Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Contenu

Toutes les statistiques utilisées dans ce rapport ont été obtenues à l’aide du Kaspersky Security Network (KSN), un réseau distribué d’anti-virus fonctionnant avec divers composants de protection contre les logiciels malveillants. Les données proviennent d’utilisateurs KSN qui ont accepté de les partager. Des millions d’utilisateurs des produits Kaspersky Lab, situés dans 213 pays et territoires dans le monde, participent à ce forum international d’échange d’informations sur les activités malveillantes.

Chiffres du 2ème trimestre

  • Selon les données KSN, les solutions Kaspersky Lab ont détecté et contré 171 895 830 attaques malveillantes provenant de ressources en ligne situées dans 191 pays du monde entier.
  • 54 539 948 URL uniques ont été reconnues comme malveillantes par des composants anti-virus Internet
  • L’anti-virus Internet de Kaspersky Lab a détecté 16 119 489 objets malveillants uniques : scripts, exploits, fichiers exécutables, etc.
  • Des tentatives d’infections par des logiciels malveillants (conçus pour dérober de l’argent en accédant à des comptes bancaires en ligne) ont été enregistrées sur 1 132 031 ordinateurs de particuliers.
  • Des attaques de rançongiciels crypteurs ont été bloquées sur 311 590 ordinateurs appartenant à des utilisateurs uniques.
  • L’anti-virus de Kaspersky Lab a détecté un total de 249 619 379 objets malveillants uniques et potentiellement indésirables.
  • Les produits de sécurité mobile Kaspersky Lab ont détecté :
    • 3 626 458 packages d’installation de logiciels malveillants ;
    • 27 403 chevaux de Troie bancaires mobiles (packages d’installation) ;
    • 83 048 chevaux de Troie rançongiciels mobiles (packages d’installation).

Menaces mobiles

Au 2ème trimestre 2016, Kaspersky Lab a détecté 3 626 458 packages d’installation de logiciels malveillants, soit 1,7 fois plus qu’au trimestre précédent.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

>Nombre de packages d’installation de logiciels malveillants détectés (3ème trimestre 2015 – 2ème trimestre 2016)

Répartition par type des programmes malveillants mobiles

À partir de ce trimestre, nous calculerons la répartition des programmes malveillants mobiles selon leur type, en nous appuyant sur le nombre de packages d’installation de codes malveillants détectés, et non sur les versions modifiées, comme c’était le cas dans les rapports antérieurs.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Répartition par type des nouveaux programmes malveillants mobiles (3ème trimestre 2015 – 2ème trimestre 2016)

Au 2ème trimestre 2016, le logiciel RiskTool, ou certaines applications officielles potentiellement dangereuses pour les utilisateurs, ont pris la première place du classement des objets malveillants détectés sur les appareils mobiles. Leur part est passée de 31,6 % au 1er trimestre à 45,1 % pour ce trimestre.

Les programmes publicitaires occupent désormais la deuxième place. La part de ces programmes a fléchi de 1,4 point de pourcentage par rapport au trimestre précédent, durant lequel ils représentaient 14,2 %.

La part des chevaux de Troie par SMS est passée de 18,5 % à 10,8 %. Cette catégorie des programmes malveillants perd ainsi un rang et occupe la troisième place du classement. Trojan-SMS.AndroidOS.Agent.qu et Trojan-SMS.AndroidOS.Agent.f représentaient la plupart des chevaux de Troie par SMS, soit environ 30 % de tous les fichiers malveillants de cette catégorie.

La part des chevaux de Troie Dropper a également diminué, passant de 14,5 % au 1er trimestre à 9,2 %. Trojan-Dropper.AndroidOS.Agent.v était en tête : plus de 50 000 packages d’installation associés à ce cheval de Troie ont été détectés par nos outils.

TOP 20 des programmes malveillants mobiles

Notez bien que ce classement des programmes malveillants n’inclut pas les programmes indésirables et potentiellement dangereux, tels que RiskTool ou les programmes publicitaires.

Nom % des utilisateurs attaqués*
1 DangerousObject.Multi.Generic 80,87
2 Trojan.AndroidOS.Iop.c 11,38
3 Trojan.AndroidOS.Agent.gm 7,71
4 Trojan-Ransom.AndroidOS.Fusob.h 6,59
5 Backdoor.AndroidOS.Ztorg.a 5,79
6 Backdoor.AndroidOS.Ztorg.c 4,84
7 Trojan-Ransom.AndroidOS.Fusob.pac 4,41
8 Trojan.AndroidOS.Iop.t 4,37
9 Trojan-Dropper.AndroidOS.Gorpo.b 4,3
10 Trojan.AndroidOS.Ztorg.a 4,30
11 Trojan.AndroidOS.Ztorg.i 4,25
12 Trojan.AndroidOS.Iop.ag 4,00
13 Trojan-Dropper.AndroidOS.Triada.d 3,10
14 Trojan-Dropper.AndroidOS.Rootnik.f 3,07
15 Trojan.AndroidOS.Hiddad.v 3,03
16 Trojan-Dropper.AndroidOS.Rootnik.h 2,94
17 Trojan.AndroidOS.Iop.o 2,91
18 Trojan.AndroidOS.Rootnik.ab 2,91
19 Trojan.AndroidOS.Triada.e 2,85
20 Trojan-SMS.AndroidOS.Podec.a 2,83

* Pourcentage d’utilisateurs uniques attaqués par le programme malveillant concerné, proportionnellement à tous les utilisateurs des produits de sécurité mobile de Kaspersky Lab qui ont été attaqués.

Dans la classification utilisée pour les programmes malveillants détectés par les technologies cloud, la première place est occupée par DangerousObject.Multi.Generic (80,87 %). Ces technologies fonctionnent si le cloud de la société d’anti-virus contient déjà des informations sur l’objet et lorsque la base de données anti-virus ne contient ni les signatures, ni les méthodes heuristiques permettant de détecter un programme malveillant. C’est en général la façon dont les tout derniers programmes malveillants sont détectés.

