Développement des menaces informatiques au premier trimestre 2017 Statistiques

Contenu

Chiffres du trimestre

D’après les données du KSN, les solutions de Kaspersky Lab ont déjoué 479 528 279 attaques organisées depuis diverses ressources Internet réparties entre 190 pays.

79 209 775 adresses Internet uniques ayant provoqué un déclenchement de l’antivirus Internet ont été recensées.

Des tentatives d’exécution de malwares conçus pour voler l’argent via les systèmes de banques électroniques ont été déjouées sur les ordinateurs de 288 000 utilisateurs.

Des attaques de ransomwares ont été déjouées sur les ordinateurs de 240 799 utilisateurs uniques.

174 989 956 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers.

Les solutions de Kaspersky Lab pour la protection des appareils mobiles ont détecté les éléments suivants :

  • 1 333 605 packages d’installation malveillants ;
  • 32 038 packages d’installation de trojans bancaires pour appareils mobiles ;
  • 218 625 packages d’installation de trojans ransomwares.

Menaces sur les appareils mobiles

Particularités du trimestre

Progression de Trojan-Ransom.AndroidOS.Egat

Au cours du 1er trimestre 2017, nous avons observé une explosion des attaques organisées à l’aide de la famille de ransomwares mobiles Trojan-Ransom.AndroidOS.Egat : le nombre de victimes touchées a été multiplié plus de 13 fois par rapport au trimestre antérieur. Bien que nous connaissions ce trojan depuis juin 2016, ce n’est que maintenant que nous observons une hausse soutenue du nombre d’attaques.

Ce malware est doté des fonctions que l’on retrouve chez tout ransomware mobile : il bloque le fonctionnement de l’appareil en superposant sa fenêtre sur celles des autres applications et exige le versement d’une rançon pour le déblocage. Dans la majorité des cas, le montant de la rançon oscille entre 100 et 200 dollars américains. La majorité des utilisateurs attaqués vivait en Europe, et principalement en Allemagne, en Angleterre et en Italie.

Mise à jour de ZTorg

Nous avons détecté près de 30 nouveaux trojans de la famille Ztorg dans le Google Play Store. Pour rappel, il s’agit de la même famille qui avait été impliquée dans l’infection d’un guide pour le jeu Pokémon GO et que nous avions détecte dans Google Play à l’été 2016. Cette application piégée avait été téléchargée plus de 500 000 fois. Une fois installés, les représentants de cette famille confirment qu’ils sont bien exécutés sur un appareil authentique et non pas sur une machine virtuelle. Une fois qu’ils ont confirmé que l’environnement est adéquat, le module principal est téléchargé depuis un serveur distant. Ce module exploite les vulnérabilités du système afin de tenter d’obtenir les privilèges de super-utilisateur. S’il y parvient, il installe ses modules dans les dossiers du système et modifie les paramètres de l’appareil afin de pouvoir résister à un rétablissement des paramètres à leur valeur par défaut.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Trojan Trojan.AndroidOS.Ztorg.bp dans le magasin d’applications Google Play

Le Trojan utilise plusieurs modules différents qui téléchargent et installent secrètement divers programmes sur le périphérique, affichent des publicités et achètent même des applications. Signalons que la fonction du malware a quelque peu changé : le nombre de vérifications de l’authenticité de l’appareil a diminué et le code de téléchargement, de déchiffrement et de chargement du module principal se trouve dans une bibliothèque à charger.

Activation d’Asacub

Au 1er trimestre 2017, nous avons observé une diffusion active du trojan bancaire mobile Trojan-Banker.AndroidOS.Asacub. En l’espace de 3 mois, les représentants de cette famille ont attaqué plus de 43 000 appareils mobiles, soit 2,5 fois plus qu’au trimestre antérieur. Plus de 97 % des utilisateurs attaqués se trouvaient en Russie. Asacub se propage principalement via des messages SMS non sollicités. Après avoir cliqué sur un lien malveillant, l’utilisateur arrivait sur une page qui lui proposait de voir un MMS qui entraînait en réalité le téléchargement du trojan sur l’appareil. Il est intéressant de constater qu’en cas d’accès à cette même page au départ d’un système Windows, c’est Backdoor.Win32.Htbot.bs qui était téléchargé.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Site depuis lequel Trojan-Banker.AndroidOS.Asacub est téléchargé

Il convient de signaler que Trojan-Banker.AndroidOS.Asacub est doté de plus en plus de fonctions d’espionnage. Outre les capacités standards des malwares bancaires mobiles, comme le vol et l’envoi de SMS ou la superposition de fenêtres de phishing sur les fenêtres de différentes applications, ce trojan vole l’historique des appels, les contacts ainsi que les coordonnées GPS de l’utilisateur.

