Produkcia v plnom prúde
Aby sme získali prehľad o kvantitatívnom vývoji malware, spočítavame typy škodlivého softvéru, pretože sú reprezentované podpismi. To presahuje počítanie súborov so škodlivým softvérom a zohľadňuje iba varianty, ktoré majú rovnaké kusy škodlivého kódu. Od začiatku malware sa počet nových verzií neustále zvyšuje. Iba v roku 2015 to bolo pod značkou stanovenou rekordným rokom 2014. V roku 2017 sa počet nových malware zvýšil o 22,9% v roku 2016 na 8,400,058. Druhá polovica roku 2017 nedosiahla veľkosť prvého (najmä druhého štvrťroka). Podiel H2 v objeme 2017 je 41,8% s celkovým počtom 3,508,754. To je tiež o niečo menej (3%) ako v rovnakom období roku 2016.
Obrázok 1: Počet nových vzoriek škodlivého softvéru od roku 2007
V druhej polovici roku 2017 bolo v priemere objavených 795 nových malware vzoriek za hodinu, t. J. 13 za minútu. Priemer za celý rok 2017 je o niečo vyšší: 959 za hodinu a 16 za minútu. Historické porovnanie s rokom 2007 ukazuje, že v roku 2017 sa objaví viac ako 63-krát viac malware. Aj napriek tomu, že čísla druhej polovice roku 2017 nezískali nové záznamy, stále očakávame, že množstvo nového škodlivého softvéru bude naďalej stúpať.
Väčšia časť typov malware je pokrytá trójskymi koňmi (82,7%). Ich pomer sa znížil o 6,1%. Silnejšie druhé miesto dosiahli Adware (13,0%) a potenciálne nežiaduce programy (PUP, 3,3%). Ich podiel sa zvýšil o 6%. Nasledujú zadné vrátka, červy, ransomware. Zatiaľ čo v prvom polroku 2017 bol ransomware ťažko merateľný (<0,1%), ich počet sa v druhej polovici zvýšil šesťnásobne na podiel 0,2%. To nemusí znieť ohromne vysoko. Rodiny ransomware sú však najproduktívnejšie v druhej polovici roku 2017.
Zabránené útoky v roku H2 2017
Počet nových vzoriek škodlivého softvéru hovorí málo o počte vykonaných útokov. Jediný škodlivý softvér môže napadnúť tisícky alebo dokonca milióny počítačov. Ale väčšina útokov je súčasťou malých kampaní často v ďalekých krajinách. Počítanie je založené na upozorneniach o incidentoch, ktoré dostávame od používateľov nášho produktu, ak sa podieľajú na iniciatíve informácií o škodlivom softvéri spoločnosti G DATA (stručne MII). Počítame každý súbor, ktorý naše skenery blokujú. Pretože tento súbor nemôže poškodiť systém, zabráni sa útoku. Preto následne používame pojem zabránené útoky.
Ak porovnáme počet zabránených útokov medzi krajinami a časovými intervalmi, dokážeme normalizovať čísla. Uvádzame, koľko útokov bolo možné zabrániť denne na 1000 používateľov. Hodnoty pre druhú polovicu roku 2017 sa líšia okolo aritmetického priemeru 119,4. Tj. priemerne každý deň takmer každý ôsmy používateľ čelí úspešnému zabráneniu útoku. Počas druhej polovice roku 2017 to predstavuje až 22 zabránených útokov. Počet útokov tiež kolíše mesiac medzi 103,2 a 156,7 dennými útokmi na 1000 používateľov (porovnaj obrázok 2 nižšie).
Kategórie škodlivého softvéru
Rozlišujeme dva druhy útokov: škodlivý softvér a potenciálne nežiaduce programy (krátko PUP). Malware vykonáva neoprávnene škodlivé alebo podvodné aktivity na počítači a používateľ ho väčšinou nepovšimne. Pre PUP nie je cesta taká jasná. Existujú nástroje a aplikácie, ktoré umožňujú napr. správcovi systému správu počítačov a sietí. V neoprávnených rukách môžu byť tieto nástroje použité na ublíženie. V mnohých prípadoch ide o reklamné programy a panely s nástrojmi. Ich pochybné použitie môže byť legalizované zobrazením licenčných dohôd. Vo väčšine prípadov je používateľ oklamaný.
