一、卡巴斯基年度数据
- 阻止了来自全球网络资源发起的437414681次恶意软件攻击;
- 发现了106357530个独特的恶意URL;
- 借助网络防病毒组件,检测到了112922612个独特的恶意对象;
- 阻止了对193662名独立用户计算机的勒索软件攻击;
- 阻止了1140573名独立用户遭受挖矿软件的感染;
- 防止了在325225名用户的设备上试图通过在线银行账户盗取金钱的恶意软件。
二、金融安全
统计数据不仅包括银行威胁,还包括针对自动取款机和支付终端的恶意软件。
1.受金融恶意软件攻击的用户数量
2022年11月至2023年10月,受到金融恶意软件攻击的用户数量
2.受攻击用户的地理分布
为了评估和比较每个国家或地区感染银行木马和ATM/POS恶意软件的风险,我们计算了在报告期间面临此威胁的卡巴斯基用户占该地所有用户的百分比。
受攻击用户比例最高的10个国家和地区
1 | 阿富汗 | 6.2 |
2 | 土库曼斯坦 | 5.4 |
3 | 塔吉克斯坦 | 4.0 |
4 | 中国 | 3.3 |
5 | 苏丹 | 2.6 |
6 | 毛里塔尼亚 | 2.6 |
7 | 瑞士 | 2.5 |
8 | 也门 | 2.4 |
9 | 埃及 | 2.2 |
10 | 巴拉圭 | 2.2 |
十大金融恶意软件家族
Name | Verdict | %* | |
1 | Ramnit/Nimnul | Trojan-Banker.Win32.Nimnul | 30.4 |
2 | Zbot/Zeus | Trojan-Spy.Win32.Zbot | 18.9 |
3 | Emotet | Trojan-Banker.Win32.Emotet | 16.1 |
4 | CliptoShuffler | Trojan-Banker.Win32.CliptoShuffler | 6.1 |
5 | RTM | Trojan-Banker.Win32.RTM | 2.2 |
6 | Danabot | Trojan-Banker.Win32.Danabot | 1.9 |
7 | Qbot/Qakbot | Trojan-Banker.Win32.Qbot | 1.8 |
8 | IcedID | Trojan-Banker.Win32.IcedID | 1.3 |
9 | Tinba/TinyBanker | Trojan-Banker.Win32.Tinba | 1.2 |
10 | BitStealer | Trojan-Banker.Win32.BitStealer | 1.0 |
三、恶意软件
在报告期间,我们识别了超过23364种勒索软件的变种,并发现了43个新的家族。请注意,我们并没有为每一个新的勒索软件样本都创建一个独立的家族。这类威胁的大多数被归为通用判定,这是我们对新的和未知的样本所做的判定。
2022年11月至2023年10月间检测到的新勒索软件变种数量
勒索软件木马攻击的用户数量
在报告期间,勒索软件木马攻击了193662名独特用户,其中包括52999名企业用户(不包括中小型企业)和6351名与中小企业相关的用户。
2022年11月至2023年10月间受勒索软件木马攻击的用户数量
四、最活跃的组织
本节关注从事所谓“双重敲诈”的勒索软件团伙,即窃取并加密机密数据。这些团伙大多数针对大型公司,并且通常会维护一个数据泄露网站(DLS),在上面发布他们攻击过的组织列表。
2022年11月至2023年10月最活跃的勒索软件团伙
该图表展示了每个团伙在所有团伙数据泄露网站(DLSs)公布的受害者总数中的占比。
受攻击用户的地理分布
十大最受勒索软件木马攻击的国家和地区
1 | 孟加拉国 | 2.41 |
2 | 也门 | 1.85 |
3 | 中国台湾 | 1.62 |
4 | 韩国 | 1.47 |
5 | 苏丹 | 1.15 |
6 | 莫桑比克 | 1.09 |
7 | 巴勒斯坦 | 0.97 |
8 | 阿富汗 | 0.97 |
9 | 巴基斯坦 | 0.88 |
10 | 土库曼斯坦 | 0.63 |
十大最常见的勒索软件木马家族
1 | Magniber | Trojan-Ransom.Win64.Magni | 17.14 |
2 | (generic verdict) | Trojan-Ransom.Win32.Gen | 12.39 |
3 | WannaCry | Trojan-Ransom.Win32.Wanna | 11.46 |
4 | (generic verdict) | Trojan-Ransom.Win32.Encoder | 9.43 |
5 | Stop/Djvu | Trojan-Ransom.Win32.Stop | 6.39 |
6 | (generic verdict) | Trojan-Ransom.Win32.Phny | 5.69 |
7 | (generic verdict) | Trojan-Ransom.Win32.Crypren | 4.54 |
