Вымогатели получат миллион долларов от южнокорейской компании
Южнокорейский хостинг-провайдер NAYANA стал жертвой кибератаки, вследствие которой зловред-шифровальщик инфицировал 153 сервера под управлением Linux и блокировал работу сайтов 3400 компаний, использовавших услуги NAYANA. Учитывая масштаб проблемы, кибервымогатели запросили за разблокировку серверов колоссальную сумму – 1,62 миллиона долларов в криптовалюте биткоин. Руководство NAYANA вынуждено было пойти на переговоры с преступниками. В результате сумму удалось снизить, но и итоговая цифра в 1,01 миллиона долларов выглядит более чем внушительной.
Выкуп выплачивается тремя траншами, два из которых уже переведены киберпреступникам, а третий будет осуществлен после того, как они разблокируют не менее двух третьих серверов NAYANA. В атаке было использовано вымогательское ПО Erebus, известное с сентября 2016 года. Каким образом хакерам удалось инфицировать системы компании, в настоящий момент неизвестно. Специалисты отмечают, что чаще всего Erebus используется именно в Южной Корее, хотя атаки с его применением зафиксированы и в ряде других стран, в частности, в Румынии и на Украине.
Дата: Четверг, 22.06.2017, 23:33 | Сообщение # 362
Генералиссимус
Группа: Проверенные
Сообщений: 15106
Статус: Оффлайн
WannaCry напомнил о себе
Зловред WannaCry, атаки которого в мае привели к инфицированию сотен тысяч компьютеров во всем мире, напомнил о себе серией новых инцидентов. Так, полиция австралийского штата Виктория сообщила об инфицировании шифровальщиком 55 камер контроля дорожного движения. С еще более серьезными проблемами столкнулся известный автопроизводитель Honda Motor. Компания вынуждена была на один день остановить конвейер своего завода в японском городе Саяма.
Агентство Reuters сообщает, что завод, производящий модели Accord, Odyssey и Step Wagon, был остановлен после того, как зловред WannaCry обнаружился в сетях нескольких подразделений компании как в самой Японии, так и в США, Китае и Европе. Тем не менее, компания подчеркивает, что производственные процессы не были блокированы вредоносным ПО, а остановка конвейера стала превентивной мерой. Завод в Саяме возобновил свою работу уже на следующий день. Можно вспомнить, что в мае атака WannaCry привела к временной остановке предприятий другого крупного автопроизводителя - Renault-Nissan Alliance.
Дата: Четверг, 22.06.2017, 23:36 | Сообщение # 363
Генералиссимус
Группа: Проверенные
Сообщений: 15106
Статус: Оффлайн
Как мошенники под видом ГИБДД «разводят» водителей на деньги
Автомобилисты стали массово получать электронные письма-уведомления о якобы полученных ими штрафах ГИБДД. Хакеры под видом рассылки портала госуслуг предлагают оплатить «письмо счастья» с 50-процентной скидкой — попавшийся на удочку пользователь, по сути, открывает аферистам доступ к своему банковскому счету.
Информацию об активной фишинговой атаке агентству Rambler News Service официально подтвердила пресс-служба Group-IB — отдела, специализирующегося на предотвращении преступлений в виртуальном пространстве.
В письмах, адресованных мнимым нарушителям, есть сноска на «пользовательское соглашение с условиями сервиса». Если получатель ставит галочку о согласии на предоставление услуг, и открывает из прикрепленного файла активную ссылку, то автоматически попадает в зону риска. Воспользовавшись рассекреченными данными банковских реквизитов, которые пользователь указывает при оплате штрафа через интернет, фишинговый домен получает полный доступ к его личному счету. Что происходит дальше, полагаем, рассказывать не стоит?
Примечательно — письмо приходит на официальном электронном бланке портала госуслуг с пометкой об отсутствии каких-либо вирусов в данном сообщении. Поэтому во избежание как самого «развода» на оплату штрафа, так и потери имеющихся денежных средств на счете в целом следует проверить наличие неоплаченных «писем счастья» на сайте ГИБДД или, на худой конец, в электронной базе налогов и штрафов, предоставляемой банковскими учреждениями.
