Развитие информационных угроз в первом квартале 2025 года. Статистика по ПК

Развитие информационных угроз в первом квартале 2025 года. Статистика по ПК
Развитие информационных угроз в первом квартале 2025 года. Мобильная статистика

Статистика в этом отчете основана на детектирующих вердиктах продуктов «Лаборатории Касперского», если не указано иное. Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

В первом квартале 2025 года:

• решения «Лаборатории Касперского» отразили более 629 миллионов атак с различных интернет-ресурсов;
• веб-антивирус среагировал на 88 миллионов уникальных ссылок;
• файловый антивирус заблокировал более 21 миллиона вредоносных и потенциально нежелательных объектов;
• было обнаружено почти 12 тысяч новых модификаций шифровальщиков;
• более 85 тысяч пользователей столкнулись с атаками шифровальщиков;
• 11% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (data leak site) группировок, пострадали от RansomHub; чуть меньше 11% столкнулись с шифровальщиками Akira и Clop;
• почти 315 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Успехи правоохранителей

В результате международной операции Phobos Aetor по борьбе с киберпреступностью, в которой участвовали правоохранительные органы из нескольких стран, включая США, Великобританию, Германию, Францию и другие, были арестованы четверо подозреваемых в участии в группировке 8Base. Они обвиняются в совершении более 1000 кибератак по всему миру с применением шифровальщика Phobos. Подозреваемые были арестованы в Таиланде и обвиняются в вымогательстве более 16 миллионов долларов в биткоинах. По заявлению правоохранительных органов, в ходе операции было конфисковано более 40 активов, включая компьютеры, телефоны и криптовалютные кошельки. Также были отключены 27 серверов, связанных с группировкой.

В рамках продолжающейся борьбы с группировкой LockBit подозреваемый в разработке этого шифровальщика был экстрадирован в США. Он был арестован в Израиле в прошлом августе. Подозреваемый обвиняется в получении более 230 000 долларов в виде криптовалюты за работу в группировке с июня 2022 до февраля 2024 года.

Уязвимости и атаки, BYOVD и обход EDR

В первом квартале были обнаружены уязвимости CVE-2025-0288, CVE-2025-0287, CVE-2025-0286, CVE-2025-0285 и CVE-2025-0289 в программе Paragon Partition Manager. По словам исследователей, вымогательские группировки эксплуатировали эти уязвимости для получения привилегий SYSTEM в Windows в ходе атак с применением техники BYOVD (bring your own vulnerable driver).

Группировка Akira использовала уязвимость в веб-камере, чтобы обойти систему обнаружения и реагирования на угрозы (EDR) и зашифровать файлы в сети организации по протоколу SMB. В ходе атаки злоумышленники столкнулись с тем, что защитное решение детектировало и блокировало их шифровальщик для Windows. Чтобы его обойти, они нашли в атакуемой организации уязвимую сетевую веб-камеру, работавшую под управлением ОС на основе Linux и не защищенную EDR. Атакующие скомпрометировали веб-камеру, смонтировали сетевые диски других машин и запустили на камере Linux-версию своего шифровальщика, в результате чего им удалось обойти детектирование.

Группировка HellCat атаковала несколько компаний, включая Ascom, Jaguar Land Rover и Affinitiv, используя скомпрометированные учетные данные для доступа к системе Jira. По заявлению исследователей, злоумышленники получают учетные данные, заражая системы сотрудников различных компаний троянцами для кражи данных (например, стилером Lumma).

Другие события

Неизвестный источник опубликовал внутренние чат-логи группировки Black Basta из мессенджера Matrix. Логи содержат информацию о методах атаки и уязвимостях, которые группировка использовала для совершения кибератак. Помимо этого, в них есть информация о внутренней структуре группировки и ее участниках, а также данные о более чем 367 уникальных ссылках на ZoomInfo, с помощью которых злоумышленники собирали информацию о потенциальных жертвах.

Группировка BlackLock была скомпрометирована из-за уязвимости в их блоге (data leak site, DLS). Уязвимость обнаружили исследователи, которые смогли получить доступ к конфиденциальной информации о группировке и ее деятельности, включая конфигурационные файлы, учетные данные и историю команд, выполнявшихся на сервере. Вскоре после этого, вероятно, с помощью той же уязвимости конкурирующая вымогательская группировка DragonForce провела deface-атаку на этот DLS, поменяв оформление и выложив в публичный доступ внутренние чат-логи BlackLock и некоторые конфигурационные файлы.

Наиболее активные группировки

В этом разделе приводятся наиболее активные вымогательские группы по количеству жертв, добавленных на DLS каждой из них за отчетный период. В первом квартале лидером по числу новых жертв остается группа RansomHub (11,03%), отличившаяся в 2024 году. За ней с небольшим отставанием следуют Akira (10,89%) и Clop (10,69%).

Доля жертв конкретной группы (по данным ее сайта DLS) среди всех жертв всех групп, опубликованных на всех рассмотренных сайтах DLS за отчетный период (скачать)

Количество новых модификаций

В первом квартале решения «Лаборатории Касперского» обнаружили три новых семейства шифровальщиков и 11 733 новых модификации — это почти в четыре раза больше, чем в четвертом квартале 2024 года. Это связано с большим количеством образцов, которые наши решения отнесли к семейству Trojan-Ransom.Win32.Gen.

