IT威胁演化:2024年第三季度非移动统计数据
29 Nov 2024 | 9分钟阅读
本报告中的统计数据基于卡巴斯基产品和服务从同意提供统计数据的用户处收到的检测结果。
季度数据概览
在2024年第三季度:
- 卡巴斯基解决方案成功拦截了来自各类在线资源的超过6.52亿次网络攻击。
- 网页反病毒检测到1.09亿个唯一链接。
- 文件反病毒拦截了超过2300万个恶意和潜在不需要的对象。
- 超过90,000名用户遭遇了勒索软件攻击。
- 发布在勒索软件团伙数据泄露站点上的所有受害者中,近18%曾遭受RansomHub攻击。
- 超过297,000名用户遭遇了挖矿程序攻击。
勒索软件分析
季度趋势与亮点
执法进展
- 8月,西班牙逮捕了一名于2021年创立“Ransom Cartel”并发动恶意广告活动的网络罪犯。据英国国家犯罪局称,此人也是2012-2014年间传播臭名昭著的Reveton勒索软件木马的幕后黑手。
- 另外两名早前被捕、涉嫌传播LockBit的犯罪嫌疑人已认罪。其中一人在2020-2023年间是活跃的网络勒索者,攻击了多个国家的组织,造成总损失至少190万美元。
漏洞利用攻击
- 勒索软件团伙继续利用软件漏洞,主要用于渗透网络和提升权限。
- 9月,Akira勒索软件通过利用SonicWall设备(运行SonicOS)中的CVE-2024-40766漏洞发起攻击。
- Akira和Black Basta通过利用VMware ESXi虚拟机管理程序中的CVE-2024-37085漏洞发起勒索软件攻击。
高影响事件
- 运营名为“Dunghill Leak”数据泄露站点的Dark Angels团伙,索取了可能是有史以来最高的赎金:7500万美元。此前已知的最高赎金是2021年Phoenix勒索软件运营商从CNA Financial获得的4000万美元。
最活跃的团伙
根据攻击者在报告期内添加到其数据泄露站点的受害者数量统计,第三季度最活跃的勒索软件团伙是RansomHub,占所有公布受害者的17.75%。
新变种数量
2024年第三季度,我们检测到3个新的勒索软件家族和2109个新变种,数量约为上一报告期的一半。
受勒索软件木马攻击的用户数量
尽管新变种减少,但遭遇勒索软件的用户数量较第二季度有所增加。2024年7月至9月,卡巴斯基安全解决方案成功保护了90,423名独立用户免受勒索软件攻击。
受攻击用户的地理分布
TOP 10 受勒索软件木马攻击的国家/地区
| 排名 | 国家/地区* | 百分比** |
|---|---|---|
| 1 | 以色列 | 1.08% |
| 2 | 中国 | 0.95% |
| 3 | 利比亚 | 0.68% |
| 4 | 韩国 | 0.66% |
| 5 | 孟加拉国 | 0.50% |
| 6 | 巴基斯坦 | 0.48% |
| 7 | 安哥拉 | 0.46% |
| 8 | 塔吉克斯坦 | 0.41% |
| 9 | 卢旺达 | 0.40% |
| 10 | 莫桑比克 | 0.38% |
*剔除了卡巴斯基用户相对较少(少于50,000)的国家和地区。 ** 受勒索软件木马攻击的独立用户数占该国/地区卡巴斯基产品所有独立用户的百分比。
TOP 10 最常见的勒索软件木马家族
| 名称 | 检测名 | 占被攻击用户百分比* |
|---|---|---|
| 1 | (通用检测) | Trojan-Ransom.Win32.Gen |
| 2 | WannaCry | Trojan-Ransom.Win32.Wanna |
| 3 | (通用检测) | Trojan-Ransom.Win32.Encoder |
| 4 | (通用检测) | Trojan-Ransom.Win32.Crypren |
| 5 | (通用检测) | Trojan-Ransom.Win32.Agent |
| 6 | (通用检测) | Trojan-Ransom.MSIL.Agent |
| 7 | LockBit | Trojan-Ransom.Win32.Lockbit |
| 8 | (通用检测) | Trojan-Ransom.Win32.Phny |
| 9 | PolyRansom/VirLock | Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom |
| 10 | (通用检测) | Trojan-Ransom.Win32.Crypmod |
- 遭受该勒索软件木马家族攻击的卡巴斯基唯一用户数占所有被勒索软件木马攻击用户的百分比。
挖矿程序分析
新变种数量
2024年第三季度,卡巴斯基解决方案检测到15,472个新的挖矿程序变种,数量比第二季度减少一半。
受攻击用户
第三季度,与挖矿程序相关的攻击下降了12%。卡巴斯基解决方案在全球检测到该类型恶意软件感染了297,485台独立用户设备。
挖矿程序攻击的地理分布
TOP 10 受挖矿程序攻击的国家/地区
| 排名 | 国家/地区* | 百分比** |
|---|---|---|
| 1 | 委内瑞拉 | 1.73% |
| 2 | 塔吉克斯坦 | 1.63% |
| 3 | 哈萨克斯坦 | 1.34% |
| 4 | 埃塞俄比亚 | 1.30% |
| 5 | 乌兹别克斯坦 | 1.20% |
| 6 | 白俄罗斯 | 1.20% |
| 7 | 吉尔吉斯斯坦 | 1.16% |
| 8 | 巴拿马 | 1.10% |
| 9 | 玻利维亚 | 0.92% |
| 10 | 斯里兰卡 | 0.87% |
*剔除了卡巴斯基用户相对较少(少于50,000)的国家和地区。 ** 受挖矿程序攻击的独立用户数占该国/地区卡巴斯基产品所有独立用户的百分比。
macOS 攻击态势
密码窃取程序是第三季度与macOS用户攻击相关的最值得关注的发现。安全研究人员发现了两个新的基于订阅的窃取程序:Banshee Stealer和Ctulhu Stealer,它们通过Telegram频道和暗网论坛分发。此外,独立安全研究人员发布了对另一种信息窃取程序BeaverTail新版本的分析。该恶意软件还具有在被感染系统上安装后门的能力。
除了新的窃取程序,第三季度还发现了一个新的macOS后门。HZ Rat是同名Windows后门的macOS兼容版本,针对中国即时通讯服务微信和钉钉的用户。
TOP 20 macOS威胁
广告软件和其他潜在不需要的应用程序照常是macOS最普遍的威胁。例如,AdWare.OSX.Angent.ap (9%)会在用户不知情的情况下将广告链接添加为浏览器书签。
此外,各种恶意应用程序也在最活跃的威胁之列。其中包括MalChat (5.08%),一个窃取用户数据的修改版Telegram客户端,以及Amos,一种常与破解软件捆绑分发的窃取程序。
macOS威胁的地理分布
TOP 10 受攻击用户占比最高的国家和地区
| 排名 | 国家/地区 | Q2 2024* | Q3 2024* |
|---|---|---|---|
| 1 | 中国大陆 | 0.47% | 1.47% |
| 2 | 香港 | 0.97% | 1.36% |
| 3 | 西班牙 | 1.14% | 1.21% |
| 4 | 法国 | 0.93% | 1.16% |
| 5 | 德国 | 0.59% | 0.95% |
| 6 | 墨西哥 | 1.09% | 0.75% |
| 7 | 巴西 | 0.57% | 0.61% |
| 8 | 印度 | 0.70% | 0.46% |
| 9 | 俄罗斯 | 0.33% | 0.37% |
| 10 | 日本 | 0.22% | 0.36% |
- 遭遇macOS威胁的独立用户数占该国/地区卡巴斯基产品所有独立用户的百分比。
中国大陆(1.47%)和香港(1.36%)遭遇macOS威胁的用户比例有明显上升。西班牙(1.21%)、法国(1.16%)、德国(0.95%)、巴西(0.61%)、俄罗斯(0.37%)和日本(0.36%)的该指标也有所上升。相反,印度(0.46%)和墨西哥(0.75%)均略有下降。英国和意大利均跌出最易受攻击国家前十名。
IoT威胁统计
2024年第三季度,针对卡巴斯基蜜罐的设备按协议的分布仅发生了微小变化。继上一季度下降后,Telnet攻击略有回升,而基于SSH的攻击则有所减少。
在分析不同协议的攻击分布时,我们观察到Telnet的份额略有增加,占所有攻击的98.69%。
TOP 10 下载到IoT设备的威胁
IoT蜜罐遭受的攻击
源自中国大陆(22.72%)、美国(11.31%)、新加坡(5.97%)和韩国(4.28%)的SSH攻击百分比略有下降。释放出的百分比分配给了其他国家和地区。
Telnet攻击源自印度(32.17%)的百分比有所增加,超过了其他国家和地区。
基于网络资源的攻击
本节统计数据基于网页反病毒提供的数据,该组件在从恶意或受感染的网页下载恶意对象时保护用户。网络罪犯会故意设置恶意页面。用户生成内容平台(如论坛)以及受感染的合法网站都容易感染恶意软件。
作为基于网络攻击来源的TOP 10国家
2024年第三季度,卡巴斯基解决方案拦截了全球范围内在线资源发起的652,004,741次攻击。共有109,240,722个唯一URL触发了网页反病毒检测。
用户面临最高在线感染风险的国家和地区
为了评估不同国家和地区用户面临的在线恶意软件感染风险,我们计算了每个国家/地区中,在季度内其计算机上触发网页反病毒的卡巴斯基用户的百分比。
这些排名仅包括属于恶意软件类别的恶意对象的攻击。我们的计算不包括网页反病毒对潜在危险或不需要的应用程序(如RiskTool或广告软件)的检测。
| 排名 | 国家/地区* | 百分比** |
|---|---|---|
| 1 | 卡塔尔 | 11.95% |
| 2 | 秘鲁 | 11.86% |
| 3 | 摩洛哥 | 11.56% |
| 4 | 阿尔及利亚 | 11.52% |
| 5 | 突尼斯 | 11.24% |
| 6 | 希腊 | 11.11% |
| 7 | 厄瓜多尔 | 10.95% |
| 8 | 玻利维亚 | 10.90% |
| 9 | 塞尔维亚 | 10.82% |
| 10 | 巴林 | 10.75% |
*剔除了卡巴斯基用户相对较少(少于10,000)的国家和地区。 ** 遭受恶意软件类别网络攻击的独立用户占该国/地区卡巴斯基产品所有独立用户的百分比。
本季度全球平均有**7.46%**的互联网用户计算机至少遭受了一次恶意软件类别的网络攻击。
本地威胁
用户计算机本地感染的统计数据是一个重要指标。本地检测到的对象是指那些通过文件或可移动媒体感染渗透计算机,或最初以非明显形式引入计算机的对象,例如包含在复杂安装程序、加密文件等中的程序。
本节数据基于分析由卡巴斯基产品用户在文件创建或访问时对硬盘驱动器文件进行反病毒扫描以及扫描可移动存储介质的结果统计。数据包括OAS(访问时扫描)和ODS(按需扫描)模块的检测结果。
2024年第三季度,卡巴斯基文件反病毒检测到23,196,497个恶意和潜在不需要的对象。
用户面临最高本地感染风险的国家和地区
对于每个国家和地区,我们计算了在报告期内其计算机上触发文件反病毒的卡巴斯基用户的百分比。这些统计数据反映了全球不同国家和地区个人计算机的感染水平。
这些排名仅包括属于恶意软件类别的恶意对象的攻击。我们的计算不包括文件反病毒对潜在危险或不需要的应用程序(如RiskTool或广告软件)的检测。
| 排名 | 国家/地区* | 百分比** |
|---|---|---|
| 1 | 土库曼斯坦 | 46.00% |
| 2 | 阿富汗 | 38.98% |
| 3 | 也门 | 38.43% |
| 4 | 塔吉克斯坦 | 34.56% |
| 5 | 古巴 | 33.55% |
| 6 | 叙利亚 | 32.56% |
| 7 | 乌兹别克斯坦 | 30.45% |
| 8 | 尼日尔 | 27.80% |
| 9 | 布基纳法索 | 27.55% |
| 10 | 布隆迪 | 27.27% |
*剔除了卡巴斯基用户相对较少(少于10,000)的国家和地区。 ** 计算机上被拦截恶意软件类别本地威胁的独立用户占该国/地区卡巴斯基产品所有独立用户的百分比。
总体而言,在第三季度,全球**13.53%**的用户计算机至少面临一次恶意软件类别的本地威胁。