메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

3/4 분기 수치

KSN 데이터에 따르면 카스퍼 스키 랩 솔루션 은 전 세계 185 개 국가에 위치한 온라인 리소스를 통해 277,646,376 개의 악의적 인 공격을 탐지하고 차단했습니다.

72,012,219 개의 고유 URL이 웹 안티 바이러스 구성 요소에 의해 악의적으로 인식되었습니다.

은행 계좌에 대한 온라인 액세스를 통해 돈을 훔치는 것을 목표로하는 맬웨어에 의한 감염 시도는 204,388 개의 사용자 컴퓨터 에 등록되었습니다 .

고유 사용자의 186283 대의 컴퓨터 에서 Crypto ransomware 공격이 차단되었습니다 .

카스퍼스키랩의 파일 바이러스 백신은 총 198,228,428 개의 고유 한 악성 및 잠재적으로 원치 않는 개체를 탐지했습니다 .

카스퍼 스키 랩 모바일 보안 제품이 발견되었습니다.

  • 악의적 인 설치 패키지 1,598,196 개 ;
  • 19,748 개의 모바일 뱅킹 트로이 목마 (설치 패키지);
  • 108,073 모바일 ransomware 트로이 목마 (설치 패키지).

모바일 위협

3 분기 행사

Asacub 은행가의 보급

3 분기에 우리는 SMS 스팸을 통해 활발히 퍼진 모바일 뱅킹 인 Trojan Trojan-Banker.AndroidOS.Asacub의 활동을 계속 모니터했습니다. Q3에서는 사이버 범죄자가 트로이 목마 배포를위한 주요 캠페인을 수행하여 공격 한 사용자의 수를 세 배로 늘 렸습니다. Asacub 활동은 7 월에 최고조에 달했고 그 후 공격의 수가 감소했습니다. 9 월에 우리는 7 월에 비해 공격 한 사용자의 수가 3 배 가까이 증가했습니다.

2017 년 2 사분기와 3 분기에 Trojan-Banker.AndroidOS.Asacub가 공격 한 순 사용자 수

모바일 뱅킹 트로이 목마의 새로운 기능

Q3 2017은 모바일 뱅킹 트로이 목마 업계에서 두 가지 중요한 사건을 보았습니다.

첫째, 모바일 뱅킹 트로이 목마 Svpeng의 가족은 필요한 모든 권한을 부여하고 다른 응용 프로그램에서 데이터를 도용 할 수있는 새로운 수정 Trojan-Banker.AndroidOS.Svpeng.ae를 인수했습니다 이렇게하려면 트로이 목마가 장애인을 위해 설계된 특수 기능을 사용할 수 있도록 사용자를 설득하면됩니다. 결과적으로 트로이 목마는 사용자가 입력하는 텍스트를 가로 채고 텍스트 메시지를 도용하며 심지어 제거되지 못하도록 방지 할 수 있습니다.

흥미롭게도, 8 월에 우리는 Svpeng의 특별한 기능을 사용하는 또 다른 수정을 발견했습니다. 이번에 만 트로이 목마는 뱅킹과 관련이 없었습니다. 데이터를 훔치는 대신 장치의 모든 파일을 암호화하고 비트 코먼으로 몸값을 요구합니다.

Trojan-Banker.AndroidOS.Svpeng.ag. 몸값 요구를 포함하는 창

둘째, FakeToken 모바일 뱅킹 트로이 목마 패밀리는 공격하는 앱 목록을 확장했습니다 . 이전에이 가족 대표가 대부분 은행 업무 및 피싱 창과 같은 일부 Google 앱 (예 : Google Play 스토어)에 중첩 된 경우 이제는 택시, 항공권 및 호텔 예약에 사용 된 앱도 오버레이됩니다. 트로이 목마의 목적은 은행 카드에서 데이터를 수집하는 것입니다.

WAP 청구 구독의 성장

2017 년 3 분기에 우리는 구독을 통해 사용자의 돈 을 훔치 도록 고안된 트로이 목마 활동의 증가를 계속 모니터링했습니다 다시 말해서, 사용자가 자신의 휴대폰 계정에서 돈을 공제하여 서비스 비용을 지불 할 수있는 사이트를 방문 할 수있는 트로이 목마입니다. 이 트로이 목마는 일반적으로 특수 JS 파일을 사용하여 해당 사이트의 버튼을 클릭 할 수 있으므로 사용자가 모르는 사이에 지불 할 수 있습니다.

2017 년 3 분기의 가장 많이 사용 된 인기 트로이 목마 프로그램에는 WAP 구독을 공격하는 3 가지 맬웨어 샘플이 포함되었습니다. Trojan-Dropper.AndroidOS.Agent.hb와 Trojan.AndroidOS.Loapi.b는 4 위와 5 위이며 Trojan-Clicker.AndroidOS.Ubsod.b는 7 위입니다.

모바일 위협 통계

2017 년 3 분기에 Kaspersky Lab은 1,598,196 개의 악성 설치 패키지를 발견했으며 이는 이전 분기의 1.2 배에 해당합니다.

발견 된 악의적 인 설치 패키지 수 (Q4 2016 - Q3 2017)

유형별 모바일 멀웨어 배포

유형별 새로운 모바일 멀웨어 배포 (Q2 및 Q3 2017)

RiskTool (53.44 %)은 2017 년 3 분기에 가장 높은 성장률을 보였고 점유율은 12.93 % 포인트 상승했습니다. 발견 된 모든 설치 패키지의 대부분은 RiskTool.AndroidOS.Skymobi 제품군에 속합니다.

