Кибербезопасность

[Solomiya]

Предисловие

Во время нашего стремительного ІТ-прогресса, на ключевые роли начала выходить проблема безопасности в интернете.
Давайте вместе объеденим в этом топике обзоры на самые горячие инциденты сферы Cyber Security, методы защиты от атак, инструкции по обезвреживанию вредоносных программ

[Solomiya]

Новый вирус Fireball

Новый вирус Fireball способен управлять браузерами жертв, заменяя стартовые страницы и поисковые машины на фейковые поисковики-шпионы.
После этого начинается отслеживание трафика и передача хакерам личных данных человека, сообщает "The hacker news".

Резюме:

• Кто? - Китайские программисты
• Цель - Увеличения прибыли от интернет-рекламы
• Масштаб ущерба - По меньшей мере, 250 млн. компьютеров
• Где? - Индия – 25,3 млн., Бразилия – 24,1 млн., Мексика – 16,1 млн., США – 5,5 млн. компьютеров

Источник изображения: Pixabay

[Solomiya]

Опасный троян для любителей безплатных билетов от "Аэрофлота" "Emirates" и "Air France"

Пользователям соцсетей предлагалось испытать удачу на розыграше двух билетов от "Аэрофлота", а жителям Франции – от Air France.
При переходе пользователя по ссылке, на устройство загружался вирус-троян.
Мошенники получали доступ к личным данным авторизации, а также - приобщались к бот-сети рассылателей вредоносных ссылок.

"Когда вы переходите по подобной ссылке, вас проведут через несколько сайтов-прокладок. В процессе вы посмотрите рекламу, вероятнее всего будет предпринята попытка заразить ваше устройство трояном или другой вредоносной программой. Параллельно вы будете отвечать на вопросы типа "Вы действительно хотите получить 2 бесплатных билета?" и "Подтвердите, что вы совершеннолетний(ая)", – пишет эксперт по кибербезопасности компании Group-IB Руслан Юсуфов

После заражения устройства с него могут украсть деньги через онлайн-банк, в случае, если это компьютер компании – с него также могут украсть деньги или коммерческие данные, отмечает эксперт. Ваш компьютер будет подключен к ботнету для организации автоматических DDOS-атак или спама. Ваш компьютер может использоваться для майнинга BTC третьими людьми.

Резюме:

• Тип вируса - Троян
• Цель - Создание ботнета, получение личных данных
• Где? - РФ и Франция
• Масштаб ущерба - Оценивается

Источник изображения: Pixabay

[Solomiya]

WIKILEAKS представил документе о кибершпионаже и вирусе из глубин ЦРУ

Один компьютер в локальной сети с общими дисками, инфицированный "Пандемией",
будет действовать как "нулевой пациент" в распространении вируса.
"ТСН"

В рамках проекта "Пандемия" было возможно заражение удаленных пользователей компьютеров на ОС Windows внутри локальной сети при передаче файлов, при этом оригинальный файл на сервере не меняется.

Резюме:

• Кто? - ЦРУ, проект "Пандемия"
• Цель - ОС Windows
• Разоблачение - Wikileaks

Источник изображения: "ТСН"

[triat]

ух ты,  замечательная статья, очень информативно

[Sofia_Sofia]

Весьма интересно и познавательно.  Но что радует,что не в нашей стране это распостраненно.

[Solomiya]

В Google Play обнаружен опасный вирус

"Создатели вируса добавляли к чистой версии приложения вредоносный код.
За все время эту игру скачали более 50 000 раз."

Как сообщает портал ZN, специалисты по безопасности сообщили о новом вирусе для Android. В отличие от других вирусов-рутовальщиков, этот экземпляр не только устанавливает свои модули в системе, но и вводит вредоносный код в системные библиотеки среды выполнения.

После получения прав суперпользователя и попадания вредоносного кода в системные библиотеки вирус убирает рут, скрывая тем самым своё присутствие. Dvmap также совместим с 64-битной версией Android, что бывает крайне редко, и может отключить функцию проверки приложений Verify Apps, поэтому система безопасности Google не в состоянии его обнаружить. Создатели вируса сначала загрузили "чистую" версию приложения, а потом с обновлениями добавляли к нему вредоносный код. За все время эту игру скачали более 50 000 раз.

После сообщения специалистов, Google удалила приложение из магазина. Основной целью данного вируса было изменение системных библиотек на устройствах пользователей для выполнения загрузки файлов. Стоит отметить, что за все время разработчики ни разу так и не запустили никаких файлов на зараженных устройствах. Но этот вирус сообщает своим создателям практически о каждом своем действии.

Резюме:

• Объект - Вирус-рутовальщик со вводом вредоносного кода
• Цель - ОС Android
• Масштаб ущерба - Около 50 000 устройств
• Где? - Google Play market

Источник изображения: хакер.ru

[Solomiya]

Вирус-вымогатель, который атакует Украину

"Пока неизвестен источник распространения вируса: то ли из электронных писем, то ли с других ресурсов."

Как сообщают специалисты по кибербезопасности MalwareHunter, новый вирус имеет название XData? обнаружен в пятницу, 19 мая. Отмечается, что вирус очень быстро распространяется.

Согласно материалам ТСН, Подтвержденных случаев заражения – 135. Пока неизвестен источник распространения вируса: то ли из электронных писем, то ли с других ресурсов. В основном пострадали компьютеры компаний.

Вирус шифрует всю информацию, после чего все файлы получают расширение .~xdata~, и оставляет в основных директориях текстовый файл с инструкциями по оплате от 0,1 до 1 биткоинов, в зависимости от объема информации. Методов борьбы с вымогателем пока не найдено.

Источник изображения: @malwrhunterteam

[rogmaks768]

ну а как спастись? аваст, касперский что не работают по этим темам?

[Solomiya]

ну а как спастись? аваст, касперский что не работают по этим темам?

По сути, любой антивирусный продукт бессилен при появлении вредоносного ПО нового вида.
Данная проблема имеет название "Уязвимость нулевого дня". Дабы не загромождать тему простыми определениями, советую заглянуть на Википедию:
ru.wikipedia.org/wiki/Уязвимость_нулевого_дня

[Solomiya]

Эксперты по кибербезопасности про вирус-шифровальщик X-DATA и не только...

Ранее 150 европейских стран подверглись нападению компьютерного червя WannaCrypt.
В результате этой атаки, которую Европол охарактеризовал как беспрецедентную, зараженными и парализованными
на несколько дней оказались более 200 000 компьютеров, была нарушена работа больниц, транспортных организаций и правительственных учреждений.

Портал Експресс.ua обнародовл информацию, что вирус XData который мы рассматривали в предыдущих постах, распространялся в четыре раза быстрее чем WannaCry и был нацелен преимущественно на Украину. Правда, по последним данным, свирепствовал он недолго: анонимный пользователь одного из компьютерных форумов неожиданно опубликовал частный мастер-ключ, необходимый для расшифровки данных, пострадавших от XData.

Эксперты подтвердили эффективность ключа, после чего антивирусные компании добавили его в свое программное обеспечение. - Кто рассылает эти вирусы? Зачем атаковать частных пользователей, больницы, транспортные предприятия и т.д.? - Речь идет о деньгах. Цель интернет-вредителей, рассылают вирусы-шифровальщики - это криптовалюта биткоины, - пояснил Александр Ольшанский, эксперт по информационным технологиям. - Вирус шифрует компьютерные файлы, таким образом делая их недоступными для пользователя. Хотите восстановить работу своего компьютера, раскодировать базу данных - платите несколько евро (в криптовалюта). А как пожалеете денег - все данные будут уничтожены. Кстати, в ситуации с вирусом WannaCrypt многие были вынуждены принять условия шантажистов, ведь другого выхода расшифровать данные не было. За код к дешифровке базы данных вымогатели правили 300 евро. Платили не все. Больницы вынуждены были отменять запланированные операции, остановились несколько заводов, железная дорога ... К счастью, как и в случае с XData, относительно быстро нашелся ключ дешифратор.

- Почему антивирусные системы такие беспомощные перед вирусами-шифровальщик? - Речь идет о новом типе компьютерных вирусов, против которых еще не отлажено систем защиты, - говорит Сергей Прокопенко, руководитель компании "Лаборатория компьютерной криминалистики". - Код-шифровальщик находит щель в программе и даже не требует от пользователя скачивания файлов, прикрепленных к письмам (а именно так действовали вирусы во время предыдущих атак).

Кстати, WannaCrypt автоматически заражал все компьютеры даже в защищенной сети. Достаточно было одному пользователю открыть почтовый ящик, как запускалась цепная реакция. А.Ольшанский: - К сожалению, большинство антивирусных программ оказались беспомощными перед вирусами-шифровальщики. И пока надежных программ не создано, выход для пользователей один - создание резервных копий данных. Кроме того, важно придерживаться общепринятых правил безопасности: не открывать вложений к письмам, пришедшим по непонятным источников.

Резюме:

• Объект - Вирус-шифровальщик X-DATA
• Цель - Украинское киберпространство
• Масштаб ущерба - Не подсчитан
• Где? - Украина

Источник изображения: expres.ua

[Solomiya]

Центр кибербезопасности Великобритании доказал: вирус WannaCry запустили с КНДР

За масштабной кибератакой с помощью вируса WannaCry, что задел организации в 150 странах мира, стояли северокорейские хакеры
из группировки Lazarus. Об этом рассказали источники в британском Центре кибербезопасности (NCSC), который возглавляет международное расследование.

Как сообщают в BBC-Ukraine, в "Лаборатории Касперского" и Symantec ранее также заявляли, что за атакой могло стоять именно эта группировка.
Накануне о том, что за майской атакой стояли хакеры из Lazarus, заявили спецслужбы США. Теперь эта группировка стала главным подозреваемым в международном расследовании, которое возглавляют британские эксперты.
Группировка Lazarus, также известная под названиями Hidden Cobra и Guradians of the Peace, достаточно известна. На Западе считают, что она связано с киберподразделением северокорейской разведки, известным как Bureau 121.

В 2015 году перебежчик из КНДР, профессор информатики Ким Хен Кван рассказал о Bureau 121. По его словам, в подразделении служат около 6000 "военных хакеров", которые осуществляют атаки на инфраструктурные объекты - линии связи и коммуникационные спутники.
По словам профессора, Bureau 121 - один из приоритетных проектов правительства КНДР. Он получает очень серьезное финансирование, несмотря на экономические проблемы в стране. Хакеров набирают из числа студентов Института автоматизации Политехнического университета имени Ким Чхэк в Пхеньяне.

Группу Lazarus западные эксперты считают частью Bureau 121. С ней связывали резонансные кибератаки, произошедшие в последние годы. Считается, что в 2014 году хакеры Lazarus атаковали серверы американской кинокомпании Sony Pictures, выпустившей фильм Interview, содержащий сцену убийства северокорейского лидера.
Также с Lazarus связывают атаку на центральные банки трех азиатских стран в марте прошлого года. Хакерам удалось снять 101 млн долларов и перевести их в другие страны.

Источник изображения: tut.by

[Solomiya]

Майский отголосок

В мае масштабной кибератаке вирусом-блокировщиком WannaCry подверглись более 70 стран. Распространенная тогда версия вируса блокировала использование файлов на компьютере и требовала оплаты для разблокировки.

Как сообщает портал Коммерсант.ру, в Австралии 55 камер дорожного наблюдения c 6 по 22 июня поразил вирус WannaCry.

Зараженные вирусом камеры принадлежали компании RedFlex. Вирус не распространился дальше них, потому что они не были подключены к интернету и были связаны только между собой.

По информации радиостанции 3AW693, причиной заражения камер стало подключение оператором зараженного USB-накопителя. Устройства после заражения продолжали работать, но постоянно перезагружались.

[Solomiya]

Компания "Honda" остановила производство автомобилей из-за атаки вируса WannaCrypt

Несмотря на попытки обезопасить системы в мае, когда по миру прошла основная ударная волна заражений вызванных вирусом WannaCry, японская компания объявила, что вирус заполонил компьютерные сети.

Как сообщает портал "112 Україна" со ссылкой на Reuters, в Японии остановили завод Honda из-за вируса WannaCry.
Японская компания, которая производит более 1000 машин в сутки объявила, что вирус заполонил компьютерные сети. В воскресенье вирус-вымогатель поразил сети в Японии, Северной Америке, Европе, Китае и других регионах, несмотря на попытки обезопасить системы в мае, когда по миру прошла основная ударная волна заражений вызванных вирусом WannaCry. Другие заводы компании не пострадали. Во вторник производство на автозаводе возобновилось.

Разработчики антивируса Avast сообщали о 57 тысяч хакерских атак с использованием вируса WannaCrypt0r 2.0.

Резюме:

• Объект - вирус - WannaCry
• Масштаб ущерба - более 200 тыс. компьютеров в 150 странах
• Где? - в первую очередь распространялся в России, Украине и Тайване

Источник изображения: informator.news

[bojjan]

Сегодня многие частные компании и финансовые учреждения в Украине пострадали от кибератак. Вирус называется DOS/Petya.A. Он шифрует файлы.

[Solomiya]

Вирус Petya.A: Выводы экспертов из Кибербезопасности

Госспецсвязи Украины заявляло об уязвимости ОС Windows еще в начале весны. Очень мало компаний обратило внимание на старательно составленную записку об обязательной установке важного обновления из сайта компании Microsoft. Теперь масштабы расплаты поражают даже самых опытных специалистов сферы Киберзащиты.

Как сообщает портал "Ліга.Бізнес", сегодня несколько десятков украинских компаний и учреждений пострадали от массивной хакерской атаки. Вирус-вымогатель DOS/Petya.A атаковал банки, почтовых и телеком-операторов и энергетическую систему страны.

Редакция LIGA.net попросила экспертов в сфере кибербезопасности ответить на несколько вопросов:

- Когда и как украинские компьютеры были заражены вирусом?

- Какие последствия у атаки?

- Можно ли будет восстановить данные?


Комментарий доцента кафедры киберзащиты "Киевского Политехнического Института", Олега Сыча:

Это вирус, сетевой червь, программа-вымогатель, который в своей деятельности использует уязвимость операционной системы Windows. Весной текущего года уже отмечалась масштабная эпидемия, которая прокатилась по многим странам мира. Пострадали тысячи пользователей. Про это писали все СМИ! Но что самое главное - способ как уберечься от новых заражений был найден в течение нескольких дней. Был создан патч, установив который, WannaCry больше не могла атаковать ПК.

Однако можно говорить с высокой вероятностью, что все сегодняшние "жертвы" просто проигнорировали возможность принять превентивные меры. Возможно, это из-за невнимательности. Возможно, из-за того, что обычные пользователи и даже компании пользуются пиратскими вариантами операционных систем. И чтобы им не надоедали напоминанием о необходимости купить лицензию, принудительно отключают обновления системы. Кроме того, администраторы должны внимательно относиться к рекомендациям компаний и лабораторий, которые работают в сфере киберзащиты. Например, немедленно закрыть TCP-порты 1024-1035, 135, 139 и 445.

Первоначально заражение трояном WannaCry произошло, скорее всего, из-за невнимательности или недостаточной осведомленности персонала. Сотрудники могли, например, пользоваться личной почтой на рабочем ПК или открыть вложение в письмах от неизвестного адресата в корпоративной почте, тем самым заразив компьютер.

Нарушение настолько базовых правил может говорить или о том, что сыграл "человеческий фактор", или о том, что про эти правила вообще никогда не слышали.

Какие могут быть последствия? Самые страшные и масштабные, как на уровне отдельных пользователей, так и на уровне корпоративного сегмента - полная потеря данных на закриптованных носителях информации. Скорее всего, даже попытки расшифровать и восстановить данные даже при условии выплаты выкупа шантажистам (300 долларов в биткоинах) не приведут ни к чему. Конечно, если вам не знакомо значение словосочетания "резервное копирование".


Резюме:

• Объект - вирус, сетевой червь, программа-вымогатель DOS/Petya.A
• Масштаб ущерба - атака продолжается
• Где? - Сильнее всего пострадали страны Центральной Европы, Италия, Израиль.
  28 июня компьютерный вирус Petya.А распространился на страны Азии.

Доцент кафедры киберзащиты "Киевского Политехнического Института"
Олег Сыч
Источник изображения: biz.liga.net

[Solomiya]

Архитектор систем информационной безопасности компании "ИТ-Интегратор" Алексей Швачка:

Механизм распространения идентичен WannaCry, используется уязвимость в ОС Windows под названием MS17-010.

27 июня началась новая волна масштабных заражений модификацией вируса-шифровальщика.

Механизм распространения идентичен WannaCry, используется уязвимость в ОС Windows под названием MS17-010. К слову, эта уязвимость известна с марта (!). Компания Microsoft давно выпустила исправление безопасности, в том числе и на уже снятые с поддержки Windows XP / Vista / 2003 / 2008.

Если Вы используете одну из этих версий ОС Windows, необходимо обязательно установить исправление, доступное по адресу.

Для актуальных лицензионных версий ОС Windows обновления устанавливаются автоматически. Если это по какой-то причине не выполняется, инструкцию по установке и обновления можно найти здесь.

Если есть подозрение на то, что ваш компьютер уже заражен, необходимо срочно скопировать важные данные на внешний носитель, который после этого обязательно отключить.

Надеемся, в ближайшие дни производители антивирусов выпустят обновления вирусных баз и специальные утилиты-дешифровшики, как это уже было сделано для нескольких модификаций вируса месяц назад.

Алексей Швачка
Источник изображения: liga.net

[Solomiya]

SSP Labs о киберинциденте DOS/Petya.A

эксперты лаборатории сделали вывод о том, что разрушительные воздействия в IT-системах изученных организаций выполнялись с помощью инструментов по типу WannaCry/XData

ІSSP Labs проводит экстренное расследование массовой кибератаки на украинскую инфраструктуру. По полученным промежуточным данным анализа эксперты лаборатории сделали вывод о том, что разрушительные воздействия в IT-системах изученных организаций выполнялись с помощью инструментов по типу WannaCry/XData. Но при этом было зафиксировано непосредственное участие злоумышленников, которые уже находились определенное время в инфраструктуре. По мнению экспертов ISSP Labs, сама атака началась ориентировочно в марте-апреле 2017 года. Началась она с изучения инфраструктуры, перехвата паролей, административно/технологических учетных записей.

В настоящий момент проходит финальная стадия кибератаки, известная как "Clean up" (Зачистка). Зафиксированы несколько вариантов активных действий: уничтожение MBR и шифрование диска. Мы считаем, что злоумышленники отдают себе отчет в том, что количество пораженных пользователей, которые произведут требуемую после зашифровки оплату, будет небольшим, и итоговая сумма не покроет общие затраты на разработку и распространение данного вредоносного кода, организацию и выполнение такой масштабной атаки. В связи с этим, возникает вопрос о подлинных мотивах и целях злоумышленников. Самое важное - установить, что именно скрывает эта стадия, какие действия злоумышленники пытаются скрыть путем уничтожения логов на серверах и рабочих станциях пораженных организаций. Какие инструменты "спящие агенты" оставили для последующего возвращения в инфраструктуры жертв-организаций?

Источник изображения: Ліга.Бізнес

[Solomiya]

DOS/Petya.A

Вирус-вымогатель был запущен не ради выкупов, уверены в ООН.

Как сообщает портал "Сегодня", следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий. Об этом сообщил председатель Глобальной программы ООН по киберпреступности Нил Уолш.
Программное обеспечение, использованное при атаке на этой неделе, было сложнее, чем то, которое применялось в предыдущих атаках с применением вируса WannaCry, отметил специалист. Но инициаторы новой атаки неопытны в вопросе сбора выкупа от жертв в обмен на разблокирование их компьютеров, утверждает Уолш.

Это позволило 28 июня заблокировать учетную запись и сделать невозможным получение денег.

"Это может быть кто угодно: от одного парня, сидящего в подвале, до государства", – сказал Уолш.

Как известно, 27 июня крупнейшей хакерской атаке, которая распространяет вирус Petya.A, подверглись украинские банки, энергетические компании, государственные интернет-ресурсы и локальные сети, украинские медиа и ряд других крупных предприятий. В Украине атака началась практически одновременно около 11:30. Вирус, блокирующий работу компьютерных систем, распространился очень быстро. Он проявляется в отказе работы компьютеров на платформе Windows – зараженный компьютер перегружается и вирус зашифровывает все данные на нем.

О кибератаке позже сообщили и в других странах. Сильнее всего пострадали страны Центральной Европы, Италия, Израиль. 28 июня компьютерный вирус Petya.А распространился на страны Азии.

Источник изображения: yablyk.com 

[Solomiya]

Компания "Microsoft" о вирусе DOS/Petya.A

В Украине были инфицированы 12,5 тысяч компьютеров

В Microsoft отреагировали на хакерскую атаку, которая началась с Украины, а потом произошла и в 64 других странах.
Соответствующая информация появилась в блоге компании.

По словам специалистов компании, хакерская атака была осуществлена при помощи вируса-вымогателя, нового варианта Ransom:Win32/Petya, однако в то же время он изящнее своего предшественника.

Также в компании подтвердили вину софта M.E.Doc, который используют в бухгалтерии.
Изначально такие данные в компании считали исключительно косвенными, но более детальное исследование подтвердило ранее поданное заявление украинской киберполиции – виноват M.E.Doc.
Весь процесс был запущен в 10.30 27 июня и до обеда угроза распространилась на компании по всей Украине. Произошло все после легального обновления программы.

Хакерские атаки были нацелены на объекты критической информационной инфраструктуры энергогенерирующих и энергоснабжающих компаний, объектов транспорта, ряда банковских учреждений, телекоммуникационных компаний. Вирус атаковал и Кабинет министров Украины.

Источник изображения: Microsoft