Väčší podiel útokov v H2 2017 tvorí PUP (67,6%). Pre škodlivý softvér zostáva 32,4%. Počas štvrtého štvrťroka stúpol pomer PUP až na 73,5% a malware klesol na 26,5%. Jednoducho povedané, pomer PUP a malware pre druhú polovicu je 2: 1, stúpa na 3: 1 pre Q4. V dôsledku tejto nerovnováhy PUP a malware, PUP pokrýva väčšinu Top 10 pre všetky incidenty. Následná diferenciácia medzi programom Malware a PUP umožňuje samostatné vyhľadávanie skupín a odhalenie ich individuálnych vlastností. Poskytujeme top 10 vzoriek pre každú kategóriu spolu s ich percentuálnym počtom a krátky popis.
Informácie o škodlivom softvéri
Hodnosť | Vzorka malware | % | Popis |
1 | Trojan.BAT.Poweliks.Gen | 13,0% | Tento skript je súčasťou infekcie s Poweliks. Ako malý pomocný skript (súbor BATCH) spustí iný náhodne pomenovaný súbor. Poweliks je bezproblémový malware a pracuje s údajmi uloženými v registri. Spácha podvody s kliknutiami neustálym kliknutím na reklamné bannery, ktoré by mohli viesť k vykonaniu škodlivého kódu v prípade zlého inzerovania. |
2 | JS:Trojan.JS.Agent.RB | 5,6% | Jedná sa o silne zmenenom Trojan-Downloaderi, založenom na JavaScript. |
3 | Trojan.Html.Iframe.NA | 2,6% | Webové stránky infikované skrytým rámikom, ktorý natiahne škodlivý softvér tváriaci sa ako šetrič obrazovky. |
4 | Gen:Variant.Graftor.369975 | 2,5% | Generická detekcia pre trójske kone, ktoré zneužívajú ikony priečinkov, ktoré sa majú spustiť. V závislosti od variantu môže obsahovať funkčnosť červov, backdoors alebo downloaderov. |
5 | Script.Trojan.Redirector.BA | 2,1% | Presmerovač - ako to naznačuje názov - presmeruje webových návštevníkov na nechcené webové stránky. Zvyčajne sa nachádzajú na webových stránkach pre dospelých |
6 | Exploit.Poweliks.Gen.4 | 2,1% | Toto zneužitie detekuje odkazy, ktoré používajú funkciu pomocníka HTML systému Windows (mshta.exe) na vykonanie kódu JScript uloženého v databáze Registry. Poweliks je bezproblémový malware a pracuje s údajmi uloženými v registri. Spácha podvody s kliknutiami neustálym kliknutím na reklamné bannery, ktoré by mohli viesť k vykonaniu škodlivého kódu v prípade zlého inzerovania. |
7 | HTML.Trojan-Ransom.TechSupportScam.I | 1,7% | Podvodné webové stránky, ktoré používajú niektoré skripty, aby sa ukázalo, že počítač je zablokovaný na tejto falošnej výstražnej stránke. Zabraňuje používateľom, aby zavolali na falošné číslo technickej podpory. |
8 | JS:Trojan.Cryxos.1164 | 1,1% | Detekcia webových stránok, ktoré súvisia s podvodmi s technickou podporou. Nástroje ponúkané na prevzatie sa často zistia ako "HTML.Trojan-Ransom.TechSupportScam" |
9 | JS:Trojan.Cryxos.1018 | 1,1% | Zisťovanie webových stránok, ktoré súvisia s podvodmi s technickou podporou (viď vyššie). |
10 | Win32.Worm.Autorun.A@gen | 1,0% | Červy z autorunovej rodiny sa aktivujú, keď sú k počítaču pripojené vymeniteľné pamäťové jednotky, ako sú USB kľúče, foto kamery atď. Zneužíva rutiny z operačného systému a šíri červa. |
... | Iné | 68,2% | n/a |
Tabuľka 1: Top 10 vzoriek škodlivého softvéru zabránených útokom v druhej polovici roku 2017
Malware Top10 obsahuje niekoľko skriptov. Väčšina z nich pracuje v súvislosti s webovými stránkami. Vedúci malware Poweliks a súvisiace exploity pracujú bez prístupu k súborovému systému. Poweliks sa spolieha na skripty Powershell, ktoré môžu byť zabezpečené v položkách databázy Registry. V prvom štvrťroku (1. miesto) to bolo vedúce postavenie a ešte stále celkom silné, ale v 4. štvrťroku kleslo na 12. Okrem typických downloaderov (ako ich názov naznačuje, že sťahujú a spúšťajú súbory z internetu) a červy, nájdeme na mieste 7 - 9 malware, ktorý sa používa v podvodných kampaniach zahŕňajúcich podporné horúce linky. Existuje množstvo správ o údajnom bezpečnostnom zamestnaní spoločnosti Microsoft (väčšinou z Indie). Webové stránky, na ktoré sa vzťahuje tento malware, predstierajú, že návštívený počítač je infikovaný alebo zle nakonfigurovaný - podobne ako bývalý podvod Fake AV. V takomto prípade sa však používateľ vyzve, aby zavolal na horúcu linku podpory. Podvodníci na druhom konci linky hovoria, že ich obete umožňujú vzdialený prístup k počítaču a nainštalujú pochybný softvér. Sú dobre vyškolení, aby spustili upozornenia AV softvéru ako falošné poplachy. V tomto prípade by ste mali dôverovať rozhodnutiu vášho AV.
