Новые вирусные угрозы

[студент]

Новый троянец распространяется под видом jpg-файла

ESET сегодня предупредила о распространении троянского ПО под видом файлов .jpg в сообщениях электронной почты. Атака направлена на пользователей из стран Восточной Европы. Троян атакует компьютер, когда потенциальная жертва пытается открыть файл, вложенный в письмо, предполагая, что это изображение в формате jpeg. На самом деле под безобидную картинку маскируется исполняемый файл (ехе), который содержит вредоносный код.

Эксперты вирусной лаборатории обнаружили несколько образцов таких писем с вложенными файлами «Grafika1.jpg.exe» и «Grafika4.jpg.exe». Чтобы пользователи ничего не заподозрили, в письме отображаются «картинки из приложения» – графика из онлайн-игры League of Legends или эмблема польского футбольного клуба Ruch Chorzow.

Эксперты считают, что киберкампания ориентирована в основном на пользователей из Польши и других стран Восточной Европы, но не исключают существования писем с другой «приманкой».

Троян предназначен для кражи паролей от электронной почты, социальных сетей и других веб-сервисов, поддерживает функционал кейлоггера. Кроме того, он способен делать скриншоты рабочего стола и предоставлять своим авторам доступ к электронному биткоин-кошельку жертвы.

«Помимо основного функционала, троян может скрывать следы своей работы и мешать попыткам удаления вредоносного приложения. Для этого он блокирует доступ к панели управления, инструментам реестра, диспетчеру задач и параметрам восстановления системы», – говорит Камиль Садковский, аналитик вирусной лаборатории ESET.

[студент]

Ботнет Lethic начал использоваться для накрутки кликов

Как обнаружили эксперты компании Fortinet, операторы Lethic нашли другой способ монетизации данного ботнета. Lethic больше не распространяет спам, он обращается к заданным страницам и загружает их, не показывая жертве заражения.

Ботнет Lethic известен как минимум с начала 2010 года и на протяжении всей своей истории использовался исключительно для рассылки спама. Спамботы Lethic достаточно примитивны и используют зараженную машину как прокси-посредника между C&C и целевым SMTP-сервером. IP-адрес публичного почтовика и номер порта спамбот получает из центра управления в виде шифрованной команды.

В минувшем марте мониторинговая система Fortinet показала, что вместо почтовых серверов Lethic упорно запрашивает веб-сайт, торгующий билетами на некое шоу в Торонто. Оказалось, что почти исчезнувший со спам-арены зловред сменил профиль и стал «кликером». Он по-прежнему работает как прокси-бот, однако вместо IP почтовика получает с C&C некий URL, а вместо SMTP-команды – команду на передачу HTTP GET. Имитируя поведение браузера, обновленный Lethic скрытно от пользователя загружает страницу, накручивая посещения, приносящие доход его повелителям.

[студент]

Спамеры предлагают "бесплатные" билеты на Rolling Stones

ESET предупредила пользователей Facebook о новой уловке интернет-мошенников – спаме о «бесплатных билетах на концерт Rolling Stones».

Мошеннические посты с символикой Rolling Stones призывают перейти по ссылке на сторонний сайт, чтобы узнать подробности о розыгрыше билетов на концерт легендарных рокеров в рамках их мирового турне «14 On Fire».

Для участия в «розыгрыше» пользователю нужно поделиться этой ссылкой в своем Facebook-профиле и убедиться, что по ней перешли не менее 10 друзей. Предполагается, что после этого участник автоматически получит доступ к закрытому разделу сайта, где сможет оформить заявку на бесплатный билет.

«Рок-спам» может использоваться для распространения вредоносного ПО или сбора персональных данных «победителей розыгрыша». В любом случае, доверять данному предложению не рекомендуется, как минимум, потому что на официальном сайте Rolling Stones и Facebook-странице группы нет ни единого упоминания этой акции.

«Сильно сомневаюсь, что Rolling Stones испытывают сложности с продвижением своего турне и вынуждены раздавать билеты, – комментирует Грэм Клули, эксперт по информационной безопасности. – Это предложение, равно как и другие подобные уловки интернет-мошенников, должно вызвать подозрение хотя бы потому, что это слишком хорошо, чтобы быть правдой».

Российские поклонники Rolling Stones рассчитывают увидеть своих кумиров 12 декабря 2014 года на концерте в СК «Олимпийский». Эксперты предупреждают, что ажиотажем вокруг этого события могут воспользоваться злоумышленники, и советуют соблюдать бдительность, не переходить по подозрительным ссылкам в соцсетях и, конечно, не делиться сомнительными сообщениями в своем профиле.

[студент]

Хакеры украли пароли пользователей eBay

Хакеры взломали базу данных одной из крупнейших онлайн-площадок по купле-продаже товаров eBay. В руки злоумышленников могли попасть зашифрованные пароли и другие персональные данные, говорится в официальном сообщении eBay.

В ближайшее время eBay попросит пользователей сменить пароли к своим аккаунтам. Оповещения об этом будут размещаться как на сайте eBay, так и в индивидуальных электронных сообщениях пользователям.

В базе данных, взлом которой произошел в конце февраля-начале марта, находились имена пользователей eBay, пароли в зашифрованном виде, адреса электронной почты, физические адреса, номера телефонов и даты рождения. О том, что регистрационные данные сотрудников eBay попали в руки злоумышленников, стало известно около двух недель назад, а взлом базы данных был выявлен только недавно.

Однако финансовая информация, в том числе данные банковских карт, и конфиденциальные персональные данные во взломанной базе не хранились. В eBay напомнили, что финансовые данные, которые используются в работе с сервисом, хранятся отдельно в зашифрованном формате.

Компания не выявила какой-либо мошеннической активности с аккаунтами пользователей eBay после взлома. Кроме того, eBay утверждает, что не обнаружила фактов неавторизованного доступа к аккаунтам в своей платежной системе PayPal и до личной и финансовой информации PayPal-пользователей хакеры добраться не смогли. Напомним, что данные аккаунтов PayPal хранятся отдельно от данных eBay, а финансовая информация зашифрована.