Statistiques des menaces pour appareils mobiles

Au 1er trimestre 2017, Kaspersky Lab a détecté 1 333 605 packages d’installation malveillants. Cet indice n’a pratiquement pas changé par rapport au 4e trimestre 2016.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Quantité de packages d’installation malveillants détectés (T2 2016-T1 2017)

Répartition des malwares détectés par type

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Répartition des nouveaux malwares mobiles détectés par type, (T4 2016 et T312017)

Au 1er trimestre, ce sont les représentants des trojans ransomwares mobiles qui ont affiché la plus grande hausse en termes de paquets d’installation : leur part a été multipliée par 3,5 au cours du trimestre et passe de 4,64 % à 16,42%. La hausse la plus importante a été enregistrée par la famille Trojan-Ransom.AndroidOS.Congur que nous évoquerons ci-dessous.

Les trojans espions occupent la 2e position en terme de rythme de croissance : ils passent de 1,83 à 10,27 % des parts. Cette progression s’explique par l’augmentation du nombre de malwares des familles Trojan-Spy.AndroidOS.SmForw et Trojan-Spy.AndroidOS.SmsThief spécialisées dans le vol de SMS.

Les catégories qui ont enregistré les reculs les plus marqués au cours du 1er trimestre sont Adware (7,32 %) et Trojan-Dropper (6,99 %), soit une contraction de 4,99 et 4,48 % respectivement. En outre, la part des applications indésirables de la catégorie RiskTool a diminué de 2,55 %.

Top 20 des malwares pour appareils mobiles

Le classement des malwares fourni ci-dessous ne reprend pas les applications potentiellement dangereuses ou indésirables comme RiskTool et Adware.

Au 1er trimestre 2017, le Top 20 compte 14 trojans qui tentent d’obtenir ou d’utiliser les privilèges de super-utilisateur et pour lesquels les publicités constituent la principale source de revenus (ils figurent en bleu dans le tableau). Leur but consiste simplement à envoyer à l’utilisateur le plus de publicités possible grâce à l’installation de nouveaux logiciels publicitaires. Et grâce aux privilèges de super-utilisateur, ils peuvent se « dissimuler » dans le dossier système, ce qui complique considérablement leur suppression.

Nom du malware Pourcentage d’utilisateurs attaqués*
1 DangerousObject.Multi.Generic 70,09%
2 Trojan.AndroidOS.Hiddad.an 9,35%
3 Trojan.AndroidOS.Boogr.gsh 4,51%
4 Backdoor.AndroidOS.Ztorg.c 4,18%
5 Trojan.AndroidOS.Sivu.c 4,00%
6 Backdoor.AndroidOS.Ztorg.a 3,98%
7 Trojan.AndroidOS.Hiddad.v 3,89%
8 Trojan-Dropper.AndroidOS.Hqwar.i 3,83%
9 Trojan.AndroidOS.Hiddad.pac 2,98%
10 Trojan.AndroidOS.Triada.pac 2,90%
11 Trojan.AndroidOS.Iop.c 2,60%
12 Trojan-Banker.AndroidOS.Svpeng.q 2,49%
13 Trojan.AndroidOS.Ztorg.ag 2,34%
14 Trojan.AndroidOS.Ztorg.aa 2,03%
15 Trojan.AndroidOS.Agent.eb 1,81%
16 Trojan.AndroidOS.Agent.bw 1,79%
17 Trojan.AndroidOS.Loki.d 1,76%
18 Trojan.AndroidOS.Ztorg.ak 1,67%
19 Trojan-Downloader.AndroidOS.Agent.bf 1,59%
20 Trojan-Dropper.AndroidOS.Agent.cv 1,54%

** Pourcentage des utilisateurs uniques attaqués par ce malware sur l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab attaqués.

La 1re position de notre Top 20 pour le 1er trimestre revient au verdict DangerousObject.Multi.Generic (70,09 %) que nous attribuons aux malwares détectés à l’aide des technologies Cloud. Celles-ci interviennent lorsque les bases de signatures ne contiennent pas encore les données qui permettent de détecter les malwares et que ces informations relatives à l’objet sont disponibles dans le service cloud de l’éditeur du logiciel antivirus. En général, c’est ainsi que sont détectés les programmes malveillants les plus récents.

La 2e position revient au trojan mobile Trojan.AndroidOS.Hiddad.an (9,35 %) : ce malware se fait passer pour différents jeux ou applications très utilisés. Point intéressant, une fois lancé, il télécharge et installe l’application pour laquelle il se faisait passer. Le trojan sollicite les privilèges d’administrateur de l’appareil, ce qui complique sa suppression. L’objectif principal de Trojan.AndroidOS.Hiddad.an est d’afficher des publicités de manière agressive. La majeure partie de « son public » vit en Russie (86% des utilisateurs attaqués).

Le malwareTrojan.AndroidOS.Boogr.gsh (4,51 %) occupe la 3e position. Ce verdict est attribué aux fichiers que notre système qualifie de malveillant sur la base de l’apprentissage automatique. Bien que ce système soit capable de détecter n’importe quel type de malware, au cours de ce trimestre la catégorie la plus nombreuse aura été celle des trojans publicitaires qui utilisent les privilèges de super-utilisateur.

