Теги → вредоносное по
Быстрый переход

Microsoft и Intel упростят идентификацию вредоносного ПО путём его преобразования в изображения

Стало известно о том, что специалисты компаний Microsoft и Intel занимаются совместной разработкой нового метода идентификации вредоносного программного обеспечения. В основе метода лежит глубокое обучение и система представления вредоносного ПО в виде графических изображений в градациях серого.

Источник сообщает, что исследователи Microsoft из аналитической группы по защите от угроз совместно с коллегами из Intel изучают возможность использования глубокого обучения для борьбы с вредоносным ПО. Разрабатываемая система получила название STAtic Malware-as-Image Network Analysis, или STAMINA. Система обрабатывает бинарные файлы вредоносного ПО, представленные в виде монохромных изображений. Исследователи установили, что такие изображения вредоносов одного семейства имеют структурные сходства, а значит, текстурные и структурные шаблоны можно анализировать и идентифицировать как доброкачественные или вредоносные.

Трансформация бинарных файлов в изображения начинается с назначения каждому байту значения от 0 до 255, соответствующее интенсивности цвета пикселя. После этого пиксели получают два основных значения, характеризующие ширину и высоту. Кроме того, размер файла используется для определения ширины и высоты конечного изображения. После этого исследователи задействовали технологии машинного обучения, благодаря которым был создан классификатор вредоносного ПО, который используется в процессе анализа.

STAMINA тестировалась с использованием 2,2 млн исполняемых файлов. Исследователи установили, что точность идентификации вредоносного кода достигает 99,07 %. При этом количество ложных срабатываний зафиксировано в 2,58 % случаев, что в целом является достаточно хорошим результатом.

Для идентификации более сложных угроз статический анализ может использоваться в сочетании с динамическим и поведенческим анализом, что позволит создавать более комплексные системы обнаружения угроз.

Распространители шифровальщиков угрожают публикацией похищенных данных

Компания Positive Technologies обнародовала развёрнутый отчёт, в котором рассматривается актуальные киберугрозы и текущие тенденции в мире сетевой преступности.

В целом, ситуация с кибербезопасностью усугубляется. Так, в последней четверти 2019 года количество уникальных инцидентов поднялось на 12 % по сравнению с предыдущим кварталом. При этом доля целенаправленных атак выросла на 2 %, достигнув 67 %.

Злоумышленники продолжают активно использовать программы, шифрующие данные на заражённом компьютере. Доля таких атак в общей массе заражений вредоносным ПО составила 36 % для юридических лиц и 17 % для частных лиц против соответственно 27 % и 7 % в третьем квартале 2019-го.

Более того, киберпреступники всё чаще применяют новую тактику шантажа в ответ на отказ жертв платить выкуп за расшифровку файлов: злоумышленники угрожают опубликовать похищенные данные.

«Мы связываем это с тем, что всё больше организаций делают резервные копии и не платят за расшифрование. Злоумышленники приняли контрмеры и теперь шантажируют жертв возможными санкциями за утечку персональных данных, обращение с которыми регулируется нормами Общего регламента по защите данных», — отмечает Positive Technologies.

Исследование также показало, что треть украденной у юридических лиц информации (32 %) составили данные платёжных карт, что на 25 % больше, чем в третьем квартале. 

Злоумышленники распространяли вредоносное ПО с помощью взломанных почтовых ящиков медучреждений Беларуси

Стало известно о том, что сотрудниками Следственного комитета республики Беларусь были возбуждены уголовные дела по факту несанкционированного доступа к компьютерным системам нескольких учреждений здравоохранения. Соответствующая информация опубликована на веб-сайте ведомства.

В сообщении сказано, что 12 февраля 2020 года в милицию поступило заявление от РНПЦ пульмонологии и фтизиатрии, в котором говорилось о том, что неизвестные получили несанкционированный доступ к почтовому ящику, принадлежащему учреждению. В дальнейшем злоумышленники использовали почтовый ящик учреждения для рассылки сообщений, в которых содержалась ссылка, после перехода по которой происходила установка вредоносного ПО.

За день до этого аналогичное заявление поступило в милицию от Минского зонального центра гигиены и эпидемиологии. В ходе следствия было установлено, что неизвестный получил доступ к почтовому ящику учреждения, после чего рассылал сообщения контактам из адресной книги.

В каждом из случаев в письмах содержались ссылки на вредоносное ПО. Сами же сообщения были составлены с использованием приёмов социальной инженерии. Кроме того, в письмах содержалась несоответствующая действительности информация, касающаяся распространения коронавируса на территории Беларуси. Что касается вредоносного ПО, то оно попадало на ПК жертвы после перехода по ссылке из письма.  