Поскольку eBay не уточняет масштабы инцидента, он мог затронуть и российских пользователей. По данным eBay, в России у сервиса насчитывается миллион активных пользователей, которые оформляли на сайте хотя бы один заказ в течение года.

Компания вместе с правоохранительными органами и специалистами по информационной безопасности на данный момент ведет расследование несанкционированного доступа в систему, а также принимает дополнительные меры для защиты пользователей.

[студент]

Антивирусная компания Avast сообщила о взломе ее интернет-форума

Антивирусная компания Avast сегодня предупредила о том, что ее интернет-форум стал жертвой хакерской атаки и 400 000 зарегистрированных на нем пользователей могли стать жертвами похищения персональных данных. Винс Стеклер, генеральный директор Avast Software, говорит, что на сегодня продуктами компании пользуются около 200 млн человек, а 400 000 — это 0,2% от данной базы.

Сообщается, что атака была проведена в минувшие выходные и сразу же после ее выявления форум был закрыт. На данный момент в Avast не сообщают, как именно данные были похищены, однако в компании подозревают, что утечка произошла через баги в третьем программном обеспечении, используемом для хостинга форума.

«Этот форум работал много лет и он всегда был размещен на стороннем программном обеспечении, поэтому сейчас точно не ясно, как был осуществлен взлом», - говорит он.

Стеклер заявил, что никакие финансовые данные похищены не были, а пароли пользователей в похищенной базе, были зашифрованы.

[студент]

США обвинили иранских хакеров в кибершпионаже

Издание the Wall Street Journal сегодня публикует материал полученный от Национального совета по безопасности США и независимой ИТ-компании iSight, согласно которому группа иранских хакеров проводила кампанию по кибершпионажу за высокопоставленными американскими чиновниками. В задачи хакеров входил сбор данных об экономических санкциях, ядерных программах и связанной политике, а также других вопросах международного масштаба.

В материале отмечается, что иранской стороной были созданы фиктивные организации в США, через которые получались данные по упрощенным схемам. Кроме того, хакеры активно работали с общедоступными ресурсами, такими как Facebook или LinkedIn, пытаясь получить дополнительные данные.

WSJ отмечает, что кампания уходит корнями в 2011 год и, судя по всему, продолжается до сих пор, причем в последнее время она распространилась на представителей Великобритании, Саудовской Аравии, Сирии и Ирака. В iSight Partners говорят, что наблюдали за действиями кибершпионов на протяжении полугода и только сейчас публикуют отчет о данной деятельности.

Компания отмечает, что прежде в США не полагали, что Иран может обладать столь развитыми инструментами и методами шпионажа. О конкретном ущербе, который был нанесен или мог быть нанесен, ничего не сообщается. В iSight говорят, что данная кампания была долговременной, скоординированной и продуктивной для ее организаторов. Одновременно с этим, компания подвергает критике федеральные ведомства США, которые не наладили должного межведомственного контакта друг с другом и не смогли вовремя блокировать хакеров.

Более подробная версия отчета iSight должна быть опубликована в четверг вечером. Отметим, что как и в случае с ранее прозвучавшими обвинениями в адрес хакеров из Китая в США сейчас в открытом виде не декларируют, что хакеры как-то связаны с официальными властями страны, однако в отчете говорится о явно политической мотивации, а также мощных финансовых ресурсах и международных связях, которые без господдержки вряд ли были бы возможны.

[студент]

Новый Android-вредонос Simlocker шифрует данные на карте памяти

Антивирусная компания Eset на неделе сообщила об обнаружении опасного Android-вредоноса, шифрующего данные на карте памяти мобильного устройства. В Eset говорят, что появление Android-шифровальщиков — это не такое уж редкое дело, но далеко не все из них имеют возможность работы с картами памяти с привилегиями системного уровня.

В компании говорят, что их всех мобильных вредоносов программы-шифровальщики являются одной из наименее распространенных категорий программ. Ранее мобильные вирусописатели применяли другие методы блокировки устройств для вымогания дене, предпочитая не трогать файлы. К примеру, вредоносы Android.Defender и Android.Koler применяли различные методы экранной блокировки для шантажа пользователей.

В свою очередь новый вредонос Android/Simlocker.A сканирует SD-карту на наличие файлов с расширением jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 и шифрует их при помощи алгоритма AES (Advanced Encryption Standard). После этого код выводит пользователю сообщений о том, что авторам кода необходимо перечислить 260 украинских гривен через сервис MoneXy для расшифровки смартфона или планшета.

Аналогичный метод шантажа использует вредонос Cryptolocker, однако этот код ориентирован на ПК под управлением Windows. Ранее автор Cryptolocker был арестован ФБР США.

В Eset говорят, что авторы Simlocker использовали достаточно простую технику для шифрования, однако само наличие подобного кода — это своего рода proof-of-concept. То есть в будущем, скорее всего, можно ожидать появления более продвинутых образцов.

Eset сообщает, что ее специалистами код был обнаружен внутри приложения Sex xionix, которое не распространяется через Google Play и пока масштабы заражения Simlocker, скорее всего, невелики.

Еще одним интересным моментом Simlocker является использование Tor-коммуникаций. Коммандный сервер этого кода использует расширение .onion и не доступен из обычного интернета. По Tor-каналам вредонос передает IMEI-номер мобильного устройства и получает данные для шифрования информации.

[студент]

В Москве поймали блокировавших iPhone и iPad хакеров

Злоумышленники, блокировавшие устройства Apple в России с целью дальнейшего вымогательства, задержаны сотрудниками управления «К» МВД России. Об этом говорится в пресс-релизе ведомства.

В ходе проведения оперативных мероприятий были выявлены и задержаны двое подозреваемых, проживающих в Южном административном округе Москвы, 1991 и 1998 годов рождения, один из них уже был судим ранее. Они дают показания, а потерпевшим возвращен доступ к их устройствам.

В отношении подозреваемых возбуждено уголовное дело по части 2 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации»).