Trojan-Dropper.AndroidOS.Hqwar.i (3,83 %) occupe la 8e position. Ce verdict est attribué aux trojans protégés par un compacteur/un module de brouillage de code défini. Dans la majorité des cas, ce nom désigne des représentants des familles de trojans bancaires mobiles FakeToken et Svpeng.

La 19e position du classement revient au trojan bancaire mobile Trojan-Banker.AndroidOS.Svpeng.q (2,49 %). Cette famille a été particulièrement active au cours des trois derniers trimestres et elle aura été le trojan bancaire mobile le plus populaire au 1er trimestre 2017.

Trojan.AndroidOS.Agent.bw occupe la 16e place du classement (1,79 %). Il vise principalement les habitants d’Inde (plus de 92 % des utilisateurs attaqués), se fait passer pour des jeux et des applications populaires, à l’instar de Trojan.AndroidOS.Hiddad.an, et une fois lancé sur l’appareil, il télécharge et installe différentes applications depuis le serveur des individus malintentionnés.

Répartition géographique des menaces pour appareils mobiles

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Carte des tentatives d’infection par des malwares pour appareils mobiles au 1er trimestre 2017 (pourcentage des utilisateurs attaqués dans le pays)

Top 10 des pays par part d’utilisateurs attaqués par des malwares pour appareils mobiles :

Pays* Pourcentage des utilisateurs attaqués**
1 Iran 47,35%
2 Bangladesh 36,25%
3 Indonésie 32,97%
4 Chine 32,47%
5 Népal 29,90%
6 Inde 29,09%
7 Algérie 28,64%
8 Philippines 27,98%
9 Nigeria 27,81%
10 Ghana 25,85%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10000)
** Pourcentage des utilisateurs uniques attaqués dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays

Au 1er trimestre 2017, l’Iran occupe la tête du classement des pays comptant le pourcentage le plus élevé d’utilisateurs d’appareils mobiles attaqués (47,35 %) Le Bangladesh est en 2e position : 36,25 % des utilisateurs de ce pays ont été confrontés au moins une fois au cours du trimestre à des malwares mobiles. Viennent ensuite l’Indonésie et la Chine où la part d’utilisateurs attaqués est légèrement supérieure à 32 % dans les deux cas.

La Russie occupe la 40e position (11,6 %) dans ce classement, tandis que la France (8,1 %) est en 57e position, les Etats-Unis (6,9 %) en 69e, l’Italie (7,1 %) en 66e, l’Allemagne en (6,2 %) en 72e et la Grande-Bretagne (5,8 %) en 75e.

Les pays les plus sûrs selon la part des utilisateurs attaqués sont les suivants : Finlande (2,7 %), Géorgie (2,5 %) et Japon (1,5 %).

Dans l’ensemble des pays de ce Top 20, ce sont à peu près les mêmes objets pour appareils mobiles qui sont détectés, à savoir des logiciels publicitaires, principalement des représentants de la famille AdWare.AndroidOS.Ewind ainsi que des trojans publicitaires.

Trojans bancaires pour appareils mobiles

Nous avons détecté au cours de la période couverte par le rapport 32 038 packages d’installation de trojans bancaires pour appareils mobiles, soit 1,1 fois de moins qu’au 4e trimestre 2016.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Nombre de packages d’installation de trojans bancaires pour appareils mobiles découverts par Kaspersky Lab (T2 2016 – T1 2017)

Le trojan bancaire pour appareils mobiles Trojan-Banker.AndroidOS.Svpeng.q occupe la tête du classement pour le 3e trimestre consécutif. L’objectif principal de ce malware, qui vise principalement les utilisateurs russophones, est le vol d’argent. Ainsi, pour obtenir les données de la carte bancaire ou les identifiants pour accéder au service de banque électronique, ce trojan bancaire utilise des fenêtres de phishing. De plus, les individus malintentionnés volent de l’argent via les services SMS, dont la banque mobile. Svpeng est suivi par les trojans bancaires pour appareils mobiles Trojan-Banker.AndroidOS.Faketoken.z et Trojan-Banker.AndroidOS.Asacub.san. Il convient de signaler que la majorité des utilisateurs qui ont été victimes d’attaques de ce trio se trouve en Russie.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Géographie des menaces bancaires pour appareils mobiles au 1er trimestre 2017
(pourcentage des utilisateurs attaqués)

Top 10 des pays par pourcentage des utilisateurs attaqués par des trojans bancaires pour appareils mobiles

Pays* % des utilisateurs attaqués**
1 Russie 1,64%
2 Australie 1,14%
3 Turquie 0,81%
4 Ouzbékistan 0,61%
5 Tadjikistan 0,48%
6 Moldavie, République de 0,43%
7 Ukraine 0,41%
8 Kazakhstan 0,37%
9 Kirghizstan 0,32%
10 Singapour 0,26%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays des utilisateurs uniques attaqués par des Trojans bancaires pour appareils mobiles par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans ce pays

Malgré sa 1ère place dans le classement de ce trimestre, l’activité de la famille Svpeng est en recul par rapport au 3e trimestre 2016 : la part des utilisateurs attaqués par ces malwares en Russie a presqu’été divisée par deux : elle passe de 3,12 à 1,64 %. Mais cela n’a pas empêché la Russie de conserver la tête du Top 20.