트로이 목마 - 맬웨어 (10.97 %)는 성장률 측면에서 2 위를 차지했으며 기여도는 6.29pp 증가했습니다. 대부분의 설치 패키지는 Trojan-Dropper.AndroidOS.Agent.hb로 탐지됩니다.

2017 년 1 사분기의 성장률면에서 1 위였던 Trojan-Ransom 프로그램의 점유율은 계속 떨어졌으며 3 분기의 6.69 %를 차지하여 전 분기보다 8.4pp 낮아졌습니다. 트로이 SMS 악성 코드의 비율 또한 2.62 %로 상당히 떨어졌으며 Q2보다 거의 4pP 낮습니다.

3 분기에 트로이 - 클릭 버 (Trojan-Clicker) 악성 코드는 기여도가 0.29 %에서 3 개월 간격으로 1.41 %로 증가한 이후이 등급으로 떨어졌습니다.

TOP 20 모바일 맬웨어 프로그램

악성 프로그램의 등급에는 RiskTool이나 애드웨어와 같은 잠재적으로 위험하거나 원치 않는 프로그램은 포함되어 있지 않습니다.

  평결 공격 한 사용자의 비율 *
1 DangerousObject.Multi.Generic 67.14
2 Trojan.AndroidOS.Boogr.gsh 7.52
Trojan.AndroidOS.Hiddad.ax 4.56
4 Trojan-Dropper.AndroidOS.Agent.hb 2.96
5 Trojan.AndroidOS.Loapi.b 2.91
6 트로이 Dropper.AndroidOS.Hqwar.i 2.59
7 Trojan-Clicker.AndroidOS.Ubsod.b 2.20
8 Backdoor.AndroidOS.Ztorg.c 2.09
9 Trojan.AndroidOS.Agent.gp 2.05
10 Trojan.AndroidOS.Sivu.c 1.98
11 Trojan.AndroidOS.Hiddapp.u 1.87
12 Backdoor.AndroidOS.Ztorg.a 1.68
13 트로이 .AndroidOS.Agent.ou 1.63
14 Trojan.AndroidOS.Triada.dl 1.57
15 명 Trojan-Ransom.AndroidOS.Zebt.a 1.57
16 Trojan-Dropper.AndroidOS.Hqwar.gen 1.53
17 Trojan.AndroidOS.Hiddad.an 1.48
18 Trojan.AndroidOS.Hiddad.ci 1.47
19 트로이 - 뱅커 .AndroidOS.Asacub.ar 1.41
20 Trojan.AndroidOS.Agent.eb 1.29

* 공격당한 카스퍼 스키 랩의 모바일 보안 제품 사용자를 기준으로 해당 맬웨어에 의해 공격 된 순 사용자의 비율입니다.

DangerousObject.Multi.Generic (67.14 %)은 클라우드 기술을 사용하여 탐지 된 악성 프로그램에 사용 된 평결로 1 위를 차지했습니다. 이것은 기본적으로 최신 맬웨어가 탐지되는 방식입니다.

전 분기와 마찬가지로 Trojan.AndroidOS.Boogr.gsh (7.52 %)가 2 위에 올랐습니다. 이 평결은 기계 학습을 기반으로 Google 시스템에서 악의적으로 인정 된 파일에 대해 발급됩니다.

Trojan.AndroidOS.Hiddad.an (4.56 %)이 3 위를 차지했습니다. 이 트로이 목마의 주요 목적은 C & C로부터받은 광고 링크를 열고 클릭하는 것입니다. 트로이 목마는 제거를 막기 위해 관리자 권한을 요청합니다.

Trojan-Dropper.AndroidOS.Agent.hb (2.96 %)는 2 분기 여섯 번째에서 이번 분기에 4 위로 올랐습니다. 이 트로이 목마는 로이 피 (Loaipi) 제품군의 대표적인 트로이 목마를 해독하고 실행합니다. 그 중 한 명인 -Trojan.AndroidOS.Loapi.b -이 분기 Top 20에서 5 위를 차지했습니다.이 악성 코드는 악성 구성 요소가 사이버 범죄자 서버에서 다운로드되어야하는 복잡한 모듈 형 트로이 목마입니다. Trojan.AndroidOS.Loapi.b는 유료 구독을 통해 돈을 훔치기 위해 고안되었습니다.

Trojan-Dropper.AndroidOS.Hqwar.i (3.59 %)는 특정 패커 / 난독 화자가 보호하는 트로이 목마에 사용 된 평결이 4 위에서 6 위로 떨어졌습니다. 대부분의 경우,이 이름은 FakeToken 및 Svpeng 모바일 뱅킹 제품군의 대표자를 나타냅니다 .

7 번째로 Trojan-Clicker.AndroidOS.Ubsod.b는 C & C로부터 링크를 받아서 열어주는 작은 기본 트로이 목마입니다. 우리는 WAP 가입을 사용하여 돈을 훔치는 트로이 목마 에 대한 검토 에서이 가족에 대해 자세히 기록했습니다 .

Trojan Backdoor.AndroidOS.Ztorg.c가 8 위를 차지했습니다. 이것은 수퍼 유저 권한을 사용하는 가장 활동적인 광고 트로이 목마 중 하나입니다. 2017 년 3 분기에 Top 20에는 루트 권한을 얻거나 사용하려고 시도하고 광고를 주요 수익 창출 수단으로 사용하는 8 개의 트로이 목마가 포함되었습니다. 그들의 목표는 사용자에게보다 적극적으로 광고를 제공하고 새로운 광고 프로그램의 숨겨진 설치를 (다른 방법들 중에서) 적용하는 것입니다. 동시에 수퍼 유저 권한은 시스템 폴더에서 '숨기기'를 도와줌으로써 시스템 폴더를 제거하는 것을 매우 어렵게 만듭니다. Top 20에서 이러한 유형의 맬웨어의 양이 줄어들고 있다는 사실은 주목할 가치가 있습니다 (2017 년 1 분기에는 평가에서 14 개 트로이 목마가 있었고 2 분기에는 11 개였습니다).

