Сегодня 16 августа 2017
18+
E3 2017
Теги → ботнет
Быстрый переход

Новый ботнет обогащает злоумышленников за счёт малого бизнеса

«Лаборатория Касперского» обнаружила новую сеть «зомбированных» компьютеров, которая позволяет злоумышленникам зарабатывать деньги за счёт накрутки фальшивых просмотров рекламных страниц и баннеров в Интернете.

В основе работы ботнета лежит троян Magala, распространяющийся через инфицированные веб-сайты. Попав на компьютер, зловред проверяет установленную версию Internet Explorer: если она ниже восьмой, программа игнорирует устройство и не активируется. Если же нужный браузер найден, троян загружается, запускает скрытый рабочий стол, на котором впоследствии будут проводиться все операции, устанавливает необходимое рекламное ПО и сообщает командно-контрольным серверам о своей готовности к работе.

Magala имитирует клики пользователя на заданных веб-страницах. Жертвами киберпреступников становятся прежде всего компании малого бизнеса, решившие разместить рекламу через неблагонадёжных рекламодателей.

В процессе работы Magala получает от командных серверов список поисковых запросов, для выдачи которых необходимо поднять количество кликов. Далее программа начинает последовательно вводить указанные запросы и переходить по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.

По оценкам «Лаборатории Касперского», в идеальной ситуации злоумышленники могут получить до 350 долларов США с каждого заражённого компьютера в составе ботнета. Впрочем, на практике сумма, скорее всего, окажется значительно меньше. Тем не менее, доходы киберпреступников исчисляются тысячами долларов. 

Ботнет Stantinko поразил полмиллиона компьютеров

Компания ESET обнаружила рекламный ботнет Stantinko, в результате работы которого были инфицированы сотни тысяч компьютеров. Причём основная часть жертв находится в России.

Эксперты отмечают, что Stantinko — это весьма сложная киберугроза. Разработчики программы реализовали шифрование кода и комплексные механизмы самозащиты. Это позволило операторам Stantinko оставаться незамеченными на протяжении пяти лет: выяснилось, что ботнет действовал как минимум с 2012 года.

Stantinko специализируется на рекламном мошенничестве, а главной целью является финансовая выгода. Авторы программы предлагают услуги на доходном рынке компьютерных преступлений — обеспечивают ложные переходы по рекламным ссылкам.

Для заражения системы операторы Stantinko маскируют под пиратское ПО загрузчик семейства FileTour. Он устанавливает несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме. Далее зловред устанавливает два расширения браузера, которые предназначены для несанкционированного показа рекламы.

ESET подчёркивает, что Stantinko позволяет операторам выполнять в заражённой системе широкий спектр других действий. Это может быть взлом панелей управления сайтов путём перебора паролей (для последующей перепродажи), мошенничество на Facebook и кража данных.

На сегодняшний день инфицировано около полумиллиона компьютеров. Из них около 46 % находятся в России. На Украину пришлось 33 % заражений. 

Зловред Hajime формирует ботнет из устройств Интернета вещей

«Лаборатория Касперского» зафиксировала растущую активность весьма необычной вредоносной программы под названием Hajime, которая поражает устройства Интернета вещей.

Зловред, как отмечается, готов заразить любой гаджет, подключённый к Интернету. Однако в числе его жертв всё же преобладают видеозаписывающие устройства, веб-камеры и роутеры. Любопытно, что программа избегает некоторых сетей — среди них, в частности, сети General Electric, Hewlett-Packard, почтовой службы США и Министерства обороны США.

Для проникновения на устройство Hajime использует несколько техник. Но чаще всего зловред применяет метод «грубой силы», то есть подбирает пароль через перебирание возможных комбинаций. После успешного заражения программа предпринимает меры для сокрытия своего присутствия на устройстве.

Распределение зараженных Hajime устройств по странам / «Лаборатория Касперского»

Распределение зараженных Hajime устройств по странам / «Лаборатория Касперского»

На базе инфицированных гаджетов Hajime формирует ботнет. Уже сейчас заражено около 300 тыс. устройств по всему миру. Наибольшее их число зафиксировано в Иране — около 20 %. Следом идут Бразилия (9 %) и Вьетнам (8 %). На долю России приходится 7,5 % поражённых устройств.

Какую именно цель преследуют создатели зловреда, совершенно неясно. Дело в том, что в Hajime нет функций, позволяющих осуществлять атаки; на данный момент программа содержит только модуль, отвечающий за её распространение. Но нужно отметить, что в переводе с японского Hajime означает «начало». Вероятно, вскоре последует продолжение. 

