Сегодня 19 января 2018
18+
CES 2018
Теги → вирусы
Быстрый переход

Сбербанк не считает вирусы основной киберугрозой для клиентов

Сбербанк выделил из целого ряда киберугроз для клиентов основную. Как оказалось, это не компьютерные вирусы или хакерские атаки, а социальная инженерия, на которую приходится порядка 80 % атак на клиентов.

«Для нас сейчас технические вопросы перестали быть актуальными, мы научились бороться с вирусами, компьютерными атаками, развиваем наш антифрод, у него достаточно высокая эффективность. Сейчас для нас основная проблема — социальная инженерия, которая составляет 80 % всех атак на наших клиентов», — сообщил руководитель службы информационной безопасности банка Сергей Лебедь на форуме по борьбе с кибермошенничеством Antifraud Russia 2017.

Каждый день Сбербанк фиксирует около 2 тыс. обращений клиентов, связанных с мошенничеством. Но попытки заручиться поддержкой правоохранительных органов пока не находят надлежащего отклика.

«В год в наших блэк-листах мы накапливаем около 50 тыс. записей о мошенниках по физическим лицам и несколько тыс. по юридическим лицам. Вопрос: почему эта информация не востребована правоохранительной системой, почему ей никто не занимается?», — задаёт вопрос глава службы информбезопасности Сбербанка. По его словам, в силовых структурах пока нет на сегодняшний день понимания, что этим нужно заниматься.

Сергей Лебедь отметил, что операторы связи тоже фиксируют случаи банковского мошенничества. Его слова подтвердил руководитель департамента по гарантированию доходов и управлению фродом «МегаФона» Сергей Хренов, рассказавший, что операторы связи видят банковские «трояны». В ходе одной из хакерских атак оператором за неделю было заблокировано 30 млн СМС со ссылкой на загрузку «трояна».

Касперский: в 2017 году появилось 90 млн новых зловредов

Евгений Касперский рассказал о развитии информационных угроз в уходящем году: количество вредоносных программ стремительно растёт, а сложность кибератак повышается.

По словам господина Касперского, по итогам 2017 года во всём мире появится свыше 90 млн зловредов. На данный момент в глобальном масштабе насчитывается в общей сложности 500 млн «уникальных вирусных файлов». Ежедневно «Лаборатория Касперского» фиксирует свыше 300 тысяч новых вирусов.

«20 лет назад, когда я только создал свою компанию, то есть в 1997 году, мы зафиксировали всего 500 вредоносных программ, через десять лет, в 2007 году, наша коллекция уже пополнилась более чем 2 млн образцов компьютерных вирусов, прежде не имевших прецедента. В 2017 году мы ожидаем насчитать свыше 90 млн новых образцов, и это всего за один год», — приводит ТАСС слова Евгения Касперского.

Растущая информатизация бизнес-процессов предоставляет злоумышленникам множество возможностей для атак. Целевые атаки при этом становятся всё сложнее: преступники учатся эффективнее использовать уязвимые места, незамеченными проникая в корпоративные сети.

Наряду с банковскими троянами, вымогателями и прочими угрозами, которые можно без тени сомнения отнести к вредоносному ПО, пользователям приходится иметь дело с многочисленными пограничными приложениями: рекламными ботами и модулями, партнёрскими программами и прочим нежелательным софтом.

В этом году заметно выросла популярность майнеров криптовалюты. В 2013 году продукты «Лаборатории Касперского» заблокировали попытки установки майнеров на 205 тыс. компьютеров. В 2014 году это число выросло до 701 тыс., а за 8 месяцев 2017 года достигло 1,65 млн. 

Bad Rabbit: в России грядёт эпидемия нового шифровальщика

«Лаборатория Касперского» предупреждает о том, что в России наблюдаются атаки опасной вредоносной программы — шифровальщика Bad Rabbit. Эти нападения могут вылиться в очередную масштабную эпидемию.

Предварительный анализ показывает, что зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

После проникновения на компьютер жертвы вредоносная программа шифрует пользовательские файлы. Для восстановления доступа к закодированным данным предлагается заплатить выкуп в размере 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам США или 15 700 рублям. При этом злоумышленники предупреждают, что в случае промедления цена за расшифровку вырастет.

Подробности о схеме распространения Bad Rabbit пока отсутствуют. Не ясно и то, можно ли расшифровать файлы. Но уже известно, что большинство жертв атаки находятся в России. Кроме того, похожие нападения зафиксированы в Украине, Турции и Германии, но в значительно меньшем количестве.

В нынешнем году российские пользователи уже попадали под удар двух нашумевших шифровальщиков. Речь идёт о зловредах WannaCry и ExPetr (он же Petya). «Лаборатория Касперского» отмечает, что организаторы атаки Bad Rabbit используются методы, похожие на те, что наблюдались в ходе киберкампании ExPetr. Однако связь между двумя этими атаками пока не подтверждена.

По имеющимся данным, из-за атаки Bad Rabbit пострадали российское информационное агентство «Интерфакс» и онлайн-издание «Фонтанка». На момент написания заметки корреспондентам 3DNews не удалось открыть эти ресурсы.

«Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем», — пишет в Twitter «Интерфакс».

Очевидно, что атака Bad Rabbit тщательно готовилась. Эксперты по вопросам информационной безопасности занимаются изучением проблемы и поиском методов расшифровки файлов. Мы будем следить за развитием событий. 

Обнаружена новая версия опасного банковского Android-трояна Svpeng

«Лаборатория Касперского» предупреждает о появлении новой модификации вредоносной программы Svpeng, атакующей устройства под управлением операционных систем Android.

Svpeng — это мобильный банковский троян. Обнаруженная версия зловреда получила функциональность кейлоггера: программа способна записывать нажатия клавиш на устройстве, что позволяет перехватывать конфиденциальную информацию, скажем, логины и пароли.

Троян распространяется через вредоносные веб-сайты под видом фальшивого Flash-плеера. После проникновения на устройство Svpeng запрашивает права доступа к функциям для людей с ограниченными возможностями. В результате, зловред приобретает много дополнительных привилегий: например, получает доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.

Вредоносная программа способна перекрывать окна других приложений. Это позволяет трояну выводить собственное фишинговое окно поверх интерфейса банковского приложения — такая тактика позволяет ввести жертву в заблуждение и получить конфиденциальные данные.

Кроме того, троян назначает себя приложением для SMS по умолчанию, получает доступ к контактам, а также выдаёт себе права совершать звонки. Плюс ко всему блокируются любые попытки отключить администраторские привилегии зловреда. Таким образом, троян делает своё удаление максимально трудным.

Основная часть атак новой версии Svpeng пришлась на Россию (29 %), Германию (27 %), Турцию (15 %), Польшу (6 %) и Францию (3 %). 

Check Point рассказала о найденных в Google Play вирусах

Считается, что инсталляция программ из официальных магазинов приложений абсолютно безопасна с точки зрения вероятности подхватить какой-нибудь вирус, но на самом деле даже размещённый в них софт может таить в себе вредоносные функции. Специалисты компании Check Point рассказали, какие угрозы они обнаружили в Google Play за последнее время.

В поле зрения экспертов по вопросам кибербезопасности попала утилита DU Antivirus Security, изначальное назначение которой — обеспечивать конфиденциальность личных данных, хранящихся в мобильном устройстве под управлением операционной системы Android. Однако, как оказалось, приложение само собирает и использует в коммерческих целях информацию о действиях пользователя: кому звонил, сколько длился разговор и т. п. Разумеется, всё это делалось без разрешения владельца гаджета, поэтому, когда стало известно о наличии в программе данной шпионской функции, Google удалила её из каталога Play Маркета. Произошло это ещё 24 августа, но уже 28 августа DU Antivirus Security снова стала доступна для скачивания в обновлённой версии и без функции слежки.

Гораздо больше неприятностей может доставить зловред, который без ведома пользователя отправляет платные SMS и подписывает его аккаунт на платные сервисы. Конечно, чтобы совершить перечисленные действия, трояну нужно получить необходимые для этого разрешения. Но многие пользователи предоставляют их добровольно, не подозревая, что после этого, скорее всего, не досчитаются денег на своём мобильном счёте. По данным Google, подобный вредоносный код содержался в 50 приложениях, которые были скачаны от 1 до 4,2 млн раз, прежде чем их удалили. Однако и тогда опасность не миновала: на просторах Play Маркета был обнаружен новый «штамм» вируса под названием ExpensiveWall, полученным в честь приложения Lovely Wallpaper, которое в числе прочих он использовал для заражения гаджетов. Вместе с обновлённой версией общее число загрузок вируса, согласно подсчётам CheckPoint, превысило 21 млн.

Обнаружен новый инструмент кибергруппировки Turla

Компания ESET сообщает об обнаружении ранее неизвестной вредоносной программы, которая используется в атаках на правительственные и дипломатические учреждения Европы и бывших союзных республик.

Речь идёт о киберпреступной программе под названием Turla. От действий злоумышленников пострадали пользователи в более чем 45 странах. Причём за этой масштабной атакой, предположительно, стоят русскоязычные организаторы.

Кибергруппа Turla специализируется на кибершпионаже. Хакеры используют широкий спектр инструментов, один из которых — обнаруженный бэкдор под названием Gazer.

Исследование показало, что зловред установлен на компьютерах в ряде стран мира, но преимущественно в Европе. Gazer получает задачи в зашифрованном виде с удалённого командного сервера и выполняет их в заражённой системе или на других машинах сети. В каждом образце Gazer предусмотрены уникальные ключи для шифрования и расшифровки отправляемых и получаемых данных. Авторы Gazer используют собственную библиотеку для шифрования 3DES и RSA, вместо общедоступных.

Любопытно, что злоумышленники применяют виртуальную файловую систему, чтобы избежать обнаружения вредоносной программы антивирусными продуктами. Это позволяет продолжать атаки даже в том случае, если на компьютере применяются современные средства обеспечения безопасности.

«Авторы Gazer проделали большую работу, чтобы избежать его детектирования. Для этого, в частности, предназначено удаление файлов из скомпрометированной системы и изменение строк кода», — говорят эксперты. 

Kaspersky Virus Hunters VR: борьба с вирусами в виртуальной реальности

«Лаборатория Касперского» представила довольно необычный для себя продукт — мобильную игру под названием Kaspersky Virus Hunters VR.

Это шутер в виртуальной реальности, посвящённый борьбе с вредоносными программами. Для работы потребуются VR-очки, такие как Gear VR или Google Cardboard.

По сюжету игрок находится внутри смартфона, который инфицирован различными вирусами. Они уничтожают всё на своём пути, пытаются стереть данные, контакты, SMS и даже поразить части самого устройства.

Единственная возможность спасти смартфон — проникнуть в лабиринт микросхем и сразиться со зловредами. Враги могут прятаться в любом уголке аппарата, а задача игрока заключается в том, чтобы нейтрализовать все угрозы.

«Во-первых, формат мобильных игр сейчас — наглядный и простой способ донести любую идею до пользователя, в том числе и о цифровых угрозах и способах борьбы с ними. Во-вторых, VR-игры — это рынок будущего. Сейчас он только формируется, и главная его проблема сегодня — отсутствие большого числа совместимых мобильных приложений. Стремясь быть инновационной компанией во всём, мы решили поэкспериментировать с VR-технологиями. И не исключено, что мы продолжим работу в таком формате», — заявляют в «Лаборатории Касперского».

Игру Kaspersky Virus Hunters VR можно скачать уже сейчас: она доступна в магазинах приложений Google Play и Oculus

Количество жертв программ-шифровальщиков быстро растёт

«Лаборатория Касперского» подсчитала, что количество пострадавших от программ-вымогателей за год увеличилось практически в два раза.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение о проведённом кодировании, которое сопровождается предложением заплатить выкуп за восстановление доступа к данным. Как правило, злоумышленники требуют вознаграждение в криптовалюте.

Итак, по данным «Лаборатории Касперского»,  количество пострадавших от троянов, шифрующих файлы, выросло практически вдвое — с 718 536 в 2015–2016 годах до 1 152 299 в 2016–2017. При этом число пользователей, ставших жертвами всех программ-вымогателей, за тот же период выросло только на 11,4 %: с 2 315 931 до 2 581 026.

Лаборатория Касперского

Лаборатория Касперского

Эксперты отмечают, что всё чаще шифровальщики нацелены на финансовую и промышленную инфраструктуру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации гораздо более прибыльными, чем массовые атаки на рядовых пользователей. В таком случае целью киберпреступников становятся не только деньги компании, но и ценная информация, которую можно использовать для шантажа или саботажа.

Злоумышленники также активно осваивают новые территории. Например, Россия ранее входила в десятку государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями, но по итогам отчётного периода уступила место таким странам, как Турция, Вьетнам и Япония. 

Пользователи портала госуслуг не пострадали от вредоносного кода

Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) прокомментировало ситуацию с появлением вредоносного кода на портале государственных услуг (gosuslugi.ru).

О возникшей проблеме мы рассказывали накануне. Компания «Доктор Веб» сообщила, что внедрённый на сайт вредоносный код заставляет браузер любого посетителя незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

Впрочем, за последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода.

В Минкомсвязи посчитали  проблему несущественной. В ведомстве сообщили, что персональные данные пользователей портала госуслуг не пострадали в результате взлома ресурса.

«Оперативно проведены мероприятия по устранению потенциальной возможности нарушения конфиденциальности пользовательских данных портала госуслуг. Пользователям портала и их данным не было нанесено никакого ущерба, данные и компьютеры пользователей не пострадали», — сообщили в Минкомсвязи. 

Обнаружен сложный бекдор, задействованный в атаках шифраторов Petya и XData

Компания ESET опубликовала новую информацию об атаках опасного шифровальщика Petya (Diskcoder.C), который поразил компьютеры во многих странах по всему миру.

Как удалось выяснить, первыми жертвами зловреда стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчётности и документооборота. Злоумышленники получили доступ к серверу обновлений M.E.Doc и с его помощью направили пользователям вредоносные апдейты с автоматической установкой.

Теперь экспертам ESET удалось обнаружить очень сложный бекдор, задействованный в атаках шифратора Petya, а также XData. Оказалось, что этот зловред был скрытно встроен в один из модулей M.E.Doc. Специалисты полагают, что проделать такую работу можно только при наличии доступа к исходному коду программы документооборота.

Более того, выяснилось, что бекдор был интегрирован как минимум в три обновления M.E.Doc — от 14 апреля, 15 мая и 22 июня нынешнего года. Через несколько дней после выхода последнего из названных апдейтов и началась эпидемия Petya.

Бекдор позволяет загружать и выполнять в заражённой системе другое вредоносное ПО — именно так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и электронной почты, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. 

Интенсивность атак вирусов-вымогателей растёт

«Лаборатория Касперского» обнародовала отчёт в сфере кибербезопасности, посвящённый изучению характера угроз вирусов-вымогателей.

Представленные данные охватывают период с апреля 2016 по март 2017 года. Полученные данные сравниваются с результатами за период с апреля 2015 по март 2016 года.

Итак, сообщается, что интенсивность атак вредоносных программ с функциями вымогания денег растёт. Общее количество пользователей, столкнувшихся с вирусами-вымогателями в течение года, увеличилось на 11,4 % — с 2 315 931 до 2 581 026 человек по всему миру.

Количество пользователей, подвергнувшихся атаке шифровальщиков, возросло почти вдвое — от 718 536 в 2015–2016 гг. до 1 152 299 в 2016–2017 гг. При этом, однако, количество пользователей, подвергнувшихся атаке мобильных вирусов-вымогателей, уменьшилось на 4,62 % — со 136 532 в 2015–2016 гг. до 130 232 в 2016–2017 гг.

Эксперты «Лаборатории Касперского» отмечают, что вредоносные атаки становятся всё более нацеленными на финансовую инфраструктуру по всему миру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации потенциально более прибыльными, чем массовые атаки на рядовых пользователей.

Специалисты говорят, что вирусы-вымогатели усложняются и становятся более разнообразными. При помощи растущей и всё более эффективной подпольной экосистемы злоумышленники предлагают свои вредоносные решения «под ключ» тем, у кого недостаточно навыков, ресурсов или времени для создания собственного решения.

В результате развития инфраструктуры для взаимодействия между преступниками, появляются простые узконаправленные утилиты для совершения целевых атак и вымогательства денег, что придаёт атакам более рассредоточенный характер. Данная тенденция уже сформировалась и, скорее всего, будет наблюдаться в будущем. 

Клон шифровальщика WannaCry атакует крупные компании

Вредоносная программа, схожая по функциональности с печально известным вымогателем WannaCry, атакует крупные компании в России. Об этом сообщает газета «Ведомости», ссылаясь на информированные источники.

Напомним, что в первой половине мая пользователи и организации по всему миру пострадали от масштабной атаки зловреда WannaCry. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп за восстановление доступа к данным. WannaCry использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Как теперь сообщается, в Сети зафиксировано распространение нового зловреда, аналогичного по функциональности программе WannaCry. Вирус является модификацией известного шифровальщика Petya.A — он поражает жёсткий диск и распространяется при помощи ссылок в письмах. Отметим, что Petya — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли.

Как сообщают «Ведомости», от новой вредоносной программы пострадали практически все компьютеры «Башнефти» (включая НПЗ «Башнефть», «Башнефть-добыча» и управлении «Башнефти»). Шифровальщик требует перевести 300 долларов США в биткоинах за расшифровку информации. Впрочем, «Башнефть» смогла продолжить работу благодаря переходу на резервную систему управления производственными процессами.

Отмечается также, что атакам вымогателя подверглись и другие крупные компании в нашей стране. О том, атакуют ли злоумышленники рядовых пользователей Интернета, ничего не сообщается. 

Honda остановила автозавод в Японии после атаки вируса WannaCry

Компания Honda Motor сообщила в среду, что на этой неделе она была вынуждена остановить на день производство на местном автомобилестроительном заводе после того, как в компьютерной сети был обнаружен вирус WannaCry, атаковавший в прошлом месяце компьютеры многих пользователей по всему миру.

REUTERS/Arnd Wiegmann

REUTERS/Arnd Wiegmann

Производство было остановлено в понедельник на заводе Honda в Саяме, находящемся к северо-западу от Токио, где ежедневно выпускается около 1000 различных моделей автомобилей, включая Accord, Odyssey Minivan и Step Wagon.

В пресс-службе компании сообщили, что вирус был обнаружен в компьютерных сетях в воскресенье, появившийся несмотря не предпринятые усилия по обеспечению безопасности после того, как в середине мая он вызвал широкомасштабные сбои на заводах, в больницах и магазинах по всему миру.

honda.co.jp

honda.co.jp

По словам представителя Honda, производство на других заводах автопроизводителя не пострадало от атаки вируса, и во вторник работа на заводе в Саяме была возобновлена.

Конкурент японского автопроизводителя альянс Renault–Nissan тоже был атакован этим вирусом в прошлом месяце, из-за чего компаниям альянса пришлось приостановить производство на заводах в Японии, Великобритании, Франции, Румынии и Индии.

Обнаружен первый Android-зловред с инъекцией кода

«Лаборатория Касперского» изучила новую вредоносную программу Trojan.AndroidOS.Dvmap.a, инфицирующую мобильные устройства под управлением операционной системы Android.

Зловред изначально распространялся через Google Play под видом игры. Для обхода проверки на безопасность магазина приложений злоумышленники применили любопытную схему. Загрузив в конце марта 2017 года в магазин «чистое» приложение, они потом несколько раз публиковали вредоносное обновление к нему. Такая версия присутствовала в магазине недолго — обычно в тот же день киберпреступники возвращали безопасную модификацию программы.

Проникнув на смартфон или планшет, троян пытается получить root-права. При этом зловред внедряет вредоносный код в системные библиотеки libdmv.so или libandroid_runtime.so. «Лаборатория Касперского» отмечает, что Dvmap — это первая вредоносная программа для Android с инъекцией кода.

Троян также устанавливает в систему вредоносные модули с функциональностью, отличной от функциональности исходных компонентов. Судя по всему, основная цель вредоносной программы — закрепиться в системе и выполнить загруженные файлы с root-правами.

Зловред сообщает практически о каждом своем действии злоумышленникам. Эксперты полагают, что таким образом создатели программы осуществляют её тестирование.

Приложение с трояном загрузили более 50 тыс. пользователей. Более подробно с результатами анализа Dvmap можно ознакомиться здесь

Две трети пострадавших от вымогателя WannaCry компьютеров использовали Windows 7

Львиная доля компьютеров, пострадавших от опасного шифровальщика WannaCry, функционировала под управлением операционной системы Windows 7. К такому выводу, как сообщает Reuters, пришли специалисты BitSight.

Напомним, неделю назад, 12 мая, пользователи и организации по всему миру пострадали от масштабной атаки вымогателя WannaCry. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES — из-за этого восстановление зашифрованных файлов практически невозможно.

По данным BitSight, количество жертв WannaCry превышает 300 тыс. На двух третях (67 %) пострадавших компьютеров применялась операционная система Windows 7 без установленных обновлений безопасности. Ещё примерно 15 % инфицированных ПК полагались на новейшую платформу Windows 10. Оставшиеся 18 % компьютеров-жертв использовали другие версии Windows.

Половина всех интернет-адресов, которые подверглись атакам шифровальщика WannaCry, расположены в Китае и России — 20 % и 30 % соответственно. От своих жертв в качестве выкупа злоумышленники получили более 80 тысяч долларов США.

Эксперты предупреждают, что в ближайшее время могут появиться усовершенствованные модификации WannaCry, которые теоретически будут ещё опаснее. Поэтому специалисты настоятельно рекомендуют пользователям, ещё не загрузившим апдейт Microsoft, как можно скорее установить обновление MS17-010, закрывающее лазейку для вредоносной программы.