La 2eposition revient à l’Australie (1,14 %). La majorité des attaques dans ce pays est imputable à des représentants des familles Trojan-Banker.AndroidOS.Acecard et Trojan-Banker.AndroidOS.Marcher. La Turquie complète le trio de tête avec 0,81 %.

Trojans ransomwares pour appareils mobiles

Au cours du 1er trimestre 2017, nous avons détectés 218 625 packages d’installation de trojans ransomwares pour appareils mobiles, soit 3,5 fois de plus qu’au trimestre précédent.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Nombre de packages d’installation de trojans ransomwares pour appareils mobiles découverts par Kaspersky Lab (T2 2016 – T1 2017)

Au cours du 1er semestre 2016, nous avions observé une augmentation du nombre de paquets d’installation de ransomwares pour appareils mobiles suite à une propagation active de la famille Trojan-Ransom.AndroidOS.Fusob. Au cours du 2e semestre de cette même année, l’activité de cette famille avait reculé, ce qui avait eu un impact sur le nombre de packages d’installation détectés. La hausse a repris au 4e trimestre 2016 et s’est sensiblement accélérée au 1er trimestre 2017. Le coupable de cette situation est la famille Trojan-Ransom.AndroidOS.Congur : plus de 68 % des packages d’installation de ransomwares pour appareils mobiles détectés appartiennent à cette famille. En général, les représentants de la famille Congur ont une fonction très simple : ils modifient le code PIN de l’appareil (ou en définissent un si l’utilisateur ne l’avait pas défini) puis invitent l’utilisateur à contacter les individus malintentionnés via le client de messagerie QQ pour obtenir les instructions de déverrouillage. Signalons qu’il existe des versions de ce trojan qui sont capables d’utiliser les privilèges de super-utilisateur existants pour installer leur module dans le dossier système.

En dépit de cette situation, le trojan ransomware le plus répandu au 1er trimestre aura à nouveau été Trojan-Ransom.AndroidOS.Fusob.h. Plus de 45% des utilisateurs attaqués par des ransomwares pour appareils mobiles ont été confrontés à celui-ci. Une fois exécuté, ce trojan demande les autorisations d’administrateur, récolte des informations sur l’appareil, dont les coordonnées GPS et l’historique des appels, puis charge le tout sur le serveur des individus malintentionnés. Il reçoit ensuite la commande de verrouillage de l’appareil.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Géographie des trojans ransomwares pour appareils mobiles au 1er trimestre 2017
(pourcentage des utilisateurs attaqués)

Top 10 des pays par pourcentage des utilisateurs attaqués par des trojans ransomwares pour appareils mobiles

Pays* % des utilisateurs attaqués**
1 États-Unis 1,23%
2 Ouzbékistan 0,65%
3 Canada 0,56%
4 Kazakhstan 0,54%
5 Italie 0,44%
6 Allemagne 0,37%
7 Corée 0,35%
8 Danemark 0,30%
9 Royaume-Uni 0,29%
10 Espagne 0,28%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays des utilisateurs uniques attaqués par des trojans ransomwares pour appareils mobiles par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans ce pays.

La tête du ТОР 10 revient aux Etats-Unis (1,23%) où la famille la plus active a été Trojan-Ransom.AndroidOS.Svpeng. Ces trojans ransomwares sont apparus en 2014 en tant que modification de la famille de malwares bancaires pour appareils mobiles Trojan-Banker.AndroidOS.Svpeng. Ils exigent normalement une rançon comprise entre 100 et 500 USD pour le déverrouillage de l’appareil.

En Ouzbékistan (0,65%), qui occupe la 2e position, la majeure partie des attaques de ransomwares pour appareils mobiles est imputable à Trojan-Ransom.AndroidOS.Loluz.a. Ce trojan simple bloque le fonctionnement de l’appareil avec sa fenêtre et invite la victime à contacter les individus malintentionnés par téléphone pour récupérer l’accès à son téléphone.

Le Kazakhstan occupe la 4e position (0,54 %). Les trojans ransomwares de la famille Small constituent la plus grande menace pour les utilisateurs dans ce pays. Il s’agit d’un malware assez simple qui superpose sa fenêtre sur toutes les autres fenêtres dans l’appareil mobile, ce qui empêche toute utilisation de ce dernier. En général, les individus malintentionnés exigent le versement d’une rançon d’au moins 10 dollars pour débloquer l’appareil.

Dans le reste des pays du Top 10, c’est la famille Fusob qui a été la plus répandue.

