Georgien 19,92

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.
* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken von schädlichen Objekten der Klasse Malware ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Durchschnittlich waren im Laufe des Quartals weltweit 17,26 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke durch Objekte der Klasse Malware ausgesetzt.

Geografie der Webattacken durch Malware im zweiten Quartal 2017 (prozentualer Anteil der angegriffenen Anwender)

Zu den beim Surfen im Internet sichersten Länder zählen Kuba (5%), Finnland (11,32%), Singapur (11,49%), Israel (13,81%) und Japan (7,56%).

Lokale Bedrohungen

Ein sehr wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören sowohl Objekte, die mittels Infektion von Dateien oder über mobile Datenträger in die Systeme eindringen, als auch Objekte, die ursprünglich nicht in offener Form auf den Computer gelangt sind (beispielsweise Programme, die zu komplexen Installern gehören oder verschlüsselte Dateien).

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im zweiten Quartal 2017 registrierten unsere Antiviren-Lösungen 185.801.835 individuelle schädliche und potentiell unerwünschte Objekte.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

Für jedes dieser Länder haben wir berechnet, wie hoch der prozentuale Anteil der Nutzer von Kaspersky-Lab-Produkten ist, bei denen Kaspersky Anti-Virus im Berichtszeitraum Alarm geschlagen hat. Diese Statistik spiegelt das Infektionsniveau von PCs in den verschiedenen Ländern der Welt wider.

In diesem Rating werden nur Attacken von Schadobjekten der Klasse Malware berücksichtigt. Potentiell gefährliche und unerwünschte Programme wie etwa Programme der Klassen RiskTool und Adware fließen nicht in die Berechnungen mit ein.

Die Hitliste der Länder hat sich gegenüber dem vorangegangenen Quartal kaum verändert, die Plätze Kasachstans und Weißrusslands werden jetzt allerdings von Mosambik und Mauretanien belegt:

Land* Prozentualer Anteil individueller Nutzer**
1 Afghanistan 52,08
2 Usbekistan 51,15
3 Jemen 50,86
4 Tadschikistan 50,66
5 Algerien 47,19
6 Äthiopien 47,12
7 Laos 46,39
8 Vietnam 45,98
9 Turkmenien 45,23
10 Mongolei 44,88
11 Syrien 44,69
12 Dschibuti 44,26
13 Irak 43,83
14 Ruanda 43,59
15 Sudan 43,44
16 Nepal 43,39
17 Somalia 42,90
18 Mosambik 42,88
19 Bangladesch 42,38
20 Mauretanien 42,05

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Mobiltelefonen oder externe Festplatten.
* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen der Klasse Malware blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Durchschnittlich wurden im Laufe des ersten Quartals 2017 weltweit auf 20,97 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen der Klasse Malware registriert. Russland hatte in diesem Rating einen Wert von 25,82 Prozent.

Die Länder mit dem geringsten Infektionsniveau sind: Chile (15,06%), Lettland (14,03%), Portugal (12,27%), Australien (9,46%), Großbritannien (8,59%), Irland (6,30%) und Puerto Rico (6,15%).

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.