Développement des menaces informatiques au 2e trimestre 2017 Statistiques

Contenu

Chiffres du trimestre

D’après les données du KSN, les solutions de Kaspersky Lab ont déjoué 342 566 061 attaques organisées depuis diverses ressources Internet réparties entre 191 pays.

Le nombre d’adresses Internet uniques ayant provoqué un déclenchement de l’antivirus Internet s’élève à 33 006 783.

Des tentatives d’exécution de malwares conçus pour voler de l’argent via les systèmes de banque électronique ont été déjouées sur les ordinateurs de 224 675 utilisateurs.

Des attaques de ransomwares ont été déjouées sur les ordinateurs de 246 675 utilisateurs uniques.

Notre Antivirus fichiers a recensé 185 801 835 objets malveillants ou potentiellement indésirables uniques.

Les solutions de Kaspersky Lab pour la protection des appareils mobiles ont détecté les éléments suivants :

  • 1 319 148 paquets d’installation malveillants ;
  • 28 976 paquets d’installation de trojans bancaires pour appareils mobiles ;
  • 200 054 paquets d’installation de trojans ransomwares.

Menaces sur les appareils mobiles

Particularités du trimestre

Spam via SMS

Au trimestre précédent, nous avions évoqué l’activation du trojan bancaire pour appareils mobiles Trojan-Banker.AndroidOS.Asacub. Les individus malintentionnés l’avaient activement propagé dans le cadre de campagnes de spam via SMS. À la fin du 2e trimestre, nous avons identifié une campagne de diffusion de ce malware bien plus ambitieuse : le nombre d’utilisateurs attaqués en juin a triplé par rapport à avril et s’il faut en croire les résultats de la 1re semaine du mois de juillet, cette hausse va se maintenir.

Nombre d’utilisateurs uniques attaqués par Trojan-Banker.AndroidOS.Asacub, 2e trimestre 2017

Mises à jour de Ztorg

Un autre sujet intéressant que nous avions évoqué dans le rapport du 1er trimestre est toujours d’actualité : des individus malintentionnés ont continué à diffuser via Google Play de nouvelles applications contenant le module malveillant Ztorg. Il faut toutefois noter qu’au cours du trimestre, nous avons enregistré des cas de publications de modules malveillants complémentaires Ztorg et non pas seulement de modules principaux. Nous avons également détecté un trojan capable d’installer et d’acheter des applications dans Google Play. De plus, nous avons découvert Trojan-SMS.AndroidOS.Ztorg.a qui est capable d’envoyer des messages SMS payant.

Il convient de signaler qu’aucun de ces deux malwares ne tentait d’exploiter des vulnérabilités du système pour obtenir les autorisations de superutilisateur, à la différence du module principale de Ztrog. Pour rappel, Trojan.AndroidOS.Ztorg tente d’obtenir les autorisations root afin de pouvoir afficher des publicités et installer discrètement de nouvelles applications, parmi lesquelles nous retrouvons les modules complémentaires décrits ci-dessus.

Nouveau trojan Dvmap

En avril, nous avons découvert un autre malware root qui se propage via le magasin d’applications Google Play : Trojan.AndroidOS.Dvmap.a. Ce trojan pour le moins inhabituel se caractérise principalement par la modification des bibliothèques système. Le malware exploite les vulnérabilités du système afin d’obtenir les autorisations de superutilisateur, puis il écrit son code dans la bibliothèque système.

Abonnements WAP

Au cours du 2e trimestre 2017, l’activité de trojans qui volent l’argent des utilisateurs via des abonnements payants (nous évoquions ce genre d’attaque il y a deux ans déjà) s’est intensifiée. Pour rappel, les services d’abonnements payants désignent des sites spéciaux qui permettent de payer des services à l’aide des fonds disponibles sur le compte de téléphonie mobile de l’utilisateur. Avant de bénéficier du service, le client est redirigé vers le site de l’opérateur de téléphonie mobile où il doit confirmer son action. La confirmation du paiement peut s’opérer à l’aide d’un message SMS. Les trojans ont appris à contourner toutes ces restrictions. Ils peuvent “approuver” des formulaires de confirmation à l’insu de l’utilisateur grâce à des fichiers JS spéciaux. De plus, ces trojans peuvent dissimuler les messages envoyés par l’opérateur de téléphonie mobile.

Nous avons remarqué que dans certains cas après l’infection, le trojan Ztorg peut installer des modules complémentaires dotés de cette fonction. La famille de trojans Trojan-Clicker.AndroidOS.Xafekopy est capable d’attaquer des services similaires en Inde et en Russie à l’aide de fichiers JS qui ressemblent à ceux que Ztrog utilise.

Deux des malwares de notre Top 20 des trojans les plus répandus pour ce trimestre attaquent également les abonnements WAP. Il s’agit de Trojan-Clicker.AndroidOS.Autosus.a et de Trojan-Dropper.AndroidOS.Agent.hb. De plus, les trojans les plus répandus détectés au cours de ce trimestre par notre système, qui repose sur l’apprentissage automatique, sont également des malwares qui utilisent les abonnements mobiles.