V súčasnosti je najvýraznejšia a najvážnejšia hrozba pre počítače stále ransomware. Zistili sme, že patria k najproduktívnejším malware. S miestami 30, 163 a 194 v programe Malware Top 250 hrájú malú úlohu v počte súvisiacich útokov.
About PUP
... | Iné | 69.3% | n/a |
Hodnosť | Potenciálne nežiadúci program (PUP) | % | Popis |
1 | Application.BitCoinMiner.SX | 8.5% | BitCoinMiners využívajú výpočtovú kapacitu prístroja na účely vyvlastnenia BitCoins. Vo väčšine prípadov sa doručujú prostredníctvom webových stránok. |
2 | Win32.Application.DownloadGuide.T | 5.0% | Bundle, ktorý má detekciu pre virtuálne počítače. Ponuky počas inštalácie budú menej agresívne, ak by bol detekovaný virtuálny počítač. Na fyzickom počítači je bežným prípadom podvodné správanie. |
3 | Win32.Application.OpenCandy.G | 3.7% | Táto verzia programu OpenCandy je potenciálne nežiaduci program (PUP). Inštaluje sa spolu s rôznymi legitímnymi bezplatnými softvérmi, ako je DVD prehrávač, PDF čítačka, archivátor a ďalšie, ktoré boli spojené s nechcenými extra. Softvér zistený ako Win32.Application.OpenCandy.G bol vyvinutý firmou SweetLabs, spoločnosť so sídlom v San Diegu v USA. Toto PUP upravuje správanie prehliadača zmenou nastavenia domovskej stránky a vyhľadávacieho nástroja, presmerováva používateľov na potenciálne nežiaduce webové stránky a tiež zobrazuje kontextové okná. Účel úpravy: generovanie výnosov zobrazovaním reklám. |
4 | Win32.Application.DownloadSponsor.R | 3.2% | DownloadSponsor.R je dodávaný ako inštalátor. Distribútori využívajú legitímny bezplatný softvér, balia svojim inštalačným programom PUP a distribuujú tieto balíky online kvôli speňaženiu. Ponuky a ponuky dialógov sa sťahujú dynamicky zo serverov DownloadSponsor. Každé zobrazenie reklamy má za následok zárobky pre distribútorov manipulovaného softvéru. |
5 | Win32.Application.Uniblue.A | 2.2% | Uniblue ponúka niekoľko produktov, ktoré sú väčšinou podobné funkčnosti, v podstate sú to čističe registra, ktoré majú zrýchliť počítač. Skúšobné verzie sú často inštalované inštalátormi tretích strán bez správneho súhlasu používateľa. Typická úvodná kontrola zistí irelevantné položky, ktoré potrebujú "fixovanie", pričom stanovenie týchto položiek si vyžaduje platené predplatné. |
6 | Win32.Application.DownloadSponsor.S | 2.2% | DownloadSponsor.S ako "R" -variant vyššie brať legitímny slobodný softvér a baliť ho s ich PUP inštalátor. |
7 | Application.BitCoinMiner.UB | 2.1% | BitCoinMiners využívajú výpočtovú kapacitu prístroja na účely vylúčenia CryptoCoins. Vo väčšine prípadov sa doručujú prostredníctvom webových stránok. |
8 | Application.Alphaeon.1 | 1.9% | Alphaeon je inštalátor programu PUP pomocou nástroja InstallCore. Snaží sa vyhnúť sa detekcii šifrovaním jeho užitočného zaťaženia. Snaží sa oklamať používateľa na inštaláciu rôznych iných PUP počas inštalácie. |
9 | Gen:Variant.Application.Bundler. DownloadGuide.24 | 1.9% | Bundle, ktorý má detekciu pre virtuálne počítače. Ponuky počas inštalácie budú menej agresívne, ak by bol detekovaný virtuálny počítač. Na fyzickom počítači je bežným prípadom podvodné správanie. |