8 | PolyRansom/VirLock | Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom | 3.13 |
9 | (generic verdict) | Trojan-Ransom.Win32.Agent | 2.91 |
10 | (generic verdict) | Trojan-Ransom.MSIL.Crypmodng | 1.75 |
五、挖矿软件
1.受挖矿软件攻击的用户数量
在报告期间,我们检测到有1140573名独立用户的计算机上尝试安装挖矿软件。挖矿软件占所有攻击类型的3.12%,以及所有风险工具类程序的17.09%。
2022年11月至2023年10月受挖矿软件攻击的用户数量
在报告期间,卡巴斯基产品检测到的Trojan.Win32.Miner.gen出现频率高于其他类型,占所有受挖矿软件攻击用户的25.12%。其次是Worm.NSIS.BitMin.d(占12.39%),Trojan.Win32.Miner.ays(占10.41%)以及Trojan.Win64.Miner.all(占8.51%)。
2.受攻击用户的地理分布
十大最受挖矿软件攻击的国家和地区
1 | 土库曼斯坦 | 10.38 |
2 | 阿富汗 | 7.67 |
3 | 哈萨克斯坦 | 3.77 |
4 | 塔吉克斯坦 | 3.33 |
5 | 乌兹别克斯坦 | 2.92 |
6 | 蒙古 | 2.83 |
7 | 莫桑比克 | 2.82 |
8 | 白俄罗斯 | 2.80 |
9 | 苏丹 | 2.65 |
10 | 吉尔吉斯斯坦 | 2.61 |
六、犯罪分子在网络攻击中利用的漏洞应用程序
报告期间记录了一些商业应用程序中的危险漏洞,如MoveIT Transfer中的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708,以及Microsoft Outlook中的CVE-2023-23397。
谈到针对消费者的攻击,值得注意的是Google Chrome中的“零日”漏洞CVE-2023-4863、CVE-2023-5217和CVE-2023-4762,以及OS Windows中的CVE-2023-28252。像往常一样,我们看到了对Equation Editor中众所周知的漏洞的利用尝试,例如CVE-2017-11882和CVE-2018-0802,以及其他Microsoft Office组件。
2022年11月至2023年10月,按受攻击应用程序类型分布的攻击利用情况
根据卡巴斯基对于被封锁的利用程序的判断,这一排名列出了在网络攻击中以及本地易受攻击的应用程序中,犯罪分子使用的漏洞应用程序,这些应用程序包括桌面和移动设备上的应用程序。
七、针对macOS的攻击
在报告期间,观察到了一些有趣的macOS恶意软件样本:
- 偷窃钥匙串数据的特洛伊-间谍软件
- 伪装成macOS游戏的信息窃取程序,用以收集浏览器、即时通讯软件和加密钱包中的数据
- 感染的Xcode项目尝试下载后门程序
- 通过Telegram销售MacStealer和AMOS木马
- 在供应链攻击中被篡改的3CXDesktopApp下载macOS后门程序
- BlueNoroff组织用Rust编写、伪装成PDF阅读器的后门程序
macOS的TOP 10威胁
1 | AdWare.OSX.Pirrit.ac | 21 |
2 | AdWare.OSX.Agent.ai | 47 |
3 | AdWare.OSX.Amc.e | 83 |
4 | AdWare.OSX.Pirrit.j | 92 |
5 | AdWare.OSX.Agent.gen | 34 |
6 | AdWare.OSX.Bnodlero.ax | 77 |
7 | AdWare.OSX.Pirrit.ae | 83 |
8 | Trojan-Downloader.OSX.Agent.h | 85 |
9 | Monitor.OSX.HistGrabber.b | 70 |
10 | Hoax.OSX.MacBooster.a | 32 |
威胁地理分布
按受攻击用户比例计的十大国家和地区
1 | 法国 | 41 |
2 | 中国 | 38 |
3 | 意大利 | 38 |
4 | 西班牙 | 23 |
5 | 美国 | 16 |
6 | 印度 | 16 |
7 | 墨西哥 | 12 |
8 | 加拿大 | 99 |
9 | 澳大利亚 | 85 |
10 | 英国 | 84 |
八、物联网攻击
物联网威胁统计
在报告期间,大多数攻击卡巴斯基蜜罐系统的设备使用了Telnet协议。
Telnet | 85% |
SSH | 15% |
2022年11月至2023年10月,按攻击设备的唯一IP地址数量分布的受攻击服务情况As for the distribution of sessions, Telnet again prevailed, with more than 98% of all working sessions.
Telnet | 60% |
SSH | 40% |
2022年11月至2023年10月期间,与卡巴斯基蜜罐系统的恶意软件会话分布情况
上传到蜜罐的威胁
1 | Trojan-Downloader.Linux.NyaDrop.b | 46 |
2 | Backdoor.Linux.Mirai.b | 67 |
3 | Backdoor.Linux.Mirai.cw | 23 |
4 | Backdoor.Linux.Mirai.ba | 12 |
5 | Backdoor.Linux.Mirai.fg | 64 |
6 | Trojan.Linux.Agent.nx | 12 |
7 | Backdoor.Linux.Mirai.es | 90 |
8 | Backdoor.Linux.Gafgyt.a | 36 |
9 | Trojan-Downloader.Shell.Agent.p | 04 |
10 | Backdoor.Linux.Mirai.ew | 83 |
九、通过网络资源的攻击
本节统计数据来源于网络防病毒,它保护用户免受从恶意/感染网页下载的恶意对象的侵害。网络犯罪分子故意创建恶意网站;具有用户生成内容的网络资源,如留言板,以及被黑客攻破的合法资源,可能会被感染。
1.网络攻击源的国家和地区
以下统计数据展示了卡巴斯基产品在用户计算机上阻止的互联网攻击来源的国家或地区分布:重定向到漏洞的网页、包含漏洞的站点以及其他恶意程序、僵尸网络C&C中心等。任何独特的主机都可以是一个或多个基于网络的攻击的来源。
为了定位基于网络的攻击源,我们将域名与实际的域名IP地址相匹配,以确定特定IP地址的地理位置(GEOIP)。
在报告期内,卡巴斯基解决方案全球范围内阻止了来自在线资源的437414681次恶意软件级别的攻击;其中80.49%的资源位于仅10个国家之内。
2022年11月至2023年10月期间,按国家或地区划分的网络攻击源分布情况
2.用户面临在线感染风险最大的国家和地区
为了评估每个国家或地区的用户面临的在线感染风险,我们计算了在报告期间触发网络防病毒的卡巴斯基用户的百分比。由此产生的数据提供了不同国家和地区计算机操作环境侵略性的指标。
请注意,这些排名仅包括恶意软件级别的攻击。我们没有考虑对潜在危险和不需要的程序(如风险工具和广告软件)的网络防病毒触发情况。总体而言,在报告期间,有88%的用户计算机注册了广告软件和广告软件组件,这些计算机上触发了网络防病毒。
用户面临在线感染风险最大的十大国家和地区
1 | 中国台湾 | 41 |
2 | 希腊 | 12 |
3 | 白俄罗斯 | 65 |
4 | 阿尔及利亚 | 64 |
5 | 土耳其 | 54 |
6 | 塞尔维亚 | 09 |
7 | 突尼斯 | 17 |
8 | 摩尔多瓦 | 10 |
9 | 尼泊尔 | 99 |
10 | 孟加拉国 | 81 |
11 | 斯里兰卡 | 47 |
12 | 波斯尼亚和黑塞哥维那 | 20 |
13 | 葡萄牙 | 87 |
14 | 卡塔尔 | 62 |
15 | 摩洛哥 | 50 |
16 | 厄瓜多尔 | 02 |
17 | 菲律宾 | 55 |
18 | 蒙古 | 51 |
19 | 秘鲁 | 36 |
20 | 俄罗斯 | 22 |
在报告期间,全球平均有16.31%的互联网用户计算机至少遭遇了一次恶意软件级别的攻击。
3.在网络攻击中最常用的20种恶意程序
在报告期间,卡巴斯基的网络防病毒共检测到112922612个独特的恶意对象(脚本、漏洞利用程序、可执行文件等),以及106357530个独特的恶意URL。我们利用这些数据确定了在针对用户计算机的在线攻击中最常用的20种恶意程序。
1 | Malicious URL | 62 |
2 | Trojan.Script.Generic | 21 |
3 | Trojan.BAT.Miner.gen | 57 |
4 | Trojan.Script.Miner.gen | 93 |
5 | Hoax.HTML.Phish.gen | 26 |
6 | Trojan.PDF.Badur.gen | 72 |
7 | Trojan.Multi.Preqw.gen | 53 |
8 | Hoax.HTML.FraudLoad.m | 16 |
9 | Trojan.Script.Agent.gen | 04 |
10 | Trojan-Downloader.Script.Generic | 01 |
11 | Trojan.JS.Miner.gen | 0.70 |
12 | Trojan.JS.Agent.eqq | 0.53 |
13 | Trojan-PSW.Script.Generic | 0.50 |
14 | Exploit.Win32.CVE-2011-3402.a | 0.44 |
15 | DangerousObject.Multi.Generic | 0.44 |
16 | Exploit.Multi.Desert.gen | 0.26 |
17 | Trojan-Banker.PowerShell.CoinStealer.gen | 0.23 |
18 | Trojan.MSOffice.Generic | 0.17 |
19 | Exploit.MSOffice.CVE-2017-11882.gen | 0.16 |
20 | Trojan.MSOffice.Agent.gen | 0.15 |
十、本地威胁
用户计算机本地感染的统计数据是一个重要指标。它们包括那些通过感染文件或可移动介质渗透到目标计算机的对象,或者最初以非公开形式进入计算机的程序,如复杂安装程序内的程序、加密文件等。这些统计数据还包括卡巴斯基反病毒在初次系统扫描后在用户计算机上检测到的对象。
本节分析了反病毒在文件被创建或访问时对硬盘驱动器文件的扫描统计数据,以及对可移动存储介质扫描的结果。
1.在用户计算机上检测到的20大恶意对象
在报告期间,我们确定了在用户计算机上检测到的20种最常见的威胁。不包括风险软件类型的威胁和广告软件。
1 | DangerousObject.Multi.Generic | 87 |
2 | Trojan.Multi.BroSubsc.gen | 70 |
3 | Trojan.Multi.Misslink.a | 40 |
4 | Trojan.Multi.GenAutorunReg.a | 98 |
5 | Trojan.Script.Generic | 63 |
6 | Trojan.Win32.Agent.gen | 10 |
7 | Trojan.Win32.SEPEH.gen | 06 |
8 | Trojan.WinLNK.Agent.gen | 87 |
9 | Trojan.Win32.Hosts2.gen | 15 |
10 | Trojan.Multi.GenBadur.gen | 08 |
11 | Trojan.Multi.Agent.gen | 91 |
12 | Virus.Win32.Pioneer.cz | 78 |
13 | Worm.Python.Agent.gen | 65 |
14 | Trojan.Win32.Agentb.bqyr | 51 |
15 | Trojan.Win32.Generic | 48 |
16 | Worm.Python.Agent.c | 45 |
17 | Trojan.Script.Agent.gen | 41 |
18 | VHO:Trojan.Win32.Sdum.gen | 38 |
19 | Trojan.Multi.Powesta.d | 37 |
20 | Trojan.MSIL.Agent.gen | 34 |
2.用户面临本地感染风险最高的国家和地区
对于每个国家或地区,我们计算了用户在一年中遇到文件反病毒触发的频率。
包括在用户计算机或连接到这些计算机的可移动介质(闪存盘、相机/手机内存卡、外部硬盘驱动器)上发现的对象的检测。这些统计数据反映了不同国家个人计算机感染的水平。
本地感染风险水平排名前20的国家和地区
1 | 也门 | 74 |
2 | 土库曼斯坦 | 71 |
3 | 阿富汗 | 74 |
4 | 孟加拉国 | 82 |
5 | 缅甸 | 22 |
6 | 阿尔及利亚 | 40 |
7 | 贝宁 | 32 |
8 | 卢旺达 | 19 |
9 | 乌兹别克斯坦 | 97 |
10 | 几内亚 | 97 |
11 | 喀麦隆 | 08 |
12 | 布基纳法索 | 05 |
13 | 坦桑尼亚 | 99 |
14 | 伊拉克 | 13 |
15 | 刚果 | 94 |
16 | 尼日尔 | 05 |
17 | 委内瑞拉 | 70 |
18 | 马里 | 64 |
19 | 白俄罗斯 | 57 |
20 | 越南 | 18 |
在报告期内,平均而言,至少有26.33%使用卡巴斯基产品的用户的计算机、硬盘或可移动介质上检测到了至少一种恶意软件。