В настоящее время следователи вместе с сотрудниками милиции осуществляют выполнение необходимых следственных действий, направленных на то, чтобы установить личности подозреваемых по данным делам.

ФБР: жертвы вымогателей выплатили злоумышленникам более $140 млн

На проходившей недавно международной конференции по информационной безопасности RSA 2020, помимо прочего, состоялось выступление представителей Федерального бюро расследований. В своём отчёте они рассказали о том, что за последние 6 лет жертвы вымогательского ПО выплатили злоумышленникам свыше $140 млн.

По данным ФБР, в период с октября 2013 года по ноябрь 2019 года злоумышленникам было выплачено $144 350 000 в биткоинах. Наибольшую прибыль принёс вымогатель Ryuk, с помощью которого злоумышленники заработали более $61 млн. Вредоносное ПО Crysis/Dharma принесло около $25 млн, а Bitpaymer — $8 млн. Представитель ФБР отметил, что суммы выплат могут быть выше, поскольку ведомство не располагает точными данными. Многие компании стараются скрыть информацию о подобных инцидентах, чтобы не навредить репутации и не допустить падения стоимости своих акций.

Ещё было сказано о том, что протокол RDP, который позволяет пользователям Windows удалённо подключаться к рабочему месту, чаще всего используется злоумышленниками для получения доступа к компьютеру жертвы. После получения выкупа злоумышленники, как правило, переводят средства на разные криптовалютные биржи, что затрудняет отслеживание дальнейших перемещений средств.

В ФБР считают, что многие компании покрывают расходы, связанные с выплатами вымогателям, за счёт страховки. В ведомстве отметили, что компании всё чаще страхуют риски, связанные с киберпреступлениями. Поэтому за последние несколько лет объём полученных злоумышленниками выплат значительно вырос.

Интенсивность атак с применением сталкерского ПО в России резко выросла

«Лаборатория Касперского» подвела итоги исследования, посвящённого распространению сталкерских вредоносных программ в нашей стране.

Так называемое сталкерское программное обеспечение — это специальные программы для слежки, которые позиционируются как легальные и которые можно купить в Интернете. Подобные зловреды могут работать совершенно незаметно для пользователя, а поэтому жертва может даже не догадываться о слежке.

Сообщается, что в 2019 году в нашей стране в три раза увеличилось количество пользователей мобильных устройств, атакованных сталкерскими программами.

«Такой софт, как правило, используется для тайного наблюдения, в том числе инициаторами домашнего насилия, и поэтому несёт серьёзные риски для тех, на чьих устройствах установлен», — отмечает «Лаборатория Касперского».

Исследование также показало, что в 2019-м Россия оказалась на первом месте в мире по количеству пользователей, атакованных мобильными банковскими троянами. Такие зловреды служат для кражи конфиденциальной информации и хищения денежных средств.

В 2019 году также значительно выросло число атак, направленных на сбор личной информации. 

ESET: 99 % вредоносного мобильного ПО нацелено на Android-устройства

Компания ESET, занимающаяся разработкой программных решений для обеспечения информационной безопасности, опубликовала отчёт за 2019 год, в котором рассмотрены наиболее распространённые угрозы и уязвимости мобильных платформ Android и iOS.

Не секрет, что Android в настоящее время является наиболее распространённой мобильной ОС в мире. На её долю приходится до 76 % глобального рынка, тогда как доля iOS равна 22 %. Рост пользовательской массы и разнообразие экосистемы Android делают платформу Google крайне привлекательной для хакеров.

В отчёте ESET говорится о том, что до 90 % Android-устройств не обновляются до последней версии операционной системы, в которой исправлены обнаруженные уязвимости. Это является одной из основных причин того, что 99 % мобильного вредоносного ПО нацелено на устройства, работающие под управлением Android.

Наибольшее количество обнаруженных вредоносов под Android было зафиксировано в России (15,2 %), Иране (14,7 %) и Украине (7,5 %). Благодаря усилиям Google общее количество обнаруженного за 2019 год вредоносного ПО снизилось на 9 % по сравнению с предыдущим годом. Несмотря на это, опасные приложения регулярно появляются в официальном магазине цифрового контента Play Store, поскольку они умело маскируются под безопасные программы, благодаря чему им удаётся пройти проверку Google.