10 | Script.Application.FusionCore.B | 1.9% | Bundle, ktorý má detekciu pre virtuálne počítače. Ponuky počas inštalácie budú menej agresívne, ak by bol detekovaný virtuálny počítač. Na fyzickom počítači je bežným prípadom podvodné správanie. |
Tabuľka 2: Top 10 potenciálne nežiaducich programov pre druhú polovicu roku 2017
Top 10 dominuje typické výskyty inzerentov a softvérových balíkov. V treťom štvrťroku 2017 vstúpil nováčik do top 10: "Application.BitCoinMiner.SX" v 10. priečke. V priebehu štvrtého štvrťroka sa jeho prevalencia neustále zvyšovala a dosiahla prvú pozíciu. Okrem toho je na mieste 3 doplnený podobný variant. Z toho vyplýva, že počas posledného štvrťroku roku 2017 sa zaviedol nový druh zneužívania: CoinMining. Pri návšteve webových stránok alebo pri inštalácii zväzku súborov zneužíva malware počítačovú silu počítača na zarábanie peňazí pomocou bankových šifrovacích mien. Najrozšírenejšou službou je Coinhive, ktorá baní Moneros. Zvýšené náklady na energiu musí zaplatiť obeť, zatiaľ čo poskytovateľ tejto "služby" berie peniaze na mince. Na túto tému sa budeme čoskoro pozrieť.
Aký pestrý svet
Existuje podstatná odchýlka typu a počtu zabránených útokov v rôznych krajinách. Merali sme väčšinu denných incidentov na 1000 používateľov v Izraeli, Nórsku a Mexiku. Tabuľka 3 nižšie sumarizuje krajiny s najvyššou mierou výskytu incidentov pre rôzne typy škodlivého softvéru. Scenár sa veľmi líši. Zatiaľ čo vo Francúzsku sú PUP a Malware na podobnej úrovni (miesta 5 a 6), mnohé krajiny vykazujú určité rozdiely. Nemecko je na mieste 27 pre oba "Všetky útoky" a "Malware", zatiaľ čo PUP je usadený na mieste 19. Švajčiarsko má viac problémov s Malware (miesto 10) ako s PUP (miesto 23). Izrael zaznamenáva veľa útokov PUP, zatiaľ čo Nórsko je viac postihnuté škodlivým softvérom.
Všetky útoky
| MALWARE
| PUP
|
Nakoniec
Pohľad na najproduktívnejší exemplár škodlivého softvéru a počet zabránených útokov odhaľuje obchodné oblasti, metódy a štruktúry hospodárstva počítačovej kriminality - aspoň časť, ktorá súvisí so širším publikom. V reklamnom prostredí sa robí veľa peňazí. Nová oblasť CoinMining je trendová. Prípad technických podvodov ukazuje, že kybernetickí zločinci už nie sú sústredení na okamžitú infekciu systému. Skôr "presvedčia" ľudí, aby zavolali na horúcu linku, kde sa podvodná práca dosiahla. Obchod s ransomware spomaľuje, ale stále sa aktívne pohybuje. Vidíme tiež škodlivý softvér, ktorý súvisí s vytváraním a udržiavaním botnetov ako základnej infraštruktúry, odosielaním nevyžiadaných e-mailov alebo spustením útokov typu Denial of Service. Každá krajina má svoje vlastné podmienky.
Väčšina vzoriek škodlivého softvéru sú spustiteľné súbory pre systém Windows. Mnohé útoky sa však vykonávajú pomocou skriptov alebo makier na webových stránkach, súboroch PDF a dokumentoch. Pri otváraní neznámych súborov alebo webových stránok by ste mali byť opatrní a spustiť dobré riešenie Anti-Virus, ktoré vás ochráni pred aktuálnymi hrozbami.
Ďalšie informácie
Obrázok 2: Prevencia útokov za mesiac počas druhej polovice roku 2017
Správa o škodlivom softvéri z prvej polovice roku 2017: https://www.gdatasoftware.com/blog/2017/07/29905-malware-zahlen-des-ersten-halbjahrs-2017