Новости о хакерских взломах и атаках

[satvitek]

Хакеры атаковали серверы Олимпиады


Хакерская атака на серверы Олимпиады была зафиксирована во время проведения церемонии открытия Игр, информирует агентство Yonhap. В результате этого была нарушена работа телевидения по протоколу интернета в главном пресс-центре. Организаторам пришлось отключить серверы, из-за чего временно перестал работать сайт Олимпиады.

Работа сайта была восстановлена в 8.00 (3.00 по московскому времени) в субботу. В заявлении организаторов Игр отмечается, что были выявлены некоторые некритичные проблемы, которые никак не скажутся на безопасности спортсменов и зрителей.

[satvitek]

Оборонные предприятия России атаковали хакеры

Специалисты обнаружили хакерскую атаку, нацеленную на организации оборонно-промышленного комплекса России. Об этом сообщает ТАСС со ссылкой на исследование компании Positive Technologies, специализирующейся на информационной безопасности.

Вредоносная кампания получила название SonXY. Впервые следы атаки были обнаружены в апреле 2017 года. В исследовании говорится, что жертвами хакеров, помимо российских, стали компании из США, Японии, Белоруссии, Казахстана и с Украины.

«Используемое вредоносное ПО после попадания в корпоративную систему жертвы позволяло злоумышленникам не только скрыто следить за пользователями, но и удаленно контролировать зараженную систему», — говорится в исследовании. Эксперты полагают, что хакеры занимались шпионажем.

Также известно, что злоумышленники использовали обычный фишинг, указывая в теме письма слова, связанные с политической и военной сферой. Фишинговая рассылка распространялась как среди компаний, так и среди отдельных физических лиц.

В сентябре 2017 года хакеры добавили в зараженные письма изображения, при клике на которые жертвы предоставляли им данные об IP-адресе и Microsoft Office. Это позволяло изучить версию операционной системы и подобрать подходящую вредоносную программу.

[satvitek]

В Таиланде задержали подозреваемого в киберпреступлениях россиянина

В Таиланде по подозрению в руководстве криминальной кибергруппировкой задержан россиянин Сергей Медведев. Об этом сообщает газета The Bagkok Post.

По данным издания, жителя России задержали 2 февраля после полученного из ФБР США запроса на арест. В операции участвовали 30 полицейских. Они изъяли ноутбук подозреваемого, документы и денежные суммы в криптовалютах.

Медведев проживал на территории Таиланда шесть лет. Сотрудники правоохранительных органов считают его руководителем кибергруппировки, основателем которой был украинец Святослав Бондаренко.

Группировка Infraud Organisation занималась продажей наркотиков, оружия, вирусных программ и банковских данных в даркнете, сообщает газета.

[satvitek]

Российский программист Лисов экстрадирован из Испании в США

Российский программист Станислав Лисов экстрадирован из Испании в США, сообщает РИА «Новости» со ссылкой на адвоката Олега Губарева.

«19 января 2018 года Станислав Лисов был экстрадирован в США. Мы использовали все национальные судебные способы защиты, дойдя до Конституционного суда. Посольство Российской Федерации и уполномоченный по правам человека со своей стороны также сделали все возможное, чтобы защитить интересы Станислава», — сказал адвокат.

По его словам, испанские власти не учли веские юридические причины отказа в экстрадиции.

Лисов обвиняется в кибермошенничестве в отношении американских граждан и финансовых организаций.

31 июля испанский суд принял решение удовлетворить запрос США об экстрадиции хакера.

[satvitek]

Россиянин обманул спецслужбы США продав несуществующее кибеоружие

После нескольких месяцев секретных переговоров сотрудники американских разведывательных служб заплатили 100 тысяч долларов некоему россиянину, пообещавшему вернуть им похищенное при кибератаке на Агентство национальной безопасности (АНБ) США секретное кибероружие, пишет The New York Times со ссылкой на источники в американской и европейской разведке.

Первоначально за свои услуги россиянин потребовал 1 миллион долларов, первую часть этой суммы в размере 100 тысяч долларов ему передали в сентябре в одном из отелей Берлина.

Россиянин также предложил им продать материал, компрометирующий президента США Дональда Трампа. Сотрудники разведслужб заявили ему, что им не нужен компромат на президента.

В итоге никакого кибероружия россиянин не вернул, ограничившись "непроверенной и, возможно, сфабрикованной" информацией об американском президенте и его окружении.

После этого сотрудники разведслужб отказались от дальнейшего общения с ним, поскольку опасались огласки этой операции, которая могла бы привести к кризису в Вашингтоне. Кроме того, они выразили опасения, что эта операция была спланирована российскими спецслужбами с целью внести раздор в американское правительство.

ЦРУ никак не прокомментировало эти данные, АНБ ограничилось ответом, что "все сотрудники организации пожизненно обязаны защищать секретную информацию".

В 2016 году группа хакеров украла некоторые вредоносные программы АНБ, которые использовались для проникновения в электронные устройства и сети в разных странах. В 2017 году их программный код выложили в интернете. Хакеры использовали его для создания вирусов.

Как писала The New York Times, для АНБ кража имела "катастрофические последствия" и его специалисты пытались любой ценой вернуть кибероружие.

Кибероружие – программное обеспечение или оборудование, предназначенные для нанесения ущерба в киберпространстве.

[gydrokolbasa]

Компьютеры научились взламывать через файлы Word

Хакеры нашли способ, как взламывать пароли к компьютерам через «вордовские» файлы. Об этом сообщили эксперты по кибербезопасности компании Trustwave.

Согласно проведенному исследованию, подцепить вирус можно, получив документы в формате DOCX, RTF, HTA, VBScript и PowerShell.

«Пользователю высылается спам-письмо, к которому прикреплен файл в указанных ранее форматах. Он загружает прикрепленный файл и это приводит к установке на его ПК вредоносного ПО», — отмечают эксперты.

После этого программа получает доступ к логин-паролям и пересылает их хакерам.В связи с этим, специалисты советуют пользователям своевременно обновлять Windows и Office.

[satvitek]

В Сенат США внесли законопроект о киберпомощи Украине

Документ направлен на оказание помощи Украине в совершенствовании собственной стратегии кибербезопасности

В Сенат США внесен законопроект об усилении сотрудничества между Украиной и США в сфере кибербезопасности. Об этом сообщает посольство Украины в США.

"Двухпартийная группа американских сенаторов во главе с демократом Шерродом Брауном и республиканцем Патриком Тууми представила на рассмотрение Сената зеркальную версию проекта "Закона о сотрудничестве с Украиной по вопросам кибербезопасности", одобренного Палатой представителей 7 февраля с. г.", – говорится в сообщении.

Как отмечается, документ направлен на оказание помощи Украине в совершенствовании собственной стратегии кибербезопасности, в частности, что касается усиления защиты компьютерных сетей органов государственной власти, уменьшения зависимости Украины от российских информационных и коммуникационных технологий; содействия расширению участия Украины в программах обмена информацией и международных усилиях по противодействию угрозам во всемирной Интернет-сети. Кроме того, в законопроекте подтверждается приверженность США Хартии о стратегическом партнерстве между Украиной и США, Будапештскому меморандуму о гарантиях безопасности, поддержке сотрудничества нашего государства с НАТО.

Для вступления в силу документ должен быть поддержан Сенатом и подписан Президентом США.

[satvitek]

Капкан для Капканова: Почему хакером из Полтавы заинтересовались правоохранители 30 стран мира


Накануне был задержан, а впоследствии и арестован международный киберпреступник Геннадий Капканов. Мужчиной интересуются правоохранительные органы 30 стран мира. Что ему инкриминируют в Украине и мире? Попробуем разобраться

Октябрьский районный суд Полтавы избрал меру пресечения в виде ареста сроком на два месяца для Геннадия Капканова, которого разыскивали правоохранители 30 стран мира за киберпреступления. Что принесло мужчине такую "мировую известность"?!

Капкан для Капканова

О задержании украинского хакера, находящегося в международном розыске, стало известно накануне утром.

В частности, в киберполиции Украины заявили, что задержали "организатора международной преступной платформы, известной как Avalanche, которая ежедневно инфицировала по всему миру до полумиллиона компьютеров".

Согласно сообщению, спецоперация прошла в городе Киеве. При мужчине был обнаружен паспорт гражданина Украины на имя другого человека, по которому он прибыл в столицу, а в арендованной им квартире изъяты ноутбук, деньги и флеш-накопители.

В этот же день Октябрьский районный суд Полтавы избрал задержанному меру пресечения в виде содержания под стражей сроком на два месяца без права внесения залога. То есть до 26 апреля текущего года.

"Капкан для Капканова: 60 суток содержания под стражей безальтернативно для неуловимого полтавского хакера Геннадия Капканова - организатора международной мошеннической киберсети Аvalanche," – одним из первых сообщил в сети Twitter директор департамента МВД по коммуникациям Артем Шевченко.

Avalanche, пугающая мир

Хакерская сеть Avalanche работала на территории ряда стран на протяжении семи лет. По данным следствия, платформа занималась так называемым интернет-фишингом - распространением вредоносных кодов по электронной почте с целью дальнейшего нелегального вывода средств с банковских счетов потерпевших пользователей.

К примеру, в одной только Германии убытки от деятельности Avalanche оценивают в 6 млн евро. В целом же по миру счет идет на сотни миллионов евро.

Примечательно, банковские "трояны" платформы Avalanche оказались настолько вредными, что на сайте немецкого Федерального управления по информационной безопасности были опубликованы рекомендации для пострадавших пользователей.

По оценкам его экспертов, хакерская сеть заразила вредоносной программой сотни тысяч компьютеров в 180 странах.

В конце ноября 2016 года, после длительного расследования сотрудники правоохранительных органов 30 стран в ходе самой масштабной антихакерской спецоперации ликвидировали ядро сети Avalanche, в которую входили 27 человек разных национальностей.

Интересно, что следственные действия проходили согласованно и одновременно по всему миру, в том числе и в Украине. В частности, правоохранители провели обыски в 37 помещениях, изъяли 39 серверов и арестовали пять человек (среди них три украинца).

Всего же в мире была пресечена деятельность свыше 220 серверов, которые были поражены вирусом, а также заблокировано около 800 тыс. доменов.

Длинный список преступлений

Тогда же международное следствие пришло к выводу, что организатором хакерской сети Avalanche является 35-летний полтавчанин Геннадий Капканов. Он был одним из трех граждан Украины, которых задержали в ходе международной спецоперации.

[satvitek]

В Киеве задержали хакера-беглеца, которого искали 30 стран мира

В Киеве задержали организатора международной преступной хакерской платформы "Avalanche", которая ежедневно инфицировала до полумиллиона компьютеров по всему миру.

Об этом сообщает пресс-служба МВД.

Полицейские обнаружили у него паспорт гражданина Украины на имя другого лица, по которому злоумышленник прибыл в Киев. Во время обыска на съемной квартире полицейские изъяли у задержанного ноутбук, деньги и флешки.

26 февраля суд будет изберет хакеру меру пресечения в городе Полтава.

Сеть "Avalanche" работала 7 лет. В ее ликвидации были задействованы правоохранители 30 стран. 30 ноября 2016 полицейские в Полтаве задержали организатора этой преступной деятельности - 33-летнего местного жителя. Он сбежал из-под следствия и был объявлен в международный розыск.

Денежные потери связанные с кибератаками "Avalanche", по предварительным подсчетам, составили сотни миллионов евро по всему миру.

Ранее суд Полтавы арестовал на 40 дней главу международной киберсети Avalanche.

Напомним, что полиция объявила в розыск главу киберсети "Avalanche" Геннадия Капаканова, которого ранее отпустила судья.

[satvitek]

В Луцке поймали хакеров, которые через мобильное приложение воровали деньги со счетов

На Волыни два хакера распространяли мобильное приложение, которое было запрограммировано на кражу денежных средств с банковских счетов пользователей мобильного банкинга.

Об этом пишет пресс-служба Департамента киберполиции НПУ.

По информации киберполиции, преступная группа состояла из двух человек - 23-летнего жителя Волыни и 20-летнего жителя Херсонской области. Они создали и распространяли программу, которая имела несколько административных панелей.

В частности, по их информации, эта программа, после загрузки на смартфон, проверяла наличие установленного "мобильного банкинга", отправляя смс-запросы на запрограммированные специальные номера. В дальнейшем происходил вывод средств через систему мгновенных интернет-расчетов "WebMoney Transfer" на банковские счета злоумышленников.

"Программа была замаскирована под мобильное приложение для поиска друзей. Установлено, что таким образом подозреваемым удалось инфицировать более 2 тысяч мобильных устройств", - уточнили в ведомстве.

Как сообщили в пресс-службе, обоим злоумышленникам объявлено о подозрении в совершении преступления, предусмотренного ч.2. ст.361-1 (незаконное вмешательство в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей) УК Украины. Им избрана мера пресечения в виде личного обязательства.

В 2017 году количество киберпреступлений, связанных с платежными карточками, выросла на 70% по сравнению с 2016 годом.

[satvitek]

Киберпреступники требуют выкуп за остановку DDoS-атак Memcrashed

На этой неделе исследователи компании Cloudflare рассказали о новом эффективном методе усиления DDoS-атак с использованием серверов memcached. В последнее время популярность метода, получившего название Memcrashed, стремительно растет. В частности, с его помощью была осуществлена самая мощная DDoS-атака за всю историю интернета, жертвой которой стал портал GitHub. Пиковая мощность атаки составляла 1,35 ТБ/с.

Вооружившись новым методом, киберпреступники не только атакуют интересующие их ресурсы, но также занимаются вымогательством. Эксперты компании Akamai сообщили о весьма необычной атаке с использованием серверов memcached. Вместо того, чтобы отправить жертве UDP-пакеты с произвольными данными, атакующие оставили в них короткое послание. Согласно сообщению, жертва должна заплатить по указанному адресу 50 Monero (около $17 тыс.). Правда, злоумышленники не пообещали прямо, что прекратят атаку, а только намекнули на такую возможность.

Подобный вид вымогательства используется киберпреступниками с 2015 года и изначально был известен как «DDoS-for-Bitcoin» («DDoS за биткойны») по одноименному названию группировки, первой начавшей его применять.

[satvitek]

Опубликован бесплатный инструмент для расшифровки файлов, пострадавших от GandCrab

Компания Bitdefender выпустила бесплатный инструмент для расшифровки файлов, пострадавших от атак всех версий шифровальщика GandCrab.

Утилита доступна для скачивания на сайте компании, а также предлагается в рамках проекта NoMoreRansom, запущенного полтора года назад по инициативе компаний «Лаборатории Касперского», McAfee, Intel Security, Европола и полиции Нидерландов.

Напомню, что шифровальщик GandCrab был обнаружен специалистами в январе 2018 года. Вымогатель не только стал первой малварью, принимающей выкупы в криптовалюте DASH, также он отличался способом распространения, — для этих целей малаварь использовала не только спам, но и наборы эксплоитов RIG и GrandSoft.

Еще одной интересной особенностью шифровальщика, которая дополнительно защищала операторов GandCrab от бдительного ока властей, стало использование доменов в зоне .bit, то есть Namecoin. На нескольких доменах .bit располагались управляющие серверы вредоноса, причем домены, словно в качестве издевки, были названы «в честь» различных известных ИБ-компаний и ресурсов.

По данным компании Европола и компании Microsoft, семейство GandCrab стало одним из наиболее «популярных» и агрессивных шифровальщиков в 2018 году, наряду известным вымогателем Spora.

Инструмент для расшифровки пострадавших данных также был опубликован на официальных сайтах Европола, румынской полиции и DIICOT (Следственного управления по борьбе с организованной преступностью и терроризмом). Румынские правоохранители уже подтвердили СМИ, что произвели серию арестов, впрочем, количество задержанных подозреваемых и какие-либо детали проведенной операции пока не разглашаются. При этом слухи о том, что специалистам Bitdefender удалось установить контроль над одним из управляющих серверов GandCrab, были опровергнуты.

Источник: xakep.ru

[satvitek]

Обнаружен новый эффективный метод усиления мощности DDoS-атак

Исследователи компании Cloudflare зафиксировали стремительный рост числа DDoS-атак, для усиления мощности которых киберпреступники используют протокол memcached, исходящий из UDP-порта 11211.

Существует несколько методов усиления мощности DDoS-атак, но основная идея практически та же самая. Атакующий осуществляет IP-спуфинг и отправляет на уязвимый UDP-сервер поддельные запросы. Не зная, что запросы поддельные, сервер готовит ответ. Проблема возникает, когда сервер отправляет атакуемому хосту тысячи ответов, тем самым вызывая его отказ в обслуживании. Атаки с использованием методов усиления весьма эффективны, так как размеры ответных пакетов превышают размеры пакетов запросов. В итоге атакующий даже с незначительными ресурсами может осуществить мощную DDoS-атаку.

Исследователи регулярно фиксируют подобные атаки, однако новые, ранее неизвестные методы киберпреступники используют крайне редко. К таковым в частности относится атака Memcrashed, предполагающая усиление атаки с помощью memcached UDP. В последние дни число атак Memcrashed начало стремительно расти.

«Атаки не отличаются большим количеством пакетов в секунду, однако пропускная способность впечатляет. Мы зафиксировали пиковый показатель на уровне 260 Гб/с входящего UDP memcached трафика. Это очень много, как для вектора усиления. Однако цифры не лгут. Это возможно, поскольку отраженные пакеты очень большие. Размер большинства пакетов составляет 1400 байтов. Делаем простой подсчет: 23 пакета в секунду умножаем на 1400 байтов и получаем 257 Гб/с», – сообщили исследователи.

Уязвимые серверы memcached находятся по всему миру с наибольшей концентрацией в Северной Америке и Европе.

IP-спуфинг – метод атаки, заключающийся в изменении поля «адрес отправителя» IP-пакета. Применяется для сокрытия истинного адреса атакующего, например, с целью вызвать ответный пакет на нужный адрес.

[satvitek]

Власти Британии рассматривают кибератаку как возможный ответ на отравление Скрипаля

Власти Великобритании рассматривают кибератаку в качестве одной из возможных ответных мер на отправление в Солсбери экс-полковника ГРУ Сергея Скрипаля и его дочери Юлии, пишет The Times со ссылкой на источник в правительстве страны.

«Вредоносные операции в компьютерных сетях могут попасть в арсенал (возможных средств). Их использование может быть рассмотрено или даже вполне вероятно», — заявил источник.

По данным издания, за разработку вредоносной программы отвечает министерство обороны Британии и Центр правительственной связи Великобритании (GCHQ). Отмечается, что целью виртуальной атаки могут стать сайты правительства, а также распространяющие фейковые новости ресурсы.

[satvitek]

Россиянин Мартышев признал себя виновным в кибермошенничестве

Россиянин Юрий Мартышев в ходе заседания суда в США признал себя виновным по двум пунктам компьютерного мошенничества из четырех. Об этом сообщает РИА «Новости».

Уточняется, что Мартышев признал себя виновным в сговоре с целью компьютерного мошенничества и в пособничестве компьютерному мошенничеству.

Теперь ему грозит по этим пунктам до 15 лет тюрьмы, а в случае одновременного отбытия наказания по двум пунктам — до 10 лет.

В июле 2017 года Мартышев был экстрадирован из Латвии в США. Тогда не сообщалось, в чем именно американская сторона обвиняет россиянина.

[satvitek]

Кіберполіція попередила про нові загрози від хакерів-вимагачів

Протягом кількох останніх місяців до кіберполіції надходить значно більша кількість звернень з фінансових установ державного та приватного сектору, транспортних компаній, державних підприємств та провайдерів доступу до мережі Інтернет щодо вимагання у них коштів хакерською групою “LizardSquad”, з посиланням на прес-службу відомства передає УНН.

Жертвам, від імені так званої “LizardSquad”, на електронні поштові скриньки надходять листи з повідомленням, що їхню установу/підприємство/компанію обрано для наступної DDoS-атаки. Зазначається, що ця атака значно вплине на функціонування установи/підприємства/компанії, а можливо, навіть заблокує його роботу. Для того щоб уникнути таких наслідків, потерпілі мають сплатити хакерам 3 BTC (біткоіна - ред.). У разі несплати комісія буде збільшена на 5 BTC за кожен день, який пройшов без оплати.

На даний час працівники Департаменту кіберполіції супроводжують низку кримінальних проваджень, у межах яких проводяться слідчі (розшукові) заходи, спрямовані на встановлення групи невідомих осіб, які самі себе називають хакерською групою LizardSquad.

Спеціалісти Департаменту кіберполіції звертають увагу користувачів, що оплата за, так би мовити, “протекцію від атак” не надає повноцінного захисту та 100% вірогідності уникнення хакерської атаки. Сплата цих коштів лише фінансує подальшу протиправну діяльність зловмисників та підтверджує правильність обраної ними схеми шантажу.

Крім того, окремим аспектом, який підсилює ефект таких листів, є те, що останнім часом спостерігається значне збільшення кількості випадків використання нового вектора кібератаки — використання протоколу Memcached. Вже є підтверджені факти використання хакерами уразливих сервісів Memcached для проведення низки DDoS-атак, включаючи масовану атаку на сайт Github і найбільшу в світі DDoS-атаку (потужністю приблизно 1,7 Тбіт/с) на американську фірму.

[satvitek]

Голова кіберполіції України розповів, чому було важко зловити полтавського хакера

Голова кіберполіції України Сергій Демедюк в інтерв’ю УНІАН розповів про участь українських фахівців у міжнародних кіберопераціях і про злочинну діяльність шахраїв з в’язниць, про кремлівських хакерів і те, що приваблює українців в «чорному інтернеті».

Остання гучна справа кіберполіції – це затримання хакера Геннадія Капканова. Розкрийте трохи нюанси операції, як довго вона готувалася?

В нас була дуже тривала робота. Певний час вона була невдалою, бо Капканов сам по собі замкнута й непублічна людина. Він настільки опікувався своєю анонімізацією в Інтернеті (а ми могли його вирахувати лише так), що не розповсюджував інформацію про свої дії навіть серед близьких та друзів. Щоб уникнути переслідування, він змінював документи, місця проживання, його консультували й допомагали колишні працівники правоохоронної системи, і, можливо, чинні (зараз перевіряємо цю інформацію). Було дуже важко зафіксувати, де він.

Як думаєте, саме зі зміною документів йому також допомагали правоохоронці, чи самостійно десь купував паспорти?

Я поки не можу розповсюджувати такі відомості, оскільки йде досудове розслідування, ми все перевіряємо. Можу лише сказати, що у нього було достатньо коштів як для того, щоб самостійно купувати документи, так і щоб купувати, скажімо так, іншу свою індивідуальність. Напевно, він володів і знаннями щодо методів та способів здійснення оперативно-розшукової діяльності. Адже вже останні тижні перед затриманням ми за ним спостерігали і бачили, що він проводить контрспостережні й інші відповідні заходи: консультував свою маму, сестру та друзів, як себе поводити, за їхньої допомоги робив маневри перевірки. Він був дуже обізнаний у цій сфері.

На***аємо, мережа “Avalanche” функціонувала 7 років. До її ліквідації були задіяні правоохоронці 30 країн. 30 листопада 2016 року поліцейські провели міжнародну спецоперацію з ліквідації цієї кібермережі. Тоді у Полтаві правоохоронці затримали й організатора цієї злочинної діяльності – 33-річного полтавця Капканова.

1 грудня 2016 року Жовтневим районним судом м. Полтави було розглянуто клопотання представника Генеральної Прокуратури України про його арешт. У обранні саме такого запобіжного заходу суд відмовив, після чого підозрюваний зник із зали суду. Пізніше його було оголошено у міжнародний розшук.

Відповідно до українського законодавства, йому інкримінують причетність до вчинення кількох кримінальних правопорушень: ч. 3 ст. 209, за ч. 1 ст. 361, ч. 2 ст. 342 та ч. 4 ст. 190 Кримінального кодексу України.

Капканова зрештою затримали 25 лютого в Києві. Суд призначив йому арешт на 60 днів.

[satvitek]

Умер сдавший Челси Мэннинг хакер


В США скончался хакер Адриан Ламо, сообщивший властям США о деятельности информатора WikiLeaks Челси Мэннинг (до смены пола была известна как Брэдли Мэннинг). Об этом сообщает телеканал Sky News.

Информацию подтвердила полиция округа Седжвик в штате Канзас, где проживал хакер, причина смерти Ламо на данный момент неизвестна.

Ламо получил известность в начале 2000-х годов, когда он был арестован и осужден за взлом компьютерных сетей крупных компаний, включая Yahoo, а также газеты The New York Times.

В мае 2010 года Ламо рассказал властям США, что состоял в переписке с Мэннингом, который в доверительной беседе сообщил ему, что именно он направил в WikiLeaks 39-минутную видеозапись расстрела американским военным вертолетом группы гражданских лиц в Ираке.

Мэннинг был арестован и в 2013 году приговорен к 35 годам тюрьмы. В 2017-м президент США Барак Обама сократил уже сменившей пол военнослужащей срок пребывания в тюрьме, в том же году она вышла на свободу.

[satvitek]

Срок за виртуальное преступление: в Украине впервые осудили организаторов DDoS-атак

Расследование, за которым следуют аресты и суд, в Украине — большая редкость. А если дело касается преступлений в интернете – такой случай можно смело назвать уникальным. Результатом международного расследования стало первое в истории судебной системы Украины слушание и уголовное наказание за организацию DDoS-атак.

Украину сейчас модно называть «нацией стартапов», отечественные IT-специалисты востребованы и высоко ценятся в зарубежных компаниях. Однако не все используют знания и опыт во благо, есть и те, кто готов применять их с деструктивными целями.

Вся история началась еще в сентябре 2015 года, когда на интернет-сайты компаний из США начались мощные DDoS-атаки. В частности, жертвами стали сайт знакомств AnastasiaDate, платежная система PayOnline и множество других веб-сайтов, размещенных на серверах хостинговой компании Stafford Associates. Далее события развивались по схожему сценарию: киберпреступники связывались с жертвами при помощи Skype, и требовали вознаграждение до $50 тыс. за прекращение DDoS-атаки. Получив от жертв деньги, злоумышленники даже предлагали им за дополнительную плату информацию о заказчиках атаки либо организацию DDoS-атаки против конкурентов. Фактически, схема ничем не отличалась от действий «спортсменов» в кожаных куртках из бандитских 90-х.

DDoS (англ. Distributed Denial-of-Service) – распределенная атака типа «отказ в обслуживании», задача которой – вывести из строя атакуемый интернет-ресурс или сервер. На сайт-жертву направляется огромный поток данных, которые занимают весь канал связи. Сайт не справляется с обработкой большого количества входящих данных и перестает работать. Поток данных для атаки генерируют зараженные вредоносными программами компьютеры, объединенные в особую структуру – ботнет. Для обычной компании перебои в работе сайта – мелкие неудобства. Совсем другое дело, если ее деятельность всецело происходит в интернете и не терпит перебоев. Именно такими и являлись все жертвы киберпреступников.

Важный нюанс: современное сетевое оборудование отражает DDoS-атаки даже без вмешательства человека. Небольшие хостинговые компании, которые используют не столь новое оборудование, обычно борются с DDoS единственно доступным радикальным способом: просто отключают проблемный сайт или сервер. Фактически происходит именно то, чего и добиваются организаторы атаки.

Обратная сторона медали еще интересней: подготовка DDoS – дело хлопотное и достаточно затратное, в первую очередь, это касается создания и поддержки ботнета. С началом атаки ботнет полностью раскрывает себя и становится мишенью для антивирусов и другого защитного ПО. При первой атаке на сайт AnastasiaDate в «черном списке» оказалось 2000 IP-адресов, а при повторной атаке в 2016 году – уже более 10 000. С начала атаки время существования ботнета исчисляется часами, через несколько дней интенсивность атаки идет на спад. Но время – деньги. И это не считая ущерба для репутации и других потерь, которые могут исчисляться десятками тысяч долларов.

Потерпевшие не стали сидеть сложа руки. Служба безопасности AnastasiaDate привлекла две частные фирмы – Group-IB и Qrator Labs, специализирующиеся на кибербезопасности и защите от DDoS-атак, началось расследование.

Эксперты проанализировали цифровые «следы», которые оставили после себя злоумышленники. Для контакта с жертвами вымогатели использовали две учетные записи в мессенджере Skype с логинами greggix и gammi331, а также адреса почты Google. Из общей массы IP-адресов анонимных proxy-серверов сыщиков особенно заинтересовал один, принадлежащий львовскому провайдеру UARNET. Так была установлена личность первого подозреваемого. Им оказался безработный львовянин Гайк Гришкян.

Злоумышленники получали деньги на счета платежных систем QIWІ и «Яндекс.Деньги». Анализ движения средств подтвердил причастность Гришкяна к DDoS-атакам и раскрыл личность второго соучастника. Инна Яценко, жительница Черкасс, получала крупные суммы денег от третьих лиц со счетов, на которые жертвы DDoS-атак перечисляли «откупные». Она же руководила всей группировкой и занималась поиском объектов для атак. Расследование установило, что ранее Яценко сотрудничала с AnastasiaDate. Она знала все особенности работы бывших партнеров, что сделало их для нее идеальной жертвой. Организованная Яценко группировка активно предлагала услуги по организации DDoS-атак на околохакерских ресурсах.

К моменту завершения второй волны атак в 2016 г. эксперты Group-IB окончательно установили связь между Яценко и Гришкяном. Было собрано достаточно улик, подтверждающих, что именно они шантажировали компании, а также являлись исполнителями DDoS-атак 2015 года. Далее события развивались стремительно: в декабре представители потерпевших подали заявление в отделение полиции Черкасс, на основании которого началось уголовное расследование.

Уже в марте 2017 года следователи провели обыски в квартирах и офисах главных подозреваемых. Оперативники конфисковали компьютеры и мобильные телефоны, которые содержали неопровержимые доказательства преступной деятельности Яценко и Гришкяна. Злоумышленники свято верили, что нигде не оставили следов, а искать на другом конце земного шара их никто не будет. Они неоднократно пренебрегли анонимностью, что сыграло на руку правоохранителям.

В ходе судебного процесса Гришкян и Яценко полностью признали свою вину. И, несмотря на то, что ранее украинские судьи не сталкивались с подобными делами, а также на смягчающие обстоятельства, получили уголовное наказание: пять лет условно без права заниматься деятельностью, связанной с компьютерами. Решения суда не смягчил даже тот факт, что Инна Яценко является матерью-одиночкой двоих несовершеннолетних детей и инвалидом второй группы.

Дело Яценко и Гришкяна стало знаковым для всех. Сотрудничество специалистов в сфере кибербезопасности и правоохранителей способно отправлять преступников из Сети прямиком на скамью подсудимых. И приговоры, судя по всему, будут становиться суровее.

Кстати, в среде компьютерного андеграунда организация DDoS-атак – занятие непрестижное. Это не хакерство, а деятельность сродни неквалифицированному физическому труду. Инструменты просты и общедоступны, воспользоваться ими может даже полуграмотный студент. Эффект от DDoS-атаки можно сравнить со стрельбой из дробовика в толпе: основной удар приходится на избранную жертву, но сопутствующий ущерб просто колоссальный. Зато на сегодняшний день вполне реально защитить онлайн-бизнес от DDoS-атак.

[satvitek]

На популярнейшем сайте обнаружили скрытую опасность

Каталог программного обеспечения Download.com, входящий в список наиболее посещаемых сайтов в мире, содержит по меньшей мере три вида зараженных приложений, которые распространяются вместе с легитимными программами.

Вредоносный код, который пользователи скачивают на свои компьютеры, занимается кражей биткоинов, утверждают эксперты антивирусной компании ESET.

Укоренившись в системе, вирус ждет момента, когда пользователь скопирует и вставит адрес своего биткоин-кошелька, чтобы перевести на него средства. В этот момент вредоносная программа подменяет его кошельком, который принадлежит злоумышленникам.

В том случае если пользователь не замечает подмену, его средства отправляются мошенникам. На сегодняшний день им удалось украсть 8 биткоинов.

Сейчас вредоносные программы удалены из каталога Download.com. Отметим, что ресурс находится на 163 месте по посещаемости среди всех сайтов мира по версии Alexa.com.

[satvitek]

На сайте Гидрометцентра Украины обнаружен майнер криптовалюты

Наличие майнера в коде сайта никак не скрывалось.

На официальном сайте гидрометеорологического центра Украины обнаружен майнер Coinhive, позволяющий добывать криптовалюту Monero прямо в браузере пользователя. Об этом сообщил портал Altcoin.info.

Примечательно, что наличие майнера в коде сайта никак не скрывалось. Скрипт был установлен в самом начале HTML-кода страницы на 35-й строке. Майнер не был спрятан в других файлах, не обфусцирован и не замаскирован какими-либо другими методами.

По словам представителей гидрометцентра, в настоящее время код майнера удален и ведется расследование инцидента. Неизвестно, каким именно образом скрипт был внедрен на сайт.

Напомним, ранее на сайте электронной регистратуры Министерства здравоохранения Сахалинской области также был обнаружен майнер криптовалюты Monero. Незадокументированный скрипт предназначался для добычи цифровых монет с помощью мощностей компьютеров посетителей регистратуры.

[satvitek]

Хакеры шантажируют украинские компании угрозами мощных DDoS-атак

Злоумышленники действуют от имени хакерской группировки LizardSquad.

Ряд украинских компаний, финансовых учреждений и государственных предприятий получили электронные письма, отправленные от имени хакерской группировки LizardSquad. Злоумышленники угрожают осуществить мощную DDoS-атаку, если жертва не выплатит определенную сумму в биткойнах. Об этом сообщает пресс-служба Департамента киберполиции Украины.

По словам правоохранителей, в течение последних нескольких месяцев в киберполицию поступило большое количество обращений от финансовых учреждений государственного и частного сектора, транспортных компаний, государственных предприятий и провайдеров доступа к сети интернет. Жертвы сообщают о вымогательстве денег злоумышленниками, действующими от имени хакерской группировки LizardSquad.

В частности, на электронные почтовые ящики приходят письма с сообщением, что учреждение, предприятие или компания были выбраны в качестве цели для DDoS-атаки. В письмах также отмечается, что атака значительно повлияет на функционирование систем жертвы, а возможно, даже заблокирует его работу. Хакеры предлагают заплатить 3 биткойна для избежания подобных последствий. В случае неуплаты злоумышленники угрожают увеличить сумму на 5 биткойнов за каждый прошедший без оплаты день.

В настоящее время работники Департамента киберполиции проводят следственные мероприятия, направленные на установление группы лиц, ответственных за рассылку писем.

Представители Департамента киберполиции предупредили пользователей, что оплата за так называемую "протекцию от атак" не гарантирует 100% защиты.

[satvitek]

США официально обвинили РФ в кибератаках на электростанции

Министерство внутренней безопасности США и ФБР представили отчет об атаках «русских хакеров» на критическую инфраструктуру страны.

Министерство внутренней безопасности США и Федеральное бюро расследований предупредили об атаках «русских хакеров» на американские правительственные и коммерческие организации, а также на объекты критической инфраструктуры. Соответствующий отчет был опубликован в четверг, 15 марта, на сайте Компьютерной группы реагирования на чрезвычайные ситуации США (US-CERT).

Согласно отчету, «русские хакеры» атакуют американские электростанции и другие объекты критической инфраструктуры по крайней мере с марта 2016 года. «Русские правительственные хакеры» развернули «многоэтапную кампанию вторжения», в ходе которой «заражали сети небольших коммерческих объектов вредоносным ПО, осуществляли таргетированные фишинговые атаки и получили удаленный доступ к сетям электроэнергетического сектора». Получив доступ к сетям, злоумышленники изучали их и собирали информацию, относящуюся к АСУ ТП.

Ни названия пострадавших компаний, ни размер причиненного им ущерба в отчете не приводятся. Тем не менее, по словам авторов документа, хакеры атаковали контроллеры доменов, а также почтовые и файловые серверы. В своем отчете ФБР и Министерство внутренней безопасности также ссылаются на опубликованное в сентябре прошлого года исследование Symantec, в котором представлена дополнительная информация о текущей вредоносной кампании.

[satvitek]

Украинские хакеры начали вымогать выкупы в биткоинах

В Украине киберпреступления все чаще совершают при помощи самых обычных устройств. На днях полицейские в Хмельницком поймали злоумышленника, который обворовал нескольких граждан с помощью их же мобильных телефонов. Как рассказала спикер хмельницких копов Инна Глега, 24-летний подозреваемый обогатился как минимум на 30 тыс. грн.

"Этот па**рень, ранее уже судимый за кражи, пользовался доверием случайных людей. Он просил у них мобильный телефон якобы для того, чтобы сделать срочный звонок. Взяв телефон, он заходил в мобильное банковское приложение (если номер, конечно, был привязан к банковской карте. — Авт.), менял пароль доступа и быстро перечислял деньги с чужого счета на свою карту. После этого возвращал телефон ничего не подозревающей жертве", — рассказала "Сегодня" Инна Глега.

К этому полицейские добавили, что вычислили подозреваемого, отследив похищенные средства. Парень задержан, ведется следствие, подозреваемого проверяют на причастность к подобным преступлениям. Ему грозит до 5 лет тюрьмы.

Впрочем, это еще мелочь.

"На протяжении нескольких месяцев в киберполицию с жалобами на хакеров-вымогателей обращаются предста**вители государст**венных и частных финансовных учреждений, транспортных компаний, госучреждений и интернет-про**вай**деров", — заявил департамент киберполиции Нацполиции.

И добавляют:

"Жертвам, от имени так на**зываемой хакерской группы LizardSquad, на электронные почтовые ящики приходят письма с сообщением, что их предприятие выбрано для следующей DDoS-атаки. Для того чтобы избежать блокирования работы, жертвы должны заплатить хакерам 3 биткоина".

Курс биткоина сегодня составляет $7818, то есть хакеры требуют со своих жертв почти $24 тыс. (около 600 тыс. грн).

В киберполиции пытаются установить личности шантажом. При этом копы обращают внимание, что, если предприниматели и заплатят хакерам выкуп, то все равно не получат полной гарантии того, что избегут их атаки.

"Уплата этих денег лишь финансирует дальнейшую деятельность злоумышленников и подтверждает правильность выбранной схемы шантажа", — говорят полицейские.

А в Полтаве на днях пытался выйти на свободу 35-летний подозреваемый в хакерстве Геннадий К., за которым охотились полицейские сразу 30 стран и который был арестован в конце февраля. Он обжаловал решение об аресте в Апелляционном суде. Впрочем, суд отказал ему в этом и оставил на время следствия за решеткой. Напомним, полицейские подозревают его в том, что мужчина якобы является организатором интернет-платформы, которая могла за один день заразить вирусами до 500 тыс. компьютеров. Украинские силовики инкриминируют ему покушение на убийство правоохранителя в момент задержания.

Украли пароли и 1,5 млн евро

Недавно в Черновцах полицейские разоблачили двух местных жителей, которых подозревают в проведении крупных махинациях. Им инкриминируют воровство у мирового сервиса логистики 1,5 млн евро. Копы считают причастными к этому преступлению 28-летнюю женщину и 22-летнего парня. По версии следствия, они с помощью украденных паролей получали цифровые пакетные марки и перепродавали их с существенными скидками.

[satvitek]

Сайт Полтавского облсовета заблокировали хакеры

Согласно информации, предоставленной Дата-центром ОАО «Укртелеком», произошла атака на официальный сайт Полтавского областного совета.

Сейчас сайт oblrada.pl.ua заблокирован.

[satvitek]

Хакеры взломали индийскую энергокомпанию и потребовали выкуп в 10 млн рупий

В настоящее время данные восстанавливаются с помощью журналов и других источников.

Хакеры получили доступ к компьютерным системам энергетической компании Uttar Haryana Bijli Vitran Nigam (UHBVN) в Индии и зашифровали биллинговые данные ее клиентов. Злоумышленники потребовали 10 млн рупий (около $150 тыс.) в биткоинах за восстановление данных.

По данным издания The New India Express, хакеры получили доступ к системам 21 марта 2018 года, а 22 марта на всех компьютерах энергокомпании отображалось сообщение с требованием выкупа.

По словам представителей компании, в настоящее время данные восстанавливаются с помощью журналов и других источников. Зашифрованная информация содержала данные о задолженностях, а также текущем количестве потребленной электроэнергии.

«База данных была зашифрована, однако информация были восстановлены с помощью резервной копии», - отметили они.

[satvitek]

Новый IoT-ботнет атакует финансовый сектор

Ботнет состоит из более чем 13 тыс. устройств, каждое из которых имеет уникальный IP-адрес.

Исследователи безопасности из компании Recorded Future обнаружили новый ботнет, состоящий из интернет-телевизоров, web-камер и маршрутизаторов. Жертвами ботнета стали три организации из финансового сектора.

По словам исследователей, ботнет является разновидностью IoTroop и используется для осуществления DDoS-атак на финансовые фирмы. Как отметили специалисты, это самая масштабная кибератака со времен атаки ботнета Mirai в сентябре 2016 года.

Данный ботнет состоит из более чем 13 тыс. устройств, каждое из которых имеет уникальный IP-адрес.

Большинство скомпрометированных устройств - маршрутизаторы производства латвийской компании MikroTik . Злоумышленники, предположительно, используют функцию тестирования пропускной способности маршрутизаторов для осуществления атак. Большинство зараженных устройств находятся в России, Бразилии и Украине.

Согласно докладу, по меньшей мере одна из пострадавших фирм вынуждена была временно приостановить обслуживание своих клиентов, однако степень ущерба неизвестна.

Исследователи не назвали компании, на которые был нацелен ботнет, однако сказали, что они являются крупными фирмами из списка Fortune 500. В настоящее время неизвестно, кто стоит за атаками.

[satvitek]

Facebook удалила порядка 120 занимавшихся киберпреступной деятельностью групп

Журналист Брайан Кребс сообщил о закрытии социальной сетью Facebook порядка 120 групп, занимавшихся киберпреступной деятельностью. В общей сложности в группах состояло около 300 тыс. участников.

По словам Кребса, группы предлагали широкий спектр незаконных услуг, включая спам-рассылки, мошенничество, взлом банковских счетов, уклонение от налогов, осуществление DDoS-атак на заказ, а также создание ботнетов. В среднем большинство групп действовали на платформе Facebook порядка двух лет.

Самая большая из запрещенных групп рекламировала продажу и использование украденных кредитных и дебетовых карт. Помимо этого, были закрыты крупные сообщества, распространявшие инструменты для массового взлома учетных записей на различных сервисах, таких как Amazon, Google, Netflix, PayPal, а также банков.

Facebook закрыла группы в течение нескольких часов после того, как Кребс уведомил компанию о своих находках.

[satvitek]

Не авторизуйтесь на сайтах через Facebook. Это опасно

Компания Freedom to Tinkers опубликовала доклад, в котором описывается еще один алгоритм утечки данных пользователей социальной сети Facebook рекламодателям. Помимо расставленных Cambridge Analytics сетей, опасность подстерегает пользователей при авторизации в сторонних сервисах при помощи учетной записи Facebook.

Речь идет о кнопке «Войти с помощью Facebook», встретить которую можно на страницах миллионов ресурсов и сервисов. Вместо утомительной регистрации достаточно тапнуть по кнопке и подтвердить авторизацию.



Специалисты Freedom to Tinkers обнаружили сразу семь скриптов, которые собирают персональные данные пользователей социальной сети с помощью алгоритма регистрации. Из топ-миллиона сайтов подобные скрипты вшиты, как минимум, в 434 ресурса.

В результате, хакеры получают ID учетной записи и электронную почту прошедшего авторизацию пользователя. А дальше данные продаются рекламным компаниям. Freedom to Tinkers подозревают в таком сговоре сразу четыре фирмы: OnAudience, Lytics, ProPS и Tealium. Представители Facebook пообещали проверить исследование лично.

[satvitek]

97% компаний не готовы к кибератакам «пятого поколения»

Согласно результатам исследования 2018 Security Report, 97% компаний не обладают решениями, способными защитить их от атак «пятого поколения». Об этом говорится в пресс-релизе Check Point Software Technologies.

«Сегодня мы наблюдаем новое поколение кибератак — это многовекторные, крупномасштабные и стремительно распространяющиеся атаки «Пятого поколения» (GenV), — отмечает Питер Александер, директор по маркетингу Check Point Software Technologies. — 77% ИБ-директоров выразили обеспокоенность тем, что организации не готовы к таким современным кибератакам и что подавляющее большинство инфраструктур безопасности компаний безнадежно устарели».

Результаты исследования показали, что защита большинства компаний отстаёт на 10 лет и как минимум на два поколения от современных кибератак Gen V. Это говорит о глобальной повсеместной уязвимости перед атаками «пятого поколения». Отмечается, что в зоне риска находятся все — медицинские учреждения, государственные сервисы, крупные корпорации и