Trojan.AndroidOS.Agent.gp (2.05 %)는 프리미엄 전화를 걸고있는 사용자의 돈을 훔치는 것으로, 15에서 9로 증가했습니다. 관리자 권한을 사용하기 때문에 감염된 장치에서 제거하려는 시도에 저항합니다.

이번 분기에 15 위를 차지한 곳은 Trojan-Ransom이었습니다 .AndroidOS.Zebt.a는 2017 년에이 Top 20 등급의 첫 번째 트로이 목마였습니다.이 장치는 창을 사용하여 장치를 차단하고 몸값을 요구하는 것을 주 목적으로하는 매우 간단한 트로이입니다. Zebt.a는 유럽과 멕시코의 사용자를 공격하는 경향이 있습니다.

Trojan.AndroidOS.Hiddad.an (1.48 %)은 이전 2 분기 동안 2 위와 3 위를 차지한 후 16 위를 기록했습니다. 이 맬웨어는 다양한 인기있는 게임이나 프로그램을 모방합니다. 흥미롭게도 일단 실행되면 모방 한 응용 프로그램을 다운로드하고 설치합니다. 이 경우 트로이 목마는 제거를 견딜 수있는 관리자 권한을 요청합니다. Trojan의 주요 목적 .AndroidOS.Hiddad.an은 적극적으로 광고를 게재합니다. 주요 '관객'은 러시아에 있습니다.

모바일 위협의 지형

2017 년 3 사분기에 시도 된 모바일 멀웨어 감염의 지리적 위치 (공격 된 모든 사용자의 비율)

모바일 멀웨어에 의해 공격을받은 상위 10 개 국가 (공격 한 사용자의 비율로 순위) :

  국가* 공격당한 사용자의 비율 **
1 이란 35.12
2 방글라데시 28.30
중국 27.38
4 코트 디부 아르 26.22
5 알제리 24.78
6 나이지리아 23.76
7 인도네시아 공화국 22.29
8 인도 21.91
9 네팔 20.78
10 케냐 20.43

* 카스퍼 스키 랩의 모바일 보안 제품 사용자가 상대적으로 적은 (10,000 미만) 국가를이 등급에서 제외했습니다. 
** 카스퍼 스키 랩의 모바일 보안 제품 사용자에 대한 각 국가에서 공격 한 순 사용자의 비율입니다.

3 분기 동안이란은 모바일 멀웨어에 의해 공격받는 사용자의 비율이 가장 높은 국가로 35.12 %를 차지했습니다. 방글라데시는 2 위를 차지했으며 사용자 중 28.3 %는 3 분기에 모바일 위협에 적어도 한 번 이상 직면했다. 중국 (27.38 %)이 3 위를 차지했다.

러시아 (8.68 %)는 이번 분기 35 번째 (2 분기 26 위), 프랑스 (4.9 %) 59 위, 미국 (3.8 %) 67 위, 이탈리아 (5.3 %) 독일 (2.9 %) 79 위, 영국 (3.4 %) 72 위.

가장 안전한 국가는 조지아 (2.2 %), 덴마크 (1.9 %), 일본 (0.8 %)이었다.

모바일 뱅킹 트로이 목마

보고 기간 동안 우리는 모바일 뱅킹 트로이 목마에 대한 19,748 건의 설치 패키지를 발견했으며 이는 2017 년 2 분기에 비해 1.4 배 적습니다.

카스퍼 스키 랩 솔루션으로 탐지 된 모바일 뱅킹 설치 패키지 수 (Q4 2016 - Q3 2017)

Banker.AndroidOS.Asacub.ar는 3 분기에 가장 인기있는 모바일 뱅킹 트로이 목마가되어 장기적인 리더 인 Trojan-Banker를 대체했습니다 .AndroidOS.Svpeng.q. 이러한 모바일 뱅킹 트로이 목마는 피싱 창을 사용하여 온라인 뱅킹 계정에 대한 신용 카드 데이터와 로그인 및 암호를 훔칩니다. 또한 모바일 뱅킹을 비롯한 SMS 서비스를 통해 돈을 훔칩니다.

2017 년 3 분기 모바일 뱅킹 위협 지리 (공격 된 모든 사용자의 비율)

모바일 뱅커 트로이 목마에 의해 공격받는 상위 10 개 국가 (공격 한 사용자의 비율로 순위) :

  국가* 공격당한 사용자의 비율 **
1 러시아 제국 1.20
2 우즈베키스탄 0.40
카자흐스탄 0.36
4 타지키스탄 0.35
5 터키 0.34
6 몰도바 0.31
7 우크라이나 0.29
8 키르기스스탄 0.27
9 벨라루스 0.26
10 라트비아 0.23

* 카스퍼 스키 랩의 모바일 보안 제품 사용자가 상대적으로 적은 (10,000 미만) 국가를이 등급에서 제외했습니다. 
** 카스퍼 스키 랩의 모바일 보안 제품을 사용하는 모든 국가의 모바일 뱅커 트로이 목마에 의해 공격당한 각 국가의 고유 사용자 백분율.

2017 년 3 분기 모바일 뱅커 트로이 목마에 의해 공격을받은 상위 10 개 국가는 약간의 변화를 보았습니다. 러시아 (1.2 %)가 다시 순위를 올랐습니다. 2 위와 3 위는 우즈베키스탄 (0.4 %)과 카자흐스탄 (0.36 %)으로 전 분기에 각각 5 위와 10 위를 차지했다. 이들 국가에서는 Faketoken.z, Tiny.b 및 Svpeng.y 가족이 가장 널리 퍼진 위협이었습니다.