Au cours du trimestre précédent, 16 chevaux de Troie qui utilisent la publicité comme leur principale méthode de monétisation (marqués en bleu dans le tableau) sont entrés dans le TOP 20. Leur objectif est de présenter autant de publicités que possible à l’utilisateur, en employant diverses méthodes, y compris en installant de nouveaux programmes publicitaires. Ces chevaux de Troie sont capables d’utiliser les privilèges des super-utilisateurs pour se dissimuler dans le dossier des applications système, à partir duquel il est très difficile de les supprimer.

Trojan.AndroidOS.Iop.c (11,38 %) est passé de la troisième à la deuxième place du TOP 20 et est devenu le programme malveillant le plus répandu du trimestre. Au cours de la période considérée, nous avons détecté ce cheval de Troie dans 180 pays. Cependant, la majorité des utilisateurs attaqués étaient en Russie, Inde et Algérie. Iop.c est capable d’exploiter un grand nombre de vulnérabilités du système dans le but d’obtenir les privilèges des super-utilisateurs. La principale méthode de monétisation consiste à afficher de la publicité et à installer (généralement discrètement) divers programmes sur l’appareil de l’utilisateur, y compris d’autres programmes malveillants.

Les composants de la famille de rançongiciels Trojan-Ransom.AndroidOS.Fusob ont pris les quatrième et septième places. Ces chevaux de Troie exigent une rançon de 100 à 200 USD à leurs victimes pour débloquer leurs appareils. Les attaques utilisant ce cheval de Troie ont été enregistrées dans plus de 120 pays au 2ème trimestre, avec un nombre important de victimes situées en Allemagne et aux États-Unis.

Trojan-SMS.AndroidOS.Podec.a (2,83 %) occupe donc le TOP 20 des programmes malveillants mobiles depuis plus d’un an, même s’il commence à perdre du terrain. Il faisait régulièrement partie du TOP 5 des menaces mobiles, mais pour le deuxième trimestre consécutif, il occupe seulement la deuxième moitié du classement. Ses fonctionnalités sont restées quasiment inchangées, et sa principale méthode de monétisation est d’abonner les utilisateurs à des services payants.

Répartition géographique des menaces mobiles

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Répartition géographique des tentatives d’infections par des programmes malveillants mobiles au 2ème trimestre 2016 (% de tous les utilisateurs attaqués)

TOP 10 des pays attaqués par des programmes malveillants mobiles (classement en pourcentage des utilisateurs attaqués)

Pays* % des utilisateurs attaqués**
1 Chine 36,31
2 Bangladesh 32,66
3 Népal 30,61
4 Ouzbékistan 22,43
5 Algérie 22,16
6 Nigeria 21,84
7 Inde 21,64
8 Indonésie 21,35
9 Pakistan 19,49
10 Iran 19,19

* Pour ce classement, nous avons éliminé les pays où le nombre d’utilisateurs du produit de sécurité mobile Kaspersky Lab était inférieur à 10 000.
** Pourcentage d’utilisateurs uniques attaqués dans chaque pays, proportionnellement à tous les utilisateurs du produit de sécurité mobile de Kaspersky Lab dans le pays.

La Chine occupe la première place du classement, avec plus de 36 % des utilisateurs qui ont fait face à une menace mobile au moins une fois au cours du trimestre. La Chine était déjà à la première du classement au 1er trimestre 2016.

Pour tous les pays de ce classement, à l’exception de la Chine, les programmes malveillants les plus répandus étaient les mêmes : des chevaux de Troie publicitaires qui ont fait leur apparition dans le TOP 20 des programmes malveillants mobiles, et les programmes publicitaires. Le programme malveillant le plus répandu était Trojan.AndroidOS.Iop.c. En Chine, une proportion significative des attaques a également impliqué des chevaux de Troie publicitaires, mais la majorité des utilisateurs ont plutôt été exposés aux familles Backdoor.AndroidOS.GinMaster et Backdoor.AndroidOS.Fakengry, tandis que Trojan.AndroidOS.Iop.c occupait seulement la 16ème place.

La Russie (10,4 %) apparaissait 26ème dans ce classement, l’Allemagne (8,5 %) 38ème, l’Italie (6,2 %) 49ème et la France (5,9 %) 52ème. Les États-Unis (5,0 %) arrivaient à la 59ème place et le Royaume-Uni (4,6 %) à la 64ème.

L’Autriche (3,6 %), la Suède (2,9 %) et le Japon (1,7 %) faisaient partie des pays les plus sûrs.

Chevaux de Troie bancaires mobiles

À partir de ce trimestre, nous calculerons la répartition des programmes malveillants mobiles selon leur type, en nous appuyant sur le nombre de packages d’installation de codes malveillants détectés, et non sur les versions modifiées, comme c’était le cas dans les rapports antérieurs. Au cours de la période considérée, nous avons détecté 27 403 chevaux de Troie mobiles, soit 1,2 fois moins qu’au 1er trimestre.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Nombre de chevaux de Troie bancaires mobiles détectés par les solutions Kaspersky Lab (3ème trimestre 2015 – 2ème trimestre 2016)

Les cinq premiers chevaux de Troie bancaires mobiles les plus répandus au cours du 2ème trimestre appartenaient à deux familles seulement : Trojan-Banker.AndroidOS.Asacub et Trojan-Banker.AndroidOS.Svpeng.

Trojan-Banker.AndroidOS.Asacub.i était le cheval de Troie bancaire mobile le plus répandu du trimestre. Il utilise différentes méthodes pour tromper les utilisateurs et contourner les barrières des systèmes. Au 1er trimestre, une version modifiée de ce cheval de Troie mobile a été identifiée. Celle-ci superposait sa propre fenêtre contenant des boutons à la fenêtre système standard où les administrateurs étaient invités à partager les privilèges de leurs appareils. Le cheval de Troie dissimule ainsi le fait qu’il est en train d’obtenir des privilèges élevés dans le système de l’utilisateur et piège ce dernier pour qu’il approuve ces privilèges. Au 2ème trimestre, nous avons détecté une version modifiée qui demandait l’autorisation de l’utilisateur pour devenir son application de SMS principale.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Fenêtre de dialogue de Trojan-Banker.AndroidOS.Asacub.i
demandant à l’utilisateur l’autorisation de devenir son application de SMS principale

Le cheval de Troie peut ainsi contourner les barrières système introduites dans Android 4.4, et empêcher l’utilisateur de voir des messages SMS entrants (généralement, il masque les messages des banques et des systèmes de paiement). Afin d’inciter les utilisateurs à enregistrer ce programme malveillant dans les paramètres en tant qu’application de SMS principale, les développeurs du cheval de Troie devaient, entre autres, mettre en place une interface de messagerie.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Interface Trojan-Banker.AndroidOS.Asacub.i utilisée pour créer et envoyer des messages

Asacub est activement distribué à l’aide de spam par SMS.

