Теги → ботнет
Быстрый переход

Microsoft разрушает ботнет-сеть Necurs, состоящую из более чем 9 млн компьютеров

Корпорация Microsoft вместе с партнёрами из 35 стран приступила к реализации плана по нарушению работы одной из крупнейших ботнет-сетей в мире Necurs, состоящей из более чем 9 млн заражённых компьютеров. Специалисты компании около 8 лет следили за сетью и планировали действия, которые позволят гарантировать, что преступники больше не смогут использовать ключевые элементы инфраструктуры ботнета для проведения кибератак.

Напомним, ботнет представляет собой сеть заражённых вредоносным программным обеспечением компьютеров, которые находятся под удалённым контролем злоумышленников. Исследователи установили, что один компьютер, входящий в состав ботнета Necurs, за 58 дней осуществил отправку 3,8 млн спам-писем.   

Предполагается, что за Necurs стоят российские хакеры, использующие сеть заражённых компьютеров для выполнения разных задач, в том числе мошенничества, кражи персональных данных, атак на другие компьютеры и др. По мнению Microsoft, часть инфраструктуры Necurs сдаётся в аренду другим киберпреступникам. Помимо прочего, сеть используется для распространения вредоносного и вымогательского ПО, DDoS-атак и др.

Для разрушения сети Necurs специалисты Microsoft проанализировали методику, которую ботнет использует для генерации новых доменов. В результате они спрогнозировали генерацию более 6 млн новых доменов в течение 25 месяцев. Эта информация была передана регистраторам в разных странах мира, чтобы осуществить блокировку данных веб-сайтов, не позволяя им стать частью ботнет-сети. Взяв под контроль существующие веб-сайты и ограничив возможность регистрации новых, Microsoft сумела нанести значительный ущерб сети, нарушив её работу.

Кто-то удаляет вредоносное ПО Phorpiex с заражённых ПК и рекомендует установить антивирус

Похоже, что неизвестное лицо перехватило управление над инфраструктурой ботнета Phorpiex (Trik). Дело в том, что некто начал удалять вредоносное ПО с заражённых ПК, оставляя после себя сообщение с рекомендацией установить антивирусную программу и обновить ПО компьютера.

Сначала предполагалось, что это своеобразная шутка, оставленная внутри вредоносной программы, чтобы посмеяться над ИБ-специалистами, которые занимаются анализом вируса. После проверки оказалось, что вредонос действительно удаляется с заражённых ПК.

Янив Балмас (Yaniv Balmas), глава отдела кибер-исследований в Check Point, работающей в сфере информационной безопасности, подтвердил, что вредоносное ПО начало удаляться с пользовательских компьютеров, отметив, что специалисты компании внимательно следят за семейством вредоносных программ Phorpiex. Он также выдвинул несколько предположений касательно случившегося. Операторы ботнета могли самостоятельно прекратить работу вредоносной сети. Это также могли сделать правоохранительные органы, ИБ-специалисты или операторы конкурирующих ботнетов, решившие саботировать работу Phorpiex.

Семейство вредоносных программ Phorpiex, используемое злоумышленниками более десяти лет, в прошлом неоднократно сталкивалось с проблемами, в том числе из-за небрежности разработчиков. К примеру, в 2018 году один из серверов управления ботнетом был оставлен в открытом доступе, благодаря чему ИБ-специалисты сумели извлечь более 43 млн адресов электронных почтовых ящиков, которые использовались операторами Phorpiex для рассылки фишинговых спам-сообщений. Рассматриваемая сеть активно используется злоумышленниками, а её работоспособность поддерживается благодаря регулярным кампаниям по массовой рассылке фишинговых писем, применяемых для заражения новых ПК.

Хакер опубликовал базу данных с паролями от более чем 500 000 серверов, маршрутизаторов и IoT-устройств

На одном из популярных хакерских форумов были опубликованы пароли для доступа по протоколу Telnet к более чем 515 000 серверов, домашних маршрутизаторов и «умных» устройств Интернета вещей (Internet of Things). Учётные данные сопровождались другой информацией, в том числе IP-адресами устройств и логинами для доступа, которые могут использоваться для удалённого управления по сети Интернет.

По словам экспертов, огромный список с учётными данными от разных устройств был составлен путём сканирования сети Интернет на предмет поиска устройств с включённым протоколом Telnet. После обнаружения таких устройств хакер либо подбирал установленные производителем по умолчанию учётные данные, либо составлял комбинации, которые часто используются пользователями и являются небезопасными.

Опубликованная база данных представляет собой так называемый «список ботов», которые часто используются хакерами при построении ботнет-сетей. Сначала хакеры сканируют сеть Интернет на предмет поиска ботов, после чего подключаются к ним удалённо и устанавливают вредоносное программное обеспечение. Как правило, хакеры не размещают в общедоступном доступе такие списки, хотя в прошлом такие случаи фиксировались. К примеру, в середине 2017 года была опубликована база с примерно 33 000 учётных данных от домашних маршрутизаторов, которые могли использоваться хакерами для формирования ботнет-сети.   

В сообщении говорится о том, что собранные хакером данные датируются октябрём-ноябрём 2019 года. Это означает, что некоторые из этих устройств в настоящее время могут работать с другими IP-адресами и учётными данными. Несмотря на это, упомянутая база учётных данных может оказаться невероятно полезной для злоумышленников, которые намерены использовать некорректно настроенные пользовательские устройства в своих целях.

Многофункциональные зловреды всё чаще атакуют пользователей Интернета

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сетевые злоумышленники всё чаще применяют универсальные вредоносные программы, позволяющие реализовывать атаки разного типа.

Эксперты проанализировали активность 60 000 ботнетов — сетей инфицированных устройств. Оказалось, что их владельцы переключают внимание на использование многофункциональных зловредов, которые можно модифицировать под практически неограниченное количество задач. Это может быть, скажем, рассылка спама, организация DDoS-атак или распространение банковских троянов.

Исследование, в частности, показало, что в течение первой половины текущего года доля бэкдоров выросла с 6,6 % до 12,2 % от общего числа циркулируемых в ботнетах зловредов. Бэкдоры не имеют специфического предназначения, но дают возможность удалённо контролировать заражённую систему. Такие программы предоставляют злоумышленникам широкий набор функций — от сохранения скриншотов и нажатий клавиш до непосредственного управления устройством.

Отмечается также, что за первые шесть месяцев этого года доля программ-загрузчиков поднялась с 5 % (во второй половине 2017 года) до 12 %. Популярность таких зловредов связана с тем, что они дают возможность загрузить в заражённую систему любые дополнительные компоненты для реализации той или иной атаки.

Наконец, зафиксировано увеличение популярности майнеров: их доля выросла за полгода с 2,7 % до 5 %. Такие программы активно распространяются из-за того, что ботнет всё чаще рассматривается как инструмент для генерации криптовалют. 

Ряд вредоносных расширений для Chrome заразил более 100 тысяч компьютеров

Злоумышленники заразили более 100 тысяч компьютеров с помощью браузерных расширений, которые похищали данные для входа на сайты, тайно добывали криптовалюты и заставляли людей переходить по вредоносным ссылкам. Плагины распространялись через официальный магазин расширений для Chrome.

Мошенники действовали как минимум с марта. Исследовательской компании Radware удалось обнаружить семь вредоносных расширений. Команда безопасности Google удалила пять плагинов сама, а ещё ото двух избавилась после того, как о них сообщила Radware. По словам фирмы, была заражена «хорошо защищённая сеть» неназванной глобальной компании-производителя.

«По мере распространения вредоносного ПО группа продолжит искать новые способы использовать украденные активы, — заявила Radware, имея в виду авторов расширений. — Такие группы постоянно выпускают новые вирусы для обхода протоколов безопасности».

Расширения обнаружили с помощью алгоритмов машинного обучения, которые проанализировали журналы коммуникаций заражённых сетей. Список плагинов выглядит следующим образом:

  • Nigelify;
  • PwnerLike;
  • Alt-j;
  • Fix-case;
  • Divinity 2 Original Sin: Wiki Skill Popup;
  • Keeprivate;
  • iHabno.

Плагины распространялись с помощью ссылок в Facebook, которые направляли пользователей на поддельную страницу на YouTube, где им предлагалось установить расширение. После этого последнее с помощью JavaScript делало компьютер частью ботнета. Он похищал данные для входа в Instagram и Facebook, а также собирал информацию с аккаунта в Facebook. Дальше вредоносные ссылки распространялись среди друзей жертвы.

Также ботнет устанавливал плагин для майнинга цифровых валют Monero, Bytecoin и Electroneum. За последнюю неделю мошенники добыли около $1 тысячи — по большей части в Monero. Чтобы пользователь не мог удалить расширение, ботнет закрывал вкладку плагина при её открытии и блокировал ряд инструментов безопасности от Facebook и Google.

Обезврежена обширная сеть ботнетов Gamarue

Компания ESET сообщает о том, что специалистам по вопросам кибербезопасности удалось ликвидировать сеть ботнетов Gamarue (Andromeda), которая действовала с 2011 года.

В операции, которая стартовала 29 ноября, приняли участие ФБР, Интерпол и Европол, специалисты ряда компаний, включая ESET и Microsoft, и другие структуры. При этом началу активных действий предшествовала длительная и всесторонняя подготовка, в ходе которой эксперты следили за деятельностью Gamarue, идентифицировали серверы и анализировали применяемые злоумышленниками вредоносные инструменты.

Семейство зловредов Gamarue предназначено для кражи учётных данных, загрузки и выполнения в заражённых системах других вредоносных программ. При этом организаторы атак могут менять функциональность, внедряя дополнительные модули. Это могут быть, скажем, компоненты для перехвата данных в веб-формах или инструменты для удалённого управления системой.

Зловреды Gamarue продавались на киберпреступном рынке, из-за чего за годы существования вредоносного семейства появились сотни независимых ботнетов. Операторы Gamarue использовали для его распространения разные способы: социальные сети, мессенджеры, съёмные носители, спам-рассылки, наборы эксплойтов.

В рамках проекта ликвидации была обезврежена сеть из 464 отдельных ботнетов, заражавшая более 1,1 млн компьютеров ежемесячно. Нейтрализована инфраструктура ботнета — 1214 доменов и IP-адресов, которые использовались операторами в качестве серверов управления и контроля. Таким образом, можно с уверенностью сказать, что инфраструктура Gamarue повержена. 

Новый ботнет обогащает злоумышленников за счёт малого бизнеса

«Лаборатория Касперского» обнаружила новую сеть «зомбированных» компьютеров, которая позволяет злоумышленникам зарабатывать деньги за счёт накрутки фальшивых просмотров рекламных страниц и баннеров в Интернете.

В основе работы ботнета лежит троян Magala, распространяющийся через инфицированные веб-сайты. Попав на компьютер, зловред проверяет установленную версию Internet Explorer: если она ниже восьмой, программа игнорирует устройство и не активируется. Если же нужный браузер найден, троян загружается, запускает скрытый рабочий стол, на котором впоследствии будут проводиться все операции, устанавливает необходимое рекламное ПО и сообщает командно-контрольным серверам о своей готовности к работе.

Magala имитирует клики пользователя на заданных веб-страницах. Жертвами киберпреступников становятся прежде всего компании малого бизнеса, решившие разместить рекламу через неблагонадёжных рекламодателей.

В процессе работы Magala получает от командных серверов список поисковых запросов, для выдачи которых необходимо поднять количество кликов. Далее программа начинает последовательно вводить указанные запросы и переходить по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.

По оценкам «Лаборатории Касперского», в идеальной ситуации злоумышленники могут получить до 350 долларов США с каждого заражённого компьютера в составе ботнета. Впрочем, на практике сумма, скорее всего, окажется значительно меньше. Тем не менее, доходы киберпреступников исчисляются тысячами долларов. 

Ботнет Stantinko поразил полмиллиона компьютеров

Компания ESET обнаружила рекламный ботнет Stantinko, в результате работы которого были инфицированы сотни тысяч компьютеров. Причём основная часть жертв находится в России.

Эксперты отмечают, что Stantinko — это весьма сложная киберугроза. Разработчики программы реализовали шифрование кода и комплексные механизмы самозащиты. Это позволило операторам Stantinko оставаться незамеченными на протяжении пяти лет: выяснилось, что ботнет действовал как минимум с 2012 года.

Stantinko специализируется на рекламном мошенничестве, а главной целью является финансовая выгода. Авторы программы предлагают услуги на доходном рынке компьютерных преступлений — обеспечивают ложные переходы по рекламным ссылкам.

Для заражения системы операторы Stantinko маскируют под пиратское ПО загрузчик семейства FileTour. Он устанавливает несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме. Далее зловред устанавливает два расширения браузера, которые предназначены для несанкционированного показа рекламы.

ESET подчёркивает, что Stantinko позволяет операторам выполнять в заражённой системе широкий спектр других действий. Это может быть взлом панелей управления сайтов путём перебора паролей (для последующей перепродажи), мошенничество на Facebook и кража данных.

На сегодняшний день инфицировано около полумиллиона компьютеров. Из них около 46 % находятся в России. На Украину пришлось 33 % заражений. 

Зловред Hajime формирует ботнет из устройств Интернета вещей

«Лаборатория Касперского» зафиксировала растущую активность весьма необычной вредоносной программы под названием Hajime, которая поражает устройства Интернета вещей.

Зловред, как отмечается, готов заразить любой гаджет, подключённый к Интернету. Однако в числе его жертв всё же преобладают видеозаписывающие устройства, веб-камеры и роутеры. Любопытно, что программа избегает некоторых сетей — среди них, в частности, сети General Electric, Hewlett-Packard, почтовой службы США и Министерства обороны США.

Для проникновения на устройство Hajime использует несколько техник. Но чаще всего зловред применяет метод «грубой силы», то есть подбирает пароль через перебирание возможных комбинаций. После успешного заражения программа предпринимает меры для сокрытия своего присутствия на устройстве.

Распределение зараженных Hajime устройств по странам / «Лаборатория Касперского»

Распределение зараженных Hajime устройств по странам / «Лаборатория Касперского»

На базе инфицированных гаджетов Hajime формирует ботнет. Уже сейчас заражено около 300 тыс. устройств по всему миру. Наибольшее их число зафиксировано в Иране — около 20 %. Следом идут Бразилия (9 %) и Вьетнам (8 %). На долю России приходится 7,5 % поражённых устройств.

Какую именно цель преследуют создатели зловреда, совершенно неясно. Дело в том, что в Hajime нет функций, позволяющих осуществлять атаки; на данный момент программа содержит только модуль, отвечающий за её распространение. Но нужно отметить, что в переводе с японского Hajime означает «начало». Вероятно, вскоре последует продолжение. 

Новая статья: Итоги-2016 от Positive Technologies: угрозы и прогнозы

Данные берутся из публикации Итоги-2016 от Positive Technologies: угрозы и прогнозы

Ботнет Shadows Kill нацелился отключить от Интернета целую страну

В конце октября была совершена мощная DDoS-атака на сеть крупнейшего провайдера Dyn, которая на несколько часов отрезала доступ ко множеству популярных интернет-ресурсов. Напомним, основным инструментом для атаки стало зловредное программное обеспечение Mirai, которое объединяет уязвимые IoT-устройства в ботнет. Согласно данным ботнет-трекера MalwareTech, активизировался очередной опасный ботнет, который специалисты именуют #14 или Shadows Kill.

Карта активности Mirai

Карта активности Mirai

Транзитные провайдеры фиксируют DDoS-трафик более 500 Гбит/c. Shadows Kill является одним из крупнейших ботнетов в истории. Как и в случае с многими другими ботнетами, организаторы Shadows Kill тщательно выбирают цели для атаки, чтобы нанести максимальный урон. На этот раз жертвой хакеров стала целая страна. В Либерии доступ в Интернет обеспечивается одной-единственной подводной магистралью, проложенной в 2011 году. Если его «перерубить», то страна останется совсем без Интернета. Целями нового ботнета стали провайдеры, имеющие доступ к этой магистрали.

Вопросы безопасности IoT актуальны как никогда

Вопросы безопасности IoT актуальны как никогда

Интересно отметить, что многочисленные атаки были короткими. По мнению экспертов, хакеры просто оттачивают свои методики и готовятся к чему-то очень масштабному. На момент подготовки материала ботнет периодически атаковал ключевых телекоммуникационных провайдеров Либерии.

Обнаружен ботнет с трафиком 1,5 Тбит/с из 145 тыс. камер

Мы уже неоднократно отмечали риски информационной безопасности, которые несут в себе устройства Интернета вещей. Например, в конце прошлого года эксперты компании Incapsula выявили целую зараженную сеть, состоящую не из традиционных компьютеров, а из камер видеонаблюдения. Более 900 CCTV-камер было готово к атакам. И это лишь малая часть инцидентов с участием IoT-устройств, зафиксированных в последние годы.

ibtimes.co.uk

ibtimes.co.uk

На прошлой неделе новостное издание в сфере информационной безопасности KrebsOnSecurity пострадало от мощной распределённой DDoS-атаки. По оценкам экспертов, это была атака с рекордным потоком 620 Гбит/с, а используемый злоумышленниками ботнет включал в себя домашние роутеры, камеры видеонаблюдения и другие IoT-устройства. Сайт смог возобновить работу только через 24 часа.

ibtimes.co.uk

ibtimes.co.uk

Спустя несколько дней жертвой похожей атаки стал французский веб-ресурс. В данном случае атака была ещё более мощной — трафик составил свыше 1,1 Тбит/с. Далее последовала ещё серия атак. Исследователи обнаружили огромную ботнет-сеть, объединяющую более 145 тысяч камер, которая могла достичь 1,5 Тбит/с.

До событий последней недели самой мощной считалась DDoS-атака, прошедшая в июне с потоком 363 Гбит/с. По словам экспертов, ботнеты с пропускной способностью порядка 1 Тбит/с станут привычным явлением через 1–2 года. Специалисты раньше уже предупреждали, что IoT-устройства несут в себе высокую опасность и к настройке их защиты производителям стоит отнестись ответственно. Многие такие устройства по умолчанию имеют слабые настройки защиты и легко поддаются взлому. А владельцы этих устройствах могут вообще не подозревать, что они стали частью очередного ботнета.

Новый самораспространяющийся троян для Linux организует ботнеты

Аналитики «Доктора Веба» опубликовали на официальном сайте компании подробный рассказ о новом Linux-троянце, который способен атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.

Зловред, получивший наименование Linux.Rex.1, относится к наиболее продвинутой категории ботнетов, которые способны функционировать без получения команд с управляющих серверов, напрямую передавая информацию от одного заражённого узла к другому. За это отвечает особый протокол, встроенный в архитектуру Linux.Rex.1, который позволяет создавать таким образом децентрализованный P2P-ботнет.

Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передаёт их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. Троянец также способен сканировать сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удалённых узлах.

Помимо этого, Linux.Rex.1 используется для рассылки спама по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку, и, чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткоин.

Новый банковский троян формирует P2P-ботнет

«Доктор Веб» предупреждает о появлении новой модификации вредоносной программы Gozi, инфицирующей компьютеры под управлением 32- и 64-разрядных версий операционных систем Windows.

Gozi — это троян с весьма развитой функциональностью. Зловред, в частности, способен  похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш, встраивать в просматриваемые на заражённом компьютере веб-страницы постороннее содержимое и пр. Кроме того, программа даёт злоумышленникам возможность получить удалённый доступ к рабочему столу заражённого ПК.

Обнаруженный зловред обладает возможностью формировать одноранговые ботнеты, то есть обмениваться данными с другими заражёнными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация шифруется.

Для определения адресов своих управляющих серверов троян использует специальный алгоритм генерации доменов. Для этого он загружает текстовый файл, используемый в качестве словаря, особым образом преобразует его с учётом текущей даты и на основе полученных значений формирует доменные имена. При этом троян автоматически меняет управляющий сервер каждые 15 дней.

Gozi способен похищать самую разнообразную персональную информацию, включая данные для доступа к платёжным и банковским системам. Таким образом, в случае заражения пользователи рискуют остаться без своих денежных сбережений. 

ESET NOD32 Smart Security обеспечивает защиту онлайн-банкинга

Компания ESET сообщает об успешном прохождении ежеквартального тестирования защиты интернет-банкинга с помощью антивирусного решения ESET NOD32 Smart Security. Тестирование проводилось независимой лабораторией MRG Effitas.

Испытание было проведено в четвёртом квартале 2015 года. Для сравнения были выбраны семнадцать антивирусов для домашних пользователей. Специалисты лаборатории изучали эффективность защиты от зловредных приложений, направленных на компрометацию интернет-банкинга.

Отмечается, что в ходе испытаний сотрудники MRG Effitas проводили тестирование на блокирование известных финансовых интернет-угроз, включая модификации ZeuS, Dridex, Dyre, SpyEye и Tinba. Кроме того, все антивирусы проходили симулируемые тесты на перехват API и cookie и ботнет-испытания.

Сообщается, что антивирусное программное решение ESET NOD32 Smart Security показало хороший результат и распознало все ботнеты и вредоносные приложения. В результате испытаний антивирус получил сертификат MRG Effitas Online Banking Browser Security.

window-new
Soft
Hard
Тренды 🔥