2016年第1四半期には、227,000個のマルウェアサンプルが毎日特定されました

Panda SecurityのアンチウイルスラボPandaLabsは、2016年の最初の3か月間の主要なサイバーセキュリティイベントの四半期レポートで概要を説明し、指定された期間のマルウェアとサイバー攻撃の統計も表示します。



マルウェアの作成レベルは引き続きすべての記録を破り、第1四半期にPandaLabsが特定した2,000万の新しいサンプル（平均227,000サンプル）に達しました。



より多くの企業が暗号作成者のtrapに陥ります。 このレポートでは、これらのタイプの攻撃（Linux、Mac、さらにはWebページへの攻撃を含む）に関連するすべてのニュースを学びます。 数億ユーロを節約する方法を示し、過去数か月間に発生した病院へのサイバー攻撃も分析します。



重要なインフラストラクチャは、サイバー犯罪者が注目している非常にデリケートな領域です。 ウクライナで最近発生した最大の攻撃の1つ。 冬には、ハッカーは数時間にわたって約20万人の電源をリモートで遮断することができました。



攻撃は、スマートフォンという別の方向に増え続けています。 さらに、モノのインターネットのおかげで、ドアベルなどの攻撃の観点からは異常と思われるオブジェクトを攻撃する方法を学びました。

数字の四分の一

今年は、Panda Securityのウイルス対策ラボであるPandaLabsで検出および無力化された2,000万を超える新しいマルウェアサンプルから始めました（1日平均227,000サンプル）。 これは、毎日約225,000個のサンプルが検出された2015年の第1四半期に検出されたよりもわずかに多くなっています。



すべてのサンプルの中で、トロイの木馬は最も破壊的なタイプのマルウェアであり、過去数年間「リーダー」のままです。 このカテゴリのトロイの木馬にも属する暗号化機能を使用した攻撃の数が大幅に増加していることに注意してください。



以下のデータは、2016年第1四半期に作成されたマルウェアの分布を脅威の種類別に示しています。





トロイの木馬は最も人気のある種類のマルウェアであり、第1四半期に作成されたすべてのサンプルの66.81％を占めており、これは前年よりも多くなっています。 次に、ウイルス（15.98％）、ワーム（11.01％）、不審なプログラム（4.22％）、スパイウェア、アドウェア（1、98％）が続きます。



Collective Intelligenceが提供するデータのおかげで、世界中のマルウェアによって引き起こされた感染を分析できます。 ほとんどの感染はトロイの木馬によっても引き起こされます（65.89％）。 脅威の種類ごとに感染がどのように分布しているか見てみましょう。





ランサムウェアの助けを借りて感染の増加を考慮すると、トロイの木馬が再び第一位を占めています。 サイバー犯罪攻撃を実行するための最も人気のあるツールであり続けます。 ハッカーが簡単かつ安全な方法で同時にお金を稼ぐことを許可します。 潜在的に不要なプログラムは、感染の4分の1で2位であり、スパイウェアとアドウェア（4.01％）、ワーム（3.03％）、ウイルス（1、95％）がはるかに遅れています。 マルウェアの拡散に使用される積極的な手法は、合法的なプログラムが不審なプログラムによって使用されることを意味します。 このアプローチにより、ユーザーのコンピューターで高いインストール率を達成できます。



感染したコンピュータの合計シェアを33.32％と見ると、暗号化プログラムとPUPを使用した攻撃の数が増えているため、昨年よりわずかに高くなっています。 この割合はマルウェアとの「ミーティング」のケースのみを示していることに注意する必要がありますが、これはコンピューターが最終的に感染したことを意味するものではありません。

世界で最も感染した国のリーダーは中国（51、コンピューターの35％）であり、トルコ（48.02％）と台湾（41、24％）がそれに続きます。



感染率が最も高い10か国：





アジアとラテンアメリカは、感染率が最も高い地域です。 感染率が世界平均を上回っているその他の国：ウルグアイ（33.98％）、チリ（33.88％）、コロンビア（33.54％）、スペイン（33.05％）。