Statistiques des menaces pour appareils mobiles

Au 2e trimestre 2017, Kaspersky Lab a détecté 1 319 148 paquets d’installation malveillants. Cet indice n’a pratiquement pas changé par rapport aux deux trimestres précédents.

Quantité de paquets d’installation malveillants détectés (T3 2016-T2 2017)

Répartition des malwares pour appareils mobiles détectés par type

Répartition des nouveaux malwares mobiles détectés par type, (T1 et T2 2017)

Sur l’ensemble des applications mobiles détectées, c’est la part d’Adwares qui a connu la plus forte croissance, soit 5,99 points de pourcentage pour atteindre 13,31 %. La majeure partie des paquets d’installation détectés sont identifiés comme AdWare.AndroidOS.Ewind.iz et AdWare.AndroidOS.Agent.n.

Les malwares de la catégorie Trojan-SMS occupe la 2e position en terme de taux de croissance : leur part a augmenté de 2,15 points de pourcentage pour atteindre 6,83 %. La majorité des paquets d’installation détectés est liée à Trojan-SMS.AndroidOS.Opfake.bo et Trojan-SMS.AndroidOS.FakeInst.a : leur nombre a plus que triplé par rapport au trimestre précédent.

La baisse la plus forte est à mettre au compte de Trojan-Spy qui atteint 3,88 %. Pour rappel, ce type avait affiché un des taux de croissance les plus élevés au trimestre précédent grâce à une augmentation du nombre de malwares des famille Trojan-Spy.AndroidOS.SmForw et Trojan-Spy.AndroidOS.SmsThief.

La part de Trojan-Ransom, qui avait affiché la croissance la plus forte au trimestre précédent, a reculé de 1,33 points de pourcentage pour atteindre 15,09 %.

Top 20 des malwares pour appareils mobiles

Le classement des malwares fourni ci-dessous ne reprend pas les applications potentiellement dangereuses ou indésirables comme RiskTool et Adware.

1 DangerousObject.Multi.Generic 62,27%
2 Trojan.AndroidOS.Boogr.gsh 15,46%
3 Trojan.AndroidOS.Hiddad.an 4,20%
4 Trojan-Dropper.AndroidOS.Hqwar.i 3,59%
5 Backdoor.AndroidOS.Ztorg.c 3,41%
6 Trojan-Dropper.AndroidOS.Agent.hb 3,16%
7 Backdoor.AndroidOS.Ztorg.a 3,09%
8 Trojan.AndroidOS.Sivu.c 2,78%
9 Trojan-Dropper.AndroidOS.Lezok.b 2,30%
10 Trojan.AndroidOS.Ztorg.ag 2,09%
11 Trojan-Clicker.AndroidOS.Autosus.a 2,08%
12 Trojan.AndroidOS.Hiddad.pac 2,08%
13 Trojan.AndroidOS.Ztorg.aa 1,74%
14 Trojan.AndroidOS.Agent.bw 1,67%
15 Trojan.AndroidOS.Agent.gp 1,54%
16 Trojan.AndroidOS.Hiddad.ao 1,51%
17 Trojan-Banker.AndroidOS.Svpeng.q 1,49%
18 Trojan.AndroidOS.Agent.ou 1,39%
19 Trojan.AndroidOS.Loki.d 1,38%
20 Trojan.AndroidOS.Agent.eb 1,32%

* Pourcentage des utilisateurs uniques attaqués par ce malware sur l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab attaqués.

La 1re position de notre Top 20 pour le 2e trimestre revient au verdict DangerousObject.Multi.Generic (62,27%) que nous attribuons aux malwares détectés à l’aide des technologies dans le cloud. Celles-ci interviennent lorsque les bases de signatures ne contiennent pas encore les données qui permettent de détecter les malwares et que les informations relatives à l’objet sont disponibles dans le service cloud de l’éditeur du logiciel antivirus. En général, c’est ainsi que sont détectés les malwares les plus récents.

Le malware Trojan.AndroidOS.Boogr.gsh (15,46 %) occupe la 2e position. Ce verdict est attribué aux fichiers que notre système qualifie de malveillants sur la base de l’apprentissage automatique. La part de ce verdict a pratiquement triplé par rapport au trimestre précédent, ce qui lui a permis de progresser de la 3e à la 2e position. Au 2e trimestre, ce système a détecté le plus souvent des trojans qui abonnaient les utilisateurs à des services payants ainsi que des trojans publicitaires qui exploitent les autorisations de superutilisateur.