Les utilisateurs russes et allemands ont été les plus touchés par les chevaux de Troie bancaires mobiles :

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Répartition géographique des menaces bancaires mobiles au 2ème trimestre 2016 (% de tous les utilisateurs attaqués)

Le nombre d’utilisateurs attaqués dépend du nombre total d’utilisateurs dans chaque pays. Pour évaluer le risque d’une infection par un cheval de Troie bancaire mobile dans chaque pays, et le comparer d’un pays à l’autre, nous avons créé un classement des pays en fonction du pourcentage d’utilisateurs attaqués par des chevaux de Troie bancaires mobiles.

TOP 10 des pays attaqués par des chevaux de Troie bancaires mobiles (classement en pourcentage des utilisateurs attaqués)

Pays* % des utilisateurs attaqués**
1 Russie 1,51
2 Australie 0,73
3 Ouzbékistan 0,45
4 Corée 0,35
5 Chine 0,34
6 Ukraine 0,33
7 Danemark 0,28
8 Allemagne 0,24
9 Turquie 0,23
10 Kirghizstan 0,17

* Pour ce classement, nous avons éliminé les pays où le nombre d’utilisateurs du produit de sécurité mobile Kaspersky Lab était inférieur à 10 000.
** Pourcentage d’utilisateurs uniques attaqués par des chevaux de Troie bancaires mobiles dans chaque pays, en comparaison avec tous les utilisateurs du produit de sécurité mobile de Kaspersky Lab dans le pays.

Au 2ème trimestre 2016, la première place était occupée par la Russie (1,51 %) où la majorité des utilisateurs concernés ont été attaqués par les familles de chevaux de Troie bancaires mobiles : Trojan-Banker.AndroidOS.Asacub, Trojan-Banker.AndroidOS.Svpeng et Trojan-Banker.AndroidOS.Faketoken.

La Chine, qui occupait cette position au cours du dernier trimestre, se trouve désormais à la cinquième place.

L’Australie est de nouveau en deuxième position. La famille Trojan-Banker.AndroidOS.Marcher y représente désormais la menace la plus répandue et supplante la famille Trojan-Banker.AndroidOS.Acecard.

Les chevaux de Troie bancaires ont été particulièrement choyés par les pirates situés en Russie et en Australie. Les utilisateurs attaqués par ces programmes malveillants dans les deux pays représentaient 14 % de tous les utilisateurs attaqués.

Chevaux de Troie rançongiciels mobiles

À partir de ce trimestre, nous calculerons la répartition des programmes malveillants mobiles selon leur type, en nous appuyant sur le nombre de packages d’installation de codes malveillants détectés, et non sur les versions modifiées, comme c’était le cas dans les rapports antérieurs.

Au 2ème trimestre 2016, 83 048 packages d’installation de chevaux de Troie rançongiciels mobiles ont été détectés par nos soins, soit à peu près le même nombre qu’au trimestre précédent et sept fois plus qu’au 4ème trimestre 2015.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Nombre de chevaux de Troie rançongiciels mobiles détectés par Kaspersky Lab (3ème trimestre 2015 – 2ème trimestre 2016)

La forte augmentation du nombre de packages d’installation de Chevaux de Troie rançongiciels mobiles en 2016 est due à la prolifération de la famille Trojan-Ransom.AndroidOS.Fusob. Au cours du premier trimestre de 2016, cette famille affectait 96 % des utilisateurs attaqués par des rançongiciels mobiles. Au 2ème trimestre, cette part était de 85 %.

Trojan-Ransom.AndroidOS.Fusob.h est devenu le cheval de Troie rançongiciel mobile le plus répandu au deuxième trimestre. Il représentait près de 60 % des utilisateurs attaqués par des rançongiciels mobiles. Une fois exécuté, le cheval de Troie demande des privilèges d’administrateur, recueille des informations sur l’appareil, y compris les coordonnées GPS et l’historique des appels et transfert les données vers un serveur malveillant. Par la suite, il est capable de bloquer l’appareil. Au deuxième trimestre, nous avons enregistré une croissance du nombre de packages d’installation associés à Trojan-Ransom.AndroidOS.Congur.b : leur part est passé de 0,8 % à 8,8 %. Ce cheval de Troie, qui cible les utilisateurs de langue chinoise, change le mot de passe système (code PIN), ou en ajoute un s’il n’y en avait aucun précédemment, ce qui rend impossible d’utiliser l’appareil. Une notification contenant la demande de rançon s’affiche sur l’écran de l’appareil bloqué.

Ce trimestre, l’Allemagne, les États-Unis et la Russie comptent le plus grand nombre d’utilisateurs attaqués par des chevaux de Troie rançongiciels :

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Répartition géographique des chevaux de Troie rançongiciels mobiles au 2ème trimestre 2016 (% de tous les utilisateurs attaqués)

Pour évaluer le risque d’une infection par un cheval de Troie bancaire mobile dans chaque pays, et le comparer d’un pays à l’autre, nous avons créé un classement des pays en fonction du pourcentage d’utilisateurs attaqués par des chevaux de Troie rançongiciels mobiles.