Applications vulnérables utilisées par les individus malintentionnés

Le 1er trimestre 2017 a été marqué par le retour du kit d’exploitation Neutrino qui nous avait quitté au 3e trimestre. Sur les traces de Magnitude, Neutrino adopte un nouveau format de diffusion et abandonne les campagnes massives pour devenir un kit d’exploitation « privé ». Plusieurs petits nouveaux comme Nebula, Terror, etc. ont tenté d’occuper l’espace qui avait été libéré par Neutrino. Mais très vite, les individus malintentionnés ont cessé de les diffuser. A l’heure actuelle, le kit d’exploitation public le plus répandu et le plus avancé demeure RIG et ses modifications.

Les statistiques du 1er trimestre 2017 indiquent un recul de près de 10 % du nombre d’utilisateurs attaqués. Ceci s’explique principalement par la faible activité des kits d’exploitation et par la chute de l’efficacité des failles d’exploitation dans l’ensemble. Adobe Flash est la seule plateforme qui affiche une progression. Bien qu’aucune nouvelle vulnérabilité n’ait été découverte depuis longtemps pour cette plateforme, le nombre d’utilisateurs attaqués a augmenté de 20 %. Le recul le plus marqué, quant à lui, s’observe au niveau des failles d’exploitation pour navigateurs : seuls 44 % des attaques ont visé des navigateurs (contre 54 % au trimestre antérieur).

Les vulnérabilités qui ont été les plus exploitées au 1er trimestre demeurent CVE-2016-0189, CVE-2014-6332 et CVE-2013-2551. Nous ne pouvons pas ignorer les vulnérabilités du moteur Chakra de Microsoft Edge rendues publiques au début de l’année. Outre la description détaillée des vulnérabilités, l’enquête proposait également une preuve de concept prête à l’emploi. Il est probable que celle-ci a été intégrée dès sa publication dans le kit d’exploitation Sundown avant de passer à Neutrino, Kaixin et d’autres. Ceci étant dit, l’exploitation de ces vulnérabilités était loin d’être fiable et les correctifs chargés de les éliminer ont été publiés en novembre, en même temps que la mise à jour MS16-29, ce qui explique pourquoi leur circulation a été modeste et à l’heure actuelle, ils ont presque disparu.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malveillants dans les attaques, T1 2017

Les campagnes qui ont reposé sur la diffusion massive de documents infectés, à l’aide de failles d’exploitation pour Microsoft Office, ont également été très actives au 1er trimestre 2017. Et bien que la part des utilisateurs de la suite Office attaqués n’ait pratiquement pas changé, nous remarquons que les mêmes utilisateurs ont été attaqués à plusieurs reprises : sur l’ensemble du trimestre, un utilisateur attaqué a reçu en moyenne 3 documents malveillants.

La tendance à l’augmentation de la part de l’ingénierie sociale parmi les méthodes employées en vue de livrer la charge utile malveillante sur l’ordinateur de la victime potentielle se maintient. Les campagnes qui reposent sur des messages infectés reposent toujours sur la capacité à convaincre le destinataire qu’il doit réaliser une action quelconque : extraire un fichier d’une archive protégée par un mot de passe, autoriser l’exécution de macros, etc. Cette méthode commence à être utilisée également dans les failles d’exploitation de navigateurs. Par exemple, Magnitude propose aux utilisateurs d’Internet Explorer 11 et de Windows 10 de télécharger un fichier malveillant sous les traits d’une mise à jour de l’antivirus Microsoft Defender. D’autres campagnes de spam reposent sur des imitations de pages de mise à jour de Google Chrome. Nous estimons que cette tendance va se maintenir à court terme car ces campagnes sont plus simples à exécuter et à maintenir et leur niveau de « blindage » augmente peu à peu.

Malwares sur Internet (attaques via des ressources Internet)

Menaces en ligne dans le secteur financier

Les statistiques réelles reposent sur les verdicts détectés par les produits de Kaspersky Lab qui ont été transmis par les utilisateurs des produits de Kaspersky Lab qui avaient accepté de transmettre des statistiques. Depuis le 1er trimestre 2017, les statistiques comptabilisent les malwares pour les distributeurs automatiques de billets (DAB) et les terminaux de point de vente, mais pas les menaces pour les appareils mobiles.