Le trojan pour appareil mobile Trojan.AndroidOS.Hiddad.an (4,20 %) occupe la 3e position. Ce malware se fait passer pour un jeu ou une application très répandu. Un point intéressant à noter est qu’une fois exécuté, il télécharge l’application pour laquelle il s’était fait passer et lors de l’installation, il sollicite les autorisations d’administrateur de l’appareil afin de pouvoir résister à sa suppression. L’objectif principal de Trojan.AndroidOS.Hiddad.an est d’afficher des publicités de manière agressive. La majeure partie de son “public” vit en Russie. Au trimestre précédent, ce trojan occupait la 2e position de notre classement.

Trojan-Dropper.AndroidOS.Hqwar.i (3,59 %) passe de la 8e à la 4e position. Ce verdict est attribué aux trojans protégés par un compacteur/un module de brouillage de code défini. Dans la majorité des cas, ce nom désigne des représentants des familles de trojans bancaires mobiles FakeToken et Svpeng.

La 5e position revient au trojan Backdoor.AndroidOS.Ztorg.c. Il s’agit d’un des trojans publicitaires les plus actifs parmi ceux qui exploitent les autorisations de superutilisateur. Au total pour le 2e trimestre 2017, le Top 20 accueille onze trojans (en bleu dans le tableau) qui tentent d’obtenir ou d’utiliser les autorisations root et pour lesquels la publicité constitue la principale source de revenus. Leur but consiste simplement à envoyer à l’utilisateur le plus de publicités possible grâce à l’installation masquée de nouveaux logiciels publicitaires. Et grâce aux privilèges de superutilisateur, ils peuvent se “dissimuler” dans le dossier système, ce qui complique considérablement leur suppression. Il faut signaler que nous observons ces derniers temps une réduction du nombre de ces malwares dans le Top 20 (à titre de comparaison, le Top 20 comptait 14 trojans de ce genre au trimestre précédent).

La 6e position revient à Trojan-Dropper.AndroidOS.Agent.hb (3,16 %). Il s’agit d’un trojan modulaire complexe dont la partie malveillante principale doit être téléchargée depuis le serveur des individus malintentionnés. On peut supposer que ce trojan cherche à gagner de l’argent par le biais d’abonnements payants.

Trojan-Clicker.AndroidOS.Autosus.a (2,08 %), dont la fonction principale consiste à activer des abonnements payants, occupe la 11e position. Pour ce faire, il a appris à “cliquer” sur les boutons dans les catalogues en ligne d’abonnements et à masquer les messages SMS entrants qui contiennent les informations relatives à ces abonnements.

Trojan.AndroidOS.Agent.bw occupe la 14e position dans le classement (1,67 %). A l’instar de Trojan.AndroidOS.Hiddad.an, ce trojan qui vise principalement les habitants du sous-continent indien tente de se faire passer pour des applications ou des jeux légitimes. Mais en réalité, il télécharge et installe les applications les plus diverses depuis le serveur des individus malintentionnés.

La 15e position revient à Trojan.AndroidOS.Agent.gp (1,54 %), qui vole l’argent des utilisateurs en réalisant des appels payants. Grâce aux autorisations d’administrateur qu’il obtient, il peut résister aux tentatives de suppression sur l’appareil infecté.

La 17e position du classement revient au trojan bancaire mobile Trojan-Banker.AndroidOS.Svpeng.q (1,49 %). Cette famille a été particulièrement active l’année dernière et il s’agit du trojan bancaire mobile le plus populaire au 2e trimestre 2017.

Répartition géographique des menaces pour appareils mobiles

Carte des tentatives d’infection par des malwares pour appareils mobiles au 2e trimestre 2017 (pourcentage des utilisateurs attaqués dans le pays)

Top 10 des pays par part d’utilisateurs attaqués par des malwares pour appareils mobiles :

Pays* % des utilisateurs
attaqués**
1 Iran 44,78%
2 Chine 31,49%
3 Bangladesh 27,10%
4 Indonésie 26,12%
5 Algérie 25,22%
6 Nigeria 24,81%
7 Inde 24,53%
8 Côte d’ivoire 24,31%
9 Ghana 23,20%
10 Kenya 22,85%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10000).
** Pourcentage des utilisateurs uniques attaqués dans le pays par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans le pays

Au 2e trimestre 2017, l’Iran occupe à nouveau la tête du classement des pays comptant le pourcentage le plus élevé d’utilisateurs d’appareils mobiles attaqués (44,78 %) La Chine progresse jusqu’en 2e position (31,49 %), suivie par le Bangladesh (27,10 %).

La Russie (12,10 %) arrive cette fois-ci en 26e position (elle occupait la 40e position au trimestre précédent). La France occupe la 58e position (6,04 %), les Etats-Unis (4,5 %) sont en 71e position, l’Italie (5,7 %) en 62e, l’Allemagne (4,8 %) en 67e et la Grande-Bretagne (4,3 %) en 73e.

Les pays les plus sûrs selon la part des utilisateurs attaqués sont les suivants : le Danemark (2,7 %), la Finlande (2,6 %) et le Japon (1,3 %).