TOP 10 des pays attaqués par des chevaux de Troie rançongiciels mobiles (classement en pourcentage des utilisateurs attaqués)

Pays* % des utilisateurs attaqués**
1 Canada 2,01
2 Allemagne 1,89
3 États-Unis 1,66
4 Suisse 1,63
5 Mexique 1,55
6 Royaume-Uni 1,51
7 Danemark 1,35
8 Italie 1,35
9 Kazakhstan 1,35
10 Pays-Bas 1,15

* Pour ce classement, nous avons éliminé les pays où le nombre d’utilisateurs du produit de sécurité mobile Kaspersky Lab était inférieur à 10 000.
** Pourcentage d’utilisateurs uniques attaqués par des chevaux de Troie rançongiciels mobiles dans chaque pays, proportionnellement à tous les utilisateurs du produit de sécurité mobile de Kaspersky Lab dans le pays.

Dans tous les pays du TOP 10, sauf pour le Kazakhstan, la famille de chevaux de Troie rançongiciels la plus répandue était Fusob. Aux États-Unis, la famille Trojan-Ransom.AndroidOS.Svpeng était également courante. Ces chevaux de Troie exigent une rançon de 100-500 USD à leurs victimes pour débloquer leurs appareils.

Au Kazakhstan et en Ouzbékistan, la menace principale pour les utilisateurs provient des composants de la famille Trojan-Ransom (Small) sur mobile. Il s’agit d’un rançongiciel assez simple qui bloque le fonctionnement d’un appareil en superposant sa propre fenêtre sur toutes les fenêtres de l’appareil et en exigeant 10 USD pour la débloquer.

Applications vulnérables exploitées par les cybercriminels

Au cours du 2ème trimestre 2016, les exploits (codes malveillants exploitant une faille de sécurité) affectant Adobe Flash Player sont restés courants. Au cours de la période considérée, deux nouvelles vulnérabilités ont été découvertes dans ce logiciel :

  • СVE-2016-4117
  • CVE-2016-4171

Un exploit (CVE-2016-4117) a été ajouté aux kits Magnitude et Neutrino. La vulnérabilité CVE-2016-4171 a été utilisée par le groupe ScarCruft pour réaliser des attaques ciblées. Nous avons publié mi-juin un compte rendu plus détaillé des activités du groupe dans un blog.

Parmi les principaux événements de ce trimestre, on notera la disparition des kits d’exploits Angler et Nuclear, qui ont longtemps dominé le marché. La disparition d’Angler a obligé les acteurs du marché à développer d’autres kits pour diffuser leurs programmes malveillants. En particulier, nous avons enregistré une croissance spectaculaire du kit d’exploits Neutrino.

Au deuxième trimestre, l’utilisation des exploits peut être représentée sous forme graphique :

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Distribution des exploits utilisés dans les attaques en fonction du type d’application attaquée, 2ème trimestre 2016

Le diagramme montre que malgré la sortie des exploits qui dominaient le marché, la répartition reste quasiment inchangée par rapport au trimestre précédent : la proportion de ces exploits pour Microsoft Office (14 %) et Java (7 %) a baissé de 1 point, tandis que la part associée à Android a augmenté de 2 points pour atteindre 24 %. Cela suggère que les acteurs restants se sont partagé le terrain : RIG, Magnitude et Neutrino. Ce dernier est incontestablement le leader de ce trimestre si on tient compte du nombre de tentatives de téléchargements de programmes malveillants.

Menaces en ligne (attaques reposant sur Internet)

Les statistiques de cette section proviennent de composants d’anti-virus Internet qui protègent les utilisateurs contre les tentatives de téléchargements d’objets malveillants à partir d’un site Internet infecté/malveillant. Les sites Internet malveillants sont délibérément créés par des utilisateurs malintentionnés ; les sites infectés incluent ceux dont le contenu est alimenté par des utilisateurs (tels que les forums), ainsi que les ressources légitimes compromises.

Au cours du deuxième trimestre de 2016, les anti-virus Internet de Kaspersky Lab ont détecté 16 119 489 objets malveillants uniques : scripts, exploits, fichiers exécutables, etc. 54 539 948 URL uniques ont été reconnues comme malveillantes par les composants d’anti-virus Internet.

Menaces en ligne dans le secteur bancaire

Ces statistiques reposent sur les diagnostics de détection des produits Kaspersky Lab, provenant de nos utilisateurs qui ont accepté de partager leurs données statistiques.

Nombre d’utilisateurs attaqués par des programmes malveillants ciblant les finances

En raison de l’apparition constante de nouveaux chevaux de Troie bancaires et des changements fonctionnels au sein des chevaux de Troie bancaires existants, nous avons largement actualisé la liste des diagnostics classés comme risques bancaires au cours du deuxième trimestre de 2016. Cela signifie que le nombre de victimes de programmes financiers malveillants a varié de façon significative par rapport aux données publiées au cours des trimestres précédents. À titre de comparaison, nous avons recalculé les statistiques pour le trimestre précédent, en tenant compte de tous les programmes malveillants de la liste actualisée.

Les solutions Kaspersky Lab ont bloqué des tentatives d’exécution de programmes malveillants sur 1 132 031 ordinateurs au 2ème trimestre 2016. Ces programmes étaient susceptibles de voler de l’argent par l’intermédiaire des services bancaires en ligne. Le trimestre a connu une augmentation de l’activité des programmes malveillants dans le domaine financier : les chiffres du 2ème trimestre sont 15,6 % plus élevés que pour le trimestre précédent (979 607).

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Nombre d’utilisateurs attaqués par des programmes malveillants ciblant les finances, 2ème trimestre 2016

Répartition géographique des attaques

Pour évaluer et comparer le risque d’infection par des chevaux de Troie bancaires dans le monde entier, nous calculons le pourcentage des utilisateurs de produits Kaspersky Lab qui ont rencontré ce type de menace au cours de la période considérée dans le pays, en fonction de tous les utilisateurs de nos produits dans le pays.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Répartition géographique des attaques par des programmes bancaires malveillants au 2ème trimestre 2016 (% des utilisateurs attaqués)

TOP 10 des pays en % des utilisateurs attaqués

Pays* % des utilisateurs attaqués**
1 Turquie 3,45
2 Russie 2,92
3 Brésil 2,63
4 Pakistan 2,60
5 Venezuela 1,66
6 Tunisie 1,62
7 Japon 1,61
8 Singapour 1,58
9 Libye 1,57
10 Argentine 1,48

Ces statistiques reposent sur les diagnostics de détection renvoyés par le module anti-virus, provenant des utilisateurs des produits Kaspersky Lab qui ont accepté de partager leurs données statistiques.
* Nous avons exclu les pays dans lesquels le nombre d’utilisateurs de produits Kaspersky Lab est relativement faible (moins de 10 000).
** Utilisateurs uniques dont les ordinateurs ont été la cible d’attaques par des chevaux de Troie bancaires, en pourcentage de tous les utilisateurs uniques des produits Kaspersky Lab dans le pays.