Сообщения о блокировании устройств Apple и вымогательстве за возврат их работоспособности стали поступать в управление «К» МВД России весной. Через месяц были обнаружены подозреваемые. Как и предполагали эксперты, злоумышленники использовали возможности сервиса Find my iPhone, предназначенного для поиска и блокирования потерянных или украденных мобильных телефонов или планшетов.

Захват контроля над iPhone и iPad проводился по двум схемам. По первой злоумышленники получали доступ к учетной записи Apple ID жертвы при помощи создания фишинговых страниц, то есть подделывали стартовую страницу сайта, требовавшую логин и пароль к сервису или к электронной почте, к которой был привязан сервис. Как вариант, учетные данные могли быть получены методами социальной инженерии. Вторая схема предусматривала привязку чужого устройства к заранее подготовленной учетной записи. Пользователя к этому варианту склоняли, предлагая в интернете в аренду аккаунт Apple ID, содержащий большое количество оплаченных программ и медиаконтента.

Вернуть контроль над заблокированными устройствами можно было, только обратившись в техническую поддержку Apple по телефону на сайте. Если пользователю удавалось ответить на ряд вопросов по своему аккаунту, ему возвращали доступ к устройству.

Чтобы избежать блокирования устройств в будущем, Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского», рекомендует не использовать в качестве логина в Apple ID адреса электронной почты. На смартфон или планшет следует установить пин-код и проверить безопасность используемых паролей: они должны отличаться на разных сайтах, быть достаточно длинными и сложными. Кроме того, он советует остерегаться фишинга, не вводить пароль, если есть сомнения, что на экране действительно оригинальный сайт Apple. Современные браузеры помогают избежать фальшивых сайтов. Также не стоит использовать уже созданные аккаунты Apple ID, злоумышленники могут вернуть контроль над ними, сохранив у себя пароль или восстановив его по стандартной процедуре через электронную почту.

Случаи блокирования техники Apple с целью вымогательства денег наблюдаются по всему миру. Apple сообщила ресурсу ZDNet, что безопасность сервиса iCloud не была скомпрометирована. Компания рекомендовала пользователям, которых затронула атака, поменять пароль Apple ID и избегать использования одинаковых логинов и паролей для различных сервисов.

[студент]

Киберпреступления причиняют ущерб мировой экономике в размере порядка 445 млрд долларов в год

Киберпреступления причиняют ущерб мировой экономике в размере порядка 445 млрд долларов в год, говорится в новом докладе Центр стратегических и международных исследований (CSIS) США. Авторы указывают, что киберпреступность – растущая индустрия, которая наносит вред торговле, конкурентоспособности и инновациям.

По самым скромным подсчетам, ущерб оценивается в 375 млн долларов, а по самым смелым – в 575 млн, говорится в докладе, спонсором которого стала компания McAfee, которая занимается разработками в сфере антивирусного программного обеспечения.

«Киберпреступность – по сути, налог на инновации, который замедляет глобальное развитие, снижая уровень прибыли изобретателям и инвесторам, – сказал Джим Льюис из Центра стратегических и международных исследований. – Для развитых стран, киберпреступность имеет серьезные последствия для рынка труда».

Авторы доклада выяснили, что самые крупные потери несут на себе крупнейшие экономики мира, среди которых лидируют Соединенные Штаты, Китай, Япония и Германия, теряя 200 млн долларов ежегодно. Потери связанные с утечками персональных данных, как, например, кражи данных кредитных карт, составляют 150 млн долларов.

В США порядка 40 млн людей, около 15% всего населения, сталкивались с кражей личной информации хакерами. В Турции от подобного рода преступлении пострадали 54 млн человек, в Германии – 16 млн, в Китае – более 20 млн человек.

[студент]

Девятиклассники демонстративно взломали банкомат в перерыве между уроками

Во время обеденного перерыва в школе 14-летние Мэттью Хьюлетт и Калеб Тюрон из канадского города Виннипег взломали банкомат Bank of Montreal. К счастью, для банка ребята оказались весьма порядочными.

Смышленые девятиклассники предположили, что, как и для большинства электронных устройств, в интернете должна быть опубликована инструкция к банкомату. Подсмотрев номер модели банкомата в местном продуктовом магазине, они распечатали из Сети соответствующую инструкцию для операторов и взломали его, передает SecurityLab.

Когда банкомат запросил ввести пароль, подростки ввели первое шутливое слово из шесть символов, которое взбрело в их головы. К их великому удивлению, это сработало. К счастью для банка, школьники оказались честными ребятами и сообщили о своем открытии сотрудникам ближайшего отделения Bank of Montreal. Однако им не поверили, и мальчики продемонстрировали взлом наглядно.

"Мы снова вернулись к банкомату и активировали режим оператора. Я распечатал всякую документацию о том, сколько денег есть в банкомате, сколько снятий произошло в тот день, какая сумма была снята за дополнительные услуги, - рассказал Хьюлетт The Winnipeg Sun. - Потом я обнаружил способ, как изменить сумму оплаты, и изменил ее на один цент".

В добавок к этому школьники изменили текст приветствия, высвечивающийся на экране банкомата, с "Добро пожаловать" на "Убирайтесь, этот банкомат взломан". После этого сотрудники банка уже не могли сомневаться в случившемся.

[студент]

Прошло 10 лет со дня обнаружения первого червя для мобильных платформ

Ровно 10 лет назад «Лабораторией Касперского» был обнаружен Cabir — первый в своем роде червь, нацеленный на мобильные устройства. В отличие от современных мобильных зловредов Cabir не был оснащен широким набором вредоносных функций. Несмотря на это, он вошел в историю, первым продемонстрировав, что мобильные устройства также могут быть интересны злоумышленникам.

Специалисты компании впервые столкнулись с Cabir в начале июня 2004 года. Один из антивирусных аналитиков «Лаборатории Касперского» обратил свое внимание на почтовое сообщение без текста, которое, тем не менее, содержало вложение. Прикрепленный файл показался сотрудникам подозрительным: быстрый анализ не позволил определить, для какой платформы он был создан — по крайней мере, не для Microsoft Windows или Linux, с которыми обычно приходилось работать аналитикам на тот момент.

«Вскоре после обнаружения подозрительного файла Роман Кузьменко определил, что он был написан для запуска на Symbian OS, мобильной операционной системе, которая обеспечивала функционирование телефонов Nokia».

Дальнейший анализ показал, что этот файл был способен передавать самого себя на другой телефон через Bluetooth. Из-за того, что Bluetooth-модуль был постоянно активирован, заряд батареи зараженного телефона источался очень быстро. По сути, это было единственное, к чему приводило функционирование программы — ее едва ли можно было назвать вредоносной. Однако способность к репродукции заставила экспертов «Лаборатории Касперского» сконструировать специальный тестовый стенд для анализа подобных угроз. Комната, в которой располагался стенд, была проэкранирована так, чтобы радио-сигнал не смог покинуть ее пределы, и впоследствии стала местом проведения тестов над новыми образцами мобильных зловредов.

Анализ кода и обратный адрес присланного письма позволили установить авторов нового червя — это была легендарная международная группа вирусописателей 29A, получивших известность за создание так называемых концептуальных вирусов, целью которых была демонстрация уязвимостей тех или иных компьютерных подсистем или устройств.

В дополнение к созданию таких программ группа 29А также периодически выпускала электронный журнал. В одном из изданий они опубликовали информацию о Cabir, а также некоторые фрагменты его исходного кода. Эта статья, показавшая возможность заражения одной из самых распространенных на то время мобильных платформ, наделала много шума в мире компьютерной безопасности. Она также подтолкнула других злоумышленников к развитию этого нового подхода. Вскоре после публикации в издании группы в Сети начали появляться различные модификации Cabir.

После Cabir специалистами «Лаборатории Касперского» были обнаружены несколько сотен других мобильных зловредов, нацеленных на Symbian OS. Число новых подобных программ стало стремительно падать после появления и распространения таких систем, как Android, популярность которых обеспечила им пристальное внимание злоумышленников.

[студент]

СМИ: Хакеры атакуют госорганы прикрываясь Минфином

Сегодня утром представители Министерства финансов РФ разослали во все федеральные органы власти, Банк России и областные администрации предупредительное письмо, в котором говорилось, что вчера вечером хакеры атаковали госорганы прикрываясь Минфином.
В частности, было зафиксировано несколько случаев, когда представители государственных структур получали электронные письма от имени заместителя министра Андрея Иванова, которые содержали вирусную программу. В этих письмах-вирусах, отправленных с различных адресов, заместитель министра якобы предлагал ознакомиться с новым приказом ведомства, согласно которому в России планируется ввести новую программу управления финансами всех министерств с целью сократить расходную часть бюджета.
К каждому письму был прикреплен специальный файл, в котором чиновники должны были поставить свою подпись. Данный файл содержал вирусную программу, которая шифрует все графические и текстовые файлы на носителе.
За разблокировку компьютера киберпреступники требовали перечислить им 5000 рублей в виде электронных денег. Представители Министерства финансов советуют сотрудникам гоструктур не открывать подобные письма и сообщать об их наличии в службу информационной безопасности.

[студент]

Обнаружены новые модификации трояна-вымогателя Simplocker

Эксперты вирусной лаборатории Eset в Братиславе (Словакия) обнаружили новые модификации трояна-вымогателя Simplocker, атакующего мобильные устройства на базе Android. По данным компании, наибольшее распространение троян получил в России и Украине. Simplocker – первый троян-вымогатель для смартфонов и планшетов на Android, способный шифровать файлы пользователя. Он блокирует доступ к устройству и требует за расшифровку денежный выкуп.

Новые модификации Simplocker, обнаруженные аналитиками Eset, отличаются друг от друга рядом признаков:

· некоторые варианты используют для связи с командным сервером обыкновенные домены, другие – домены .onion, принадлежащие анонимной сети TOR;
· обнаружены различные пути передачи команды decrypt, которая сигнализирует о факте получения выкупа злоумышленниками;
· используются разные интерфейсы окон с требованием выкупа и различные валюты (рубль и гривна);
· некоторые модификации используют в сообщении о блокировке фотографию пользователя, сделанную на встроенную камеру устройства;
· вопреки обещанию мошенников, несколько версий Simplocker не шифруют файлы, а просто блокируют устройство.

Вместе с этим в большинстве модификаций используется упрощенный подход к шифрованию с использованием алгоритма AES и жестко зашитого ключа. Система телеметрии ESET LiveGrid позволила установить основные векторы заражения Simplocker. Чаще всего злоумышленники маскируют троян под приложение с порнографическим контентом или популярную игру, например, Grand Theft Auto: San Andreas.

Simplocker распространяется также посредством загрузчика (downloader), который удаленно устанавливает основной файл трояна. Использование этого типа вредоносного ПО является обычной практикой для Windows, но в последнее время такие программы создаются и для Android.

Специалисты изучили один из загрузчиков, который детектируется продуктами ESET NOD32 как Android/TrojanDownloader.FakeApp. Он распространялся под видом видеоплеера USSDDualWidget через магазин приложений. Его URL-адрес не указывал напрямую на вредоносный файл с трояном, поэтому загрузчик не вызывал подозрений. Установка Simplocker осуществлялась после перенаправления на другой сервер, находящийся под контролем злоумышленников.

«Подобные приложения могут появляться даже на Google Play и успешно избегать разоблачения со стороны security-приложений, в частности, Bounce, - комментирует Артем Баранов, ведущий вирусный аналитик Eset Russia. – Причина в том, что такие загрузчики при установке не требуют подозрительных разрешений на доступ, а сам факт перехода по URL еще не говорит о вредоносной активности».

[студент]

DDoS атакует

Основным объектом нападений хакеров в России стали сайты платежных систем



В России продолжает расти число DDoS-атак на интернет-ресурсы. Они осуществляются злоумышленниками с целью нарушить работу сайтов путем искусственно созданного мощного потока обращений к нему. В январе-мае 2014 года основной целью хакеров стали сайты платежных систем — в среднем 6,2 инцидента на один интернет-ресурс.

Скрытый текст

По данным, которые предоставлены «Ленте.ру» компанией Qrator Labs, специализирующейся на защите сайтов от DDoS-атак, это намного превышает количество посягательств на другие виды сайтов. Такой вывод следует из анализа опыта около 400 корпоративных клиентов Qrator Labs.

Деньги решают все

В январе-мае прошлого года наиболее часто злоумышленники атаковали сайты биржевых компаний («Форекс» и других) ─ в среднем 10,7 атак на одну компанию в месяц. За ними следовали купонные сервисы ─ 5,4 инцидента, а также сайты по недвижимости ─ в среднем по 5 атак на каждый.

За те же пять месяцев нынешнего года в тройке наиболее атакуемых видов интернет-сайтов произошли изменения. Главной целью хакеров стали ресурсы платежных систем с показателем 6,2 атаки на один ресурс ежемесячно. Эти сайты заняли место среди основных объектов охоты киберпреступников вместо купонных сервисов.

По-прежнему в зоне повышенного внимания злоумышленников остаются сайты сектора недвижимости (5,37 атаки на один ресурс) и биржевые сайты (4,37 атаки).

DDoS-атаки на правительственные ресурсы и в прошлом году, и в этом не сильно интересовали киберпреступников. За год среднее количество инцидентов с госресурсами снизилось на треть, до 0,9 атаки в месяц. Можно сделать вывод, что либо хакеры не видят никакой для себя выгоды, атакуя подобные сайты, либо сделать это становится слишком сложно и не оправдывает трудозатрат.

Помимо государственных, не особенно привлекают киберзлоумышленников игровые интернет-сервисы и так называемые сайты-визитки компаний (по 1,49 атаки на ресурс). Оно и понятно: там нечего взять.

По данным исследования компании Trend Micro, за последние несколько лет услуги хакеров в России заметно подешевели. Таким образом, им становится выгоднее атаковать те ресурсы, которые могут принести заметное обогащение, тогда как DDoS-атаки на государственные сайты вряд ли могут быть эффективными в смысле получения денежной прибыли.

Интересы хакеров смещаются в сторону компаний, атаковав которые можно получить материальную выгоду. Например, количество инцидентов с интернет-магазинами в первые пять месяцев текущего года выросло более чем в три раза по сравнению с аналогичным периодом прошлого года и составило 3,7 DDos-атаки в месяц.



Чем дальше, тем гуще

Всего за 2013 год компания Qrator Labs нейтрализовала 6,6 тысячи DDoS-атак на своих клиентов. Годом ранее эта цифра составила 3,7 тысячи инцидентов.

По словам Александра Лямина, основателя и генерального директора Qrator Labs, общее количество атак на российские сайты выросло за прошлый год примерно на четверть.

Также возросло среднее число атак, приходящихся на один сайт. Одной из причин происходящего Лямин видит в том, что в последние годы осуществить DDoS-атаку становится легче.

«Хакеры стали более гибкими в отношении выбора метода атаки. Мы наблюдаем четкую тенденцию уменьшения длительности атак на наших клиентов — если раньше исполнители атак подолгу пытались преодолеть защиту, то сейчас речь идет в основном о кратковременных пробах прочности, за которыми следует отказ от намерений либо смена методики или технологии атаки», — отмечает Лямин.

Атаки усиливаются

По данным «Лаборатории Касперского», весной 2014 года средняя мощность DDoS-атаки составляла 70-80 гигабит в секунду, а в пиковые моменты — 100 гигабит в секунду. А еще год назад самая мощная DDoS-атака в рунете не превышала порога в 60 гигабит в секунду.

Столь значительное увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников метода NTP Amplification. Атаки этого типа имеют коэффициент усиления (к числу задействованных в атаке компьютеров) до 556 раз, что позволяет хакерам быстро достичь высокой мощности при минимальных усилиях. Помимо этого, такой метод дает злоумышленникам возможность скрыть свой настоящий адрес, что затрудняет их идентификацию.

Прогнозы

В Qrator Labs на сегодняшний день выделяют несколько основных классов атак. Во-первых, это «забивание» полосы каналов связи многочисленными обращениями к атакуемому ресурсу. Такие нападения происходят почти каждый день, достаточно разрушительны, просты в исполнении и тривиальны.

По словам Лямина, крайне опасным видом атак из-за сложности их обнаружения являются атаки на инфраструктуру сети, на все ее элементы, которые взаимодействуют с оборудованием, пересылающим пакеты информации.

Эти атаки влияют на информацию о маршрутах передачи данных, работоспособность оборудования. Пока они остаются ниже «радара» злоумышленников, но фокус туда обязательно сместится в ближайшее время, поскольку с атаками, влияющими на инфраструктуру сети, бороться сложно, и методы противодействия сейчас только разрабатываются.

«В 2014 году ситуация с DDoS-атаками в рунете будет зависеть от того, как отреагирует сообщество операторов на вызовы киберпреступников. Если не будут предприниматься согласованные меры всех участников межоператорского взаимодействия по противодействию угрозе, с высокой вероятностью можно ожидать устойчивого роста и мощности, и количества атак», — полагает Александр Лямин.

[свернуть]

[студент]

Хакеры взломали сайт аргентинской звукозаписывающей отраслевой организации

Официальный веб-сайт Звукозаписывающей ассоциации Аргентины во вторник был взломан хакерами, которые разместили на ресурсе программу-редирект на проект the Pirate Bay. После взлома ресурс отраслевой организации стал обслуживать клиентов, как один из торрент-шлюзов.

Согласно информации Torrent Freak, во взломанном состоянии сайт Аргентинской палаты продюссеров фоно- и видеограмм был около 10 часов. Атака на сайт стала результатом успешной юридической кампании по блокировке более 2000 IP-адрес и 12 доменов с которых велось распространение пиратского контента.

[студент]

Хакерам удалось взломать электромобиль Tesla Model S

Китайским хакерам удалось взломать систему Tesla Model S. Под контроль были успешно взяты функции управления дверными замками электрокара, люком, фарами, стеклоочистителями и клаксоном. Хакеры из КНР приняли участие в конференции по безопасности SyScan 360, на которой разыгрывались 10 000 долларов за успешный взлом электрокара Tesla Model S. Организатор мероприятия, китайский антивирусный вендор Qihoo 360, сообщил об успехе китайской команды, но умолчал о подробностях взлома.

"Владельцы Tesla должны быть очень осторожными во время поездок под дождем, чтобы люк на крыше их авто "случайно" не открылся, залив дождевой водой весь салон автомобиля", - пошутили на своей странице в Weibo сотрудники охранной компании.

Позже представители Qihoo 360 направили руководству Tesla Motors письмо с предложением о сотрудничестве, которое позволит быстро ликвидировать программную брешь в защите электрокара.

Независимый эксперт по вопросам безопасности Чарли Миллер уверен, что еще слишком рано делать окончательные выводы на этот счет. Он добавил, что не удивлен новостью о взломе Tesla Model S.

"Современные водители не слишком хорошо осознают, что системы с тем же доступом по Bluetooth или навигационное оборудование теоретически могут стать средствами, которые весьма реально использовать для контроля за торможением, поворотом колес или открытием замков. Все эти функции взаимосвязаны благодаря единой бортовой системе. Сегодня мы заняты решением вопроса, какой способ выбрать для максимальной защиты автомобильного компьютера от стороннего проникновения", - рассказал о своем видении проблемы Миллер.

[студент]

Хакеры атаковали компьютеры журналистов the Wall Street Journal

Компания Dow Jones сегодня сообщила о том, что некоторые из компьютеров журналистов издания The Wall Street Journal, где содержались закрытые сведения, были взломаны. Для предотвращения дальнейших атак, компьютеры были отключены.

Представители издательского дома говорят, что в результате хакерских атак злоумышленники получили доступ к инфографике и неопубликованным статьям. График выпуска изданий из-за атаки не был нарушен.

Дополнительные подробности атаки недоступны.

[студент]

Хакеры взломали сайт Европейского центробанка

Сайт Европейского центрального банка (ЕЦБ) был взломан хакерами. Об этом говорится в сообщении на сайте ЕЦБ. Были украдены электронные почтовые адреса и другие контактные данные пользователей, зарегистрированных на сайте. Эти данные использовались для приглашения на мероприятия банка.

Внутрибанковская компьютерная сеть и данные, которые могут оказать влияние на рынок, не были скомпрометированы, так как физически отключены от систем ЕЦБ, подключенных к интернету.

Похищенные данные хранились в основном в зашифрованном виде, однако некоторые адреса, телефоны и подобная информация могли быть доступны для прочтения.

Европейский центробанк сообщил, что продолжит прилагать максимальные усилия для защиты данных. Информация о взломе передана в немецкую полицию, начато расследование.

[студент]

В сети появились новые версии троянца-вымогателя Simlocker


Эксперты вирусной лаборатории Eset в Братиславе (Словакия) предупреждают о появлении новых модификаций шифровальщика Simplocker для смартфонов и планшетов на базе Android. Теперь троян ориентирован на англоговорящих пользователей.

Скрытый текст

Simplocker – первый троян-вымогатель для Android-устройств, шифрующий файлы. Он блокирует доступ к мобильному устройству и требует денежный выкуп за расшифровку. В предыдущих версиях сообщение о блокировке было написано на русском языке, сумма выкупа указывалась в украинских гривнах, а перевод осуществлялся посредством сервиса MoneXy.

В новой версии Simplocker требование выкупа написано на английском языке. В нем используются снимки со встроенной камеры, и сообщается, что устройство заблокировано ФБР после обнаружения незаконного контента – детской порнографии. Стоимость расшифровки файлов составляет 300 долларов, жертве предлагается перевести средства через сервис MoneyPak.

С технической точки зрения, механизм шифрования файлов в обновленном Simplocker остается прежним, за исключением использования нового ключа шифрования. Кроме того, новые модификации трояна могут шифровать не только изображения, документы и видео, но и архивы ZIP, 7z и RAR. Это может иметь неприятные последствия для пользователя, поскольку средства резервного копирования в Android хранят копии именно в формате архива.

Для распространения Simplocker злоумышленники используют методы социальной инженерии и маскируют вредоносную программу под видеоплеер. В процессе установки трояна запрашивает расширенные права (Device Administrator) для обеспечения собственной безопасности.

Для восстановления данных на инфицированном устройстве эксперты Eset рекомендуют использовать бесплатное приложение ESET Simplocker Decryptor. При этом наиболее эффективной тактикой является предотвращение заражения – стоит соблюдать бдительность при установке приложений и избегать продуктов, которые запрашивают расширенные права администратора.

[свернуть]

[студент]

Новый троянец атакует швейцарские банки и подменяет DNS


Некоммерческая швейцарская ИТ-организация Switch CH сообщила об обнаружении нового троянского кода, целенаправленно атакующего системы онлайн-банкинга швейцарских банков. Эксперты утверждают, что вредоносный код родом из России, и он способен перехватывать SMS-ключи, а также изменять настройки доменной системы компьютера.

Скрытый текст

На практике воздействие троянца приводит к тому, что жертва данного вредоноса попадает на мошеннический сайт, откуда у него похищают все реквизиты для доступа к реальному банкингу. Интересно отметить, что вдобавок к традиционному функционалу, новый код обходит системы двухфакторной аутентификации, а кроме того подменяет DNS-записи, что создает даже у продвинутого пользователя полную иллюзию легитимности действий. Единственное, что как-то выдает подозрительность действий, это возможная сработка системы на поддельные сертификаты.

Инженер Switch CH Дэниэль Стирнманн говорит, что новый вредоносный код, известный как Retefe, после выполнения поставленных перед ним задач по краже данных автоматически удаляется из системы, чтобы у обманутого пользователя не было возможности почуять неладное. Также он отмечает, что сам по себе код и алгоритм вредоноса реализованы «очень элегантно». Кроме того, он отметил, что немногие вредоносные коды самоуничтожаются после выполнения своих задач.

Он также отметил, что троянец имеет Android-компонент для перехвата sms-токенов. Если говорить об ареале работы Retefe, то код сосредоточен на Европе, однако отмечены случаи его активности в австралийских и новозеландских подразделениях европейских банков.

[свернуть]

[студент]

Злоумышленники вымогали деньги у посетителей порносайтов

Сеть распространения вредоносных программ Koler обнаружили специалисты «Лаборатории Касперского», сообщается в пресс-релизе компании.

Вредоносный софт нацелен как на Android-устройства, так и компьютеры пользователей, Потенциальные жертвы завлекались обещанием порноконтента, однако в большинстве случаев лишь подвергались риску заражения программой-блокером. На экране заблокированного устройства отображалось якобы официальное требование полиции заплатить «штраф» от 100 до 300 долларов за просмотр порнографических материалов – благодаря тематике сайтов, на которых пользователи становились жертвами этих программ, требование имело особый психологический эффект.

Несмотря на то что функции программы-блокера сводились лишь к блокированию экрана, специалисты отметили, что злоумышленники использовали разный текст и символику местных правоохранительных органов для 30 стран Европы, Северной и Латинской Америки, а также Австралии. Дальнейшее расследование привело к обнаружению хорошо продуманной и развитой сети, которая обеспечивала дистрибуцию вредоносных программ.

Пользователи завлекались в сеть с помощью 48 порносайтов. От них запросы направлялись систему перераспределения трафика, после чего жертва попадала на один из множества серверов, распространяющих вирус.

Как показала полученная специалистам статистика, в одну только подсеть с мобильными зловредами попало более 170 тыс. пользователей.

[студент]

Сайт президента Украины обрушился из-за DDoS-атаки 0

Специалисты Государственного центра защиты информационно-телекоммуникационных систем, входящего в состав Госспецсвязи Украины, отбили мощную атаку на сайт президента страны Петра Порошенко. Информация об этом появилась на сайте Госспецсвязи во вторник, 29 июля.

Ведомство также опровергло информацию о сотрудничестве с хакерскими структурами. "Распространение заявлений о сотрудничестве их с киберпреступниками - провокация, направленная на подрыв доверия к структурам, которые обеспечивают защиту государственных информационных ресурсов", - говорится в сообщении Государственного центра защиты информационно-телекоммуникационных систем.

Напомним, что хакерская атака на сайт украинского президента обрушилась во вторник, 29 июля. Ответственность за кибернападение взяли на себя члены организации "КиберБеркут".

В своем сообщении хакеры обвинили президента Украины в "геноциде собственного народа", а также поблагодарили за сотрудничество специалистов Государственной службы специальной связи и защиты информации. "КиберБеркут" подчеркнул, что планирует и в дальнейшем сотрудничать со службой.

Ранее в этом году хакеры, причисляющие себя к группировке "КиберБеркут", выложили на своем сайте персональные данные ряда клиентов украинского банка "ПриватБанк". Они также призвали клиентов банка вывести свои средства со счетов в этой финансовой организации, пообещав в противном случае отправить деньги на оказание гуманитарной помощи юго-востоку Украины.

В настоящее время сайт президента Украины president.gov.ua, ушедший в офлайн утром 29 июля, остается неработоспособным.

[студент]

Габрелянов сообщил об украинской DDoS-атаке на все сайты News Media

Исполнительный директор холдинга News Media и глава телеканала LifeNews Ашот Габрелянов заявил, что все ресурсы компании, включая сайт газеты «Известия», подвергаются мощной DDoS-атаке с Украины. «Возможны временные перебои в работе сайтов», — написал он в Twitter.

«Есть специализированные технологии, которые позволяют выявить если не досконально от кого, то по крайней мере определить страну, из которой ведется атака. По поим сведениями, она ведется с Украины», — сказал Габрелянов радиостанции «Русская служба новостей», также входящей в холдинг.

По его словам, технические специалисты принимают все меры для того, чтобы предотвратить возможные сбои в работе ресурсов.

Помимо LifeNews, «Известий» и РСН в News Media входят газеты «Твой день», «Жизнь», «Маркер», журнал Bubble, а также портал

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[студент]

Эксперты по безопасности: до 70 % "умных" устройств уязвимы для взлома хакерами

Эксперты по безопасности компании HP, по результатам недавно проведенного исследования, определили, что до 70 % столь популярных сегодня "умных" вещей уязвимы для взлома хакерами. В частности была изучена уязвимость таких устройств как "Умные" термостаты, смарт-телевизоры, веб-камеры, удалённые розетки, системы открывания гаражной двери, дверные замки и т.п.. Каждый из рассматриваемых аппаратов имел около 25 уязвимостей.

К примеру, смарт-устройства не требовали пароли достаточной сложности и длины, не шифровали передаваемые данные, имели собственные проблемы безопасности, которые могли привести к утечке информации. Многие прибры для своей работы запрашивали у пользователей избыточную личную информацию (имя, адрес, дату рождения, номера кредитных карт и медстраховок). Стоит отметить, что опасность многократно возрастает также из-за использования облачных сервисов и мобильных приложений, обеспечивающих работу смарт-устройств.

На данный момент общее количество "умных" устройств во всем мире составляет примерно 9 млн. единиц, однако, как предполагают эксперты, к 2020 году их будет не менее 26 млрд. Есть надежда, что производители таких устройств понимают необходимость усовершенствования системы безопасности "умной" техники. Именно так удастся избежать потери доверия к смарт-продукции ещё до того, как начнётся рост в этом секторе рынка.

[студент]

Вредоносная программа Synolocker позволяет злоумышленникам шифровать файлы на NAS-серверах жертв

Как стало известно, злоумышленники начали активное распространение вредоносной программы Synolocker, которая позволяет им шифровать все файлы на NAS-серверах своих жертв.



Пользователи популярных сетевых накопителей компании Synology стали жаловаться с недавнего времени на форуме компании на то, что их NAS устройства были заражены вымогателями, блокировавшими доступ к данным. Для того чтобы разблокировать/расшифровать данные они вынуждены платить 0,6 биткоинов или примерно 260 Евро по нынешнему курсу, причем через скрытые сайты, которые могут находиться на любом из клиентов Tor. Кстати, до сих пор так и не известно, смогли ли оплатившие требуемую мошенниками сумму пользователи получить доступ к своим данным. Также пока не определено как именно Synolocker устанавливает себя на NAS, это могут быть, например, недоработки в пользовательском интерфейсе или взлом через SSH или даже FTP. Некоторые пользователи связывают заражение с включенной службой EZ-Internet - мастера настройки, который помогает установить подключение к Интернет, определить переадресацию портов, настроить брандмауэр и службу DDNS.



Эксперты рекомендуют все пользователям NAS-серверов Synology на некоторое время, необходимое для выпуска обновленной прошивки, использовать их лишь в автономном режиме.

[студент]

Интернет-мошенники рассылают письма от имени Microsoft

Антивирусная компания ESET сегодня предупредила о новой уловке мошенников-фишеров. Злоумышленники рассылают по электронной почте письма от имени корпорации Microsoft с предупреждением о «подозрительной активности». В письме сообщается, что в учетную запись пользователя пытались зайти с IP-адреса, зарегистрированного в Южной Африке. Чтобы защитить свой аккаунт от неизвестных взломщиков, пользователю предлагается подтвердить логин и пароль.

Перейдя по указанной в письме ссылке, пользователь попадает на страницу для подтверждения пароля и логина, замаскированную под настоящую страницу Microsoft. Подделку выдает адрес в строке браузера, не имеющий ничего общего с названиями сервисов Microsoft.

Следуя указаниям мошенников, пользователь «дарит» им свою учетную запись Microsoft, тем самым открывая полный доступ к своему Outlook, OneDrive, Skype и другим сервисам и устройствам корпорации.

[студент]

Благодаря использованию вредоносного ПО ФБР следит за скрывающимися за анонимайзерами пользователями Сети

Как стало известно журналистам, благодаря использованию вредоносного ПО ФБР следит даже за скрывающимися за анонимайзерами пользователями Сети. В частности специалисты из ФБР взломали компьютеры многих пользователей популярного сервиса Tor посещавших скрытые страницы.



Стоит отметить, что еще в 2012 году, в рамках проводимой тогда "Операции Торпедо" по расследованию дела, связанного с распространением детской порнографии, федералы получили доступ к сайту под названием Pedoboard, арестовали администратора, получили контроль над серверами, и начали распространять вредоносное ПО тем посетителям ресурса, кто прятался за защитой "луковой маршрутизации". Использование таких методов позволило упечь за решетку немало любителей запретных увлечений.

Однако, при желании, спецслужбы могут получить доступ к практически любой пользовательской информации обходя анонимность и бесцеремонно вторгаясь в личные данные юзеров.

[студент]

Россия стала второй по числу отправленных спам-писем в мире

Больше всего источников спама (отправленных писем, содержащих спам) во втором квартале 2014 года зарегистрировано в США (13,4 процента), за которыми следуют Россия (6 процентов) и Вьетнам (5 процентов). Об этом говорится в сообщении «Лаборатории Касперского».

По сравнению с первым кварталом доля спама в общем почтовом трафике выросла на 2,2 процентных пункта и составила 68,6 процента от общего числа писем.

В первом квартале 2014 года среди спамеров была популярна тема Олимпиады, во втором квартале их внимание переключилось на Чемпионат мира по футболу. Эта тема была распространена не только среди рекламных рассылок ─ компания также регистрировала вредоносные и другие мошеннические письма, связанные с футбольными соревнованиями.

Кроме того, был отмечен всплеск спама, рекламирующего биржевые акции мелких компаний. Это хорошо известный вид мошенничества, называемый «накачка и сброс»: спамеры скупают акции мелких фирм, искусственно раздувают их стоимость за счет распространения в своих рассылках ложной лестной информации об экономических показателях компаний, а затем продают акции по более высоким ценам, отмечается в сообщении.

По словам Надежды Демидовой, контент-аналитика «Лаборатории Касперского», злоумышленники стали использовать любую возможность для того, чтобы перехватить наиболее ценные данные пользователей – реквизиты доступа к системам онлайн-банкинга и платежную информацию. Сейчас рейтинг самых популярных вложений в спаме более чем на половину состоит из троянцев, цель которых – денежные средства.

[студент]

«Киберберкут» заблокировал телефоны депутатов Верховной Рады

Движение «Киберберкут» объявило о блокировании телефонов депутатов Верховной Рады Украины и еще более 500 правительственных информационных интернет-ресурсов. Соответствующее сообщение размещено 24 августа на сайте организации.

Авторы послания предположили, что «наши дети будут проклинать Евромайдан, который привел к гражданской войне, полному развалу экономики и разрушению промышленности»

Свою акцию хакеры, обвиняющие новые власти в Киеве в «братоубийственной войне в собственной стране», приурочили к Дню независимости Украины.

«Киберберкут» неоднократно атаковал интернет-ресурсы новых властей в Киеве, а также политиков из тех стран, которые поддерживают проводимую на востоке страны силовую операцию против ополченцев Донбасса. В частности, хакеры взламывали страницы президента Украины Петра Порошенко, МИД страны, а также страницы президента Польши. 8 июля «Киберберкут» также заблокировал доступ сотрудников украинского «Приватбанка», принадлежащего олигарху и губернатору Днепропетровской области Игорю Коломойскому.

[студент]

Кибермошенники атакуют пользователей iTunes

Антивирусная компания ESET предупредила о новой мошеннической кампании, ориентированной на пользователей сервиса iTunes Store.



Мошенники рассылают по электронной почте письма, в которых благодарят за покупку на iTunes Store продукта «World Of Go» стоимостью 9,65 евро. Там же содержится напоминание о том, что отменить платеж и вернуть потраченные средства можно в течение 12 часов после оплаты. Для этого достаточно перейти по ссылке «Payment Cancellation» в теле письма.

Перейдя по ссылке, пользователи оказываются на поддельном сайте iTunes. Его легко отличить от настоящего магазина приложений по названию в адресной строке браузера – фальшивка не имеет ничего общего с оригинальным

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

. Пользователи, не распознавшие подделку, «дарят» свой Apple ID злоумышленникам.