특히이 등급의 최상위 권에있는 장기 거주자 인 호주가 이번 분기에 상위 10 위 안에 포함되지 않았다는 사실이 특히 흥미 롭습니다. 이것은 Trojan-Banker.AndroidOS.Acecard 및 Trojan-Banker.AndroidOS.Marcher 모바일 뱅킹 세대의 활동 감소로 인한 것 입니다.

모바일 ransomware

2017 년 3 분기에 우리는 108,073 개의 모바일 트로이 목마 - Ransomware 설치 패키지를 발견했으며 이는 이전 분기의 절반에 가깝습니다.

카스퍼 스키 랩에서 탐지 한 모바일 트로이 목마 - Ransomware 설치 패키지 수 (Q3 2016 - Q3 2017)

Q2에 대한 우리의 보고서에서, 우리는 2017 년 상반기에 다른 어떤시기보다도 더 많은 모바일 랜서웨어 설치 패키지를 발견했다고 썼습니다 . 그 이유는 Trojan-Ransom이었습니다 .AndroidOS.Congur 가족이었습니다. 그러나 올해 3/4 분기에 우리는이 가족의 활동이 감소하는 것을 목격했습니다.

Trojan-Ransom.AndroidOS.Zebt.a는 모바일 ransomware에 의해 공격 된 사용자의 3 분의 1 이상을 차지하는 Q3에서 가장 인기있는 모바일 트로이 목마 - Ransomware가되었습니다. 두 번째는 Trojan-Ransom이었습니다 .AndroidOS.Svpeng.ab. 한편 Trojan-Ransom.AndroidOS.Fusob.h 는 여러 분기 동안 1 위를 차지했으며 2017 년 3 분기에만 3 위를 차지했습니다.

2017 년 3 분기 모바일 Trojan-Ransomware의 지리 (공격 된 모든 사용자의 비율)

모바일 Trojan-Ransomware에 의해 공격을받은 상위 10 개 국가 (공격 한 사용자의 비율로 순위) :

1 우리 1.03 %
2 멕시코 0.91 %
벨기에 0.85 %
4 카자흐스탄 0.79 %
5 루마니아 0.70 %
6 이탈리아 0.50 %
7 중국 0.49 %
8 폴란드 0.49 %
9 오스트리아 0.45 %
10 스페인 0.33 %

* 카스퍼 스키 랩의 모바일 보안 제품 사용자 수가 10,000 명 미만인 국가를이 순위에서 제외했습니다. 
** 카스퍼 스키 랩의 모바일 보안 제품을 사용하는 모든 국가의 모바일 Trojan-Ransomware에 의해 공격받은 각 국가의 고유 사용자 백분율.

미국 (1.03 %)은 모바일 Trojan-Ransomware에 의해 가장 많이 공격받은 국가의 등급을 다시 차지했습니다. 그 나라에서 가장 널리 퍼진 가족은 Trojan-Ransom이었습니다 .AndroidOS.Svpeng. 이 트로이 목마는 2014 년에 Trojan-Banker.AndroidOS.Svpeng 모바일 뱅킹 제품군의 변형으로 등장했습니다. 그들은 피해자로부터 약 500 달러의 대가를 요구하여 장치를 차단 해제합니다.

2017 년 3 사분기에 2 위를 차지한 멕시코 (0.91 %)에서 대부분의 모바일 ransomware 공격에는 Trojan-Ransom.AndroidOS.Zebt.a가 포함되었습니다. 벨기에 (0.85 %)가 Zebt.a를 사용자에게 주요 위협으로 삼았습니다.

사이버 범죄자가 악용 한 취약한 앱

Q3 2017은 악의적 인 Microsoft Office 문서와 관련된 사용자에 대한 공격이 지속적으로 증가하는 것을 보았습니다. 임베디드 익스플로잇이 실패한 경우를 대비하여 피싱 메시지뿐만 아니라 익스플로잇을 포함하는 많은 수의 결합 된 문서가 출현했다.

CVE-2017-8570과 CVE-2017-8759의 두 가지 새로운 Microsoft Office 취약점이 등장했지만 사이버 범죄자는 2017 년 3 월에 발견 된 HTA 개체 처리의 논리적 취약성 인 CVE-2017-0199를 계속 악용했습니다. 카스퍼 스키 랩 통계 는 Q3의 65 % 사용자에 대한 공격이 CVE-2017-0199를 이용하고 1 % 미만이 CVE-2017-8570 또는 CVE-2017-8759를 이용함을 보여줍니다. Microsoft Office의 전체 악용 점유율은 27.8 %입니다.

MS17-010 업데이트로 패치 된 취약점을 사용하여 Q3에 대규모 네트워크 공격 (예 : WannaCry 또는 ExPetr )이 시작되지 않았습니다. 그러나 KSN 데이터에 따르면 침입 탐지 시스템 구성 요소에 의해 차단 된 이러한 취약점의 악용 시도 횟수는 분기 전반에 걸쳐 크게 증가했습니다. 당연히 SMB 프로토콜 취약점을 사용하는 EternalBlue 및 그 수정본이 가장 많이 사용되었습니다. 그러나 KL 통계에 따르면 EternalRomance, EternalChampion 및 IIS 웹 서버의 CVE-2017-7269 취약점에 대한 공격이 사이버 범죄자들에 의해 활발히 사용되고 있습니다. 그러나 EternalBlue는 매월 수백만 개의 차단 된 시도 공격을 설명하지만 다른 공격의 숫자는 훨씬 낮습니다.