Les utilisateurs turcs de Kaspersky Lab ont été les plus ciblés par des chevaux de Troie bancaires. La recrudescence des menaces financières peut s’expliquer en partie par le fait qu’il y a eu une explosion des activités par le cheval de Troie bancaire Gozi, dont les développeurs ont uni leurs forces avec les créateurs du cheval de Troie Nymaim.

En Russie, 2,92 % des utilisateurs ont été la cible d’un cheval de Troie bancaire au moins une fois au cours du 2ème trimestre, ce qui classe ce pays au deuxième rang.

Le Brésil arrive à la 3ème position. Nous nous attendons à une augmentation soudaine des menaces financières en Amérique latine au cours du prochain trimestre en raison des Jeux Olympiques au Brésil. Cet événement est simplement trop tentant pour les cybercriminels. Ils utilisent régulièrement le thème des événements sportifs majeurs dans leurs attaques afin d’attirer des victimes potentielles.

Les cinq premiers pays où les utilisateurs ont été les moins touchés par les chevaux de Troie bancaires ont été le Canada (0,33 %), les États-Unis (0,4 %), le Royaume-Uni (0,4 %), la France (0,43 %) et les Pays-Bas (0,5 %).

En Italie, le pourcentage des victimes était de 0,62 %, contre 0,83 % en Espagne et 1,03 % en Allemagne.

TOP 10 des familles de programmes bancaires malveillants

Le tableau ci-dessous présente les 10 familles de programmes malveillants les plus couramment utilisées au 2ème trimestre 2016 pour attaquer les utilisateurs de services bancaires en ligne (en pourcentage des utilisateurs attaqués) :

Nom* % des utilisateurs attaqués**
1 Trojan-Spy.Win32.Zbot 15,72
2 Trojan-Banker.Win32.Gozi 3,28
3 Trojan.Win32.Qhost 2,35
4 Trojan-Banker.Win32.Shiotob 2,27
5 Trojan-Banker.Win32.BestaFera 2,12
6 Trojan.Win32.Nymaim 1,98
7 Trojan-Banker.Win32.ChePro 1,90
8 Trojan-Banker.Win32.Banbra 1,77
9 Trojan.Win32.Neurevt 0,67
10 Backdoor.Win32.Shiz 0,66

* Diagnostics de détection des produits Kaspersky Lab, provenant de nos utilisateurs qui ont accepté de partager leurs données statistiques.
** Utilisateurs uniques dont les ordinateurs ont été ciblés par le programme malveillant en question, en pourcentage de tous les utilisateurs attaqués par des programmes financiers malveillants.

Trojan-Spy.Win32.Zbot est un élément récurrent qui occupe les premières places du classement. Il ne s’agit pas d’une coïncidence : les codes sources de ce cheval de Troie sont devenus publics en 2012. Cela a conduit à l’apparition de nouveaux chevaux de Troie bancaires qui ont emprunté des extraits du code Zbot.

Le deuxième trimestre de 2016 a connu une recrudescence des activités malveillantes par l’intermédiaire de Trojan.Win32.Nymaim. C’est pourquoi ce cheval de Troie apparaît dans le TOP 10 pour la première fois et se classe directement à la sixième place. Nymaim a été initialement conçu pour bloquer l’accès à des données importantes et demander une rançon (rançongiciel) en échange. Cependant, la dernière version inclut également des fonctionnalités de chevaux de Troie bancaires pour voler des informations financières. Cela peut s’expliquer par le fait que les créateurs de Nymaim et Gozi (qui apparaissent également dans le TOP 10 des risques financiers au 2ème trimestre) ont uni leurs forces. Le code source de Nymaim inclut désormais des extraits de code de Gozi qui donnent aux pirates un accès à distance à des ordinateurs infectés.

La famille Trojan-Banker.Win32.ChePro apparaît en permanence dans ce classement et explique en partie pourquoi les menaces financières sont si importantes au Brésil. Ce programme bancaire malveillant permet aux cybercriminels de faire des captures d’écran, d’enregistrer les éléments saisis au clavier et de lire le contenu du presse-papiers. Cela signifie qu’il possède des fonctionnalités capables d’attaquer quasiment tous les systèmes bancaires en ligne. Les criminels tentent d’intégrer de nouvelles techniques pour éviter d’être détectés aussi longtemps que possible. Certains chevaux de Troie de cette famille utilisent la géolocalisation ou demandent le fuseau horaire et la version Windows du système afin d’infecter les utilisateurs dans une région particulière.

La famille Trojan.Win32.Neurevt est également une nouvelle venue dans le TOP 10 des menaces financières au 2ème trimestre. Des composants de cette famille ont été découverts pour la première fois en 2013 et sont utilisés par les cybercriminels pour voler non seulement les données de paiement de l’utilisateur dans les systèmes bancaires en ligne, mais également pour envoyer des messages indésirables/spams (certaines versions, par exemple, envoient des spams sur Skype) et pour effectuer des attaques par déni de service (avec l’ajout de fonctionnalités capables d’exécuter le scénario d’avalanche d’en-têtes HTTP de Slowloris).

Chevaux de Troie rançongiciels

Jusqu’à présent, le nombre total de versions modifiées de virus crypteurs dans notre collection est d’environ 26 000. 28 nouvelles familles de virus crypteurs et 9 296 nouvelles versions modifiées ont été détectées au total au 2ème trimestre.

Le graphique suivant présente l’augmentation du nombre de versions modifiées de virus crypteurs nouvellement créés au cours des deux derniers trimestres.

Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

Nombre de versions modifiées des chevaux de Troie rançongiciels crypteurs (1er trimestre 2016 par rapport au 2ème trimestre 2016)

Voici une liste de certains des chevaux de Troie les plus courants ou inhabituels au 2ème trimestre 2016 :

  • CryptXXX (Trojan-Ransom.Win32.CryptXXX)

    Ce virus crypteur a été largement distribué via des kits d’exploits depuis avril 2016. Ses versions antérieures comportaient des lacunes dans l’algorithme de cryptage de fichier, ce qui a permis à Kaspersky Lab de proposer un utilitaire pour les déchiffrer. Malheureusement, les pirates ont apporté certaines modifications aux versions ultérieures, ce qui rend impossible le déchiffrage des fichiers touchés par les nouvelles versions modifiées de CryptXXX.

  • ZCryptor (Trojan-Ransom.MSIL.Zcryptor)

    Ce programme malveillant combine une fonctionnalité de cryptage et une méthode de distribution par ver. Les chevaux de Troie rançongiciels n’incluent généralement pas d’outils d’auto-propagation. Cependant, ZCryptor est justement l’exception qui confirme la règle. À l’instar d’un ver classique, lors de l’infection, il crée des copies de son corps sur les supports amovibles et génère le fichier autorun.inf pour effectuer le lancement automatique de son fichier exécutable une fois que le support est connecté à un autre système (si, bien sûr, autorun n’est pas désactivé).

  • RAA (Trojan-Ransom.JS.RaaCrypt)

    Nous rencontrons parfois des virus crypteurs qui diffèrent de la norme de par leurs fonctionnalités. De temps en temps, l’aspect inhabituel de l’implantation attire l’attention des analystes. Dans le cas de RAA, le choix du langage de programmation était inhabituel : il a été entièrement écrit en JavaScript. Le corps entier du programme a été inclus dans un seul fichier .js envoyé à la victime en tant que pièce jointe dans un spam. Lorsqu’il s’exécute, il affiche un faux message d’erreur, et dans le même temps, crypte les fichiers de l’utilisateur.

  • Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

  • Bart (Trojan-Ransom.Win32.Bart)

    Ce virus crypteur place les fichiers de la victime dans des fichiers ZIP protégés par des mots de passe. Il crée des mots de passe à l’aide de l’algorithme Diffie-Hellman selon une courbe elliptique. Le design de la note de rançon et du site de paiement est une copie exacte de celui utilisé par le tristement célèbre Locky.

  • Satana (Trojan-Ransom.Win32.Satan)

    Il s’agit de la combinaison d’un virus crypteur de fichier et d’un bloqueur de MBR, probablement inspirée par une fonctionnalité similaire dans les fameux chevaux de Troie Petya et Mischa. Satana, contrairement à Petya, ne crypte pas la MFT ; en effet, son module MBR est manifestement incomplet puisque le processus de contrôle du mot de passe par la victime ne résulte en rien de plus qu’un cycle continu. Vous trouverez ci-dessous un extrait du code qui expose ces faits.

    Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

    Nombre d’utilisateurs attaqués par des rançongiciels

    Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

    Nombre d’utilisateurs attaqués par des programmes malveillants de type  » chevaux de Troie rançongiciels crypteurs  » (2ème trimestre 2016)

    Au 2ème trimestre 2016, 311 590 utilisateurs uniques ont été attaqués par des virus crypteurs, ce qui représente 16 % de plus qu’au trimestre précédent. Environ 21 % de ces utilisateurs attaqués travaillaient dans le secteur privé.

    Il est important de noter que le nombre réel d’incidents est bien plus élevé. En effet, les statistiques s’appuient uniquement sur les résultats des détections de méthodes heuristiques et basées sur des signatures. Notez que dans la plupart des cas, les produits Kaspersky Lab détectent les chevaux de Troie crypteurs en s’appuyant sur des modèles de reconnaissance des comportements et livrent un diagnostic générique, qui ne différencie pas le type de programme malveillant.

    Top 10 des pays attaqués par des virus crypteurs

    Pays* % des utilisateurs attaqués par des virus crypteurs**
    1 Japon 2,40
    2 Italie 1,50
    3 Djibouti 1,46
    4 Luxembourg 1,36
    5 Bulgarie 1,34
    6 Croatie 1,25
    7 Maldives 1,22
    8 Corée 1,21
    9 Pays-Bas 1,15
    10 Taïwan 1,04

    * Nous avons exclu les pays dans lesquels le nombre d’utilisateurs de produits Kaspersky Lab est relativement faible (moins de 10 000).
    ** Utilisateurs uniques dont les ordinateurs ont été la cible d’attaques par des rançongiciels, en pourcentage de tous les utilisateurs uniques des produits Kaspersky Lab dans le pays.

    Au 2ème trimestre, la moitié du TOP 10 était composé de pays européens, soit un de moins qu’au trimestre précédent.

    Le Japon, qui était classé 9ème au 1er trimestre, prend la première place des pays attaqués par des virus crypteurs (2,40 %). Parmi les familles de virus crypteurs les plus répandues dans le pays, nous trouvons : Teslacrypt, Locky et Cryakl.

    Djibouti (1,46 %), la Corée (1,21 %) et Taïwan (1,04 %) font partie des nouveaux arrivants dans ce classement.

    Top 10 des familles de virus crypteurs les plus répandues

    Nom Éléments diagnostiqués* % des utilisateurs**
    1 CTB-Locker Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion 14,59 %
    2 Teslacrypt Trojan-Ransom.Win32.Bitman 8,36 %
    3 Locky Trojan-Ransom.Win32.Locky 3,34 %
    4 Shade Trojan-Ransom.Win32.Shade 2,14 %
    5 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 2,02 %
    6 Cryptowall Trojan-Ransom.Win32.Cryptodef 1,98 %
    7 Cryakl Trojan-Ransom.Win32.Cryakl 1,93 %
    8 Cerber Trojan-Ransom.Win32. Zerber 1,53 %
    9 Scatter Trojan-Ransom.BAT.Scatter/Trojan-Downloader.JS.Scatter/Trojan-Dropper.JS.Scatter/Trojan-Ransom.Win32.Scatter 1,39 %
    10 Rakhni Trojan-Ransom.Win32.Rakhni/Trojan-Downloader.Win32.Rakhni 1,13 %

    Ces statistiques reposent sur les diagnostics de détection, provenant des utilisateurs des produits Kaspersky Lab qui ont accepté de partager leurs données statistiques.
    ** Utilisateurs uniques dont les ordinateurs ont été la cible d’une famille de chevaux de Troie rançongiciels, en pourcentage de tous les utilisateurs des produits Kaspersky Lab attaqués par des programmes malveillants de type  » chevaux de Troie rançongiciels « .