Новая статья: Итоги-2016 от Positive Technologies: угрозы и прогнозы

Данные берутся из публикации Итоги-2016 от Positive Technologies: угрозы и прогнозы

Ботнет Shadows Kill нацелился отключить от Интернета целую страну

В конце октября была совершена мощная DDoS-атака на сеть крупнейшего провайдера Dyn, которая на несколько часов отрезала доступ ко множеству популярных интернет-ресурсов. Напомним, основным инструментом для атаки стало зловредное программное обеспечение Mirai, которое объединяет уязвимые IoT-устройства в ботнет. Согласно данным ботнет-трекера MalwareTech, активизировался очередной опасный ботнет, который специалисты именуют #14 или Shadows Kill.

Карта активности Mirai

Карта активности Mirai

Транзитные провайдеры фиксируют DDoS-трафик более 500 Гбит/c. Shadows Kill является одним из крупнейших ботнетов в истории. Как и в случае с многими другими ботнетами, организаторы Shadows Kill тщательно выбирают цели для атаки, чтобы нанести максимальный урон. На этот раз жертвой хакеров стала целая страна. В Либерии доступ в Интернет обеспечивается одной-единственной подводной магистралью, проложенной в 2011 году. Если его «перерубить», то страна останется совсем без Интернета. Целями нового ботнета стали провайдеры, имеющие доступ к этой магистрали.

Вопросы безопасности IoT актуальны как никогда

Вопросы безопасности IoT актуальны как никогда

Интересно отметить, что многочисленные атаки были короткими. По мнению экспертов, хакеры просто оттачивают свои методики и готовятся к чему-то очень масштабному. На момент подготовки материала ботнет периодически атаковал ключевых телекоммуникационных провайдеров Либерии.

Обнаружен ботнет с трафиком 1,5 Тбит/с из 145 тыс. камер

Мы уже неоднократно отмечали риски информационной безопасности, которые несут в себе устройства Интернета вещей. Например, в конце прошлого года эксперты компании Incapsula выявили целую зараженную сеть, состоящую не из традиционных компьютеров, а из камер видеонаблюдения. Более 900 CCTV-камер было готово к атакам. И это лишь малая часть инцидентов с участием IoT-устройств, зафиксированных в последние годы.

ibtimes.co.uk

ibtimes.co.uk

На прошлой неделе новостное издание в сфере информационной безопасности KrebsOnSecurity пострадало от мощной распределённой DDoS-атаки. По оценкам экспертов, это была атака с рекордным потоком 620 Гбит/с, а используемый злоумышленниками ботнет включал в себя домашние роутеры, камеры видеонаблюдения и другие IoT-устройства. Сайт смог возобновить работу только через 24 часа.

ibtimes.co.uk

ibtimes.co.uk

Спустя несколько дней жертвой похожей атаки стал французский веб-ресурс. В данном случае атака была ещё более мощной — трафик составил свыше 1,1 Тбит/с. Далее последовала ещё серия атак. Исследователи обнаружили огромную ботнет-сеть, объединяющую более 145 тысяч камер, которая могла достичь 1,5 Тбит/с.

До событий последней недели самой мощной считалась DDoS-атака, прошедшая в июне с потоком 363 Гбит/с. По словам экспертов, ботнеты с пропускной способностью порядка 1 Тбит/с станут привычным явлением через 1–2 года. Специалисты раньше уже предупреждали, что IoT-устройства несут в себе высокую опасность и к настройке их защиты производителям стоит отнестись ответственно. Многие такие устройства по умолчанию имеют слабые настройки защиты и легко поддаются взлому. А владельцы этих устройствах могут вообще не подозревать, что они стали частью очередного ботнета.

Новый самораспространяющийся троян для Linux организует ботнеты

Аналитики «Доктора Веба» опубликовали на официальном сайте компании подробный рассказ о новом Linux-троянце, который способен атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.

Зловред, получивший наименование Linux.Rex.1, относится к наиболее продвинутой категории ботнетов, которые способны функционировать без получения команд с управляющих серверов, напрямую передавая информацию от одного заражённого узла к другому. За это отвечает особый протокол, встроенный в архитектуру Linux.Rex.1, который позволяет создавать таким образом децентрализованный P2P-ботнет.

Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передаёт их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. Троянец также способен сканировать сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удалённых узлах.

Помимо этого, Linux.Rex.1 используется для рассылки спама по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку, и, чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткоин.

Новый банковский троян формирует P2P-ботнет

«Доктор Веб» предупреждает о появлении новой модификации вредоносной программы Gozi, инфицирующей компьютеры под управлением 32- и 64-разрядных версий операционных систем Windows.

Gozi — это троян с весьма развитой функциональностью. Зловред, в частности, способен  похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш, встраивать в просматриваемые на заражённом компьютере веб-страницы постороннее содержимое и пр. Кроме того, программа даёт злоумышленникам возможность получить удалённый доступ к рабочему столу заражённого ПК.

Обнаруженный зловред обладает возможностью формировать одноранговые ботнеты, то есть обмениваться данными с другими заражёнными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация шифруется.

Для определения адресов своих управляющих серверов троян использует специальный алгоритм генерации доменов. Для этого он загружает текстовый файл, используемый в качестве словаря, особым образом преобразует его с учётом текущей даты и на основе полученных значений формирует доменные имена. При этом троян автоматически меняет управляющий сервер каждые 15 дней.

Gozi способен похищать самую разнообразную персональную информацию, включая данные для доступа к платёжным и банковским системам. Таким образом, в случае заражения пользователи рискуют остаться без своих денежных сбережений. 

ESET NOD32 Smart Security обеспечивает защиту онлайн-банкинга

Компания ESET сообщает об успешном прохождении ежеквартального тестирования защиты интернет-банкинга с помощью антивирусного решения ESET NOD32 Smart Security. Тестирование проводилось независимой лабораторией MRG Effitas.

Испытание было проведено в четвёртом квартале 2015 года. Для сравнения были выбраны семнадцать антивирусов для домашних пользователей. Специалисты лаборатории изучали эффективность защиты от зловредных приложений, направленных на компрометацию интернет-банкинга.

Отмечается, что в ходе испытаний сотрудники MRG Effitas проводили тестирование на блокирование известных финансовых интернет-угроз, включая модификации ZeuS, Dridex, Dyre, SpyEye и Tinba. Кроме того, все антивирусы проходили симулируемые тесты на перехват API и cookie и ботнет-испытания.

Сообщается, что антивирусное программное решение ESET NOD32 Smart Security показало хороший результат и распознало все ботнеты и вредоносные приложения. В результате испытаний антивирус получил сертификат MRG Effitas Online Banking Browser Security.

Мошенники многократно увеличили количество атак на банки в конце 2015 года

Согласно данным исследования ThreatMetrix Cybercrime Report, четвёртый квартал 2015 года был отмечен значительным ростом количества хакерских атак на финансовые структуры. По мнению аналитиков, банки будут и дальше оставаться самой привлекательной мишенью для киберпреступников в 2016 году.

businessinsider.com

businessinsider.com

Исследователи зафиксировали 40-процентное увеличение криминальной активности против банков за последние 12 месяцев. За этот период было отмечено около 100 млн попыток мошенничества, включая 21 млн попыток за последний квартал 2015 г.

В течение этого периода с октября по декабрь было произведено 45 млн бот-атак против банков, что в 10 раз превышает количество атак в предыдущем квартале. Исследование предупреждает, что даже одной успешной атаки было бы достаточно, чтобы полностью парализовать работу крупного банка на несколько дней и привести к громадным финансовым потерям.

Бот-атаки названы крупнейшим вектором нападения на финансовый сектор по всему миру. По данным ThreatMetrix, в четвёртом квартале 2015 г. было отражено 200 млн атак с использованием ботов, так как в этот период криминальные структуры пытались воспользоваться значительным увеличением числа транзакций в связи ростом покупательной активности людей в преддверии Рождества.

Мошенники используют имеющиеся в распоряжении обширные сети заражённых устройств для наводнения онлайновых систем большими объемами мошеннических операций, зачастую используя скрипты в сочетании с ботами.

«Риск мошенничества и угроза безопасности продолжают расти быстрыми темпами, так как мошенники стремятся извлечь выгоду из легкодоступных идентифицирующих данных и анонимности онлайн транзакций», — предупреждают исследователи.

ESET участвует в операции по ликвидации ботнета Dorkbot

Компания ESET сообщила об участии в операции по ликвидации ботнета Dorkbot. Данная операция была реализована совместными усилиями ESET, Microsoft, правоохранительных органов нескольких стран и польским центром реагирования на компьютерные инциденты (CERT).

Отмечается, что вирусные аналитики ESET провели анализ вредоносного приложения Win32/Dorkbot, от которого пострадали пользователи более чем в 200 странах. Зловредная программа распространяется через социальные сети, съёмные носители, наборы эксплойтов, а также через спам-рассылки по электронной почте. Dorkbot блокирует обновления операционной системы, нарушает работу антивирусных приложений и использует протокол IRC для получения инструкций от злоумышленников.

Троян поддерживает типичную для программ подобного типа функциональность — занимается кражей паролей для интернет-служб, а также позволяет устанавливать другие вредоносные приложения. В частности, была выявлена установка спам-бота Win32/Lethic и ПО для проведения DDoS-атак Win32/Kasidet. Кроме того, множество образцов Dorkbot было обнаружено на съёмных накопителях. При запуске дроппера Dorkbot с USB-носителя приложение пытается начать загрузку основного компонента вредоносной программы с удалённого сервера, адрес которого содержится в исполняемом файле дроппера. Файл Win32/Dorkbot.L исполняет код загружаемого файла и устанавливает основной компонент программы — Win32/Dorkbot.B, отвечающего за работу с удаленным сервером по IRC.

Для осложнения обнаружения настоящих управляющих серверов злоумышленников Win32/Dorkbot.L перехватывает АРI-функцию DnsQuery у основного компонента программы. После установки бот подключается к IRC-серверу и ожидает команд от своих операторов. Как правило, это команды на загрузку новых вредоносных приложений.

Отмечается, что в настоящее время Dorkbot по-прежнему распространена во многих странах мира. Для проверки своей системы можно воспользоваться бесплатной утилитой Dorkbot Cleaner, созданной в ESET. При обнаружении вредоносного приложения, оно будет удалено.   

Раскрыт DDoS-ботнет из 900 CCTV-камер

Несмотря на всю перспективность и привлекательность идеи создания Интернета вещей (IoT, Internet of Things), распространение таких «подключенных» устройств может привести к увеличению количества преступных киберзлодеяний. Зачастую настройки системы защиты IoT-электроники по умолчанию отличаются слабостью, и злоумышленник даже посредственной квалификации может взломать такое устройство.

Incapsula

Incapsula

Одной из угроз является создание ботнетов, использующих IoT-устройства. В последнее время, отмечают эксперты, такие инциденты участились. При этом самыми популярными мишенями являются CCTV-камеры. По некоторым оценкам, в мире насчитывается 245 миллионов функционирующих камер видеонаблюдения, официально установленных профессионалами, а также ещё миллионы неучтённых, которыми пользуются любители. Многие пользователи не задумываются об обеспечении даже элементарной безопасности.

Incapsula

Incapsula

Incapsula

Incapsula

На днях в компанию Incapsula обратился клиент, жалующийся на «наводнение» его серверов HTTP-запросами. Во время атак было зафиксировано до 20 тыс. запросов в секунду. При изучении специалистами Incapsula IP-адресов выяснилось, что среди участников атакующей ботнет-сети есть CCTV-камеры, находящиеся… на заднем дворе компании. Ко всем этим устройствам доступ можно было получить по стандартным паролям, установленным по умолчанию.  

Incapsula

Incapsula

В целом, исследователи выявили около 900 камер, объединенных в ботнет по всему миру. Также интересно отметить, что ко многим из скомпрометированных камер получали доступ злоумышленники из совершенно разных регионов. Это указывает на то, что, скорее всего, они были взломаны независимо сразу несколькими лицами. Чтобы такой «проходной двор» не сделали из вашего устройства, специалисты рекомендуют, как минимум, менять все установленные по умолчанию пароли на более сложные.

Linux-ботнет проводит DDoS-атаки с потоком трафика свыше 150 Гбит/с

Компания Akamai Technologies сообщает о волне распределённых атак типа «отказ в обслуживании» (DDoS), которые осуществляются с помощью ботнета, объединяющего большое количество Linux-устройств.

Анализ показал, что киберпреступники используют вредоносную программу XOR DDoS, которая была впервые замечена ещё год назад — в сентябре 2014-го. Этот зловред способен инфицировать различное Linux-оборудование, включая серверы, маршрутизаторы Wi-Fi и сетевые хранилища данных. Для проникновения на устройство XOR DDoS подбирает логины и пароли, используя в том числе метод «грубой силы» (brute-force attack).

По оценкам Akamai Technologies, в ходе проведения DDoS-атак ботнет может генерировать поток трафика со скоростью более 150 Гбит/с. Это значительно превосходит возможности по обработке данных, которые обеспечивают сетевые инфраструктуры обычных компаний. В результате IT-системы, подвергшиеся нападению, могут попросту прекратить обслуживать обычных пользователей.

Сообщается, что ежедневно DDoS-атакам, организованным с помощью ботнета, подвергаются более 20 целей. Их основная часть — около 90 % — находятся в Азии: это, преимущественно, компании из сектора онлайновых игр, а также всевозможные образовательные учреждения. 

«Доктор Веб»: ботнет Rmnet продолжает активную деятельность

На днях стало известно, что 24 февраля Европол совместно с правоохранительными органами ряда стран и крупными компаниями провёл скоординированную операцию по обезвреживанию крупного ботнета Rmnet. Сообщалось, что специалистам по информационной безопасности удалось перехватить около 300 доменов, использовавшихся злоумышленниками, а также заблокировать не меньше семи управляющих серверов. Однако мониторинг, осуществляемый компанией «Доктор Веб», позволяет говорить о том, что эффект от операции оказался вовсе не таким, как можно было бы ожидать.

«Доктор Веб» отслеживает несколько подсетей ботнета, созданных злоумышленниками с использованием различных версий вредоносной программы Rmnet. Одной из них является модификация Win32.Rmnet.12, известная ещё с сентября 2011 года. Она представляет собой сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он в состоянии выполнять поступающие от злоумышленников команды, встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

Другая версия, Win32.Rmnet.16, отличается рядом архитектурных особенностей, например, использованием цифровой подписи при выборе управляющего сервера. Вирус также способен выполнять команды на скачивание и запуск произвольного файла, собственное обновление, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы.

Всего на сегодняшний день компании «Доктор Веб» известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов, и как минимум две подсети Win32.Rmnet.12, не использующие автоматическую генерацию доменов. Причём во многих подсетях снижение активности не наблюдается.

Среднесуточная активность ботнета Win32.Rmnet.12, 1-я подсеть

Среднесуточная активность ботнета Win32.Rmnet.12, 1-я подсеть

Так, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет порядка 250–270 тыс. инфицированных узлов:

Среднесуточная активность ботнета Win32.Rmnet.12, 2-я подсеть

Среднесуточная активность ботнета Win32.Rmnet.12, 2-я подсеть

В подсети Win32.Rmnet.16 наблюдается значительно меньшая ежесуточная активность, но и здесь не отмечается каких-либо «провалов»:

Среднесуточная активность ботнета Win32.Rmnet.16

Среднесуточная активность ботнета Win32.Rmnet.16

Схожая ситуация наблюдается и при отслеживании активности компьютеров, на которых действуют вредоносные модули, получившие общее обозначение Trojan.Rmnet.19:

Среднесуточная активность ботнета Trojan.Rmnet.19

Среднесуточная активность ботнета Trojan.Rmnet.19

Таким образом, организаторы мероприятия по уничтожению ботсети Rmnet, по всей видимости, сумели ликвидировать далеко не все управляющие серверы. По крайней мере, как минимум 500 000 компьютеров, инфицированных различными модификациями данного вируса, все ещё продолжают активно действовать. 

Обезврежен ботнет Ramnit из нескольких миллионов компьютеров

Европол совместно с правоохранительными органами ряда стран обезвредил крупную сеть зомбированных компьютеров Ramnit, которая использовалась киберпреступниками в том числе для кражи банковских данных и персональной информации.

Klaus Ohlenschläger/dpa/Corbis

Klaus Ohlenschläger/dpa/Corbis

Вредоносная программа Ramnit появилась в 2010 году. Поначалу этот червь мог инфицировать файлы EXE, DLL и HTM, но с течением времени его функциональность сильно расширилась. В результате зловред превратился в киберпреступный инструмент с возможностями трояна, способный отслеживать онлайновые банковские сессии, воровать важную информацию, предоставлять злоумышленникам удалённый доступ к инфицированному компьютеру и пр.

Sebastian Kahnert/dpa/Corbis

Sebastian Kahnert/dpa/Corbis

Сообщается, что за пять лет существования Ramnit поразил более 3,2 млн компьютеров в различных странах по всему миру. В операции по обезвреживанию ботнета принимали участие спецслужбы Германии, Италии, Нидерландов и Великобритании. Содействие оказали корпорации Microsoft и Symantec.

В результате операции наложен арест на командно-контрольные серверы Ramnit. Кроме того, заблокированы примерно три сотни доменных имён, использовавшихся злоумышленниками.