Au 1er trimestre 2017, les solutions de Kaspersky Lab ont déjoué des tentatives d’exécution d’un ou de plusieurs malwares conçus pour voler l’argent via les systèmes de banques électroniques sur les ordinateurs de 288 000 utilisateurs.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Nombre d’utilisateurs attaqués par un malware bancaire entre janvier et mars 2017

Répartition géographique des attaques

Pour évaluer et comparer le risque d’infection par des Trojans bancaires ou des malwares pour DAB/pour terminaux de point de vente auquel sont exposés les ordinateurs d’utilisateurs issus de différents pays, nous avons calculé pour chaque pays le pourcentage des utilisateurs des produits de Kaspersky Lab qui avaient été confrontés à cette menace au cours de la période couverte par le rapport sur l’ensemble des utilisateurs de nos produits dans le pays.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Répartition géographique des malwares bancaires, 1er trimestre 2017
(pourcentage des utilisateurs attaqués)

Top 10 des pays en fonction du pourcentage d’utilisateurs attaqués

Pays* % des utilisateurs attaqués
1 Allemagne 1,70
2 Chine 1,37
3 Libye 1,12
4 Kazhakstan 1,02
5 Palestine 0,92
6 Togo 0,91
7 Tunisie 0,89
8 Arménie 0,89
9 Venezuela 0,88
10 Taiwan 0,87

Ces statistiques reposent sur les verdicts détectés par l’Antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement faible (inférieur à 10 000).

** Pourcentage des utilisateurs uniques de Kaspersky Lab, victimes d’attaques de trojans bancaires et de malwares pour terminaux point de vente/DAB, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab attaqués dans le pays.

Au 1er trimestre, l’Allemagne a pris la tête de notre classement (1,70 %). En 2e position, avec un certain écart, nous retrouvons la Chine (1,37 %) et la Libye complète le trio de tête (1,12 %).

S’agissant des autres pays européens, l’Espagne, par exemple, occupe la 89e position avec 0,24 % et la Grande-Bretagne est en 126e position avec 0,15 %.

Top 10 des familles de malwares bancaires

Top 10 des familles de malwares utilisés dans le cadre d’attaques contre les utilisateurs de services de banque électronique au 1er trimestre 2017 (en part du nombre des utilisateurs attaqués) :

Nom* Pourcentage des utilisateurs attaqués**
1 Trojan-Spy.Win32.Zbot 45,93
2 Trojan.Win32.Nymaim 29,70
3 Trojan.Win32.Neurevt 3,31
4 Trojan-Banker.Win32.Gozi 3,15
5 Trojan-Spy.Win32.SpyEyes 2,71
6 Backdoor.Win32.ZAccess 2,11
7 Backdoor.Win32.Shiz 1,67
8 Trojan.Multi.Capper 1,67
9 Trojan.Win32.Tinba 1,00
10 Trojan.Win32.Shifu 1,00

* Verdicts détectés par les produits de Kaspersky Lab. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.

** Pourcentage d’utilisateurs uniques attaqués par ce malware sur l’ensemble des utilisateurs attaqués par des malwares financiers.

Au 1er trimestre, la tête de notre classement est toujours occupée par le leader de l’année dernière, à savoir Trojan-Spy.Win32.Zbot (45,93 %). Depuis leur divulgation, les codes source de ce malware sont accessibles à toute personne intéressée. C’est la raison pour laquelle les cybercriminels ajoutent régulièrement de nouveaux membres à cette famille, compilés sur la base du code source et affichant des différences minimes par rapport à l’original.

Le trojan Trojan.Win32.Nymaim (29,70 %) occupe la 2e position. Les premières versions des malwares de cette famille étaient des trojans de téléchargement qui téléchargeaient sur l’ordinateur des applications uniques pour chaque pays et dont le rôle était de bloquer le fonctionnement des ordinateurs. Par la suite, nous avons découvert de nouvelles versions de trojans de la famille Trojan.Win32.Nymaim contenant un composant du trojan Gozi que les individus malintentionnés exploitent pour voler les informations de l’utilisateur relatives à l’accès aux comptes en banque. Le trojan Gozi (3,15 %) s’est retrouvé quant à lui en 4e position dans notre classement.

Le malware Trojan.Win32.Neurevt referme le trio de tête (3,31 %). Il s’agit d’un trojan à plusieurs fonctions programmé en langage C++. Le trojan utilise des technologies de rootkit afin de masquer sa présence dans le système, insère son code dans tous les processus exécutés, bloque le fonctionnement de certains logiciels antivirus et il est même capable de surveiller et d’interdire l’installation d’autres trojans répandus.

Ransomwares

Au cours du 1er trimestre 2017, nous avons détecté 11 nouvelles familles de trojans ransomwares et 55 679 nouvelles modifications de malwares de ce type.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Nombre de nouvelles modifications de ransomwares, T2 2016-T1 2017

La majeure partie des modifications a concerné la famille Cerber (Trojan-Ransom.Win32.Zerber). Ce ransomware, dont la détection remonte à un an, poursuit son développement et nous découvrons régulièrement des versions améliorées.

Nombre d’utilisateurs attaqués par des ransomwares

Au 1er trimestre 2017, nous avons enregistré des tentatives d’infection par un ransomware sur les ordinateurs de 240 799 utilisateurs uniques de KSN.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Nombre d’utilisateurs uniques attaqués par des trojans ransomwares, 1er trimestre 2017

Cet indice a pratiquement été divisé par deux par rapport au 4e trimestre 2016, mais cela ne signifie pas que la menace est en voie de disparition. L’explication la plus plausible pour cette différence est liée à la méthodologie et au nombre réel d’incidents ci-dessus : les statistiques tiennent compte uniquement des détections réalisées sur la base de signatures ou à l’aide de l’analyse heuristique alors que la grande majorité des trojans ransomwares est détectée par les applications de Kaspersky Lab à l’aide de méthodes comportementales avec attribution du verdict général Generic qui ne permet pas d’établir la distinction entre les types de malware.