공격 대상 응용 프로그램 유형별 공격에 사용 된 공격의 분포, Q3 2017

이번 분기에 공격받은 응용 프로그램 유형별 공격의 분포는 사실상 Q2와 동일합니다. 1 위는 여전히 브라우저 및 브라우저 구성 요소를 대상으로하는 악용으로 35.0 %의 점유율을 차지하고 있습니다 (2 분기에 비해 4 개 감소했습니다.). Android 취약점 (22.7 %)을 대상으로 한 악용 비율은 2 분기와 거의 같았습니다. 유형의 공격 응용 프로그램이 Office 취약점의 세 번째로 다시 한번 나타납니다.

온라인 위협 (웹 기반 공격)

이 통계는 악의적 인 개체가 악의적 인 / 감염된 웹 페이지에서 다운로드되는 순간 사용자를 보호하는 웹 안티 바이러스 모듈에 의해 반환되는 검색 결과를 기반으로합니다. 악의적 인 사이트는 특히 사이버 범죄자가 생성합니다. 감염된 웹 리소스에는 사용자 (예 : 포럼)가 ​​작성한 컨텐트와 합법적 인 리소스가 포함됩니다.

은행 부문의 온라인 위협

이 통계는 통계 데이터 제공에 동의 한 카스퍼 스키 랩 제품 사용자로부터받은 카스퍼 스키 랩 제품의 탐지 판정을 기반으로합니다.2017 년 1 분기부터이 통계에는 ATM 및 POS 터미널 용 악성 프로그램이 포함되지만 모바일 위협은 포함되지 않습니다.

2017 년 3 분기 카스퍼 스키 랩 솔루션은 204,388 대의 컴퓨터에서 온라인 뱅킹을 통해 돈을 훔칠 수있는 하나 이상의 악성 프로그램을 시작하려는 시도를 차단했습니다.

금융 맬웨어에 의해 공격을받은 사용자 수, 2017 년 3 분기

공격의 지리학

전세계의 은행 트로이 목마 및 ATM 및 POS 악성 코드에 감염 될 위험을 평가하고 비교하기 위해보고 기간 동안이 유형의 위협을 겪은 국가의 카스퍼 스키 랩 제품 사용자의 비율을 제품의 모든 사용자와 비교하여 계산합니다 그 나라에서.

2017 년 3 분기의 맬웨어 공격의 지리 (공격 된 모든 사용자의 비율)

모바일 뱅커 트로이 목마에 의해 공격받는 상위 10 개 국가 (공격 한 사용자의 비율로 순위 지정)

  국가* 공격 한 사용자의 비율 **
1 가다 2.30
2 중국 1.91
대만 1.65
4 인도네시아 공화국 1.58
5 대한민국 1.56
6 독일 1.53
7 아랍 에미리트 1.52
8 레바논 1.48
9 리비아 1.43
10 요르단 1.33

이 통계는 바이러스 백신 모듈이 반환 한 탐지 결과를 기반으로하며 카스퍼 스키 랩 제품 사용자가 통계 데이터 제공에 동의 한 것으로 간주됩니다. 
* Kaspersky Lab 제품 사용자의 수가 상대적으로 적은 국가는 제외되었습니다 (10,000 미만). 
** 해당 국가에서 카스퍼 스키 랩 제품의 모든 고유 사용자의 백분율로 은행 업무 트로이 목마 공격의 대상이 된 유일한 사용자.

TOP 10 뱅킹 맬웨어 가족

아래 표는 2017 년 3 분기에 온라인 뱅킹 사용자를 공격하는 데 사용 된 상위 10 개의 맬웨어 변종 군을 공격 한 사용자 비율로 나타낸 것입니다.

  이름* 공격당한 사용자의 비율 **
1 Trojan-Spy.Win32.Zbot 27.9
2 트로이 .Win32.Nymaim 20.4
Trojan.Win32.Neurevt 10.0
4 사기꾼 9.5
5 SpyEye 7.5
6 Caphaw 6.3
7 Trojan-Banker.Win32.Gozi 2.0
8 Shiz 1.8
9 ZAccess 1.6
10 뉴트리노 포스 1.6

* 카스퍼 스키 랩 제품의 사용자가 통계 데이터 제공에 동의 한 것으로 판단되는 카스퍼 스키 랩 제품에 대한 탐지 판정. 
** 금융 맬웨어에 의해 공격을받은 모든 사용자의 비율로 해당 맬웨어에 의해 컴퓨터가 타겟팅 된 순 사용자 수입니다.

맬웨어 변종 군인 Dridex와 Tinba는 이번 분기의 Top 10에서 자리를 잃었습니다. 이전 직책 중 하나는 Trickster 봇 (공격 된 사용자의 9.5 %를 차지함)이었습니다. TrickBot은 현재 사용하지 못했던 Dyre 은행원의 자손입니다. 3 명의 악의적 인 가정에서 작은 변화가있었습니다. Trojan.Win32.Zbot (27.9 %)와 Trojan.Win32.Nymaim (20.4 %)은 각각 1 위와 2 위를 차지하고 있으며, 3 위는 Trojan.Win32.Neurevt (10 %)가 차지했습니다. 거의 4 pp.

Cryptoware 프로그램

Q3 하이라이트

크라이시스는 죽은 사람들로부터 떠오른다.

우리의 2 분기 보고서에서 우리는 Crysis ransomware cryptor 뒤에있는 사이버 범죄자가 맬웨어 배포를 중단하고 파일 암호 해독에 필요한 비밀 키를 게시했다고 썼습니다 . 이것은 2017 년 5 월에 일어 났으며 그 당시에는 ransomware의 모든 전파가 완전히 중단되었습니다.