Количество новых модификаций шифровальщиков, Q1 2024 — Q1 2025 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

Защищено 85 474 уникальных пользователя KSN.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q1 2025 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

* Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций

В первом квартале 2025 года решения «Лаборатории Касперского» обнаружили 5467 новых модификаций майнеров.

Количество новых модификаций майнеров, Q1 2025 (скачать)

Количество пользователей, атакованных майнерами

При этом майнеры были довольно активны в первом квартале. Так, за отчетный период мы обнаружили атаки с использованием этого ПО на компьютерах 315 701 уникального пользователя продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q1 2025 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам майнеров

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки macOS

В первом квартале был обнаружен новый троянец-загрузчик для macOS. Это Go-версия зловреда ReaderUpdate, ранее встречавшегося в вариантах на языках Python, Crystal, Rust и Nim. Обычно такие загрузчики используются для скачивания назойливой рекламы, однако ничто не мешает им загружать произвольные троянцы.

Также в отчетный период были обнаружены новые загрузчики семейства Ferret, распространявшиеся злоумышленниками через поддельные ссылки на онлайн-собеседование. Предположительно, троянцы продолжают кампанию, которая ведется с декабря 2022 года. При этом первые представители семейства Ferret появились в конце 2024-го. Прошлые версии загрузчика доставляли на устройство жертвы бэкдор и криптостилер.

Наиболее активно из всех троянцев в первом квартале распространялись разные модификации стилера Amos, крадущие пароли пользователей, данные криптокошельков, cookie-файлы браузера и документы. В рамках этой кампании злоумышленники регулярно изменяют способ обфускации троянцев, чтобы затруднить их обнаружение, и генерируют обфусцированные файлы тысячами.

TOP 20 угроз для macOS

Доля* уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS (скачать)

* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Значительную долю списка самых распространенных угроз для macOS привычно составляют потенциально нежелательные приложения: рекламное ПО, программы, обладающие функциональностью наблюдения за активностью пользователя, поддельные «чистилки» и обратные прокси (NetTool). Также популярными в первом квартале стали троянцы Amos, о которых мы упомянули выше. Расположившийся на третьей строчке Trojan.OSX.Agent.gen — это собирательный вердикт, детектирующий разнородное вредоносное ПО.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

* Доля уникальных пользователей, столкнувшихся с угрозами для macOS, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Статистика IoT-угроз

В этом разделе приводится статистика об атаках на IoT-ханипоты «Лаборатории Касперского». Данные о географии источников атак основаны на IP-адресах атакующих устройств.

В первом квартале 2025 года доля устройств, атакующих ловушки «Лаборатории Касперского» по протоколу Telnet, после снижения в конце 2024 года снова выросла.

Распределение атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки (скачать)

Распределение атак по протоколам Telnet и SSH, в свою очередь, практически не изменилось относительно четвертого квартала 2024 года.

Распределение рабочих сессий киберпреступников с ловушками «Лаборатории Касперского» (скачать)

TOP 10 угроз, загружаемых на IoT-устройства

Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз (скачать)

Значительную часть самых распространенных угроз для IoT составляют различные варианты DDoS-ботнета Mirai. Также в первом квартале активно распространялся майнер BitCoinMiner (7,32%). Количество атак ботнета NyaDrop (19,31%) снизилось относительно четвертого квартала 2024 года.

География атак на IoT-ханипоты

В распределении по странам и территориям атак по протоколу SSH снизилась доля атак с территории материкового Китая и ощутимо увеличилась доля атак с территории Бразилии. Также немного выросла доля атак из США, Индонезии, Австралии и Вьетнама.

Среди атак по протоколу Telnet снизилась доля Китая и Индии, преимущественно в пользу Бразилии, Нигерии и Индонезии.

Атаки через веб-ресурсы

Статистические данные в этом разделе основаны на детектирующих вердиктах веб-антивируса, который защищает пользователей в момент загрузки подозрительных объектов с вредоносной или зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Раздел содержит распределение по странам и территориям источников интернет-атак, заблокированных продуктами «Лаборатории Касперского» (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GeoIP).

В первом квартале 2025 года решения «Лаборатории Касперского» отразили 629 211 451 атаку, которая проводилась с интернет-ресурсов, размещенных по всему миру. Веб-антивирус среагировал на 88 389 361 уникальный URL-адрес.

Распределение источников веб-атак по странам и территориям, Q1 2025 (скачать)

Страны и территории, где пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях мира, мы подсчитали в каждой стране и на каждой территории долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные отражают агрессивность среды, в которой работают компьютеры в разных странах и на разных территориях.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 6,46% компьютеров пользователей в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей, либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации. Статистика основана на детектирующих вердиктах модулей OAS (on-access scan) и ODS (on-demand scan) файлового антивируса. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.

В первом квартале 2025 года наш файловый антивирус обнаружил 21 533 464 вредоносных и потенциально нежелательных объекта.

Страны и территории, где компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в разных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире хотя бы один раз в течение первого квартала локальные угрозы класса Malware были зафиксированы на 13,62% компьютеров пользователей.

Показатель России в этом рейтинге составил 16,08%.