Répartition géographique des attaques

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Géographie des attaques de trojans ransomwares au 1er trimestre 2017
(pourcentage des utilisateurs attaqués)

Top 10 des pays victimes d’attaques de trojans ransomwares

Pays* % d’utilisateurs attaqués
par des ransomwares**
1 Italie 1,87%
2 Brésil 1,07%
3 Japon 0,99%
4 Viet Nam 0,74%
5 Pays-Bas 0,73%
6 Cambodge 0,70%
7 Ouganda 0,66%
8 Philippines 0,65%
9 Venezuela 0,63%
10 Nigeria 0,60%

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement faible (inférieur à 50 000).
**Pourcentage des utilisateurs uniques dont les ordinateurs ont été attaqués par des trojans ransomwares, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

L’Italie, absente du classement au 3e trimestre 2016, occupe la 1re position pour ce trimestre (1,87 %). Le Brésil se retrouve en 2e position (1,07 %) alors qu’il ne figurait pas antérieurement dans le Top 10 des pays en fonction des attaques de ransomwares. Ceci est une conséquence logique de l’augmentation observée du nombre de trojans ransomwares qui visent des victimes brésiliennes. Un des exemples les plus marquants de ce type de malware a été Xpan, au sujet duquel nous avons écrit l’année dernière.

Le Japon (0,99 %), en 1re position au 2e et au 3e trimestre, a reculé de deux positions, mais demeure dans le haut du classement.

Top 10 des familles de ransomwares les plus répandues

Nom Verdicts* Pourcentage des utilisateurs attaqués**
1 Cerber Trojan-Ransom.Win32. Zerber 18,04%
2 Spora Trojan-Ransom.Win32.Spora 7,59%
3 Locky Trojan-Ransom.Win32.Locky 7,35%
4 Sage Trojan-Ransom.Win32.SageCrypt 3,44%
5 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 3,20%
6 Shade Trojan-Ransom.Win32.Shade 2,82%
7 (generic verdict) Trojan-Ransom.Win32.Gen 2,37%
8 Crysis/Dharma Trojan-Ransom.Win32.Crusis 2,30%
9 CryptoWall Trojan-Ransom.Win32.Cryptodef 2,25%
10 (generic verdict) Trojan-Ransom.Win32.Snocry 2,16%

* Ces statistiques reposent sur les verdicts détectés par les produits de Kaspersky Lab. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.
** Pourcentage des utilisateurs uniques de Kaspersky Lab exposés à des attaques d’une famille concrète de trojans ransomwares, sur l’ensemble des utilisateurs exposés à des attaques de trojans ransomwares.

Le trojan Cerber (18,04 %) a été le plus répandu au 1er trimestre 2017 en termes d’utilisateurs attaqués. Il fallait s’y attendre quand on voit le volume imposant de modifications de ce ransomware et sa diffusion massive par les individus malintentionnés.

Le ransomware Spora (7,59 %) occupe la 2e position. Ce nouveau trojan, détecté pour la première fois en janvier 2017, attaquait, à l’aube de sa carrière, des utilisateurs russophones exclusivement, mais quelques semaines après sa détection, il a commencé à se propager au reste du monde et à la fin du 1er trimestre, il a rejoint le trio de tête des ransomwares les plus souvent rencontrés. La 3e position (7,35 %) revient à Locky, apparu il y a environ un an, malgré un ralentissement de son activité ses derniers temps.

Sage (3,44 %) est également un nouveau trojan qui, à l’instar de Spora, est apparu au 1er trimestre 2017 et qui se trouve en 4e position. Le reste du classement est occupé par d’anciennes connaissances des trimestres antérieurs.

Parmi les nouveautés intéressantes du trimestre, notons le ransomware PetrWrap que les individus malintentionnés exploitent dans le cadre d’attaques ciblées contre des entreprises. Les statistiques indiquent que ce type d’attaque est de plus en plus répandu.

Pays, source d’attaques via Internet : Top 10

Les données statistiques illustrent la répartition des sources d’attaque Internet bloquées par les solutions de Kaspersky Lab sur les ordinateurs des utilisateurs (pages Internet avec redirections vers des codes d’exploitation, des sites hébergeant des codes d’exploitation et d’autres malwares, centres de commande de réseaux de zombies, etc.) Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouvent ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au 1er trimestre 2017, les solutions de Kaspersky Lab ont repoussé 479 528 279 attaques organisées depuis des ressources Internet réparties dans 191 pays. Nous avons recensé 79 209 775 adresses Internet uniques bloquées par le module Antivirus Internet.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Répartition par pays des sources d’attaques Internet, 1er trimestre 2017

Les Pays-Bas dominent le classement au niveau des sources d’attaques (38 %). Les Etats-Unis, qui ont occupé la 1re position pendant longtemps, reculent en 2e position (30 %), bien que leur part n’ait pratiquement pas bougé par rapport aux indices de 2016. Loin derrière en 3e position, nous retrouvons l’Allemagne (9 %).