К тому же, настоятельно не рекомендуем открывать сомнительные ссылки, и уж тем более, не удостоверившись в безопасности ресурса, указывать номер и пароль кредитной карты.
Как сообщил глава Group-IB Илья Сачков, хакеры регулярно пытаются взломать портал госуслуг: «За последний год наша система зафиксировала более 1000 скомпрометированных учетных записей, мы прогнозируем увеличение количества атак на пользователей этого ресурса».
Дата: Пятница, 23.06.2017, 15:27 | Сообщение # 364
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Хостинговая компания заплатила вымогателям $1 млн.
Приложения-вымогатели регулярно попадают в заголовки новостей. На этот раз информация пришла из Южной Кореи, где предоставляющая веб хостинг компания согласилась выплатить более $1 млн. хакерам для возврата доступа к 153 серверам на Linux, пострадавшим от приложения-вымогателя. Компания Nayana рассказала, что атака произошла 10 июня, когда множество бизнес-сайтов были зашифрованы при помощи приложения Erebus. Впервые этот вымогатель был обнаружен в прошлом году и с тех пор получил поддержку Linux.
Поначалу злоумышленники требовали за возврат доступа к файлам 550 биткоинов, но после нескольких этапов переговоров сумму удалось снизить до 397,6 биткоинов, что по нынешнему курсу составляет более $1 млн.
В заявлении на официальном сайте Nayana говорится, что хакеры поначалу решили требовать от компании $1,6 млн. Согласно их расчётам, каждый из 40 сотрудников получает зарплату $30000 в год, в сумме выходит $1,2 млн., а следовательно, доходы компании должны быть ещё больше.
Платежи будут произведены в три этапа, возвращать доступ к файлам хакеры также будут постепенно. Компания Trend Micro проанализировала Erebus и считает, что Nayana не обеспечила должную защиту своих серверов. Она использует ядро Linux 2.6.24.2, скомпилированное в 2008 году, Apache 1.3.36 и PHP 5.1.4, выпущенные в 2006 году.
Данный вымогатель не обладает мировой известностью и встречается чаще всего как раз в Южной Корее. Казалось бы, это свидетельствует в пользу целенаправленных Атак, но сервис VirusTotal считает по-другому. Некоторые образцы были обнаружены в Украине и Румынии.
Первые два платежа уже произведены и остался третий. Потом предстоит решать проблемы с базами данных после того, как файлы будут расшифрованы. К сожалению, подобные новости только увеличивают популярность вымогателей среди хакеров и риск для всех пользователей интернета.
Как видно из последних новостей, приложения-вымогатели продолжают набирать обороты и становятся всё опаснее. Злоумышленники переходят на всё более сложные формы криптографических программ и проводят целенаправленные атаки. Угрозу со стороны вымогателей показывает лаборатория Касперского в новом докладе, однако в нём есть и позитивные моменты. Исследователи считают, что конкуренция между авторами вымогателей заставит некоторые из них сойти со сцены.
Киберпреступники получают значительные прибыли благодаря вымогателям, которые варьируются от сотен до тысяч долларов. Многие используют рассылку по электронной почте, не выбирая жертв. Другие хакеры целенаправленно нацеливаются на сети предприятий, создавая под них фишинговые электронные письма и требуя значительно больший выкуп. К их числу относятся и авторы вымогателя PetrWrap, который на этой неделе попал в поле зрения СМИ.
При всей опасности вымогатели ещё не достигли пика и хакеры ищут пути их распространения в прежде не затронутых странах. Уже существуют варианты вымогателей с возможностью динамического изменения требований в записке в зависимости от местоположения жертвы. Это должно увеличить шанс получения выкупа.
Растущая популярность вымогателей в виде сервиса позволяет пользователям без технических знаний купить подписку в обмен на процент от прибыли. Это может значительно увеличить число злоумышленников и вымогателей. Одновременно растёт сложность и разнообразие приложений.
Лаборатория Касперского видит спасение в совместной работе специалистов и правоохранительных органов. В частности, компания является одним из основателей проекта No More Ransom. Он в прошлом июле был запущен совместно с Intel Security, полицией Нидерландов и Европолом. Здесь пострадавшие могут получить ключи для бесплатной расшифровки файлов, если определённое семейство вымогателей было взломано. Также здесь предоставляется информация о том, как избежать инфицирования.
Дата: Вторник, 04.07.2017, 15:36 | Сообщение # 366
Генералиссимус
Группа: Пользователи
Сообщений: 3840
Статус: Оффлайн
Хакеры Shadow Brokers нашли новый способ заработка
Хакерская группировка Shadow Brokers продолжает привлекать к себе внимание. В последнее время она успела «прославиться» публикацией хакерских инструментов, предположительно, созданных специалистами Агентства национальной безопасности США. Последствия этих публикаций оказались не самыми приятными. Так, описание эксплойта EternalBlue для уязвимости в протоколе SMB позволило неизвестным хакерам создать зловреды WannaCry и NotPetya, жертвами атак которых стали сотни тысяч компьютеров по всему миру.
При этом участники Shadow Brokers отчаянно пытаются «монетизировать» свою активность. Сначала они объявили аукцион, на который обещали выставить описания похищенных уязвимостей. После того, как аукцион провалился, не собрав серьезных заявок, киберпреступники опубликовали уязвимости бесплатно, но заявили, что следующую порцию данных о хакерском арсенале американских спецслужб будут распространять только по подписке. Цена на нее весьма высока – за июньскую подписку хакеры требовали порядка 33 тысяч долларов, а июльскую оценили уже в 65 тысяч.
Наверняка такой рост цен отпугнет потенциальных покупателей, но члены Shadow Btokers, судя по всему, уже нашли новый способ заработка. Они принялись шантажировать некоего пользователя Twitter под ником @drwolfff. Хакеры уверяют, что он – в прошлом сотрудник АНБ, участвовавший в разработке кибершпионских инструментов и организации кибератак на цели в Китае. Шантажисты требуют, чтобы @drwolfff подписался на их рассылку, угрожая в противном случае раскрыть его личность.
Дата: Воскресенье, 09.07.2017, 17:20 | Сообщение # 367
Генералиссимус
Группа: Проверенные
Сообщений: 4423
Статус: Оффлайн
Хакеры присматриваются к американским атомным станциям
За последние несколько месяцев неизвестным хакерам удалось получить несанкционированный доступ к сетям нескольких компаний, управляющих предприятиями атомной энергетики в США. Об этом говорится в совместном отчете ФБР и Министерства национальной безопасности, оказавшемся в распоряжении издания The New York Times. В нем, в частности, упоминается атака на компанию Wolf Creek Nuclear Operating Corporation, управляющую АЭС в районе города Берлингтон, штат Канзас. Неустановленные злоумышленники направляли на адреса электронной почты руководителей компании фальшивые резюме соискателей должностей. В некоторых случаях документы были открыты получателями, что привело к инфицированию их компьютеров вредоносным ПО.
Отчет не уточняет характер вредоносного ПО и цель атаки, однако исследователи предполагают, что злоумышленники пытались составить карту внутренней сети Wolf Creek Nuclear Operating Corporation для последующих более агрессивных вмешательств. Представители компании поспешили заверить, что атака не повлияла и не могла повлиять на работу АЭС, поскольку корпоративная сеть и сеть управления предприятием абсолютно изолированы друг от друга.
Дата: Пятница, 14.07.2017, 17:05 | Сообщение # 368
Генералиссимус
Группа: Проверенные
Сообщений: 11716
Статус: Оффлайн
WikiLeaks опубликовала описание инструмента ЦРУ для взлома СМС на Android
WikiLeaks опубликовала очередные сведения относительно инструментов взлома ЦРУ. Помимо Windows и Linux американскую разведку интересует и Android, на которой активны более миллиарда устройств.
Инструмент под названием HighRise представляет собой вредоносное приложение, способное перехватывать текстовые сообщения и отправлять на серверы ЦРУ. Для распространения хакерской утилиты применяется приложение TideCheck, но для этого устройство уже должно быть под контролем ЦРУ, для чего должны существовать другие инструменты взлома Android.
После приложение должно быть запущено вручную, при первой загрузке требуется ввести пароль. Согласно опубликованному WikiLeaks руководству, паролем является слово inshallah, что в переводе с арабского означает «Божья воля».
HighRise работает только на версиях Android 4.0-4.3, но есть вероятность, что ЦРУ уже обновила приложение для взлома более современных версий. Создано оно было в конце 2013 года, когда самой современной была версия Android 4.0. HighRise может запускаться в момент загрузки устройства в фоновом режиме, поэтому заметить его невозможно, если специально не смотреть список запущенных процессов.
В будущем WikiLeaks может опубликовать описание других инструментов взлома в рамках серии утечек Vault 7.
Дата: Воскресенье, 16.07.2017, 18:08 | Сообщение # 369
Генералиссимус
Группа: Проверенные
Сообщений: 5810
Статус: Оффлайн
EternalBlue остается серьезной угрозой
Исследователь компании Imperva Элад Эрез разработал инструмент для выявления уязвимостей перед атаками EternalBlue. Эксплойт EternalBlue, предположительно, был создан АНБ США, а хакерская группировка The Shadow Brokers смогла получить его описание и опубликовать в открытом доступе. Именно EternalBlue был использован для атаки шифровальщика WannaCry, ставшей самой массовой в новейшей истории, а затем и для атак опаснейшего зловреда NotPetya.
Однако даже чрезвычайная серьезность угроз не сделала системных администраторов более осторожными. В первые 10 дней июля специалисты Imperva просканировали 537 тысяч систем (и свыше 8 миллионов IP-адресов) – и обнаружили, что порядка 60 тысяч из них по-прежнему уязвимы перед атаками с использованием эксплойта EternalBlue. 53,82 процента обследованных систем по-прежнему поддерживают включенным протокол SMBv1, уязвимость которого и использует EternalBlue. Наибольшее число уязвимых систем приходится на долю таких стран как Украина, США, Беларусь, Мексика и Франция.
Дата: Воскресенье, 16.07.2017, 18:08 | Сообщение # 370
Генералиссимус
Группа: Проверенные
Сообщений: 5810
Статус: Оффлайн
Хакеры вооружились «Катюшей»
Эксперты компании Recorded Future обнаружили на подпольных киберкриминальных форумах новый инструмент, пользующийся большой популярностью и собирающий самые лестные отзывы. Речь идет о сканере сайтов, уязвимых перед атаками путем внедрения SQL-кода. Инструмент имеет название Katyusha Scanner, и исследователи Recorded Future уверены, что это очень подходящее имя. «Как и знаменитая советская реактивная артиллерийская установка «Катюша», Katyusha Scanner дает возможность совершения мощных атак по множественным целям и с причинением очень серьезного ущерба», – отмечают они.
Katyusha Scanner имеет чрезвычайно простой и удобный интерфейс и управляется со смартфона при помощи мессенджера Telegram. Последняя на данный момент версия сканера – 0.8 – стоит 500 долларов в «полной комплектации». Облегченный вариант можно приобрести вдвое дешевле, есть также возможность аренды ПО. При этом версия «pro» не только обнаруживает уязвимые сайты, но и автоматически похищает информацию об учетных записях, а также указывает место потенциальной жертвы в рейтинге Alexa – с тем, чтобы хакер мог атаковать более популярные и посещаемые ресурсы.
«Надо сказать, что на рынке кибербезопасности есть и легальные сервисы, проверяющие сайты на популярные узявимости. Кроме того, некоторые хостинговые компании время от времени предоставляют такую услугу своим клиентам, и услуга пользуется спросом. Самая сложная задача здесь – поддержание актуальности базы угроз, без этого сканирование быстро становится бессмысленным», – отметил ведущий разработчик Технического центра Интернет Дмитрий Белявский.
Специалисты Recorded Future констатируют, что появление таких недорогих и эффективных инструментов как Katyusha Scanner неизбежно влечет за собой рост числа хакерских атак, вовлекая в киберкриминальную активность даже тех, кто не обладает достаточными техническими знаниями и навыками.
Дата: Вторник, 18.07.2017, 15:55 | Сообщение # 371
Генералиссимус
Группа: Пользователи
Сообщений: 4524
Статус: Оффлайн
Глобальный ущерб от кибератак составляет $53 млрд.
Масштабные кибератаки по всему миру могут привести к экономическим потерям в размере $53 млрд., что сопоставимо с природными катастрофами вроде урагана Катрина. Об этом сообщила занимающаяся моделированием рисков компания Cyence и Lloyd's of London. Были исследованы потери от взлома облачных сервисов и операционных систем компьютеров на предприятиях.
Поскольку атаки являются виртуальными, оценить последствия от их проведения непросто. Распространение приложения-вымогателя WannaCry затронуло компьютеры более чем в 100 странах мира и потери от утраты их работоспособности оцениваются в $8 млрд. В эту сумму входит время простоя в работе и расходы на ремонт компьютеров.
Также рассматривается гипотетический взлом облачного сервиса, который включает в себя внедрение вредоносного кода для атаки на операционные системы. От провайдера вредоносный код распространится к клиентам, в том числе и финансовым организациям и гостиницам. Это приведёт к цепной реакции финансовых потерь, размер которых вычислить не представляется возможным.
Сумма в $53 млрд. сама по себе является внушительной, однако в реальности ущерб может быть даже больше. Аналитики оценивают возможные потери в $121 млрд. Из них страховка не покроет как минимум $45 млрд.
Дата: Четверг, 20.07.2017, 18:17 | Сообщение # 372
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Ушлые хакеры украли у майнеров 32 миллиона долларов
Пока кто-то собирает свою первую ферму для майнинга криптовалют, группа неизвестных хакеров в минувшую среду украла из Ethereum-клиента для управления кошельками Parity «эфир» на сумму 31 725 019 американских долларов. И это при том, что буквально двумя днями ранее, 17 июля, был взломан сингапурский Ethereum-стартап CoinDash. Тогда злоумышленники украли «эфир» стоимостью около 7,3 миллиона долларов. Основатель Parity Гэвин Вуд уже подтвердил факт кражи и рассказал некоторые подробности о случившемся.
По словам Гэвина Вуда, основателя Ethereum-клиента для управления кошельками Parity, хакеры воспользовались уязвимостью, обнаруженной в последней версии приложения. Уязвимость была связана с функцией многопользовательских кошельков, предусматривающей наличие криптографических ключей доступа сразу у нескольких человек. В таких кошельках транзакции проводятся только с одобрения большинства их владельцев. С помощью обнаруженной уязвимости злоумышленникам удалось взломать по меньшей мере три аккаунта и перевести себе средства.
Гэвин Вуд призвал владельцев многопользовательских кошельков как можно скорее перевести свои средства в надёжные хранилища до решения проблемы. Как только стало известно о взломе, группа «белых хакеров» тут же взялась за обнаружение уязвимости и предотвращения других краж. Гэвин Вуд пообещал, что в скором времени они устранят все уязвимости.
Ethereum сейчас является одной из самых популярных криптовалют среди майнеров. После случившегося курс «эфира» упал, но сейчас уже вернулся к нормальному значению.
Дата: Пятница, 21.07.2017, 17:57 | Сообщение # 373
Генералиссимус
Группа: Пользователи
Сообщений: 4524
Статус: Оффлайн
Devil's Ivy угрожает более чем миллиону устройств
Исследователи компании Senrio выявили уязвимость программной библиотеки gSOAP. Она разработана компанией Genivia и является ПО с открытым исходным кодом, а потому чрезвычайно широко используется в устройствах интернета вещей. Специалисты Senrio обнаружили уязвимость, изучая одну из камер наблюдения производства компании Axis. Дальнейшее расследование установило, что уязвимость присутствует в 249 из 252 моделей камер Axis. Всего же, по данным уже Genivia, библиотека gSOAP была загружена более миллиона раз, в том числе и такими компаниями как IBM, Microsoft и Adobe Systems. Это позволяет вполне наглядно судить о масштабе угрозы.
Уязвимость получила название Devil's Ivy – «дьявольский плющ». Так в английском языке называется растение эпипремнум. Оно представляет собой ядовитую лиану, которая чрезвычайно быстро растет и распространяется и при этом исключительно живуча. По мнению экспертов Senrio, все эти качества отличают и найденную уязвимость. Она позволяет вызвать переполнение буфера и в дальнейшем осуществлять дистанционное исполнение произвольного кода, получая полный контроль над уязвимыми устройствами. Компания Genivia уже выпустила обновленную версию библиотеки, в которой уязвимость устранена. Однако насколько быстро обновят свое ПО все производители устройств, использующих gSOAP – вопрос открытый.
Дата: Пятница, 21.07.2017, 17:58 | Сообщение # 374
Генералиссимус
Группа: Пользователи
Сообщений: 4524
Статус: Оффлайн
Сначала – автомобили, теперь и гироскутеры
Эксперты в области кибербезопасности уже приучили мир к тому, что уязвимым может оказаться любое устройство. Но если взломом автомобиля сегодня никого не удивишь, то взлом гироскутера – определенно нечто новое. Однако исследователям компании IOActive удалось именно это. Инициатором выступил сотрудник компании Томас Килбрайд, большой поклонник езды на Segway miniPRO. Эта модель гироскутера может дистанционно управляться по Bluetooth со смартфона, и ученого заинтересовало, насколько безопасен такой механизм.
Ответом стало категорическое «нет». Подключиться к гироскутеру по Bluetooth оказалось возможным без всякого пин-кода, а само соединение не было зашифровано. Все это позволило управлять устройством дистанционно с расстояния до 60 метров. И хотя гироскутер, конечно, не автомобиль, последствия резкого торможения или, наоборот, ускорения на нем могут оказаться самыми неприятными и для ездока, и для окружающих его людей. Кроме того, возможность отслеживания со смартфона GPS координат устройства способна помочь не только владельцу, но и потенциальным похитителям.
Полный отчет об экспериментах IOActive будет представлен на конференции по кибербезопасности Black Hat cybersecurity conference, которая пройдет на следующей неделе в Лас-Вегасе. Впрочем, исследователи заблаговременно уведомили компанию Segway о своих находках, и производитель уже устранил уязвимости.
Дата: Пятница, 21.07.2017, 18:05 | Сообщение # 375
Генералиссимус
Группа: Пользователи
Сообщений: 4524
Статус: Оффлайн
Полмиллиона компьютеров из России и Украины подверглись атаке рекламного ботнета
Специалисты компании ESET сообщили о новой угрозе для пользователей персональных компьютеров. Ботнет Stantinko, специализирующийся на рекламном мошенничестве, заразил уже около полумиллиона компьютеров. При этом основная масса пострадавших пользователей находится в России (46%) и Украине (33%). Интересно, что Stantinko существует как минимум с 2012 года. Все эти пять лет злоумышленникам удавалось оставаться незамеченными благодаря шифрованию кода и использованию разных механизмов самозащиты.
Разработчики Stantinko используют методы, зачастую присущие АРТ-компаниям. По словам сотрудников ESET, главной целью злоумышленников является финансовая выгода. Они зарабатывают на ложных переходах по рекламным ссылкам, так называемом кликфроде. По оценкам White Ops и Национальной ассоциации рекламодателей США, мировые издержки от кликфрода в 2017 году достигнут 6,5 миллиарда долларов.
Для заражения компьютера разработчики Stantinko маскируют под пиратское программное обеспечение загрузчик семейства FileTour. Он устанавливает на компьютер жертвы сразу несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме. Затем вирус устанавливает два расширения браузера (The Safe Surfing и Teddy Protection) для несанкционированного показа рекламы, который приносит доход разработчикам. Более того, расширения также были доступны в Chrome Web Store. На первый взгляд они не вызывают подозрения, но при взаимодействии с Stantinko они меняют свою конфигурацию, начиная показывать рекламные объявления.
Помимо отображения рекламы для генерации трафика Stantinko имеет и ряд других опасных возможностей:
поиск и кража личных данных; распределённый поиск в Google сайтов на Joomla и WordPress; взлом панелей управления сайтов путём перебора паролей для последующей перепродажи; мошенничество на Facebook: создание поддельных аккаунтов, лайки на страницах и фото, добавление друзей.
Пользователь заражённого компьютера может даже не подозревать, что он «подхватил» вирус. Специалисты ESET рекомендует использовать только лицензионное программное обеспечение и своевременно устанавливать обновления всех программных продуктов, в том числе антивирусов.