그러나 거의 3 개월 후인 8 월 중반에 우리는이 트로이 목마가 죽은 사람으로부터 돌아와 활동적인 전파라는 새로운 캠페인을 시작했음을 발견했습니다. 협박자가 사용했던 전자 메일 주소는 이전의 Crysis 샘플에서 사용 된 전자 메일 주소와 다릅니다. 상세한 분석 결과, 새로운 트로이 목 표본은 기존의 것들과 완전히 다른 것으로 나타났습니다. 공개 마스터 키는 새로운 것이 었습니다. PE 헤더의 컴파일 타임 스탬프와 더 흥미로운 것은 트로이 목마가 각 암호화 된 파일의 끝에 서비스 영역에 남겨 두는 레이블을 포함하여 다른 모든 것들이 동일했습니다. 샘플을 면밀히 조사한 결과, 새로운 맬웨어 배포자는 소스 코드를 가지고 있지 않았으므로 오래된 개체를 가져 와서 HEX 편집기를 사용하여 키와 연락처 전자 메일을 변경했습니다.

위의 내용은이 '좀비'악성 코드가 5 월에 모든 비공개 키를 공개 한 원래 개발자가 아닌 다른 악의적 인 행위자 그룹에 의해 전파되고 있음을 보여줍니다.

Cryrar 공격의 급증

Cryrar cryptor (일컬어 ACCDFISA)는 현재 전파중인 ransomware 트로이 목마 중 베테랑입니다. 그것은 2012 년에 다시 등장했고 그 후로도 활동적입니다. cryptor는 PureBasic로 작성되었으며 합법적 인 실행 가능한 RAR 아카이버 파일을 사용하여 피해자의 파일을 암호로 암호화 된 RAR-sfx 아카이브에 저장합니다.

2017 년 9 월 첫 주에 우리는 Cryrar의 감염 시도 횟수가 극적으로 증가했음을 기록했습니다. 악의적 인 행위자는 다음과 같은 접근 방식을 사용했습니다. 즉, 무작위로 RDP로 암호를 해독하고 원격 액세스 프로토콜을 사용하여 피해자 시스템에서 인증을 받아 수동으로 트로이 설치 파일을 실행합니다. 후자는 cryptor의 본문과 필요한 구성 요소 (이름이 바뀐 RAR.EXE 파일 포함)를 설치 한 다음 자동으로 cryptor를 시작합니다.

KSN 데이터에 따르면,이 공격의 물결은 주로 베트남, 중국, 필리핀 및 브라질을 대상으로했습니다.

Petya / Mischa / GoldenEye의 원본 버전에 대한 마스터 키 게시

2017 년 7 월 Petya Trojan 의 저자는 MFT를 해독하고 Petya / Mischa 또는 GoldenEye의 영향을받는 시스템에 대한 액세스를 차단 해제하는 데 필요한 살사 키를 해독하는 데 사용할 수있는 마스터 키를 게시했습니다.

이것은 GoldenEye 코드의 일부를 사용 하는 ExPetr 전염병 직후에 발생했습니다 이것은 Petya / Mischa / GoldenEye의 저자가 ExPetr 공격과 그로부터 야한 외침에서 거리를 두려고 시도한 것을 암시합니다.

불행하게도이 마스터 키는 MFT를 해독하기 위해 살사 키를 복원하는 옵션을 포함하지 않으므로 ExPetr의 영향을받는 사용자를 돕지 않습니다 .

새로운 수정 횟수

2017 년 3 분기에 우리는이 분류에서 5 개의 새로운 ransomware 계열을 확인했습니다. 이 번호에는 자신의 '개인적'평결이 지정되지 않은 모든 트로이 목마가 포함되지는 않습니다. 매 분기마다 수십 가지의 악성 프로그램이 등장하지만 특이한 특징이 거의 없거나 거의 발생하지 않으며 그와 같은 수백 명의 사람들이 이름이 없으며 일반적인 평결로 감지됩니다.

새로 생성 된 암호 변경 수, Q3 2016 - Q3 2017

새로운 암호화 암호 수정 횟수는 이전 분기에 비해 계속 감소합니다. 이것은 일시적인 추세가 될 수도 있고, 사이버 범죄자들이 돈을 벌기위한 방법으로 점차 cryptors에 대한 관심을 점차적으로 잃고 있고 다른 유형의 악성 코드로 전환하고 있음을 나타낼 수 있습니다.

ransomware에 의해 공격 된 사용자의 수

7 월은 가장 낮은 ransomware 활동이있는 달이었습니다. 7 월에서 9 월까지 2 대 범람 (WannaCry 및 ExPetr)이 발생한 5 월 및 6 월보다 낮았지 만, ransomware 공격의 수가 증가했습니다.

Trojan-Ransom cryptor malware가 공격 한 고유 사용자 수 (Q3 2017)

공격의 지형

cryptors에 의해 공격 상위 10 개국

  국가* cryptors에 의해 공격 된 사용자의 비율 **
1 미얀마 0.95 %
2 베트남 0.92 %
인도네시아 공화국 0.69 %
4 독일 0.62 %
5 중국 0.58 %
6 러시아 제국 0.51 %
7 필리핀 제도 0.50 %
8 베네수엘라 0.50 %
9 캄보디아 0.50 %
10 오스트리아 0.49 %

* 카스퍼 스키 랩 제품 사용자의 수가 상대적으로 적 으면서 (50,000 미만) 
** 해당 국가에서 카스퍼 스키 랩 제품의 모든 고유 사용자의 비율로 컴퓨터가 ransomware의 대상이 된 고유 사용자 **.

이 10 대 국가의 대부분은 아시아에서 왔으며 미얀마 (0.95 %)를 포함하여 상위 10 대 신인으로 Q3에서 1 위를 차지했습니다. 베트남 (0.92 %)이 2 위를 차지하여 2 분기 (2 분기)와 중국 (0.58 %)이 각각 1 위에서 5 위로 상승했다.

브라질, 이탈리아, 일본이 Q2의 선두 주자 였지만 Q3에서는 상위 10 위 안에 들지 못했습니다. 유럽은 독일 (0.62 %)과 오스트리아 (0.49 %)로 대표됩니다.

전분기의 10 분의 1을 기록한 러시아는 6 위를 차지했다.

가장 널리 보급 된 cryptor 패밀리 상위 10 위

  이름 평결* 공격당한 사용자의 비율 **
1 울고 싶다 트로이 - Ransom.Win32.Wanna 16.78 %  
2 크립톤 Trojan-Ransom.Win32.Cryptoff 14.41 %  
Purgen / GlobeImposter 트로이 - Ransom.Win32.Purgen 6.90 %  
4 록키 Trojan-Ransom.Win32.Locky 6.78 %  
5 Cerber Trojan-Ransom.Win32.Zerber 4.30 %  
6 크라이라 / ACCDFISA 트로이 - Ransom.Win32.Cryrar 3.99 %  
7 그늘 Trojan-Ransom.Win32.Shade 2.69 %  
8 Spora Trojan-Ransom.Win32.Spora 1.87 %  
9 (일반 평결) 트로이 - Ransom.Win32.Gen 1.77 %  
10 (일반 평결) Trojan-Ransom.Win32.CryFile 1.27 %  

*이 통계는 통계 데이터 제공에 동의 한 카스퍼 스키 랩 제품 사용자로부터받은 검색 결과에 기반합니다. 
** 트로이 목마 악성 코드에 의해 공격받은 카스퍼 스키 랩 제품의 모든 사용자 중 특정 트로이 목마 가정이 컴퓨터를 대상으로 한 유일한 사용자.

Wannacry (16.78 %)는 Q3의 등급을 가장 높게 평가하며, 그곳에 남을 것이란 확률이 높습니다. Wannacry가 악용하는 패치되지 않은 취약점이있는 컴퓨터는 여전히 전 세계적으로 엄청나게 많이 있습니다.

크립톤 (14.41 %)이 2 위에 올랐다. 이 암호는 2016 년 봄에 나 왔으며 이후 많은 수정 작업을 거쳤습니다. 또한 Crypton, JuicyLemon, PizzaCrypts, Nemesis, x3m, Cry9, Cry128, Cry36 등 여러 이름이 있습니다.

cryptor Purgen (6.90 %)은 9 위부터 상승하여 상위 3 위를 돌았습니다. 나머지 등급은 '오래된 타이머'- Trojans Locky, Cerber, Cryrar, Shade 및 Spora로 채워집니다.

Jaff cryptor는 2017 년 봄에 등장하여 Q2 등급에서 4 위를하며 갑자기 확산되는 것을 중단했습니다.

온라인 리소스에 악성 코드가 포함 된 상위 10 개 국가

다음 통계는 공격에 사용되며 바이러스 백신 구성 요소 (악용 사례로의 리디렉션, 악용 및 기타 멀웨어가 포함 된 사이트, botnet 명령 센터 등이 포함 된 웹 페이지)에 의해 차단 된 온라인 리소스의 실제 위치를 기반으로합니다. 고유 한 호스트가 하나 이상의 웹 공격의 원천이 될 수 있습니다. 웹 기반 공격의 지리적 근원을 확인하기 위해 도메인 이름이 실제 도메인 IP 주소와 일치하고 특정 IP 주소 (GEOIP)의 지리적 위치가 설정됩니다.

2017 년 3 분기에 카스퍼 스키 랩 솔루션 은 전 세계 185 개국에 위치한 웹 리소스에서 277,646,376 건의 공격을 차단 했습니다. 72,012,219 개의 고유 URL이 웹 안티 바이러스 구성 요소에 의해 악의적으로 인식되었습니다.

국가 별 웹 공격 소스 분포, 2011 년 3 분기

2017 년 3 월에 미국 (3.86 %)이 웹 공격의 가장 흔한 원천이었습니다. 네덜란드 (25.22 %)는 2 위에 머물렀고 독일은 5 위에서 3 위로 상승했다. 핀란드와 싱가포르는 상위 5 위권에서 탈락하여 아일랜드 (1.36 %)와 우크라이나 (1.36 %)로 대체됐다.

사용자가 온라인 감염의 가장 큰 위험에 직면 한 국가

서로 다른 국가의 사용자가 직면 한 온라인 감염의 위험을 평가하기 위해 해당 국가의 컴퓨터에서 탐지 결과를 얻은 카스퍼 스키 랩 사용자의 백분율을 계산했습니다. 결과 데이터는 여러 국가에서 컴퓨터가 작동하는 환경의 공격성을 나타냅니다.

이 등급은 Malware  등급에 해당하는 악성 프로그램의 공격 만 포함  합니다. 등급에는 RiskTool 또는 애드웨어와 같은 잠재적으로 위험하거나 원치 않는 프로그램의 웹 안티 바이러스 모듈 감지가 포함되지 않습니다.