感染率の低い国を分析すると、それらのほとんどすべてがヨーロッパにあることがわかります。 いつものように、スカンジナビア諸国は「表彰台」全体を占有しました。スウェーデンは19.80％の指標を持つリーダーであり、ノルウェー（20.23％）とフィンランド（20.45％）に次いでいます。



感染率が最も低い10か国：





感染率は世界平均を下回っているが、上位10位に入らなかった他の国：オーストラリア（26.79％）、フランス（27.20％）、ポルトガル（27.47％）、オーストリア（28.69％ ）、カナダ（30.30％）、アメリカ（30.84％）、ハンガリー（31、32％）、イタリア（32.48％）、ベネズエラ（32.89％）、コスタリカ（33.01％） ）

四半期の様子

過去数か月に発生したすべてのことを調査して、暗号作成者専用の新しいサブセクションを導入することにしました。 はい、私たちはすでにレポートでこれらの攻撃を検討しましたが、 彼らの有病率は増加し続けており（特に企業部門で）、私たちはそれらを別々に分けることにしました。

暗号作成者

このような攻撃の収益性は、さまざまなプラットフォームを攻撃する方法によって推測できます。Windowsでの通常の攻撃に加えて、オペレーティングシステムを「ペンギン」で使用するLinux / Encoderの新しい改良バージョンも見られました。 Appleも後悔していませんでした。KeRangerと呼ばれるランサムウェアがあり、これがAppleユーザーに感染しました。 ただし、これらの攻撃は、コンピューター上のユーザーファイルを暗号化するだけでなく、コンテンツを暗号化してWebサイトを攻撃し始めました。



特に、ハッカーがWordpressを使用して作成したWebサイトにアクセスし、ファイルを暗号化し、index.phpまたはindex.htmlページを変更した場合、身代金の支払いがサイトの復元に必要であるというメッセージを表示しました。 また、ハッカーと直接連絡して支払いを「処理」するチャットも含まれていました。





テクニックは改善されており、暗号化されたドキュメントの代わりに脅威がコンピューターのMBRに直接侵入し、身代金が支払われるまで使用できないままになると、場合によっては攻撃的になりすぎます（Petyaの場合）。



Windows 10にデフォルトでインストールされるPowerShellの悪用（2015年のPandaLabsアニュアルレポートで予測）は、被害者のPCにインストールされているセキュリティソリューションによる検出を回避する必要がある場合に攻撃でますます使用されるようになりました。



企業に対する攻撃はより洗練されています。 最近、企業のサーバーをハッキングした後、暗号化機能の助けを借りて企業ネットワーク内の最大数のPCに感染するためのアクションが実行されるときに攻撃を目撃しました（この方法でより多くのお金を得ることができます）。



ここ数か月で、暗号化エージェントの拡散が増加し、訪問者に感染する「トップ」サイト（The New York Times、BBC、MSN、AOLなど）での攻撃の事例を見ました。



Webサイトはハッキングされていません：表示される広告を使用して攻撃が実行され、サイバー犯罪者によって管理され、特定の種類の攻撃（Anglerなど）でサーバーにアクセスして、すべてのアプリケーションを更新していないユーザーに感染します。



Cloud Security Allianceが実施した調査によると、一部の企業は、データを回復するために最大100万ドルを支払おうとしています。 これは誇張に思えるかもしれませんが、一部の攻撃は企業情報を暗号化するだけでなく、それを自分自身にコピーするため、盗まれた情報の公開を防ぐためにバックアップ会社でも支払いを余儀なくされます。



1月、インドのEconomic Timesは、3つの大手銀行と1つの製薬会社が暗号攻撃の被害者であると報告しました。





攻撃は、さまざまな企業のITマネージャーのハッキングから始まり、その後、PCおよびその他の従業員が感染し、身代金は感染したPCごとに1ビットコインに達しました。 総買い戻し額は数百万ドルに達しました。

そのような攻撃に故意に苦しんでいるビジネス部門の1つは病院です。 過去数ヶ月にわたって、それらに対する攻撃が多岐にわたって増加しています。 以下に、最も衝撃的なケースを示します。