Во второй по популярности мобильной платформе iOS в прошлом году было выявлено несколько опасных уязвимостей. Общее количество обнаруженных вредоносов для iOS увеличилось на 98 % в сравнении с показателем 2018 года и на 158 % по сравнению с 2017 годом. Несмотря на впечатляющий рост, количество новых видов вредоносного ПО не так велико. Больше всего вредоносного ПО, нацеленного на устройства c iOS, было выявлено в Китае (44 %), США (11 %) и Индии (5 %).

Кто-то удаляет вредоносное ПО Phorpiex с заражённых ПК и рекомендует установить антивирус

Похоже, что неизвестное лицо перехватило управление над инфраструктурой ботнета Phorpiex (Trik). Дело в том, что некто начал удалять вредоносное ПО с заражённых ПК, оставляя после себя сообщение с рекомендацией установить антивирусную программу и обновить ПО компьютера.

Сначала предполагалось, что это своеобразная шутка, оставленная внутри вредоносной программы, чтобы посмеяться над ИБ-специалистами, которые занимаются анализом вируса. После проверки оказалось, что вредонос действительно удаляется с заражённых ПК.

Янив Балмас (Yaniv Balmas), глава отдела кибер-исследований в Check Point, работающей в сфере информационной безопасности, подтвердил, что вредоносное ПО начало удаляться с пользовательских компьютеров, отметив, что специалисты компании внимательно следят за семейством вредоносных программ Phorpiex. Он также выдвинул несколько предположений касательно случившегося. Операторы ботнета могли самостоятельно прекратить работу вредоносной сети. Это также могли сделать правоохранительные органы, ИБ-специалисты или операторы конкурирующих ботнетов, решившие саботировать работу Phorpiex.

Семейство вредоносных программ Phorpiex, используемое злоумышленниками более десяти лет, в прошлом неоднократно сталкивалось с проблемами, в том числе из-за небрежности разработчиков. К примеру, в 2018 году один из серверов управления ботнетом был оставлен в открытом доступе, благодаря чему ИБ-специалисты сумели извлечь более 43 млн адресов электронных почтовых ящиков, которые использовались операторами Phorpiex для рассылки фишинговых спам-сообщений. Рассматриваемая сеть активно используется злоумышленниками, а её работоспособность поддерживается благодаря регулярным кампаниям по массовой рассылке фишинговых писем, применяемых для заражения новых ПК.

Злоумышленники крадут деньги через корпоративные VPN-сервисы

«Лаборатория Касперского» раскрыла новую серию атак на финансовые и телекоммуникационные компании, базирующиеся в Европе.

Главная цель злоумышленников — хищение денег. Кроме того, сетевые мошенники пытаются украсть данные для доступа к интересующей их финансовой информации.

Расследование показало, что преступники эксплуатируют уязвимость в VPN-решениях, которые установлены во всех атакованных организациях. Эта уязвимость позволяет получить данные от учётных записей администраторов корпоративных сетей и таким образом обеспечивает доступ к ценной информации.

Говорится, что злоумышленники пытаются вывести по несколько десятков миллионов долларов. Иными словами, в случае успешной атаки ущерб может оказаться огромным.

«Несмотря на то, что уязвимость была обнаружена ещё весной 2019 года, многие компании пока не установили необходимое обновление», — пишет «Лаборатория Касперского».

В ходе атак злоумышленники получают данные от учётных записей администраторов корпоративных сетей. После этого становится возможным доступ к ценной информации. 

Похитившие $100 млн с помощью банковского трояна GozNym хакеры предстали перед судом

Злоумышленники, которые с помощью гибридного банковского трояна GozNym похитили более $100 млн, получили тюремные сроки. Гражданин Болгарии Красимир Николов (Krasimir Nikolov) был приговорён судом США к 39 месяцам лишения свободы. Организаторы группировки Александр Конолов и Марат Казанджян, являющиеся гражданами Грузии, также были привлечены к ответственности правоохранительными органами. Министерство юстиции США не уточнило, какое именно наказание они понесут.

Созданная преступниками сеть функционировала несколько лет. Используя гибридное вредоносное ПО GozNym, хакеры сумели заразить свыше 41 000 компьютеров, что позволило завладеть банковскими данными большого количества компаний и частных лиц. По оценкам американских правоохранительных органов, в общей сложности злоумышленники похитили более $100 млн. Преступная схема была нарушена в 2016 году, когда в Болгарии был задержан Красимир Николов, которого позднее экстрадировали в США. В итоге, он был приговорён к 39 месяцам лишения свободы, которые уже прошли с момента его задержания. Это означает, что в ближайшее время он будет выдворен за пределы США. Двух других участников группировки задержали в мае этого года после того, как было проведено тщательно расследование.

Представитель ФБР сказал о том, что данное дело наглядно показало серьёзность намерений ведомства, которое не позволит злоумышленникам действовать безнаказанно в Интернете. Операция по ликвидации киберпреступной группировки проводилась совместными усилиями спецслужб нескольких стран.

До $5 млн за расшифровку: зловреды-вымогатели атакуют городские администрации

«Лаборатория Касперского» фиксирует резкий рост количества атак программ-шифровальщиков, нацеленных на различные муниципальные образования.

В частности, в уходящем году целями зловредов-вымогателей стали по меньшей мере 174 муниципальные структуры. Таким образом, общее количество атак на городские администрации подскочило по сравнению с 2018-м приблизительно на 60 %.

Эксперты отмечают, что среди шифровальщиков встречаются исключительно сложные образцы. Но общая схема работы таких зловредов сводится к кодированию файлов на компьютере жертвы с последующим требованием выкупа за ключи расшифровки.

«Лаборатория Касперского» отмечает, что в ходе атак на муниципальные образования сумма выкупа варьируется от 5000 до 5 000 000 долларов США. В среднем же за расшифровку данных злоумышленники требуют от городских администраций около одного миллиона долларов.

Столь высокие суммы объясняются тем, что совокупный ущерб от атак шифровальщиков на муниципальные образования, включая долгосрочные социально значимые последствия, может быть гораздо больше, ведь остановка работы городских служб негативно сказывается на благополучии региона.

Наиболее часто атакованными муниципальными структурами стали образовательные учреждения — на их долю пришлось около 61 % всех атак. Мэрии и муниципальные центры подверглись атакам в 29 % случаев. Ещё 7 % нападений пришлось на больницы, примерно 2 % — на муниципальные коммунальные службы. 

Злоумышленники активно атакуют компьютеры, хранящие биометрические данные

«Лаборатория Касперского» сообщает о том, что более трети компьютеров и серверов в мире, использующихся для хранения и обработки биометрических данных, рискуют стать мишенью сетевых злоумышленников.

Речь идёт о системах, которые применяются для хранения информации об отпечатках пальцев, радужной оболочке глаза, изображениях лица, образцах голоса и геометрии кисти руки.

Сообщается, что в течение третьего квартала 2019 года примерно 37 % компьютеров, служащих для хранения биометрических данных, как минимум один раз подвергались риску заражения вредоносными программами.

Зловреды проникают в систему через веб-сайты и почтовые клиенты. Кроме того, вредоносные программы распространяются на внешних накопителях — прежде всего на флеш-брелоках.


Распространяемые зловреды умеют красть конфиденциальные данные, загружать и выполнять произвольное ПО, а также дают злоумышленникам возможность удалённо управлять заражённым компьютером.

«Всё это не только угрожает конфиденциальности биометрических данных, но и может серьёзно влиять на их целостность, а также на доступность систем аутентификации, а это тоже большой риск», — говорят эксперты «Лаборатории Касперского». 

В Великобритании закрыт сайт по продаже хакерских инструментов — накажут владельцев и покупателей

В результате проведения полицией международного расследования, в Великобритании был закрыт веб-сайт Imminent Methods по продаже хакерских инструментов, позволяющих злоумышленникам брать под контроль компьютеры пользователей.

 

По данным Национального криминального агентства Великобритании (NCA), услугами Imminent Methods воспользовалось около 14 500 человек. Для того чтобы найти злоумышленников, силы правопорядка провели обыски в более чем 80 объектах по всему миру. В частности, в Великобритании обыски прошли в Халле, Лидсе, Лондоне, Манчестере, Мерсисайде, Милтон-Кинсе, Ноттингеме, Сомерсете и Суррее.

Также полиции удалось отследить людей, купивших хакерское программное обеспечение. Им будет предъявлено обвинение в ненадлежащем использовании компьютера. Международную операцию возглавляла Федеральная полиция Австралии.

Полиция сообщила, что всего в связи с продажей и использованием хакерского программного обеспечения было арестовано 14 человек.

Взяв контроль над веб-сайтом, полиция сможет детально разобраться с его деятельностью, а также определить тех, кто купил нелегальные инструменты, говорит профессор Алан Вудворд (Alan Woodward), эксперт по кибербезопасности из Университета Суррея.

«Власти теперь знают, сколько пользователей купило предлагаемое вредоносное ПО. Теперь они будут работать над тем, чтобы разоблачить 14 500 человек, которые были достаточно глупы, чтобы купить это вредоносное ПО», — отметил Вудворд.

Клиентам российских банков угрожает новый зловред, ворующий деньги

Российские банки столкнулись с новым вирусом, который способен воровать средства со счетов клиентов. О зловреде, как сообщает РБК, рассказали специалисты компании Group-IB.

Троян способен инфицировать смартфоны под управлением операционной системы Android. Вредоносная программа может автоматически переводить деньги со счёта жертвы через банковское мобильное приложение на счёт злоумышленников.

Эксперты говорят, что функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам. Зловреды нового типа ориентированы на максимальную капитализацию бизнеса своих операторов.

Отмечается, что как минимум два крупных российских банка столкнулись с угрозой. Появление таких зловредов также подтверждает «Лаборатория Касперского».

Впрочем, пока случаи инфицирования вирусами нового типа довольно редки, но вероятность начала эпидемии исключать нельзя.

По оценкам Group-IB, за год — с июля 2018-го по июнь 2019-го — злоумышленники при помощи вредоносных программ для Android смогли украсть 110 млн рублей. Каждый день осуществляется в среднем 40 успешных атак, при этом сумма одного хищения составляет приблизительно 11 тысяч рублей. 

Microsoft: криптовалютный майнер Dexphot заразил более 80 000 компьютеров

Специалисты по информационной безопасности из Microsoft предупредили пользователей об атаках криптовалютного майнера под названием Dexphot, который атакует компьютеры под управлением Windows с октября прошлого года. Пиковая активность вредоноса зафиксирована в июне этого года, когда было заражено более 80 000 компьютеров по всему миру.

В отчёте говорится о том, что для проникновения на компьютеры жертв вредонос использует разные методы обхода защиты, в том числе шифрование, обфускацию и применение случайных имён файлов для маскировки процесса установки. Также известно, что майнер не использует какие-либо файлы в процессе запуска, выполняя вредоносный код непосредственно в памяти. Из-за этого он оставляет крайне мало следов, позволяющих зафиксировать его присутствие. Чтобы избежать обнаружения, Dexphot осуществляет перехват легитимных процессов Windows, в том числе unzip.exe, rundll32.exe, msiexec.exe и др.

Если пользователь пытается удалить вредонос с компьютера, то срабатывают службы мониторинга и происходит инициация повторного заражения. В отчёте отмечается, что Dexphot устанавливается на компьютеры, которые уже были заражены. В рамках текущей кампании вредонос попадает в системы, заражённые вирусом ICLoader. Вредоносные модули загружаются с нескольких URL-адресов, которые также используются для обновления вредоноса и проведения повторного заражения.

«Dexphot — это не тот тип атаки, который привлекает внимание средств массовой информации. Это одна из многочисленных кампаний, существующих длительное время. Её цель широко распространена в киберпреступных кругах и сводится установке майнера криптовалют, который скрытно использует ресурсы компьютера на благо злоумышленников», — сказал аналитик по вредоносным программам исследовательской группы Microsoft Defender ATP Хейзел Ким (Hazel Kim).

Сотни тысяч россиян майнят криптовалюту для злоумышленников

Компания ESET сообщает о том, что сотни тысяч российских пользователей Интернета могут быть вовлечены в скрытую преступную схему майнинга криптовалюты Monero.

Эксперты обнаружили модуль криптомайнинга CoinMiner, который распространяется и устанавливается посредством ботнета Stantinko. Эта вредоносная сеть действует как минимум с 2012 года. Долгое время операторам Stantinko удавалось оставаться незамеченными благодаря применению шифрования кода и комплексных механизмов самозащиты.

Изначально ботнет специализировался на рекламном мошенничестве. Однако с недавних пор злоумышленники переключились на скрытую добычу криптовалюты. Для этого применяется упомянутый модуль CoinMiner, особенностью которого является способность тщательно скрываться от обнаружения.

В частности, операторы Stantinko компилируют уникальный модуль для каждой новой жертвы. Кроме того, CoinMiner связывается с майнинг-пулом не напрямую, а через прокси, чьи IP-адреса получены из описаний видеороликов на YouTube.

Плюс к этому зловред отслеживает работающие на компьютере антивирусные решения. Наконец, майнер может приостанавливать свою деятельность в определённых условиях — например, когда компьютер работает от аккумулятора. Это позволяет усыплять бдительность пользователя.

Более подробно о майнере-зловреде можно узнать здесь

window-new
Soft
Hard
Тренды 🔥