    Au 2ème trimestre, la première place est occupée par la famille CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). La famille TeslaCrypt arrive en deuxième position et est représentée par l’élément diagnostiqué : Trojan-Ransom.Win32.Bitman. Par le passé, Trojan-Ransom.JS.Cryptoload téléchargeait des programmes malveillants téléchargés et était associé à la famille TeslaCrypt. Ce n’est plus le cas actuellement. TeslaCrypt dominait grandement les statistiques, mais il a fini par disparaître en mai 2016. Les propriétaires ont désactivé leurs serveurs et ont publié une clé passe-partout pour déchiffrer les fichiers.

    Cerber et Cryrar sont les seuls changements dans ce classement par rapport au trimestre précédent.

    Le virus crypteur Cerber se propage via spam et des kits d’exploits. Le site du virus crypteur sur le réseau Tor est traduit en de nombreuses langues. Particularités spécifiques de Cerber :

    • Il explore le système infecté méticuleusement : il vérifie la présence d’un anti-virus, s’il s’exécute par l’intermédiaire d’une machine virtuelle (Parallels, VmWare, QEMU, VirtualBox) ou Wine, contrôle les utilitaires de divers chercheurs et analystes (il effectue cette opération en recherchant certains processus et fichiers sur le disque dur). Il possède même une liste noire des numéros de série de lecteurs de système.
    • Il vérifie la configuration du clavier et l’adresse IP de la machine infectée. S’il détecte que la machine se trouve dans un pays de la Communauté des États indépendants, l’infection s’arrête.
    • Il tente de contourner la protection anti-virus en mettant fin à leurs processus, en interrompant les services et en supprimant des fichiers.
    • En plus d’informer les utilisateurs à propos du cryptage sous forme de fichiers TXT ou HTML, comme c’est le cas avec d’autres familles, il exécute également un script VBS qui reproduit le message vocal suivant :  » Attention ! Attention ! Attention ! Vos documents, photos, bases de données et d’autres fichiers importants ont été cryptés ! « 

    Le virus crypteur Cryrar également connu sous le nom de ACCDFISA (Anti Cyber Crime Department of Federal Internet Security Agency), Anti-Child Porn Spam Protection, etc. est apparu pour la première fois en 2012. Il a la particularité de mettre les fichiers de la victime dans des fichiers d’archives RAR protégés par des mots de passe. Selon les statistiques KSN, il ne présente aucune intention de céder sa place à de nouveaux rivaux.

    TOP 10 des pays où les ressources en ligne sont parsemées de programmes malveillants

    Les statistiques suivantes reposent sur la situation physique des ressources en ligne qui ont été utilisées dans les attaques et bloquées par nos composants anti-virus (pages Internet contenant des redirections vers les exploits, sites contenant des exploits et autres programmes malveillants, centres de commandement d’un réseau de machines, etc.). Tout hôte unique peut être la source d’une ou de plusieurs attaques Internet.

    Afin de déterminer la source géographique des attaques Internet, les noms de domaine sont comparés à leurs adresses IP de domaine réel, puis l’emplacement géographique d’une adresse IP spécifique (GEOIP) est déterminé.

    Au 2ème trimestre 2016, les solutions Kaspersky Lab ont bloqué 171 895 830 attaques lancées à partir de ressources Internet situées dans 191 pays à travers le monde. 54 539 948 URL uniques ont été reconnues comme malveillantes par des composants anti-virus Internet.

    81 % des notifications concernant les attaques Internet bloquées étaient déclenchées par des attaques provenant de ressources Internet situées dans 10 pays.

    Évolution des menaces informatiques Statistiques du 2ème trimestre 2016

    Distribution des sources d’attaques Internet par pays, 2ème trimestre 2016

    Les États-Unis (35,44 %) reviennent au premier rang de ce classement au deuxième trimestre. La Russie (10,28 %) grimpe d’une place pour atteindre le deuxième rang. Les Pays-Bas, qui étaient en première position au cours du dernier trimestre, tombent à la quatrième place, leur part ayant chuté de 17,7 points. L’Allemagne termine dans le TOP 3 avec une part de 8,9 %. La Bulgarie quitte le TOP 10, tandis que le Canada est désormais un nouveau venu à la 9ème place avec 0,96 %.

    Pays où les utilisateurs ont le plus de risque d’infection en ligne

    Afin d’évaluer le risque d’infection en ligne pouvant cibler les utilisateurs de différents pays, nous avons calculé le pourcentage des utilisateurs de Kaspersky Lab dans chaque pays qui ont reçu des diagnostics de détection sur leurs machines au cours du trimestre. Les données résultantes donnent une indication de l’agressivité de l’environnement dans lequel fonctionnent les ordinateurs des différents pays.

    Pays* % des utilisateurs uniques attaqués**
    1 Azerbaïdjan 32,10
    2 Russie 30,80
    3 Chine 29,35
    4 Slovénie 27,54
    5 Ukraine 27,46
    6 Kazakhstan 27,03
    7 Viêt Nam 26,02
    8 Algérie 25,63
    9 Arménie 25,09
    10 Belarus 24,60
    11 Brésil 24,05
    12 France 22,45
    13 Moldavie 22,34
    14 Kirghizstan 22,13
    15 Bulgarie 22,06
    16 Italie 21,68
    17 Chili 21,56
    18 Qatar 20,10
    19 Inde 20,00
    20 Portugal 19,84

    Ces statistiques reposent sur les diagnostics de détection renvoyés par le module anti-virus Internet, provenant des utilisateurs des produits Kaspersky Lab qui ont accepté de partager leurs données statistiques.