ロサンゼルス（米国）のハリウッド長老派医療センターは、「緊急事態」を宣言し、従業員にメール、患者の医療記録、およびその他のシステムへのアクセスを許可しませんでした。 その結果、治療を受けなかった患者もいれば、他の病院に送られた患者もいました。



要求された身代金は370万ドルでした。 病院長はハッカーに同意し、ハッキングされたファイルを復元するために17,000ドルを支払いました。 MedStar Healthは、同様の攻撃により、ボルチモア（米国）の病院でシステムの一部をシャットダウンすることを余儀なくされました。



ヘンダーソンのメソジスト病院（米国ケンタッキー州）も被害者でした。 そしてこの場合、彼らは17,000ドルを支払った（ただし、一部の情報筋は身代金はこの金額よりもはるかに高いと述べた）。



Prime Healthcare Management、Inc. また、サイバー犯罪者の犠牲になりました。 彼らは2つの病院（チノバレー医療センターとデザートバレー病院）に襲われました。 しかし、この場合、会社は身代金を支払わなかった。



しかし、米国の病院だけが影響を受けたわけではありません。 ヨーロッパでは、同様のケースが観察されています。 Deutsche Welleは、いくつかのドイツの病院が暗号学者（たとえば、ノイスのルーカス病院やノルトラインヴェストファーレン州のクリニクムアルンズバーグ）に攻撃されたと報告しました。 それらのどれも身代金を支払わなかった。

サイバー犯罪

Neiman Marcusは、約5,200のクライアントアカウントがハッキングされたと報告しています。 どうやら、会社は個人情報の盗難に苦しむことはなかったが、ハッカーは他の会社から盗まれたアカウントを使用して、このオンラインストアでどれが機能するかを確認した。 これは、2段階認証の重要性を思い起こさせます。



Rosen Hotel＆Resortのホテルチェーンは、2014年9月から2016年2月までの攻撃の犠牲者でした。





チリのハクティビストグループは、先住民族の開発のための政府所有機関であるCONADIデータベースから304,189件のエントリを盗みました。 ハッカーは、セキュリティの弱点を明らかにし、チリ大統領の辞任を要求するメッセージとともにデータベースを公開しました。



アメリカのベライゾンサービスは攻撃の犠牲になりました。 150万人の顧客に属するデータが盗まれました。 事件を発見したブライアンクレブスによると、サイバー犯罪者は盗んだ情報を約100,000ドルで販売しました（彼らはまた、それを断片的に10,000ドルで販売しました）。



OS Xの新しい脆弱性は、ハッカーにフルアクセスを与える可能性があります。 この脆弱性は、「El Capitan」で最初に導入されたシステム整合性保護（SIP）を見落とす可能性があります。



フィッシングについて話すとき、私たちは通常、銀行からのメッセージに似た典型的な手紙を思い浮かべ、登録データを受信させようとします。 ただし、バービーとホットホイールのメーカーであるマテルに影響を与えた攻撃など、より複雑で野心的な攻撃があります。





Executive Directorは、新たに任命されたCEOから、中国の口座に300万ドルを振り込むように依頼するメッセージを受け取りました 。 マテルは支払いを行った後（CEOが申請書を送らなかったので驚いた）、米国当局と彼女の銀行に連絡しましたが、遅すぎました。 お金は既に送金されています。



しかし、彼らは幸運でした 中国では公式の祝日があったため、中国当局に警告するのに十分な時間がありました。 彼らは口座を凍結し、マテルはお金を取り戻すことができました。



このタイプの攻撃は非常に人気があります。 ハッカーは会社の長になりすまし、「彼らの」従業員に送金を求めます。 彼らがソーシャルネットワーク上で公開した情報は、詐欺に使用され、より信頼できるものになります。



米国フロリダ州にある癌治療を専門とする21世紀オンコロジーホールディングスクリニックは、3月に220万人の患者とスタッフに個人データが盗まれる可能性があると警告しました。





攻撃は2015年10月に発生しましたが、FBIは調査が進行するまでこの情報を開示しないよう要求しました。 ハッカーは個人データ（名前、社会保障番号、診断、治療、健康保険データ、銀行カード情報など）を盗むことができました。