La Russie (4 %) et la France (3 %) occupent respectivement les 4e et 5e positions.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection par des malwares via Internet, nous avons calculé dans chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés à des déclenchements de l’Antivirus Internet au cours de la période couverte par le rapport. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

Rappelons que depuis le trimestre dernier, ce classement tient uniquement compte des attaques d’objets malveillants de la catégorie Malware. Les calculs ne tiennent pas compte des déclenchements de l’Antivirus Internet sur les applications potentiellement dangereuses ou indésirables comme la catégorie RiskTool et les logiciels publicitaires.

Pays* % des utilisateurs
attaqués**
1 Algérie 37,67
2 Biélorussie 33,61
3 Tunisie 32,04
4 Ukraine 31,98
5 Kazakhstan 29,96
6 Azerbaïdjan 29,95
7 Albanie 29,80
8 Bangladesh 29,51
9 Qatar 29,41
10 Arménie 29,02
11 Grèce 28,21
12 Moldavie, République de 27,46
13 Venezuela 27,37
14 Kirghizstan 27,02
15 Viet Nam 26,87
16 Russie 26,67
17 Maroc 25,65
18 Sri Lanka 25,42
19 Brésil 25,10
20 Serbie 24,18

Ces statistiques reposent sur les verdicts détectés par l’Antivirus Internet et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage des utilisateurs uniques exposés à des attaques sur Internet d’objets malveillants de la catégorie Malware, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab dans le pays.

Au cours du trimestre, une moyenne de 20,05% des ordinateurs des Internautes au monde ont été exposés au moins une fois à une attaque Internet d’objets malveillants de la catégorie Malware.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Géographie des attaques Internet de malwares au 1er trimestre 2017 (pourcentage des utilisateurs attaqués)

Le Luxembourg (14,4 %), l’Allemagne (13,9 %), la Norvège (13,83 %), la République d’Afrique du sud (12,5 %), les Etats-Unis (10,56 %), l’Ouganda (10,29 %) et le Japon (9,18 %) figurent parmi les pays où la navigation sur Internet est la plus sûre.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Elles reprennent les objets qui sont parvenus sur un ordinateur via l’infection de fichiers ou de disques amovibles, ou les objets qui sont arrivés sur l’ordinateur de manière dissimulée (par exemple, des programmes au sein de programmes d’installation complexes, des fichiers chiffrés, etc.)

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

174 989 956 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers au 1er trimestre 2017.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour chacun des pays, nous avons calculé le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés au déclenchement de l’Antivirus Fichiers au cours de la période couverte par le rapport. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Ce classement tient uniquement compte des attaques d’objets malveillants de la catégorie Malware. Les calculs ne tiennent pas compte des déclenchements de l’Antivirus Fichiers sur les applications potentiellement dangereuses ou indésirables comme la catégorie RiskTool et les logiciels publicitaires.

Pays* % des utilisateurs attaqués**
1 Yémen 54,84
2 Afghanistan 54,27
3 Ouzbékistan 53,80
4 Tadjikistan 51,32
5 Éthiopie 50,87
6 Djibouti 50,03
7 Algérie 49,38
8 Viet Nam 49,15
9 Turkménistan 48,39
10 Rwanda 47,57
11 Mongolie 47,25
12 Somalie 46,96
13 Syrie 46,96
14 Bangladesh 46,64
15 Irak 46,59
16 Soudan 46,35
17 Népal 46,19
18 Kazakhstan 46,00
19 Laos 45,39
20 Biélorussie 43,45

Ces statistiques reposent sur les verdicts détectés par les modules OAS et ODS de l’antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques. Nous avons également comptabilisé les malwares découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement faible (inférieur à 10 000).
**Pourcentage des utilisateurs uniques sur les ordinateurs desquels des menaces locales de la catégorie Malware ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

En moyenne à travers le monde, des menaces locales de la catégorie Malware ont été enregistrées au moins une fois au cours du 1er trimestre sur 23,63 % des ordinateurs des utilisateurs. L’indice de la Russie dans ce classement était de 30,51 %.

Développement des menaces informatiques au premier trimestre 2017 Statistiques

Pays affichant le taux d’infection le plus faible : Pologne (14,85 %), Singapour (12,21 %), Italie (13,30 %), France (11,15 %), Australie (10,51 %), Grande-Bretagne (9,08 %), Canada (8,66 %), République tchèque (7,83 %), Etats-Unis (7,57 %), Danemark (6,35 %) et Japon (6,18 %).

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *