На протяжении многих лет «Лаборатория Касперского» изучала более 60 различных операций кибершпионажа по всему миру, однако то, что эксперты компании обнаружили совсем недавно, превосходит по своим масштабам, инструментам и эффективности все известные на сегодня вредоносные атаки. Кибергруппа, получившая название Equation Group, ведет свою деятельность на протяжении почти двадцати лет, и ее действия затронули тысячи, а возможно и десятки тысяч пользователей в более чем 30 странах мира. Наибольшее количество жертв Equation Group было зафиксировано в России и Иране.
В отличие от инструментов, цели злоумышленников вполне традиционны – это правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей, компании, занимающиеся разработкой криптографических и нанотехнологий, а также СМИ, исламские активисты и ученые.
Инфраструктура Equation Group включает в себя более 300 доменов и 100 контрольно-командных серверов, расположенных в разных странах, в частности в США, Великобритании, Италии, Германии, Нидерландах, Панаме, Коста-Рике, Малайзии, Колумбии и Чехии. В настоящее время «Лаборатория Касперского» контролирует около 20 серверов группы.
Как выяснили эксперты «Лаборатории Касперского», на начальной стадии заражения Equation Group может использовать до 10 эксплойтов, однако на практике редко применяется больше трех. Пробуя по очереди три разных эксплойта, группировка пытается проникнуть в систему, но, если все три попытки не увенчиваются успехом, атакующие отступают.
В арсенале Equation Group имеется множество зловредов, и некоторые из них крайне новаторские. К примеру, «Лаборатория Касперского» впервые в своей практике обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных производителей. Надо понимать, что таким образом злоумышленники добиваются двух целей: во-первых, однажды попав в ОС жесткого диска, зловред остается там навсегда – его невозможно ни обнаружить, ни избавиться от него: он не может быть удален даже в случае форматирования диска. Во-вторых, у атакующих есть возможность создать себе «тихую гавань» в виде секретного хранилища, где может безопасно собираться вся необходимая информация.
Кроме того, Equation Group использует червя Fanny, который позволяет получать данные с компьютера, даже если он отключен от Глобальной сети. Для этого через уже зараженный компьютер атакующие «поселяют» червя в USB-флешке, и этот зловред в свою очередь создает на съемном носителе скрытый сектор, в который собирает всю информацию об архитектуре изолированной сети. В момент попадания на компьютер, подключенный к Интернету, червь с USB передает все данные на сервер Equation Group. Атакующие также могут добавить необходимые команды в тот же скрытый сектор на флешке, и впоследствии при попадании на изолированную машину червь выполнит эти команды.
Кроме того, «Лаборатория Касперского» установила, что Equation Group взаимодействовала с другими кибергруппировками, в частности с организаторами нашумевших кампаний Stuxnet и Flame. По всей вероятности, Equation Group делилась с «коллегами» имевшимися у нее эксплойтами, использующими уязвимости нулевого дня. Например, в 2008 году червь Fanny применял те эксплойты, которые появились в Stuxnet только в июне 2009-го и марте 2010-го, при этом один из этих эксплойтов являлся модулем Flame.
Казалось бы, вопросам безопасности в области информационных технологий в последнее время уделяется очень много внимания. Причем, процесс этот двигается как компаниями, работающими на этом рынке, так и теми, чей бизнес может так или иначе пострадать от несоблюдения политик безопасности, нарушения периметра или уязвимости используемых решений. Между тем, злоумышленникам все равно удается каким-то образом достигать своих целей, т.е. решения для обеспечения ИТ-безопасности если не бесполезны, то, как минимум, обходимы. Более того – как показывают исследования ведущих вендоров, проблемы в области безопасности остаются теми же, как и несколько лет назад.
По данным отчета Cyber Risk Report компании HP, крупнейшие атаки, организованные и проведенные злоумышленниками в 2014 году, использовали уязвимости в том программном коде, которые были написаны несколько лет или даже десятилетий назад. Причем, эти уязвимости в связи с их «возрастом», как правило хорош известны, но так и не устранены.
Так, по данным отчета, 44 % инцидентов в своей основе имеют уязвимости, которым в среднем от двух до четырех лет. Соответственно, и методы «взлома» используются те же, что и в прошлом – и что самое интересно, многие инциденты оказываются успешными.
При этом проблемой номер один были и остаются неверные конфигурации серверов, благодаря которым злоумышленники получают широкие права доступа к файлам и папкам, информацию из которых можно впоследствии использовать для мошенничества.
«Технологии киберзащиты непрерывно совершенствуются, однако мы не должны «терять из виду» старые уязвимости, - подтверждает Арт Гиллиланд (Art Gilliland), старший вице-президент и руководитель подразделения Enterprise Security Products, HP. - Мы обнаружили, что самые серьезные риски для безопасности связаны с уязвимостями, о которых мы уже давно знаем. И мы не можем двигаться вперед, забыв об этих проблемах».
С другой стороны, и пользователи сами попадаются на хорошо известные и широко освещаемые компаниями, работающими на рынке ИТ-безопасности, методы и приемы злоумышленников. Одним из самых давно распространенных, но в то же время все еще отлично работающих является фишинговая атака в почтовом спаме.
По данным отчета Intel Security, две трети всех электронных писем в мире являются спамом, основная задача которого – получение информации или доступа к финансам. При этом 80 % тех, кто пользуется электронной почтой, не могут распознать самые распространенные фишинговые техники, хотя о них уже много и давно рассказывают.
Эксперты McAfee Labs указывают ,что в последнее время наблюдается существенный рост количества вредоносных ссылок: на конец 2014 года их число достигло 30 млн. Причины такого всплеска активности фишинговых атак кроются в росте популярности коротких ссылок, с помощью которых злоумышленники скрывают вредоносные сайты. Как показало исследование McAfee Labs, беспечность пользователей весьма велика: 18 % пользователей открывают полученное фишинговое сообщение и кликают на вредоносную ссылку.
«Основная тенденция, которую мы наблюдаем по мере изучения взломов и утечек данных, это использование техник социальной инженерии, которые приводят к тому, что пользователь выполняет нужные злоумышленнику действия, влекущие заражение компьютера», - убежден Радж Самани (Raj Samani), технический директор Intel Security в регионе EMEA и советник Центра изучения киберпреступности Европола.
Таким образом, злоумышленники не столько ищут новые технологии для взломов или получения частной и финансовой информации, сколько используют человеческий фактор: доверчивость пользователей, некомпетентность или лень программистов и системных администраторов. И справиться с проблемой можно, лишь преодолев этот человеческий фактор, а вовсе не с помощью инновационных защитных средств – как минимум, необходимо просвещение и обучение пользователей.
«Сегодня киберпреступникам даже не требуется глубоких знаний в области технологий, чтобы достичь своей цели, резюмирует Пол Гиллен (Paul Gillen), возглавляющий деятельность Центра изучения киберпреступности Европола. - Многие известные инструменты распространения зловредов оказываются в системе жертвы в ходе направленных фишинговых атак и полагаются на психологические манипуляции, позволяющие сломать первый рубеж обороны. Жертв зачастую убеждают открыть с виду легитимные вложения и ссылки, которые, на первый взгляд, происходят из доверенного источника».
Количество новых вредоносных программ увеличивается на сотни процентов в год
Компания Panda Security, занимающаяся разработкой антивирусов, за 2014 г. обнаружила и обезвредила при помощи своего исследовательского центра PandaLabs 75 млн новых уникальных кодов (сигнатур) вредоносных программ, говорится в исследовании компании.
Это в 2,5 раза больше, чем в 2013 г., когда компания обнаружила 30 млн новых сигнатур. Из 220 млн образцов вредоносного кода, обнаруженного Panda Security за время своего существования, более трети (34%) были написаны в 2014 г., говорится в исследовании.
Самым распространенным типом вирусов, по данным Panda Security, по-прежнему остаются троянцы – в 2104 г. на их долю пришлось около 70% сигнатур. Одним из самых опасных троянцев в 2014 г. стал CryptoLocker – он блокирует личные документы пользователя и требует заплатить за доступ к ним, цитируется в сообщении техдиректор Panda Security Луис Корронс. Жертвами этого троянца в прошлом году стали тысячи компьютеров, добавил он.
Результаты исследования Panda совпадают с данными вирусной лаборатории Eset: число угроз для ОС Windows и их активность растут экспоненциально начиная с 2006 г., говорит ведущий вирусный аналитик Eset Russia Артем Баранов. Чаще всего вредоносное ПО используется для похищения денежных средств с банковских счетов как корпоративных, так и частных пользователей, отмечает он. Количество изощренных банковских вредоносных программ увеличивается каждый год, объемы похищаемых средств растут пропорционально: ежегодно похищаются сотни миллионов долларов, говорит Баранов.
"Лаборатория Касперского" фиксирует рост атак как на корпоративных, так и на частных клиентов, говорит антивирусный эксперт компании Сергей Ложкин. Каждый день "Лаборатория" регистрирует 325 000 новых уникальных образцов вредоносного кода. За 2014 г. число организаций, подвергшихся сложным таргетированным атакам, возросло в 2,4 раза. Потери бизнеса также выросли: в России крупные организации теряли на одном киберинциденте в среднем около 20 млн руб., а компании малого и среднего бизнеса – около 780 000 руб., отмечает он.
Рост количества вирусов может быть вызван тем, что появилось такое явление, как crime as a service, – т. е. началась сегментация среди преступников, рассуждает менеджер программ информационной безопасности Microsoft в странах Восточной Европы и СНГ Андрей Бешков. Одни пишут комплекты для генерации вирусов, другие, у которых меньше навыков, применяют их для заражения систем.
В основной зоне риска находятся пользователи, использующие нелицензионное ПО – зачастую оно оказывается заранее зараженным, отмечает он. Он приводит данные IDC, по которым в 2014 г. мировой бизнес потерял около $500 млрд от использования нелицензионного ПО. Потери российских компаний составили $20 млрд и по сравнению с прошлым годом выросли на 10%, добавил он.
Вредоносная программа через специальный сервис отправляет картинку жителям развивающихся стран, а они за несколько секунд расшифровывают ее
«Лаборатория Касперского» обнаружила первый вирус, который успешно обходит проверку captcha, сообщается в пресс-релизе компании.
С помощью вируса Trojan-SMS.AndroidOS.Podec были заражены более четырех тысяч устройств с операционной системой Android, преимущественно из России и стран СНГ. В основном это происходило через социальную сеть «ВКонтакте». Вирус распространялся в группах через ссылки на вломанные версии популярных игр, например Minecraft Pocket Edition. После заражения программа получала права администратора устройства.
Вирус умеет обходить систему, которая запрашивает подтверждение пользователя перед списанием средств с помощью captcha. Captcha — это распространенный в сети способ, который позволяет проверить, что операцию выполняет человек, а не робот. Троян автоматически перенаправлял запрос captcha в сервис Antigate.com. Его сотрудники, многие из которых живут в развивающихся странах, таких как Индия, Пакистан или Вьетнам, переводят картинку в текст и в течение нескольких секунд присылают обратно.
Впервые вредоносная программа была обнаружена в конце 2014 года. Специалисты «Лаборатории Касперского» отмечают, что Podec — это очень сложный вирус, в создание которого были вложены серьезные инвестиции и время. Они также отмечают, что программа сейчас находится в стадии развития, и она будет усовершенствована.
Пресс-секретарь «ВКонтакте» Георгий Лобушкин подтвердил, что вирус распространяется через «ВКонтакте», поэтому соцсеть приняла соответствующие меры.
Антивирусные продукты Panda Security из-за сбоя в обновлении приняли за вирус собственные файлы. Некоторые системные администраторы попытались решить проблему с помощью перезагрузки, но это лишь ухудшило ситуацию — на компьютерах пропал доступ в интернет.
Шесть продуктов испанской антивирусной компании Panda Security, включая Panda Antivirus Pro 2015, Panda Internet Security 2015 и Panda Global Protection 2015, после установки бракованного обновления в среду, 11 марта, обнаружили вирус в собственных файлах — psanmodrep.dll и alertsmanager.dll, — сообщает Register. Представитель компании подтвердил изданию эту информацию.
«Вчера мы выпустили обновление с ошибкой. В результате некоторые файлы программного обеспечения были распознаны движком Panda как вредоносные. Мы отозвали это обновление и выпустили вместо него исправное, добавив в него функцию восстановления файлов, помещенных в карантин по ошибке», — рассказал представитель Panda Security изданию Register.
Как пишет издание, на предприятиях, пользующихся продуктами Panda, вследствие выхода бракованного обновления возникли сложности — некоторые из них стали работать со сбоями, на других пропал доступ в интернет.
Один из читателей Register рассказал изданию, что проблемы возникли на каждом пятом компьютере в его компании — на 60 из 300. «Panda Antivirus одновременно на десятках компьютерах в пяти различных офисах сообщил об обнаружении вируса в собственных файлах. И если у вас схожая проблема, и вы перезагрузите компьютер, то у вас пропадет доступ в интернет», — сообщил он. Представитель Panda Security в разговоре с изданием Register настоятельно рекомендовал пользователям не перезагружать компьютер, так как в этом случае компания не сможет самостоятельно установить исправное обновление и восстановить файлы, помещенные в карантин.
Жалобы на продукты Panda после установки последнего обновления появились и в Twitter. «Мы потеряли 20 компьютеров. Ни за что НЕ ПЕРЕЗАГРУЖАЙТЕ ВАШ КОМПЬЮТЕР», — предупредил пользователь Марк Рид (Mark Read), выделив сообщение крупными буквами. «Самый худший антивирус в истории. Он удалил файлы из папки System32. После перезагрузки компьютеры перестали работать», — пожаловался Erroneus.
Добавим, что подобные проблемы ранее возникали с антивирусными продуктами практически всех вендоров. В 2007 г. «Антивирус Касперского» посчитал вирусом вполне безопасные системные файлы операционной системы Windows. А в 2013 г. продукты этой же российской компании оставили без интернета тысяч своих клиентов. В 2012 г. из-за ошибки в бесплатном антивирусе Microsoft Security Essentials при попытки открытия домашней странице Google пользователи стали получать предупреждение, что этот сайт может нанести вред их компьютеру.
В том же году ошибка в антивирусе Avira привела к тому, что пользователи компьютеров с Windows не смогли загрузить систему.
Компания Panda Security является провайдером "облачных" решений безопасности. Продукты компании доступны на 23 языках, в 195 странах мира. Panda Security стала первой IT-компанией, которая использует "облачные" вычисления и технологию Коллективный разум.
Данная инновационная модель обеспечения безопасности автоматически анализирует и классифицирует тысячи новых образцов вредоносного ПО каждый день, гарантируя корпоративным клиентам и домашним пользователям наиболее эффективную защиту от Интернет-угроз с минимальным воздействием на производительность системы. Компания Panda Security имеет 80 офисов во всем мире, американский центральный офис расположен во Флориде (США), а европейский центральный офис - в Испании.
26 марта 2015 года Panda Security, производитель облачных решений безопасности и ведущий поставщик программ защиты от вредоносного программного обеспечения и вирусов, сообщил об открытии нового Представительства Panda Security в России. Основным направлением развития компании на российском рынке является продвижение новой линейки антивирусов Panda для домашних пользователей, а также облачных корпоративных решений ИТ-безопасности Panda Security для малого и среднего бизнеса.
Приоритетными задачами российского представительства Panda Security являются повышение лояльности к бренду Panda в России, развитие связей с общественностью и укрепление позиций компании на рынке.
Возглавил представительство Panda Security в России Паздников Алексей. В области IT-технологий работает с 2000 года, в том числе более 9 лет в компании Panda Security.
Kaspersky Security Day обратил внимание на инфраструктуру
7 апреля 2015 г. компания «Лаборатория Касперского» в рамках конференции Kaspersky Security Day провела презентацию решений ИТ-безопасности для крупных компаний. Рост числа комплексных, таргетированных атак и глобальных кампаний по кибершпионажу несет угрозу для критически важных объектов инфраструктуры, финансовых организаций, телекоммуникационных и финансовых компаний. В этой ситуации крупным корпорациям необходимо всерьез задуматься об усилении защиты ИТ-инфраструктуры.
Основным фактором, которому необходимо уделять внимание компаниям крупного бизнеса с точки зрения информационной защиты, является критическая ИТ-инфраструктура. Во-первых, это дата-центры, которые в том или ином виде есть у любой крупной организации. Для защиты дата-центров компания предлагает специальное решение Kaspersky Security, которое включает в себя защиту СХД и виртуальных сред. Также «Лаборатория Касперского» анонсировала планы по выпуску в этом году решения Kaspersky Private Security Network.
Другая важная инфраструктура, по словам Владимира Заполянского, руководителя управления продуктового и технологического маркетинга «Лаборатория Касперского», — это индустриальная инфраструктура, с уровнями SCADA, PLC, которые разрабатывались без учета того, что в будущем придется столкнуться с вопросами безопасности. Для работы с ней «Лаборатория Касперского» выпускает несколько систем, которые работают по принципу конструктора. Кроме этого на безопасность бизнес-процессов влияют внутренние факторы. «Даже если вы построите вокруг вашего предприятия Великую китайскую стену, вы все равно не сможете предугадать, откуда в итоге придут угрозы», — пояснил Владимир Заполянский.
DDoS-атаки, по словам Алексея Киселева, менеджера по проекту Kaspersky DDoS Prevention, одна из самых недооцененных информационных угроз. DDoS-атака на онлайн-ресурс компании влечет за собой убытки в среднем размере от 52 до 444 тысяч долларов в зависимости от размера компании – такие данные получены в ходе исследования, проведенного Kaspersky Lab и B2B International.
К данному моменту в сфере DDoS произошел качественный скачок практически по всем параметрам: значительно увеличилось количество устройств, которые могут быть использованы для проведения атаки, увеличилась их производительность, возросли скорости подключения по Интернету. Тенденцией сегодняшнего дня стало использование виртуальных и физических серверов для проведения DDoS-атак. Как правило, они используются в совокупности с технологией усиления, что позволяет в короткие сроки организовывать и проводить очень мощные атаки.
Также существует достаточно много зловредов, которые позволяют инфицировать смартфоны, и использовать их для организации и проведения DDoS-атак. Более экзотический пример связан с использованием телевизоров с поддержкой Wifi, а также роутеров, которые есть уже в каждом доме. Наконец, DDoS-атаки стали очень дешевыми. Если несколько лет назад проведение реально мощной DDoS-атаки заказчику обходилось, по оценкам «Лаборатории Касперского», в $10000, то сегодня это уже сформировавшаяся индустрия с группами компаний, людей, которые готовят и сдают в аренду ботнет-сети, собирают заказы и непосредственно осуществляют атаки. Возможность проводить оплату анонимно избавляет заказчиков фактически от всех рисков.
Все это привело в совокупности к скачкообразному роста числа DDoS-атак. Например, по данным Qrator Labs, в 2014 году наблюдался феноменальный рост числа атак повышенной сложности — со скоростью более 100 Гбит/сек. В среднем количество наблюдаемых инцидентов, связанных с DDoS-атаками, за последние 5 лет растет ежегодно на 25%. В 2015 году прогнозируется, что число атак увеличится как минимум на 20%.
По данным «Лаборатории Касперского», 38% компаний малого и среднего бизнеса готовы инвестировать в защиту от DDoS, тогда как среди крупных заказчиков эта доля превышает 60%. С точки зрения защиты на рынке представлены несколько подходов к решению проблемы, имеющих как свои плюсы, так и свои минусы. Например, использование аппаратной защиты на площадке заказчика является наиболее уязвимым подходом, поскольку не может обеспечить комплексную защиту, и, например, против объемных атак. Ограничения услуг по защите от DDoS, которые предоставляют сервис-провайдеры, связаны с тем, что провайдеру важно обеспечить работоспособность всех заказчиков. И если он не способен качественно отфильтровать атаку, то ему проще будет заблокировать ресурс.
Наконец, третий способ связан с построением специализированного решения. Так, продвигаемый Лабораторией сервис Kaspersky DDoS Prevention осуществляет защиту за счет переключения на время атаки клиентского трафика на центры очистки данных. При выявлении сетевой аномалии вредоносный трафик отфильтровывается, и до клиента доходят только запросы легитимных пользователей, что спасает инфраструктуру и сервисы от перегрузки. Этот подход позволяет выдержать DDoS-атаку практически любой мощности, а также избежать перегрузки онлайн-сервиса клиента.
Обнаружен Android-вирус для кражи денег с карт Сбербанка
Он распространяется через «сайты для взрослых» и переводит деньги на мобильные счета злоумышленников через SMS-команды
Обнаружена троянская программа для Android-смартфонов, которая похищает средства с привязанных к телефонным номерам карт Сбербанка, сообщает CNews. Деньги путем SMS-команд переводятся на номера других операторов.
Троян распространяется через «сайты для взрослых»: при заходе на них с Android-устройства пользователю предлагается установить фальшивый Flash-проигрыватель. Далее, если пользователь предоставляет приложению права администратора, программа начинает отправлять SMS-сообщения на закрепленный за Сбербанком номер «900». Троянская программа уничтожает как сообщения, отправленные Сбербанку, так и его ответы. В «Лаборатории Касперского» рассказали, что после получения прав администратора приложение невозможно удалить.
После подключения трояна мошенники переводят деньги на собственные мобильные номера и выводят их через сервисы электронных денег. Некоторые операторы, например, «Билайн», позволяют снимать деньги с телефонного номера прямо в банкомате.
В Сбербанке заявляют, что если у пользователей Android не установлен антивирус, ответственность за возможные риски лежит на клиенте, а не на банке. Представители банка пояснили, что, подключая услугу «Мобильный банк», клиент автоматически соглашается с условиями ее предоставления, в том числе, с необходимостью выполнения требований безопасности.
«При использовании незащищенной платформы Android без антивирусной защиты, загружая ПО из непроверенных источников, клиент нарушает опубликованные на сайте услуги требования безопасности и полностью берет на себя соответствующие риски и ответственность за возможный ущерб. Следует также отметить, что клиенты, использующие другие платформы, подобным рискам практически не подвергаются», — цитирует ответ Сбербанка CNews.
В банке также напомнили, что в «Сбербанк Онлайн» для Android встроен антивирус «Лаборатории Касперского». При обнаружении в системе приложений с признаками вредоносного ПО, антивирус предупреждает об этом пользователя и предлагает удалить ему удалить подозрительные программы.
«Лаборатория Касперского» помогает удалить шифровальщик CoinVault и восстановить данные
«Лаборатории Касперского» в результате сотрудничества с Национальным центром по борьбе с преступлениями в сфере высоких технологий Нидерландов (NHTCU) предоставила пользователям, пострадавшим от шифровальщика CoinVault, возможность вернуть доступ к своим данным, не оплачивая требуемый злоумышленниками выкуп. Для этого на специально созданном портале noransom.kaspersky.com размещены утилита и ключи для дешифрования данных, а также инструкция по применению.
Напомним, программа-вымогатель CoinVault с 2014 года досаждает пользователям, шифруя их ценную информацию и требуя выкуп в криптовалюте Bitcoin за восстановление доступа к данным. Национальный центр по борьбе с преступлениями в сфере высоких технологий Нидерландов и Прокуратура Голландии провели спецоперацию, изъяв с командного центра CoinVault базу данных, содержащую кошельки Bitcoin и закрытые ключи, для которых эксперты «Лаборатории Касперского» совместно со специалистами NHTCU создали специальный публичный репозиторий. По мере продвижения расследования база будет пополняться новыми ключами. Дополнительно в «Лаборатории Касперского» на основе анализа образцов зловреда, создали утилиту, которая способна удалить CoinVault с зараженной машины.
Заражению подверглись более чем тысяча компьютеров под управлением Windows в более чем 20 странах – большая часть из них находятся в Голландии, Германии, США, Франции и Великобритании, однако жертвы также обнаружены на Ближнем Востоке, в России, Восточной Европе, Африке и даже Тихоокеанском регионе.
Eset представит новую бизнес-версию решений Eset NOD32 на мероприятиях Eset Road Show
Компания Eset приглашает ИТ-специалистов и руководителей ИБ-подразделений на серию мероприятий Eset Road Show.
Совместно с партнерами из разных регионов России Eset проведет семинары, где будет представлена новая бизнес-версия решений Eset NOD32. Обновленные продукты обеспечивают принципиально новый уровень защиты от киберугроз и таргетированных атак, сохранив минимальные требования к ресурсам системы.
Среди обновленных технологий: переработанная веб-консоль централизованного управления; оптимизированные технологии детектирования угроз; новый единый графический интерфейс; облегченная активация продуктов; оптимизация для работы в виртуальной среде.
В апреле события в рамках Eset Road Show проходят в трех городах.15 апреля мероприятие состоялось в Кургане (партнером события выступила компания «Олоф»). 22 апреля очередное событие состоится в Москве (совместно с Arinteg), а 24 апреля — в Воронеже (партнером мероприятия является «КСТ-Трейд»).
FireEye обнаружила набор инструментов, создающий вирусы в автоматическом режиме
Исследователи FireEye уверены, что ряд вредоносных приложений, анализом которых они занимались с декабря 2014 года, был разработан при помощи набора инструментов Microsoft Word Intruder без вмешательства человека.
Сам инструмент, как сообщается на сайте антивирусной компании, вероятнее всего, разработали российские хакеры. Программа распространялась на русскоязычных подпольных форумах, в связи с чем в настоящий момент она не пользуется широкой популярностью среди злоумышленников всего мира. Автор Microsoft Word Intruder, скрывающийся под псевдонимом Objekt, просит за свою разработку $2-3,5 тысячи и позиционирует ее, как «наиболее надежный и универсальный набор экплоитов для .doc».
В FireEye, в свою очередь, отмечают, что созданные таким образом документы Word могут умещать в себе сразу несколько эксплоитов, поочередно предпринимающих попытки скомпрометировать целевую систему. При этом соответствующие модули и вся работа над формированием вредоноса производится автоматически без вмешательства человека.
Новый вид вредоносного ПО «заметает следы» при попытке его обнаружения
Эксперты из Cisco сообщили о новом виде вредоносного ПО, которое при сканировании зараженного компьютера на вирусы выводит его из строя. Программа, получившая название Rombertik, распространяется с помощью спам-сообщений и фишинговых писем и перехватывает любой незашифрованный текст, вводимый в окне браузера.
Этим вредонос напоминает банковский троян Dyre, однако в отличие от него похищает не только финансовую информацию, но и другие вводимые жертвой данные.
Для того чтобы заставить жертву загрузить, разархивировать и запустить Rombertik, злоумышленники используют социальную инженерию. После запуска на компьютере под управлением Windows вредоносное ПО осуществляет несколько проверок для того чтобы определить, детектируется ли оно антивирусными решениями.
Такое поведение весьма необычно для определенных типов вредоносов. Тем не менее, Rombertik уникален именно тем, что, обнаружив признаки сканирования системы на вирусы или попытки его удаления, уничтожает главную загрузочную запись. Сначала вредонос пытается переписать ее или PhysicalDisk0, а в случае отсутствия прав на переписывание главной загрузочной записи уничтожает все файлы в домашней папке пользователя (например, C:\Documents and Settings\Administrator\), шифруя их ключом RC4. После этого компьютер перезагружается.
В ходе реверс-инжиниринга Rombertik исследователи обнаружили множество слоев обфускации и функционал, позволяющий обходить обнаружение инструментами статического и динамического анализа.
Подобное ПО под названием Wiper применялось для осуществления прошлогодней атаки на Sony Pictures Entertainment, а также в ходе вредоносной кампании DarkSeoul против южнокорейских организаций, имевшей место в 2013 году. Предполагается, что ответственность за инциденты лежит на Северной Корее.
Аналитики ESET раскрыли крупную атаку на веб-серверы
Аналитики антивирусной компании ESET раскрыли крупную вредоносную кампанию по компрометации серверов под управлением Linux и BSD.
Злоумышленники использовали вредоносную программу семейства Linux/Mumblehard. Ее компоненты представляют собой скрипты на языке Perl, зашифрованные и упакованные внутри исполняемого ELF-файла. Программа предназначена для предоставления атакующим полного доступа к скомпрометированной системе (бэкдор) и рассылки спама.
Специалисты ESET обнаружили Mumblehard, отвечая на запрос системного администратора, который неожиданно обнаружил свой сервер в «черном списке» провайдера за рассылку спама. Они зафиксировали подозрительный процесс на сервере и убедились, что его исполняет вредоносный скрипт.
По данным статистики заражений, полученной вирусной лабораторией ESET, вредоносная программа была активна как минимум с 2009 года. За 7 месяцев эксперты выявили 8867 уникальных IP-адресов инфицированных систем, наибольшее число адресов в день составляло 3292. Среди всех зараженных устройств преобладали веб-серверы. Кроме того, аналитики ESET установили связь между Mumblehard и компанией Yellsoft, занимающейся распространением ПО для массовых рассылок электронной почты.
Специалисты ESET выявили два основных вектора распространения Mumblehard. Злоумышленники использовали набор эксплойтов для популярных систем управления сайтами Joomla и Wordpress, либо пиратские версии программы DirectMailer для Linux и BSD, устанавливающие бэкдор Mumblehard. Легальная программа продается компанией Yellsoft за 240 долларов.
Спам-письма, рассылаемые инфицированными системами, использовались для продвижения фармацевтических продуктов – они содержат ссылки на онлайн-магазины соответствующей тематики. Заголовки сообщений строятся с использованием двух-трех произвольно выбранных слов, что позволяет обходить антиспам-системы.
Макровирусы и новые домены на службе спамеров: «Лаборатория Касперского» о тенденциях первого
Подведя итоги первого квартала 2015 года, «Лаборатория Касперского» установила, что доля спама в мировом почтовом трафике за первые три месяца составила 59%, и это на 6 процентных пунктов меньше, чем в предыдущем квартале. При этом количество спама снижалось постепенно: больше всего нежелательных писем было разослано в январе (62%), меньше всего – в марте (56%).
Между тем уменьшение доли нежелательных сообщений вовсе не повод вздохнуть с облегчением. Спам становится более опасным, поскольку злоумышленники все чаще начинают рассылать по электронной почте вредоносное ПО. Так, в первом квартале этого года посредством спама в Сети распространялись макровирусы – вредоносные программы, написанные на макроязыках, встроенных в популярные системы обработки данных, в частности в электронные таблицы, текстовые и графические редакторы. При открытии подобного вложения запускается вредоносный скрипт, который загружает на компьютер пользователя другие зловреды, например, банковские троянцы. В основном такие вредоносные вложения маскируют под различные финансовые документы и извещения.
Еще одной тенденцией начала года стало использование новых доменов верхнего уровня для рассылки спама. Их количество резко увеличилось после запуска «Корпорацией по управлению доменными именами и IP-адресами» кампании New gTLD, которая дает возможность самостоятельно выбирать название домена в соответствии с тематикой сайта или сферой деятельности организации. Этим в своих корыстных целях решили воспользоваться и злоумышленники. Иногда тематика спама даже имела вполне очевидную связь с используемыми доменами: к примеру, в письмах с доменов .work было зафиксировано большое количество предложений по выполнению различных работ (бытового ремонта, строительства или установки оборудования), а немалую часть сообщений с доменов .science составляла реклама учебных заведений.
Что касается фишинговых атак, то за первые три месяца этого года их число увеличилось. Специальная защитная технология «Лаборатории Касперского» – «Антифишинг» – предотвратила более 50 миллионов попыток перехода на поддельные сайты. С наибольшей активностью фишеры атаковали известные финансовые бренды. В то же время эксперты «Лаборатории Касперского» отметили рост фишинговых писем в категории «Логистические компании». Более того, как показал первый квартал, прикрываясь известными сервисами по доставке товаров и грузов, злоумышленники нередко включали в такие письма вредоносные вложения или ссылки.
«В этом квартале мы наблюдали увеличение количества нелегитимных рассылок с использованием новых доменов верхнего уровня – так спамеры воспользовались кампанией по регистрации доменов New gTLD. И в ближайшем будущем рост числа новых доменов в спаме, продолжится, – рассказывает Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского». – Кроме того, не стоит забывать, что спам нередко является источником реальной опасности заражения вредоносным ПО. При этом злоумышленники тщательно «маскируют» зловредов. Например, в случае с рассылкой макровирусов вложение содержало набор случайных символов, чтобы под предлогом исправления кодировки вынудить потенциальную жертву включить макросы, при активации которых и загружался вирус».
В первом квартале 2015 г. Trend Micro заблокировала свыше 14 млрд угро
Комбинации новых и уже известных киберугроз определили ландшафт кибербезопасности в первом квартале 2015 г. Об этом CNews сообщили в Trend Micro. В числе главных тем нового отчёта компании за первый квартал 2015 г., получившем название «Вредоносная реклама и атаки нулевого дня: старые угрозы подрывают доверие к цепочкам продаж и проверенным практикам» (Bad Ads and Zero-Days: Reemerging Threats Challenge Trust in Supply Chains and Best Practices) — вредоносная реклама, уязвимости нулевого дня, «классические» макровирусы и уязвимость десятилетней давности FREAK. Также зафиксирован заметный всплеск числа кибератак на организации здравоохранения и торговли. В отчёте показано, что в новую эру, когда допуск на ошибку существенно уменьшился, основным риском становится излишняя уверенность в безопасности.
Только за первый квартал 2015 г. инфраструктура Trend Micro Smart Protection Network заблокировала в общей сложности более 14 млрд угроз. Из них тремя основными семействами вредоносных программ в прошлом квартале стали Sality (85 тыс.), Downad/ Conficker (83 тыс.) и Kryptik (71 тыс.). Программы Sality известны тем, что наносят критический ущерб, распространяя зараженные файлы .exe и .scr. Программы Downad/Conficker прославились активной эксплуатацией уязвимостей и быстрым распространением. Программы Kryptik относятся к троянским коням и в последнее время использовались для совершения атак в период подачи налоговых деклараций.
«Хотя мы рассматривали начало года, уже становится очевидным, что он будет выдающимся с точки зрения количества, изощренности и сложности кибератак, — отметил Раймунд Гинес (Raimund Genes), CTO Trend Micro. — Увеличение числа атак на организации здравоохранения в сочетании с ростом вредоносной рекламы говорит о том, что пользователи подвергаются нападениям со всех сторон. Очевидно, что и организациям, и пользователям необходимо быть проактивными в вопросах защиты от угроз. Подумайте о том, как политики информационной безопасности вашей организации будут выглядеть в условиях среды, наполненной недоверием? Разнообразие технологий активной защиты — вот необходимое условие для того, чтобы надёжно обеспечить защиту финансовой, личной и интеллектуальной собственности».
Вредоносная реклама возглавляет также и список угроз для мобильных устройств, который, с учетом зафиксированных к настоящему моменту более 5 млн угроз для Android (на 27% больше, чем в четвертом квартале 2014 г.), уже приближается к предсказанной на конец года цифре в 8 млн. Фактически, наиболее вредоносные и потенциально опасные приложения, блокированные средствами Trend Micro, были связаны именно с вредоносной рекламой, указали в компании.
Кроме того, исследователи Trend Micro обнаружили, что эксплойты нулевого дня для продуктов Adobe использовали вредоносную рекламу. Таким образом, для заражения пользователя больше не требуется, чтобы он посетил вредоносный сайт.
В дополнение к продолжающимся атакам на платформу iOS и терминалы продаж (POS-терминалы), отмечается заметный рост кибератак на организации здравоохранения. Поскольку вредоносная активность в данных областях уже несколько лет находилась в начальной стадии развития, эксперты предполагают, что данный рост объясняется, в первую очередь, отсутствием подготовленности, и это значительное упущение требует немедленного внимания.
«Хотя мы и должны постоянно обновлять свои системы для защиты от новых атак, первый квартал 2015 года ясно показал, во-первых, что необходимо помнить и о старых угрозах, а во-вторых, что ни одна отрасль и ни одна система больше не может чувствовать себя исключением», — добавил Гинес.
Количество программ-вымогателей, которые шифруют данные, по-прежнему растет. Число заражений выросло в четыре раза — с 1540 в первом квартале 2014 г. до 7855 в первом квартале 2015 г. На заражения программами-вымогателями, шифрующими данные, приходится почти половина (49%) от общего числа обнаруженных программ-вымогателей по данным за прошлый квартал. Примечательно, что рабочие файлы блокируются с целью получения выкупа постоянно. Некоторые разновидности программ-вымогателей, шифрующих данные, содержат подпрограммы, которые нацелены именно на организации.
В свою очередь, постоянный прирост числа вредоносных макропрограмм заставляет новые поколения пользователей изучать старые угрозы, игнорирование которых может дорого обойтись. Как известно, макросы автоматизируют повторяющиеся задачи в Microsoft Office и экономят время, однако в пакете Office 2003 они были по умолчанию отключены, чтобы исключить возможность их использования вредоносными программами. В прошлом квартале киберпреступники рассылали своим жертвам электронные письма с вложениями, для прочтения которых нужно было активировать макросы. В результате загружалось вредоносное ПО для интернет-банкинга VAWTRAK. Троянская программа BARTALEX автоматически распространяла себя по пользовательским системам с помощью спам-сообщений и встроенных макросов.
«Использование макросов можно рассматривать как попытку злоумышленников обойти традиционные решения для защиты от вредоносных программ. Макросы, используемые в таких угрозах, нередко скрыты: это позволяет им эффективно проходить через фильтры спама и сканеры, которые лучше справляются с поиском выполняемых программ, чем макросов, — пояснили в Trend Micro. — Макросы, которые можно активировать с помощью командных файлов, также с трудом поддаются обнаружению. Помещение в изолированную среду помогает не всегда, что связано со скрытым характером макросов или тем фактом, что пользователям уже предложили их открыть, не сообщив, что в результате этого действия в системе будет запущена вредоносная программа».
По сравнению с аналогичным кварталом прошлого года количество атак с применением наборов эксплойтов увеличилось на 30%. Чаще всего они осуществляются через такие платформы и приложения, как Java, Adobe и Internet Explorer. Между тем, количество новых наборов эксплойтов заметно упало, но даже при этом постоянное использование старых, уже разработанных наборов доказывает, что до конца года и далее количество заражений с их применением будет только расти, считают в компании.
Наконец, уязвимость FREAK затрагивает протокол проверки подлинности TLS/SSL, который используется огромным количеством сайтов и браузеров, включая около 10% самых популярных доменов, а также браузеры Android и Safari. Этот сбой, получивший название FREAK (Factoring RSA Export Keys), заставляет безопасное подключение применять более слабое шифрование и, таким образом, позволяет киберпреступникам расшифровывать конфиденциальные данные.
«Тот факт, что ошибка FREAK существует уже не первое десятилетие и работает на основе кода, написанного много лет назад, лишний раз демонстрирует, какую важную роль играет обнаружение уязвимостей, — подчеркнули в Trend Micro. — Отсутствие прямой ответственности за исправление этих ошибок усложняет работу ИТ-администраторов для нейтрализации таких рисков». По мнению экспертов компании, подобные проблемы требуют сторонних решений, которые будут независимо и заблаговременно анализировать уязвимости в существующих системах, сокращая период действия риска и предотвращая угрозы.