Trojans bancaires pour appareils mobiles

Nous avons détecté au cours de la période couverte par le rapport 28 976 paquets d’installation de trojans bancaires pour appareils mobiles, soit 1,1 fois de moins qu’au 1er trimestre 2017.

Nombre de paquets d’installation de trojans bancaires pour appareils mobiles découverts par Kaspersky Lab (T3 2016 – T2 2017)

Tout au long de l’année dernière, le trojan bancaire pour appareils mobiles Trojan-Banker.AndroidOS.Svpeng.q a été le plus répandu. L’objectif principal de ce malware, qui vise principalement les utilisateurs russophones, est le vol d’argent. Ainsi, pour obtenir les données de la carte bancaire ou les identifiants pour accéder au service de banque électronique, ce trojan bancaire utilise des fenêtres de phishing. De plus, il vole de l’argent via les services SMS, dont la banque mobile.

Svpeng est suivi par les trojans bancaires pour appareils mobiles Trojan-Banker.AndroidOS.Hqwar.jck et Trojan-Banker.AndroidOS.Asacub.af. Il convient de signaler que la majorité des utilisateurs qui ont été victimes d’attaques de ce trio se trouve en Russie.

Géographie des menaces bancaires pour appareils mobiles au 2e trimestre 2017
(nombre d’utilisateurs attaqués)

Top 10 des pays selon les parts des utilisateurs attaqués par des trojans bancaires pour appareils mobiles

Pays* % des utilisateurs
attaqués**
1 Russie 1,63%
2 Australie 0,81%
3 Turquie 0,81%
4 Tadjikistan 0,44%
5 Ouzbékistan 0,44%
6 Ukraine 0,41%
7 Lettonie 0,38%
8 Kirghizistan 0,34%
9 Moldavie, République de 0,34%
10 Kazakhstan 0,32%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000).
** Pourcentage dans le pays des utilisateurs uniques attaqués par des Trojans bancaires pour appareils mobiles par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans ce pays

Il n’y a pas eu de grands bouleversements dans le classement du 2e trimestre 2017 par rapport au trimestre précédent : la Russie domine une fois de plus le Top 10 (1,63 %). L’Australie occupe la 2e position (0,81 %) ; la majorité des attaques dans ce pays peut être attribuée aux représentants de la famille Trojan-Banker.AndroidOS.Acecard et Trojan-Banker.AndroidOS.Marcher. La Turquie complète le trio de tête avec 0,81 %.

Trojans ransomwares pour appareils mobiles

Au cours du 2e trimestre 2017, nous avons détecté 200 054 paquets d’installation de trojans ransomwares pour appareils mobiles, soit un peu moins qu’au trimestre précédent, mais beaucoup plus qu’au 4e trimestre 2016.

Nombre de paquets d’installation de trojans ransomwares pour appareils mobiles découverts par Kaspersky Lab (T3 2016 – T2 2017)

Globalement, sur l’ensemble du 1er semestre 2017, nous avons identifié beaucoup plus de nouveaux paquets d’installation de trojans ransomwares pour appareils mobiles qu’au cours de n’importe quelle autre période. La famille Trojan-Ransom.AndroidOS.Congur est à l’origine de cette croissance. En général, les représentants de cette famille ont une fonction très simple : ils modifient le code PIN de l’appareil (ou en définissent un si l’utilisateur ne l’avait pas défini) puis invitent l’utilisateur à contacter les individus malintentionnés via le client de messagerie QQ pour obtenir les instructions de déverrouillage. Signalons qu’il existe des versions de ce trojan qui sont capables d’utiliser les privilèges de superutilisateur existants pour installer leur module dans le dossier système.

Le ransomware le plus répandu est à nouveau Trojan-Ransom.AndroidOS.Fusob.h. Il a touché plus de 20 % des utilisateurs attaqués par des ransomwares pour appareils mobiles, soit deux fois moins qu’au trimestre précédent. Une fois exécuté, ce trojan demande les autorisations d’administrateur, récolte des informations sur l’appareil, dont les coordonnées GPS et l’historique des appels, puis charge le tout sur le serveur des individus malintentionnés. Il reçoit ensuite la commande de verrouillage de l’appareil.

Géographie des trojans ransomwares pour appareils mobiles au 2e trimestre 2017
(pourcentage des utilisateurs attaqués)

Top 10 des pays selon les parts des utilisateurs attaqués par des trojans ransomwares pour appareils mobiles

Pays* % des utilisateurs
attaqués**
1 États-Unis 1,24%
2 Chine 0,88%
3 Italie 0,57%
4 Belgique 0,54%
5 Canada 0,41%
6 Kazakhstan 0,41%
7 Irlande 0,37%
8 Allemagne 0,34%
9 Norvège 0,31%
10 Suède 0,29%

* Nous avons exclu du classement les pays où le nombre d’utilisateurs du logiciel antivirus pour appareils mobiles de Kaspersky Lab est relativement faible (inférieur à 10 000)
** Pourcentage dans le pays des utilisateurs uniques attaqués par des trojans ransomwares pour appareils mobiles par rapport à l’ensemble des utilisateurs de l’antivirus pour appareils mobiles de Kaspersky Lab dans ce pays.

La tête du TOP 10 revient aux Etats-Unis (1,24 %) où la famille la plus active a été Trojan-Ransom.AndroidOS.Svpeng. Ces ransomwares sont apparus en 2014 en tant que modification de la famille de malwares bancaires pour appareils mobiles Trojan-Banker.AndroidOS.Svpeng. Ils exigent normalement une rançon d’environ 500 USD pour le déverrouillage de l’appareil.

La Chine occupe la 2e position pour ce trimestre (0,88 %). La majorité des attaques de ransomwares pour appareils mobiles contre les habitants de ce pays est imputable à la famille Trojan-Ransom.AndroidOS.Congur.

La 3e position revient à l’Italie (0,57 %) où le trojan le plus actif aura été Trojan-Ransom.AndroidOS.Egat.d. Ce trojan est répandu principalement en Europe. Il exige une rançon allant de 100 à 200 USD pour déverrouiller l’appareil.

Applications vulnérables utilisées par les individus malintentionnés

Le 2e trimestre 2017 a été particulièrement chaud en matière de vulnérabilités dans la nature. L’apparition simultanée de plusieurs vulnérabilités 0jour pour Microsoft Office a chamboulé le paysage des codes d’exploitation utilisés.

La vulnérabilité logique CVE-2017-0199 qui se manifeste lors du traitement des objets HTA et qui permet à un individu malintentionné doté d’un fichier spécialement configuré d’exécuter un code arbitraire sur un ordinateur distant a été découverte au début du mois d’avril. Et bien que le correctif qui permet d’éliminer cette vulnérabilité a été publié le 11 avril, le nombre d’utilisateurs de la suite Microsoft attaqués a presque triplé pour atteindre 1,5 millions. Cette vulnérabilité en particulier a été exploitée dans 71 % des attaques menées contre des utilisateurs de Microsoft Office et des campagnes de spam ont servi à diffuser des documents contenant des codes d’exploitation de CVE-2017-0199.

Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malintentionnés dans les attaques, T1 2017

Plusieurs raisons permettent d’expliquer cette situation : la simplicité et la fiabilité de l’exploitation sur toutes les versions de MS Office et Windows ainsi que l’apparition rapide de créateurs de documents contenant le code d’exploitation CVE-2017-0199 en libre accès ont considérablement abaissé le seuil d’accès pour l’exploitation de cette vulnérabilité. A titre de comparaison, deux autres vulnérabilités de type 0jour pour MS Office liées à une corruption de la mémoire en raison d’un traitement incorrect de fichiers au format EPS (CVE-2017-0261 et CVE-2017-0262) n’ont été impliquées que dans 5 % des attaques.

C’est le groupe de pirates Shadow Brokers qui a créé la sensation au 2e trimestre en publiant une archive qui contenait des utilitaires et des codes d’exploitation prétendument développés par les services secrets américains. L’archive Lost In Translation contenait un nombre important de codes d’exploitation réseau pour différentes versions de Windows. Et bien que la majorité des vulnérabilités indiquées n’était pas des vulnérabilités de type 0jour et qu’elles avaient été éliminées par la mise à jour MS17-010 diffusée un mois avant la fuite, cette publication a eu des conséquences effroyables. Le montant des dommages provoqués par les vers, les trojans et les ransomwares propagés sur Internet à l’aide d’EternalBlue et d’EternalRomance, ainsi que le nombre d’utilisateurs infectés, reste inconnu. Rien qu’au cours du 2e trimestre 2017, Kaspersky Lab a bloqué plus de cinq millions de tentatives d’attaques organisées à l’aide de codes d’exploitation réseau tirés de cette archive. Qui plus est, le nombre moyen d’attaques par jour a progressivement augmenté : 82 % de l’ensemble des attaques ont été détectés au cours des 30 derniers jours.

Statistiques du module IDS avec utilisation des codes d’exploitation de ShadowBrokers pour le mois dernier. Le pic visible à la fin du mois correspond à l’arrivée du ransomware ExPetr qui se propageait notamment via les codes d’exploitation modifiés EternalBlue et EternalRomance :

Malwares sur Internet (attaques via des ressources Internet)

Menaces en ligne dans le secteur financier

Les statistiques actuelles reposent sur les verdicts détectés par les produits de Kaspersky Lab qui ont été transmis par les utilisateurs qui avaient accepté de transmettre des statistiques. Depuis le 1er trimestre 2017, les statistiques comptabilisent les malwares pour les distributeurs automatiques de billets (DAB) et les terminaux de point de vente, mais pas les menaces pour les appareils mobiles.

Au 2e trimestre 2017, les solutions de Kaspersky Lab ont déjoué des tentatives d’exécution d’un ou de plusieurs malwares conçus pour voler de l’argent via les systèmes de banques électroniques sur les ordinateurs de 224 000 utilisateurs.

Nombre d’utilisateurs attaqués par un malware bancaire entre avril et juin 2017

Répartition géographique des attaques

Pour évaluer et comparer le risque d’infection par des Trojans bancaires ou des malwares pour DAB/pour terminaux de point de vente auquel sont exposés les ordinateurs d’utilisateurs issus de différents pays, nous avons calculé pour chaque pays le pourcentage des utilisateurs des produits de Kaspersky Lab qui avaient été confrontés à cette menace au cours de la période couverte par le rapport sur l’ensemble des utilisateurs de nos produits dans le pays.

Géographie des attaques de malwares bancaires au 2e trimestre 2017
(pourcentage des utilisateurs attaqués)

Top 10 des pays en fonction du pourcentage d’utilisateurs attaqués

Pays* % des utilisateurs attaqués**
Allemagne 2,61
Togo 2,14
Libye 1,77
Palestine 1,53
Liban 1,44
Venezuela 1,39
Tunisie 1,35
Serbie 1,28
Bahreïn 1,26
Taiwan, province de la Chine 1,23

Ces statistiques reposent sur les verdicts détectés par l’Antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.
* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement faible (inférieur à 10 000).
** Pourcentage des utilisateurs uniques de Kaspersky Lab, victimes d’attaques de trojans bancaires et de malwares pour terminaux point de vente/DAB, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab attaqués dans le pays.

Au 1er trimestre, l’Allemagne a pris la tête de notre classement (2,61 %). En 2e position, avec un certain écart, nous retrouvons la République du Togo (2,14 %) tandis que la Libye referme le trio de tête (1,77 %).

Top 10 des familles de malwares bancaires

Top 10 des familles de malwares utilisés dans le cadre d’attaques contre les utilisateurs de services de banque électronique au 1er trimestre 2017 (en part du nombre des utilisateurs attaqués) :

Nom* % des utilisateurs attaqués**
Trojan-Spy.Win32.Zbot 32,58
Trojan.Win32.Nymaim 26,02
Trojan-Banker.Win32.Emotet 7,05
Trojan.Win32.Neurevt 6,08
Trojan-Spy.Win32.SpyEyes 6,01
Worm.Win32.Cridex 4,09
Trojan-Banker.Win32.Gozi 2,66
Backdoor.Win32.Shiz 2,19
Trojan.Multi.Capper 1,9
Trojan.Win32.Tinba 1,9

* Verdicts détectés par les produits de Kaspersky Lab. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.
** Pourcentage d’utilisateurs uniques attaqués par ce malware sur l’ensemble des utilisateurs attaqués par des malwares financiers.

Au 2e trimestre, le leader de notre classement demeure Trojan-Spy.Win32.Zbot (32,58 %). Depuis leur divulgation, les codes source de ce malware sont accessibles à toute personne intéressée. C’est la raison pour laquelle les cybercriminels ajoutent régulièrement de nouveaux membres à cette famille, compilés sur la base du code source et affichant des différences minimes par rapport à l’original.

Le trojan Trojan.Win32.Nymaim (26,02 %) occupe la 2e position. Les premières versions des malwares de cette famille étaient des trojans de téléchargement qui téléchargeaient sur l’ordinateur des applications uniques pour chaque pays et dont le rôle était de bloquer le fonctionnement des ordinateurs. Par la suite, nous avons découvert de nouvelles versions de trojans de la famille Trojan.Win32.Nymaim contenant un composant du trojan Gozi que les individus malintentionnés exploitent pour voler les informations de l’utilisateur relatives à l’accès aux comptes en banque. Le trojan Gozi (2,66%) s’est retrouvé quant à lui en 7e position dans notre classement.

Ransomwares

L’épidémie d’infections sans précédent du ransomware Wannacry 2.0, propagé via un ver qui exploitait une vulnérabilité dans plusieurs versions du système d’exploitation Windows a débuté au mois de mai 2017.

A peine cette épidémie s’était-elle calmée qu’ une autre attaque de grande ampleur impliquant le trojan ExPetr s’est déclenchée en juin 2017. Alors que Wannacry 2.0 n’affichait pas de préférences géographiques précises et attaquait tous les pays, ExPetr se concentrait principalement sur l’Ukraine. Les experts de Kaspersky Lab ont pu déterminer que ExPetr chiffre la table de fichiers principale (secteur système du système de fichiers NTFS) de manière irréversible, ce qui empêche de rétablir complètement l’ordinateur, même en cas de paiement de la rançon aux individus malintentionnés.

Outre les épidémies de grande envergure qui ont fait trembler le monde au 2e trimestre, il y a eu une autre tendance remarquable : plusieurs groupes criminels, à l’origine de plusieurs trojans ransomwares, ont mis un terme à leur activité et ont divulgué les clés privées indispensables au déchiffrement des fichiers des victimes. Voici la liste des familles dont les clés ont été divulguées au cours de la période étudiée :

  • Crysis (Trojan-Ransom.Win32.Crusis) ;
  • AES-NI (Trojan-Ransom.Win32.AecHu) ;
  • xdata (Trojan-Ransom.Win32.AecHu) ;
  • Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr).

Nombre de nouvelles modifications

Nous avons découvert au 2e trimestre 15 nouvelles familles de ransomwares. Le nombre de nouvelles modifications s’élève à 15 663, ce qui est sensiblement inférieur aux nombres de modifications qui étaient apparues au 1er trimestre. De plus, alors que la majorité des nouvelles modifications du 1er trimestre était des exemples du ransomware Cerber, ce verdict est passé en arrière-plan au 2e trimestre et a cédé la place au nouveau ransomware Wannacry, à l’origine d’une épidémie mondiale.

Nombre de nouvelles modifications de ransomwares, T2 2016-T2 2017

Nous observons un recul marqué du nombre de nouvelles instances du trojan Cerber. Cela pourrait signaler la fin prochaine du développement et de la diffusion de cette famille de malwares. L’avenir nous le dira. Le nombre global de modifications de ransomwares chute également au 2e trimestre.

Nombre d’utilisateurs attaqués par des ransomwares

Sur l’ensemble du 2e trimestre 2017, les ransomwares ont attaqué les ordinateurs de 246 675 utilisateurs uniques de KSN, soit un chiffre assez proche des résultats du trimestre précédent. Malgré la chute du nombre de nouvelles modifications, le nombre d’utilisateurs protégés a augmenté.

Nombre d’utilisateurs uniques attaqués par des trojans ransomwares, 2e trimestre 2017

Répartition géographique des attaques

Top 10 des pays victimes d’attaques de trojans ransomwares

Pays* % des utilisateurs
attaqués**
1 Brésil 1,07%
2 Italie 1,06%
3 Japon 0,96%
4 Viet Nam 0,92%
5 Corée du Sud 0,78%
6 Chine 0,75%
7 Cambodge 0,75%
8 Taiwan, province de la Chine 0,73%
9 Hong Kong 0,66%
10 Russie 0,65%

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement faible (inférieur à 50 000).
**Pourcentage des utilisateurs uniques dont les ordinateurs ont été attaqués par des trojans ransomwares, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Top 10 des familles de ransomwares les plus répandues

Nom Verdicts* % des utilisateurs attaqués**
1 Wannacry Trojan-Ransom.Win32.Wanna 16,90%
2 Locky Trojan-Ransom.Win32.Locky 14,91%
3 Cerber Trojan-Ransom.Win32.Zerber 13,54%
4 Jaff Trojan-Ransom.Win32.Jaff 11,00%
5 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 3,54%
6 Spora Trojan-Ransom.Win32.Spora 3,08%
7 ExPetr Trojan-Ransom.Win32.ExPetr 2,90%
8 Shade Trojan-Ransom.Win32.Shade 2,44%
9 Purgen/GlobeImposter Trojan-Ransom.Win32.Purgen 1,85%
10 (generic verdict) Trojan-Ransom.Win32.CryFile 1,67%

* Ces statistiques reposent sur les verdicts détectés par les produits de Kaspersky Lab. Les informations ont été fournies par les utilisateurs des produits de Kaspersky Lab qui ont accepté de transférer des statistiques.
** Pourcentage des utilisateurs uniques de Kaspersky Lab exposés à des attaques d’une famille concrète de trojans ransomwares, sur l’ensemble des utilisateurs exposés à des attaques de trojans ransomwares.

Outre Wannacry et ExPetr que nous avons déjà cités, le Top 10 des ransomwares les plus répandus compte deux nouveautés : Jaff et Purgen. Le ransomware Jaff occupe la 4e position, loin devant Cryrar. Suite à une analyse en profondeur de ce trojan, les experts de Kaspersky Lab ont découvert une erreur dans la mise en œuvre des algorithmes de chiffrement, ce qui a permis la création d’un utilitaire de déchiffrement des fichiers.

Les autres positions du classement sont réparties entre Cerber, Locky, Spora et Shade que nous connaissons déjà.

Pays, source d’attaques via Internet : Top 10

Les données statistiques illustrent la répartition par pays des sources d’attaque Internet bloquées par les solutions de Kaspersky Lab sur les ordinateurs des utilisateurs (pages Internet avec redirections vers des codes d’exploitation, des sites hébergeant des codes d’exploitation et d’autres malwares, centres de commande de réseaux de zombies, etc.) Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au 2e trimestre 2017, les solutions de Kaspersky Lab ont repoussé 342 566 061 attaques organisées depuis des ressources Internet réparties dans 191 pays. Le nombre d’adresses Internet uniques ayant provoqué un déclenchement de l’Antivirus Internet recensées s’élève à 33 006 783.

Répartition par pays des sources d’attaques Internet, 1er trimestre 2017

Au cours de ce trimestre, la majorité des déclenchements de l’Antivirus Internet a été provoquée par des ressources établies aux Etats-Unis. Les ressources malveillantes françaises ont été plus plébiscitées que les russes et les allemandes.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection de malwares via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé dans chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés à des déclenchements de l’Anti-Virus Internet au cours de la période couverte par le rapport. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

Classement tient uniquement compte des attaques d’objets malveillants de la catégorie Malware. Les calculs ne tiennent pas compte des déclenchements de l’Antivirus Internet sur les applications potentiellement dangereuses ou indésirables comme la catégorie RiskTool et les logiciels publicitaires.

Pays* % des utilisateurs
attaqués**
1 Algérie 29,15
2 Albanie 26,57
3 Biélorussie 25,62
4 Qatar 24,54
5 Ukraine 24,28
6 Inde 23,71
7 Roumanie 22,86
8 Azerbaïdjan 22,81
9 Tunisie 22,75
10 Grèce 22,38
11 Brésil 22,05
12 Moldavie, République de 21,90
13 Russie 21,86
14 Viet Nam 21,67
15 Arménie 21,58
16 Taiwan, province de la Chine 20,67
17 Maroc 20,34
18 Kazakhstan 20,33
19 Kirghizstan 19,99
20 Géorgie 19,92

Ces statistiques reposent sur les verdicts détectés par l’Antivirus Internet et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques.
* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage des utilisateurs uniques exposés à des attaques sur Internet d’objets malveillants de la catégorie Malware, sur l’ensemble des utilisateurs uniques des produits de Kaspersky Lab dans le pays.

Au cours du trimestre, 17,26 % des ordinateurs des Internautes au monde en moyenne ont été exposés au moins une fois à une attaque Internet d’objets malveillants de la catégorie Malware.

Géographie des attaques Internet de malwares au 2e trimestre 2017 (pourcentage des utilisateurs attaqués)

Cuba (5 %), la Finlande (11;32 %), Singapour (11,49 %), Israël (13,81 %) et le Japon (7,56 %) figurent parmi les pays où la navigation sur Internet est la plus sûre.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Elles reprennent les objets qui sont parvenus sur un ordinateur via l’infection de fichiers ou de disques amovibles, ou les objets qui sont arrivés sur l’ordinateur de manière dissimulée (par exemple, des programmes au sein de programmes d’installation complexes, des fichiers chiffrés, etc.)

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

Au cours du 1er trimestre 2017, notre Antivirus fichiers a recensé 185 801 835 objets malveillants ou potentiellement indésirables.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour chacun des pays, nous avons calculé le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés au déclenchement de l’Antivirus fichiers au cours de la période couverte par le rapport. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Signalons qu’à partir de ce trimestre, ce classement tient uniquement compte des attaques d’objets malveillants de la catégorie Malware. Les calculs ne tiennent pas compte des déclenchements de l’Antivirus fichiers sur les applications potentiellement dangereuses ou indésirables comme la catégorie RiskTool et les logiciels publicitaires.

Le classement des pays n’a pratiquement pas changé par rapport au trimestre précédent. Signalons toutefois que le Kazakhstan et la Biélorussie ont été remplacés par le Mozambique et la Mauritanie :

Pays* % des utilisateurs
attaqués**
1 Afghanistan 52,08
2 Ouzbékistan 51,15
3 Yémen 50,86
4 Tadjikistan 50,66
5 Algérie 47,19
6 Éthiopie 47,12
7 Laos 46,39
8 Viet Nam 45,98
9 Turkménistan 45,23
10 Mongolie 44,88
11 Syrie 44,69
12 Djibouti 44,26
13 Irak 43,83
14 Rwanda 43,59
15 Soudan 43,44
16 Népal 43,39
17 Somalie 42,90
18 Mozambique 42,88
19 Bangladesh 42,38
20 Mauritanie 42,05

Ces statistiques reposent sur les verdicts détectés par les modules OAS et ODS de l’antivirus et transmis par les utilisateurs des produits de Kaspersky Lab qui ont accepté de partager les données statistiques. Nous avons également comptabilisé les malwares découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.
* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est relativement faible (inférieur à 10 000).
**Pourcentage des utilisateurs uniques sur les ordinateurs desquels des menaces locales de la catégorie Malware ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

En moyenne à travers le monde, des menaces locales de la catégorie Malware ont été enregistrées au moins une fois au cours du 2e trimestre sur 20,97 % des ordinateurs des utilisateurs. L’indice de la Russie dans ce classement était de 25,82%.

Pays affichant le taux d’infection le plus faible : le Chili (15,06 %), la Lettonie (14,03 %), le Portugal (12,27 %), l’Australie (9,46 %), la Grande-Bretagne (8,59 %), l’Irlande (6,30 %) et Porto-Rico (6,15 %).

Posts similaires

Leave a Reply

Your email address will not be published. Required fields are marked *