    * Ces valeurs excluent les pays dans lesquels le nombre d’utilisateurs de produits Kaspersky Lab est relativement faible (moins de 10 000 utilisateurs).
    ** Utilisateurs uniques dont les ordinateurs ont été la cible d’attaques Internet, en pourcentage de tous les utilisateurs uniques des produits Kaspersky Lab dans le pays.

    Au 2ème trimestre, l’Azerbaïdjan est passé de la quatrième à la première place de ce classement avec 32,1 %. La Russie (30,8 %) est passée de la première à la seconde place, alors que le Kazakhstan (27,03 %) a chuté de la deuxième à la sixième place.

    Depuis le trimestre précédent, l’Espagne, la Lituanie, la Croatie et la Turquie ont toutes quitté le TOP 20. La Bulgarie (22,06 %), le Chili (21,56 %), le Qatar (20,10 %) et le Portugal (19,84 %) sont les nouveaux arrivants de ce classement.

    18-fr

    Parmi les pays dont les environnements de navigation en ligne sont les plus sûrs, nous trouvons le Canada (15 %), la Roumanie (14,6 %), la Belgique (13,7 %), le Mexique (13,2 %), les États-Unis (12,8 %), la Suisse (12,4 %), la Nouvelle-Zélande (12,1 %), la République tchèque (12 %), l’Argentine (9,9 %), le Japon (9,5 %), les Pays-Bas (8,3 %), la Suède (8,2 %) et l’Allemagne (8 %).

    En moyenne, 19,4 % des ordinateurs connectés à Internet à l’échelle mondiale ont fait l’objet d’au moins une attaque Internet ces trois derniers mois. Cela correspond à une baisse de 1,8 point par rapport au 1er trimestre 2016.

    Menaces locales

    Les statistiques des infections à l’échelle locale pour les ordinateurs des particuliers constituent un indicateur très important : elles reflètent les menaces qui sont parvenues à pénétrer dans les systèmes informatiques en infectant des fichiers ou des supports amovibles, ou qui sont initialement arrivées sur l’ordinateur dans un format chiffré (par exemple, programmes intégrés dans les installateurs complexes, fichiers cryptés, etc.).

    Les données de cette section reposent sur l’examen des statistiques générées par les résultats d’analyse des supports de stockage amovibles et les analyses anti-virus de fichiers sur le disque dur au moment de l’accès ou de la création des différentes menaces.

    Au 2ème trimestre 2016, l’anti-virus de Kaspersky Lab a détecté un total de 249 619 379 objets malveillants uniques et potentiellement indésirables.

    Pays où les utilisateurs ont le plus de risques d’infection locale

    Pour chacun des pays, nous avons calculé le pourcentage des utilisateurs des produits Kaspersky Lab pour lesquels l’anti-virus s’est déclenché au cours du trimestre. Ces statistiques reflètent le niveau d’infection des ordinateurs personnels dans différents pays.

    TOP 20 des pays ayant les niveaux d’infection les plus élevés

    Pays* % des utilisateurs uniques**
    1 Somalie 65,80 %
    2 Viêt Nam 63,33 %
    3 Tadjikistan 62,00 %
    4 Russie 61,56 %
    5 Kirghizstan 60,80 %
    6 Bangladesh 60,19 %
    7 Afghanistan 60,00 %
    8 Arménie 59,74 %
    9 Ukraine 59,67 %
    10 Népal 59,66 %
    11 Éthiopie 59,63 %
    12 Laos 58,43 %
    13 Kazakhstan 57,72 %
    14 Rwanda 57,33 %
    15 Djibouti 56,07 %
    16 Yémen 55,98 %
    17 Venezuela 55,76 %
    18 Algérie 55,58 %
    19 Cambodge 55,56 %
    20 Iraq 55,55 %

    Ces statistiques reposent sur les diagnostics de détection renvoyés par les modules anti-virus à la demande/sur accès, provenant des utilisateurs des produits Kaspersky Lab qui ont accepté de partager leurs données statistiques. Les données comprennent les détections de programmes malveillants situés sur les ordinateurs de particuliers ou sur un support amovible connecté aux ordinateurs, tels que les disques flash, les cartes mémoire des téléphones et d’appareils photo, ou les disques durs externes.

    * Ces valeurs excluent les pays dans lesquels le nombre d’utilisateurs de produits Kaspersky Lab est relativement faible (moins de 10 000 utilisateurs).
    ** Pourcentage d’utilisateurs uniques dans le pays dont les ordinateurs ont bloqué des menaces locales, en pourcentage de tous les utilisateurs uniques des produits Kaspersky Lab.

    La Somalie demeure en tête de ce classement au 2ème trimestre 2016 avec 65,8 %. Le Yémen (55,98 %) a chuté de la 2ème à la 16ème place, tandis que le Viêt Nam (63,33 %) est passé de la 8ème à la 2ème. Le Tadjikistan (62 %) vient compléter le TOP 3. La Russie passe de la 5ème à la 4ème place, bien que les chiffres pour ce pays (61,56 %) aient baissé de 2,62 points.

    Parmi les nouveaux arrivants de ce classement : Djibouti parvient à la 15ème place (56,07 %), le Venezuela à la 17ème (55,76 %) et le Cambodge à la 19ème (55,56 %).

    19-fr

    Voici les pays les plus sûrs en matière de risques d’infection locale : la Croatie (29 %), Singapour (28,4 %), l’Allemagne (28,1 %), la Norvège (27,6 %), les États-Unis (27,1 %), la Suisse (26,3 %), le Japon (22 %), le Danemark (21,4 %) et la Suède (21,3 %).

    43,3 % en moyenne des ordinateurs à l’échelle mondiale ont fait l’objet d’au moins une menace locale au cours du 2ème trimestre 2016, soit 1,2 point de moins qu’au trimestre précédent.

Posts similaires

Il y a 1 commentaire
  1. nechadi

    merci

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *