*评级排除了卡巴斯基实验室的移动防病毒软件的用户数量相对较少的国家/地区(少于10,000)
**该国家受到移动勒索软件木马攻击的唯一用户占该国家所有卡巴斯基实验室移动防病毒软件用户的百分比
前十名中的第一名是美国(0.49%);该国家最活跃的移动勒索软件家族是Trojan-Ransom.AndroidOS.Svpeng :
样本%*1 Trojan-Ransom.AndroidOS.Svpeng.ag 53.53%
2 Trojan-Ransom.AndroidOS.Svpeng.ae 16.37%
3 Trojan-Ransom.AndroidOS.Svpeng.snt 11.49%
4 Trojan-Ransom.AndroidOS.Svpeng.ab 10.84%
5 Trojan-Ransom.AndroidOS.Fusob.h 5.62%
6 Trojan-Ransom.AndroidOS.Svpeng.z 4.57%
7 Trojan-Ransom.AndroidOS.Svpeng.san 4.29%
8 Trojan-Ransom.AndroidOS.Svpeng.ac 2.45%
9 Trojan-Ransom.AndroidOS.Svpeng.h 0.43%
10 Trojan-Ransom.AndroidOS.Zebt.a 0.37%
*美国受相关恶意软件攻击的唯一用户占该国所有受勒索软件木马攻击的卡巴斯基实验室移动防病毒软件用户的百分比
意大利(0.28%)在受移动勒索软件攻击的用户比例的国家排名中位列第二。在这个国家大多数攻击都是Trojan-Ransom.AndroidOS.Zebt.a 导致的。哈萨克斯坦位于第三名(0.26%),Trojan-Ransom.AndroidOS.Small.cm是那里最流行的移动勒索软件。
针对物联网设备的攻击从我们的蜜罐数据来看,暴力破解Telnet密码是最常见的物联网恶意软件自我传播方法。但是,最近针对其他服务(例如控制端口)的攻击数量有所增加。这些端口被分配了用于通过路由器进行远程控制的服务 – 这一功能是ISP等所需要的。我们已经观察到通过端口8291和端口7547(TR-069协议)发起的针对IoT设备的攻击尝试。端口8291是MikrotikRouterOS的控制服务使用的端口。端口7547用于管理德国电信网络中的设备。
在这两个案例中,攻击的性质都比普通的暴力攻击要复杂得多;确切地说,它们涉及到漏洞利用。我们倾向于认为,在以下两个因素的支持下,此类攻击的数量将在未来继续增长:
· 暴力破解Telnet密码是一种低效率的策略,因为攻击者之间存在激烈的竞争。每隔几秒钟就会有暴力攻击的尝试;一旦成功,攻击者就会阻止所有其他攻击者通过Telnet访问。
· 每次重启设备后,攻击者都必须重新感染它,从而导致部分僵尸网络丢失以及必须在一个充满竞争的环境中再次获得它。
从另一方面来讲,利用一个漏洞的首个攻击者可以在最短的时间内获得大量设备的访问权限。
遭到攻击的服务的受欢迎程度(按受攻击的唯一设备的数量),2018年第二季度
Telnet攻击攻击模式如下:攻击者发现目标设备,检查Telnet端口是否打开,并启动密码暴力破解程序。由于许多物联网设备制造商忽视了安全性(例如,他们在设备上保留服务密码并且不允许用户定期更改它们),这种攻击变得十分成功并且可能影响整个设备产线。受感染的设备开始扫描新的网络段并感染其中的新的类似设备或工作站。
通过Telnet攻击感染的物联网设备的地理分布,2018年第二季度
通过Telnet攻击感染的物联网设备所占比例排名前10位的国家/地区
国家%*1 巴西 23.38
2 中国 17.22
3 日本 8.64
4 俄罗斯 7.22
5 美国 4.55
6 墨西哥 3.78
7 希腊 3.51
8 韩国 3.32
9 土耳其 2.61
10 印度 1.71
*每个特定国家/地区的受感染设备占所有遭到Telnet攻击的物联网设备的百分比