  국가* 공격 한 사용자의 비율 **
1 벨라루스 27.35
2 알제리 24.23
러시아 제국 23.91
4 아르메니아 23.74
5 몰도바 23.61
6 그리스 21.48
7 아제르바이잔 21.14
8 키르기스스탄 20.83
9 우즈베키스탄 20.24
10 알바니아 20.10
11 우크라이나 19.82
12 카자흐스탄 19.55
13 프랑스 18.94
14 베네수엘라 18.68
15 명 브라질 18.01
16 포르투갈 17.93
17 베트남 17.81
18 타지키스탄 17.63
19 그루지야 17.50
20 인도 17.43

이 통계는 카스퍼 스키 랩 제품의 사용자가 통계 데이터를 제공하기로 동의 한 웹 안티 바이러스 모듈에 의해 반환 된 검색 결과에 기반합니다. 
*이 계산에서는 카스퍼 스키 랩 사용자의 수가 상대적으로 적어 10,000 명 미만인 국가는 제외했습니다. 
** 해당 국가에서 카스퍼 스키 랩 제품의 모든 순 사용자 중 백분율로 맬웨어 급 공격의 대상이 된 유일한 사용자입니다.

평균적으로 전세계 인터넷에 연결된 컴퓨터의 16.61 %는 이 분기 동안 적어도 한 가지 이상의 악성 프로그램 수준의 웹 공격 을 받았습니다 .

2017 년 3 분기 악성 웹 공격의 지리 (공격 된 사용자의 비율로 순위 지정)

가장 안전한 온라인 서핑 환경은이란 (9.06 %), 싱가포르 (8.94 %), 푸에르토 리코 (6.67 %), 니제르 (5.14 %), 쿠바 (4.44 %) 등이다.

지역 위협

사용자 컴퓨터의 로컬 감염 통계는 매우 중요한 지표입니다. 즉, 파일이나 이동식 미디어를 감염시켜 컴퓨터 시스템에 침투 한 위협이나 처음에는 암호화 된 형식으로 컴퓨터에 침투 한 위협을 나타냅니다 (예 : 복잡한 설치 프로그램, 암호화 된 파일, 기타.).

이 섹션의 데이터는 하드 드라이브에 파일을 만들거나 액세스 한 시점의 바이러스 백신 검색에서 생성 된 통계와 이동식 저장 미디어 검색 결과를 기반으로 분석됩니다.

2017 년 3 분기 카스퍼 스키 랩의 파일 바이러스 백신은 198,228,428 개의 고유하고 악의적 인 개체를 탐지 했습니다 .

사용자가 지역 감염의 가장 큰 위험에 직면 한 국가

각 국가별로 분기 중 파일 안티 바이러스가 트리거 된 컴퓨터에서 카스퍼 스키 랩 제품 사용자의 비율을 계산했습니다. 이 통계는 각국의 PC 감염 수준을 반영합니다.

악성 프로그램 등급에는 맬웨어 급 공격 만 포함됩니다 등급에는 RiskTool 또는 애드웨어와 같은 잠재적으로 위험하거나 원치 않는 프로그램의 웹 안티 바이러스 모듈 감지가 포함되지 않습니다.

  국가* 공격 한 사용자의 비율 **
1 예멘 아랍 공화국 56.89
2 베트남 54.32
아프가니스탄 53.25
4 우즈베키스탄 53.02
5 라오스 52.72
6 타지키스탄 49.72
7 에티오피아 48.90
8 시리아 47.71
9 미얀마 46.82
10 캄보디아 46.69
11 이라크 45.79
12 투르크 메니스탄 45.47
13 리비아 45.00
14 방글라데시 44.54
15 명 중국 44.40
16 수단 44.27
17 몽골리아 44.18
18 모잠비크 43.84
19 르완다 43.22
20      벨라루스 42.53

이 통계는 통계 데이터 제공에 동의 한 카스퍼 스키 랩 제품 사용자로부터 수신 한 온 액세스 및 주문형 안티 바이러스 모듈에 의해 반환 된 탐지 판정을 기반으로합니다. 이 데이터에는 사용자의 컴퓨터 또는 플래시 드라이브, 카메라 및 전화 메모리 카드 또는 외장 하드 드라이브와 같이 컴퓨터에 연결된 이동식 미디어에있는 악의적 인 프로그램의 탐지가 포함됩니다. 
*이 계산은 카스퍼 스키 랩 사용자의 수가 상대적으로 적어 10,000 명 미만인 국가는 제외합니다. 
** 카스퍼 스키 랩 제품의 모든 순 사용자 중 백분율로 맬웨어 급 로컬 위협 을 차단 한 컴퓨터를 보유한 해당 국가의 고유 사용자  비율입니다.

중국 (44.40 %), 시리아 (47.71 %), 리비아 (45.00 %)가 모두 출연하는 것을 제외하면 2 위를 차지한 국가 중 상위 20 개 국가는 크게 변화하지 않았습니다. 러시아에서 공격 한 사용자의 비율은 29.09 %에 달했습니다.

평균적으로 컴퓨터의 23.39 %는 3/4 분기에 전 세계적으로 적어도 1 개의 멀웨어 급 로컬 위협에 직면했습니다  .

2017 년 3 분기의 로컬 멀웨어 공격의 지리 (공격 된 사용자의 비율로 순위 지정)

지역 감염 위험의 가장 안전한 국가는 에스토니아 (15.86 %), 싱가포르 (11.97 %), 뉴질랜드 (9.24 %), 체코 (7.89 %), 아일랜드 (6.86 %), 일본 (5.79 %

이 보고서에 사용 된 모든 통계  는 다양한 맬웨어 방지 구성 요소와 함께 작동하는 분산 된 바이러스 백신 네트워크 인 KSN (Kaspersky Security Network)을 사용하여 얻었습니다  데이터 제공에 동의 한 KSN 사용자로부터 데이터를 수집했습니다. 전 세계 213 개 국가 및 지역의 수백만 카스퍼스키랩 제품 사용자가이 악성 활동에 대한 전 세계적인 정보 교환에 참여합니다

추천 컨텐츠