地元の法執行機関を装って100ユーロの罰金を要求した、現代のランサムウェアの前身である有名な「ポリスウイルス」を多くの人が覚えています。 これらのサイバーギャングの1人がスペインの警察に逮捕され、第1四半期にメンバーが有罪判決を受けました。 ギャングは12人で構成されていました。 ギャングのリーダーであるアレクサンダー・クラスノクツキーは6年の刑を宣告され、彼の副ドミトロ・コバルチュクは3年、兄弟のセルゲイとイヴァン・バルコフはそれぞれ2年の刑を受けました。 残りのギャングのメンバーは6ヶ月の刑務所に収容されました。



新しい犠牲者に感染するためのブラウザプラグインの中でFlashがナンバーワンの場合（より多くの穴とより多くの攻撃）、次にJavaが2位になります。 しかし、これに関しては良いニュースがあります。Java開発者のOracleが製品の閉鎖を発表しました。



プラグインの新しい最新バージョンは、今年9月に公開されます。 主要なブラウザメーカーは、さまざまな問題（主にセキュリティ関連）により、これらのプラグインのサポートを停止しています。 すでにそれらの使用を中止する予定の人もいます。



FBIは、1,500人の児童ポルノの人身売買業者を特定することができました。



昨年、彼らは2014年8月に公開されたシャドウインターネットのサイトであるPlaypenのサーバーを押収し、ユーザーがこのテーマの画像をアップロードおよびダウンロードできるようにしました。 このサイトは225,000人の登録ユーザーに成長しました。 2週間の間、FBIは、とりわけ、独自のサーバーとツールを使用して、サイト訪問者のIPアドレスを確立しようとしました。



通常のサイトで訪問者のIPアドレスを設定するのが非常に簡単な場合、シャドウインターネットではこのタスクははるかに複雑です。 実際、Playpenの訪問者は、シャドウインターネットの一部のブラウザーの脆弱性でハッキングされています。 このサイトにアクセスしたコンピューターにアクセスすると、ユーティリティは必要な情報（IPアドレス、MACアドレス、オペレーティングシステムのバージョン、ユーザー名など）を収集しました。



法執行機関によるハッキングといえば、ドイツの内務省は、容疑者のコンピューターやスマートフォンへのアクセスにトロイの木馬の使用を許可しました。 このトロイの木馬は警察自身によって開発され、これらのデバイスの通信にアクセスできるようにしました。

モバイルの脅威

電話の脆弱性について説明します。 さまざまな角度からこれらのデバイスに影響を及ぼす脆弱性を観察しました：メーカーによってインストールされたソフトウェア、デバイスプロセッサ、オペレーティングシステム...



SNAPはLG G3電話の脆弱性の名前です。 この問題は、あらゆる種類のJavaScriptの実行を許可するLG Smart Notice通知アプリケーションのエラーが原因で発生します。



この脆弱性を発見したBugSecの研究者は、この問題をLGに報告しました。LGは、この問題を修正するためのアップデートをすぐにリリースしました。



比phorは、NorthBitによって割り当てられた脆弱性の名前です。 この脆弱性により、悪意のあるメディアファイルを含むWebサイトにアクセスした後、わずか10秒でAndroid端末をハッキングできます。



多くの技術者がSnapdragonという名前を知っています。Snapdragonは、おそらく10億以上のデバイス（ほとんどがモバイル）で使用される最も有名なQualcommプロセッサです。 トレンドマイクロの同僚は、これらのプロセッサに2つの脆弱性を発見しました。これらの脆弱性により、ハッカーはデバイスへのルートアクセスを取得できます。 Googleはこの問題に対応した更新プログラムをリリースしました。



過去3か月間、Appleが主役でした。 最初に、FBIが国家安全保障に関してiPhoneデバイスにアクセスするための秘密の入り口を提供するよう会社に求めた後、会社のCEO Tim Cookからの公開書簡がユーザーのプライバシーについて投稿されました。 しかし実際には、FBIがテロリストの1人に属するiPhoneを押収し、メッセージへのアクセスを望んだときに、すべてがサンバーナーディーノでのテロ攻撃から始まりました。 多くのテクノロジー企業がクックのメールをサポートしています（Facebook、Google、Microsoft、Twitter、LinkedInなど）。 最終的に、FBIはサードパーティの専門家の助けを借りてなんとか端末をクラックしました。

モノのインターネット

以前のレポートで見たように、モノのインターネットは攻撃の被害者になる可能性が高いです。 一部のメーカーはこの問題を認識しています。 ゼネラルモーターズは、マシンの脆弱性を発見できるハッカー向けの新しい報酬プログラムを導入しました。 これはテクノロジー企業（Microsoft、Google、Facebookなどが数年間同様のプログラムを行ってきました）の間ではごく普通の慣行ですが、自動車メーカーなどの従来の企業では新しいことです。 ゼネラルモーターズがこのイニシアチブをとったことは素晴らしいことです。



日本の自動車メーカーである日産は、日産リーフ電気自動車の所有者が暖房および空調システムを制御できるようにするアプリケーションを無効にしました。





オーストラリアの研究者は、VIN番号を使用するだけで、日産リーフでこれらのパラメーターを制御できることを発見しました。



徐々に、新しい「スマート」デバイスを自宅に導入します。 リングには、カメラ、モーションセンサー、内蔵Wi-Fi接続を備えたドアベルが付いています。 これらのデバイスの1つを調査しているPen Test Partners Companyは、デバイスのセットアップボタンにアクセスすることで、接続先のWi-Fiネットワークの登録データを取得できることを発見しました。 製造業者は、この問題を修正する新しいファームウェアをリリースすることでこれに迅速に対応しました。

サイバー戦争

産業用制御システム監視制御およびデータ収集（ICS / SCADA）のロシアの研究者は、メーカーにより効果的なセキュリティ制御の実装を強制するために同じデフォルトパスワードが付属する産業用機器のリストを公開しました。 リストはすでに「SCADAPass」と呼ばれており、アレン・ブラドリー、シュナイダーエレクトリック、シーメンスなどのメーカーの100以上の製品のデフォルトの登録詳細が含まれています。



これらの製品は、主に重要なインフラストラクチャで使用されます。 2015年の終わりに、ウクライナで電力インフラに対するサイバー攻撃が行われました。 このサイバー攻撃の結果、ウクライナの一部地域の約225,000人の住民が電気のないままになりました（冬の真ん中に！）。 この攻撃は、「サンドワーム」として知られるロシアのサイバー犯罪者グループに関連していました。



米国国防総省は、「ペンタゴンのハック」と呼ばれる特別な報酬プログラムを開始しました。 ハッカーには、ペンタゴンに関連するWebアプリケーションおよびネットワークの脆弱性を発見したことに対する報酬が提供されます。





ISISなどのテロリストグループを含め、誰もが情報窃盗の被害者になる可能性があります。 脱走者は、22,000人のISISメンバーに関するデータで「フラッシュドライブ」を入手しました（ISISに参加する前に、候補者はこのすべての情報をアンケートに記入する必要があります）。



ラテンアメリカのハッカーの3つのグループは、ボリビアの軍隊に属するサーバーに侵入し、その後メールをダウンロードして公開しました。 彼らは、VMWare Zimbraサービスの古いセキュリティホールを使用して簡単に情報にアクセスすることができました。これは、軍のセキュリティサービスによって閉じられていませんでした。

3月、韓国のintelligence報機関は、同国の40人の警備員の携帯電話が危険にさらされた攻撃の犠牲者であることを認め、北朝鮮を攻撃の非難した。 数日後、北朝鮮政府はこの攻撃への関与を発表しました。

おわりに

ご覧のとおり、この年はかなり集中的に始まりました。 私たちは暗号学者と長期にわたって一緒に暮らさなければならないので、暗号学者の開発を注意深く監視します。 さらに、モノのインターネットとこれらのデバイスを取り巻く多くのセキュリティ問題に非常に注意する必要があります。