Теги → кибератака
Быстрый переход

«Лаборатория Касперского»: количество атак падает, но их сложность растёт

Количество вредоносного ПО пошло на убыль, однако киберпреступники стали практиковать всё более изощрённые схемы хакерских атак, нацеленных на корпоративный сектор. Об этом свидетельствует проведённое «Лабораторией Касперского» исследование.

По данным «Лаборатории Касперского», в 2019 году зловредный софт был зафиксирован на устройствах каждого пятого пользователя в мире, что на 10 % меньше, чем годом ранее. Также в два раза сократилось количество уникальных вредоносных ресурсов, используемых злоумышленниками для проведения кибератак. При этом до сих пор продолжают оставаться актуальными угрозы со стороны программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

«Мы видим, что число угроз снижается, но они становятся более совершенными. Это приводит к тому, что растёт уровень сложности задач, стоящих перед защитными решениями и сотрудниками отделов безопасности. Кроме того, злоумышленники расширяют географию успешных атак. Так, если какая-то угроза помогла атакующим достичь своих целей в одном регионе, то затем они реализуют её и в другой точке мира. Для предотвращения атак и сокращения их числа мы рекомендуем обучать навыкам кибербезопасности сотрудников всех уровней и отделов, а также регулярно проводить инвентаризацию сервисов и оборудования», — говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

Подробнее с результатами аналитического исследования «Лаборатории Касперского» можно ознакомиться на сайте kaspersky.ru.

Check Point: число атак, связанных с коронавирусом, выросло на 30 %

В течение последних двух недель были зафиксированы почти 200 тысяч случаев кибератак, так или иначе связанных с коронавирусом. Это на 30 процентов больше по сравнению с прошлыми неделями, говорится в исследовании компании Check Point Software Technologies.

Проведённый анализ атак показал, что все они осуществлялись с фальшивых доменов, которые имитировали веб-площадки международных организаций, а также сайт коммуникационной платформы Zoom. Кроме того, были зафиксированы случаи массовых рассылок фишинговых писем от имени сервисов Microsoft Teams и Google Meet.

С начала мая было зарегистрировано почти 20 тысяч новых доменов, связанных с темой коронавируса, из которых 2 % являются вредоносными и ещё 15 % — подозрительными. Всего с начала вспышки эпидемии во всем мире было зарегистрировано в общей сложности 90 тысяч новых доменных имён, связанных с COVID-19.

«За последние три недели мы заметили изменения в тенденциях распространения поддельных доменов. Чтобы выжать максимум из сложившейся ситуации, хакеры прибегают к рисковым методам. Если проанализировать последние кибератаки, очевидна тенденция имитирования доменов авторитетных организаций или популярных приложений. Например, в последнее время активно ведутся атаки от лица ВОЗ, ООН или Zoom. Сегодня особенно важно проявлять бдительность и остерегаться подозрительных доменов и отправителей, если речь идёт о рассылках по e-mail», — говорится в сообщении Check Point Software Technologies.

Кибератака на Mitsubishi Electric могла привести к утечкам спецификаций японской гиперзвуковой ракеты

Несмотря на все старания специалистов, дыры в безопасности информационной инфраструктуры компаний и учреждений остаются тревожной реальностью. Масштабы беды ограничены только масштабами атакуемых субъектов и колеблются от потери энной суммы денег до проблем с национальной безопасностью.

Российская гиперзвуковая ракета «Циркон»

Российская гиперзвуковая ракета «Циркон»

Сегодня японское издание Asahi Shimbun сообщило, что Министерство обороны Японии расследует возможную утечку спецификаций новой современной ракеты, которая могла произойти в ходе крупномасштабной кибератаки на компанию Mitsubishi Electric Corp.

Согласно подозрениям Министерства, о чём анонимно сообщили источники из правительственных кругов Японии, неизвестные хакеры могли похитить технические требования по проекту гиперзвуковой ракеты, разрабатываемой в Японии с 2018 года. Это могут быть данные о запланированной дальности действия ракеты, скорости её движения, требования к термостойкости и другие параметры, относящиеся к вопросам противоракетной обороны страны.

Техническое задание на проект гиперзвуковой ракеты было разослано ряду компаний, в число которых вошла Mitsubishi Electric. Она не выиграла тендер на создание прототипа, но могла невольно допустить утечку полученных данных. В компании заявили, что проведут расследование по сообщению, но от детальных комментариев отказались. Также не дало комментариев источнику Министерство обороны Японии.

В настоящий момент гиперзвуковые ракеты проходят испытания в российской армии. Разработкой подобного вооружения заняты США и Китай. Япония тоже стремится создать ракеты, проходящие зоны ответственности комплексов ПРО как нож сквозь масло.

Новая статья: 10 самых впечатляющих кибератак в истории

Данные берутся из публикации 10 самых впечатляющих кибератак в истории

Взломать учётные записи Microsoft Teams можно было с помощью GIF-файла

В сервисе для совместной работы и видеоконференций Microsoft Teams устранена уязвимость, эксплуатация которой могла использоваться для кражи учётных данных пользователей и другой конфиденциальной информации. Для успешного проведения атаки злоумышленникам требовалось взять под контроль поддомены сервера аутентификации teams.microsoft.com и отправить вредоносный GIF-файл.

Об этом сообщили исследователи из компании CyberArk, отметив, что разработчики Microsoft решили данную проблему 20 апреля. Уязвимость затрагивала десктопное приложение Microsoft Teams, а также веб-версию сервиса. Проблема заключалась в особенностях процесса обработки токенов аутентификации для просмотра изображений в Teams. Сервис использует два токена: «authtoken» позволяет загружать изображения в доменах Teams и Skype, а также генерирует второй токен «skypetoken», необходимый для авторизации на сервере обработки запросов пользователей, в том числе на чтение или передачу файлов.

Эти токены обрабатываются Microsoft на сервере teams.microsoft.com и его поддоменах. Исследователи обнаружили уязвимость, которая позволяла взять под контроль два поддомена. Злоумышленникам требовалось заставить жертву посетить один из подконтрольных поддоменов, чтобы осуществить перехват токенов аутентификации. Очевидно, что для этого могла использоваться классическая фишинговая атака, но исследователи посчитали этот способ слишком очевидным. Вместо этого они сформировали вредоносный GIF-файл с изображением Дональда Дака, при просмотре которого учетная запись жертвы автоматически связывается с сервером аутентификации и генерирует токены, которые успешно перехватываются, поскольку пересылаются через подконтрольные поддомены.

Таким образом злоумышленники могли получать доступ к учётным данным пользователей, а также передаваемым ими файлам и другой информации. Несмотря на то, что уязвимость была устранена, её наличие говорит о том, что пользователи сервисов для совместной работы могут быть подвержены серьёзной опасности.

Система выявления ИБ-инцидентов MaxPatrol SIEM получила обновление

Компания Positive Technologies объявила о выпуске новой версии программного комплекса MaxPatrol SIEM 5.1, предназначенного для мониторинга событий информационной безопасности и выявления различных инцидентов в режиме реального времени.

Платформа MaxPatrol SIEM собирает данные о текущих событиях и автоматически детектирует угрозы, в том числе ранее неизвестные. Система помогает ИБ-службам оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб организации.

В MaxPatrol SIEM версии 5.1 был осуществлён переход на новую архитектуру базы данных Elasticsearch, что, по заверениям разработчиков, позволило увеличить скорость работы продукта более чем на треть.

Ещё одно нововведение программного комплекса — гибкая модель управления ролями пользователей. Если ранее в системе можно было задать две роли — «Администратор» или «Оператор», то теперь IT-администраторы получили возможность создавать дополнительные роли, предоставляя или ограничивая доступ к определенным разделам продукта.

В числе прочих особенностей продукта называются расширенные средства обнаружения атак, улучшенный пользовательский интерфейс, а также дополнительные инструменты аналитики и обработки событий информационной безопасности.

Подробная информация о системе MaxPatrol SIEM доступна для изучения на сайте ptsecurity.com/products/mpsiem.

Распространители шифровальщиков угрожают публикацией похищенных данных

Компания Positive Technologies обнародовала развёрнутый отчёт, в котором рассматривается актуальные киберугрозы и текущие тенденции в мире сетевой преступности.

В целом, ситуация с кибербезопасностью усугубляется. Так, в последней четверти 2019 года количество уникальных инцидентов поднялось на 12 % по сравнению с предыдущим кварталом. При этом доля целенаправленных атак выросла на 2 %, достигнув 67 %.

Злоумышленники продолжают активно использовать программы, шифрующие данные на заражённом компьютере. Доля таких атак в общей массе заражений вредоносным ПО составила 36 % для юридических лиц и 17 % для частных лиц против соответственно 27 % и 7 % в третьем квартале 2019-го.

Более того, киберпреступники всё чаще применяют новую тактику шантажа в ответ на отказ жертв платить выкуп за расшифровку файлов: злоумышленники угрожают опубликовать похищенные данные.

«Мы связываем это с тем, что всё больше организаций делают резервные копии и не платят за расшифрование. Злоумышленники приняли контрмеры и теперь шантажируют жертв возможными санкциями за утечку персональных данных, обращение с которыми регулируется нормами Общего регламента по защите данных», — отмечает Positive Technologies.

Исследование также показало, что треть украденной у юридических лиц информации (32 %) составили данные платёжных карт, что на 25 % больше, чем в третьем квартале. 

Интенсивность атак с применением сталкерского ПО в России резко выросла

«Лаборатория Касперского» подвела итоги исследования, посвящённого распространению сталкерских вредоносных программ в нашей стране.

Так называемое сталкерское программное обеспечение — это специальные программы для слежки, которые позиционируются как легальные и которые можно купить в Интернете. Подобные зловреды могут работать совершенно незаметно для пользователя, а поэтому жертва может даже не догадываться о слежке.

Сообщается, что в 2019 году в нашей стране в три раза увеличилось количество пользователей мобильных устройств, атакованных сталкерскими программами.

«Такой софт, как правило, используется для тайного наблюдения, в том числе инициаторами домашнего насилия, и поэтому несёт серьёзные риски для тех, на чьих устройствах установлен», — отмечает «Лаборатория Касперского».

Исследование также показало, что в 2019-м Россия оказалась на первом месте в мире по количеству пользователей, атакованных мобильными банковскими троянами. Такие зловреды служат для кражи конфиденциальной информации и хищения денежных средств.

В 2019 году также значительно выросло число атак, направленных на сбор личной информации. 

Каждая пятидесятая банковская онлайн-сессия инициируется злоумышленниками

«Лаборатория Касперского» обнародовала результаты исследования, в ходе которого анализировалась активность киберпреступников в банковском секторе и в области электронной коммерции.

Сообщается, что в прошлом году каждая пятидесятая онлайн-сессия в обозначенных сферах в России и мире инициировалась злоумышленниками. Главные цели мошенников — хищение и отмывание денежных средств.

Практически две трети (63 %) всех попыток совершить несанкционированные переводы выполнялись с применением вредоносного программного обеспечения или приложений для удалённого управления устройством. Причём зловреды используются в комплексе с методами социальной инженерии.

Исследование показало, что в прошлом году практически в три раза (на 182 %) подскочило количество атак, связанных с отмыванием денежных средств. Такая ситуация, по мнению специалистов, объясняется сокращением количества банков, повышением доступности инструментов мошенничества, а также многочисленными утечками данных, в результате которых злоумышленники легко находят в сети огромное количество интересующей их информации.

Каждый третий инцидент в 2019-м был связан с компрометацией учётных данных. В этих случаях киберпреступники преследуют несколько целей: совершить кражу, убедиться в подлинности учётных записей для последующей перепродажи, собрать дополнительную информацию о владельце и пр.

Атакам в финансовой сфере подвергаются как частные пользователи, так и крупные компании и организации. Злоумышленники распространяют вредоносное ПО для компьютеров и смартфонов, применяя все доступные средства. Зачастую атаки носят комплексный характер: мошенники используют инструменты автоматизации, средства удалённого администрирования, прокси-серверы и браузеры TOR. 

Интенсивность DDoS-атак резко выросла

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в последней четверти 2019 года.

Отмечается, что по сравнению с четвёртым кварталом 2018-го количество DDoS-кампаний увеличилось практически в два раза. В то же время рост по отношению к третьей четверти 2019 года оказался не слишком большим.

Эксперты зафиксировали значительное увеличение числа «умных» DDoS-атак. Кроме того, в минувшем квартале злоумышленники продолжили осваивать нестандартные протоколы, применение которых повышает вероятность успеха вредоносной кампании.

Прошлый квартал продемонстрировал рост количества пиринговых (P2P) ботнетов. В отличие от классических, они не зависят от командных серверов, поэтому их сложнее обезвредить.

Основная тенденция последнего квартала 2019 года — это увеличение активности ботнетов по воскресеньям. Доля атак именно в этот день недели возросла на 2,5 % — до 13 %. Хотя такие изменения могут показаться незначительными, стоит учитывать, что доля DDoS-атак по воскресеньям составляла около 10–11 % в течение других трёх кварталов прошлого года.

Первое место по количеству атак занял Китай с долей в 58,46 %. На втором месте оказались Соединённые Штаты с результатом в 17,49 %. Замыкает тройку Япония — 4,86 %. Россия в первую десятку не входит.

Распределение командных серверов ботнетов по странам / «Лаборатория Касперского»

Распределение командных серверов ботнетов по странам / «Лаборатория Касперского»

Что касается географического распределения ботнетов, то их абсолютное большинство (58,33 %) оказалось зарегистрировано на территории США. На втором месте находится Великобритания (14,29 %), на третьем — Китай (9,52 %).

Более подробно с результатами исследования можно ознакомиться здесь

Девять из десяти веб-приложений допускают атаки на пользователей

Компания Positive Technologies обнародовала результаты исследования, посвящённого изучению безопасности веб-приложений и угроз в соответствующем сегменте в 2019 году.

Как оказалось, в девяти из десяти веб-приложений (примерно в 90 %) злоумышленники теоретически могут проводить атаки на пользователей. Это может быть, скажем, перенаправление клиента на вредоносный ресурс, хищение учётных данных с помощью фишинга, заражение компьютера вредоносным ПО и пр.

Исследователи пришли к выводу, что 82 % уязвимостей веб-приложений содержатся в исходном коде. Почти в каждом втором — в 45 % — изученном веб-приложении были выявлены недостатки аутентификации. Угроза утечки важных данных присутствует в 68 % веб-приложений.

«Число уязвимостей, которое в среднем приходится на одно веб-приложение, снизилось по сравнению с 2018 годом в полтора раза. В среднем на одну систему приходятся 22 уязвимости, четыре из которых имеют высокий уровень риска», — говорится в исследовании.

В 16 % веб-приложений были найдены критически опасные уязвимости, позволяющие получить контроль не только над приложением, но и над ОС сервера. В целом, примерно каждая пятая уязвимость представляет высокую опасность.

Более подробно с результатами исследования можно ознакомиться здесь

Четыре из десяти кибератак в России затрагивают организации Москвы

Количество нападений на организации в сетевом пространстве в России продолжает расти. Об этом, как сообщает РБК, рассказало руководство Центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком».

Согласно обнародованным данным, в период с января 2018 года по январь 2019-го в нашей стране было зафиксировано более 765 тыс. сложных атак в киберпространстве. А в период с октября прошлого года по октябрь текущего данный показатель составил более 995 тыс.

Чаще всего злоумышленники атакую московские компании и организации, включая государственные структуры. По оценкам специалистов Solar JSOC, на столичный регион приходится около 40 % всех кибернападений.

Иными словами, четыре из десяти кибератак в нашей стране нацелены на инфраструктуру московских организаций. Такая картина объясняется тем, что в столице сосредоточено большое количество известных компаний и госструктур. Кроме того, здесь расположены многие крупные центры обработки данных.

Эксперты прогнозируют, что по итогам 2019 года количество сложных кибератак в нашей стране превысит 1 млн. Таким образом, рост по отношению к прошлому году окажется на уровне 30–35 процентов. 

Две трети кибератак носят целенаправленный характер

Компания Positive Technologies обнародовала развёрнутый отчёт «Актуальные киберугрозы: III квартал 2019 года», в котором подробно рассматривается ситуация с безопасностью во Всемирной сети.

Эксперты фиксируют дальнейший рост числа целенаправленных атак (APT): теперь на них приходится две трети (65 %) от общего количества кибернападений. Для сравнения: во второй четверти текущего года данный показатель равнялся 59 %.

«Организации по всему миру находятся под угрозой сложных целенаправленных атак. Наибольший интерес для злоумышленников представляют государственные учреждения, промышленные компании, финансовый сектор и организации сферы науки и образования», — отмечается в отчёте.

Ещё одна тенденция минувшего квартала — рост количества кибератак, направленных на кражу информации. Их доля в сегменте юридических лиц в течение трёх месяцев поднялась с 58 % до 61 %. В сегменте частных пользователей рост оказался более существенным — с 55 % до 64 %.

Доля финансово мотивированных атак для юридических и частных лиц сравнялась и составила 31 %. Такие нападения в сегменте юридических лиц преимущественно связаны с заражениями троянами-шифровальщиками, требующими выкуп за восстановление зашифрованных данных. В атаках на частных лиц киберпреступники ищут финансовую выгоду, распространяя навязчивую рекламу и мобильные приложения, подписывающие на платные услуги.

В то же время специалисты Positive Technologies отметили снижение доли атак с применением майнеров криптовалюты — до 3 % в случае организаций и до 2 % в случае частных лиц.

Говорится также, что три четверти атак в корпоративном сегменте и 62 % атак среди обычных пользователей сопровождались заражениями различного рода зловредами. 

Злоумышленники используют заражённый браузер Tor для слежки

Специалисты ESET раскрыли новую вредоносную кампанию, нацеленную на русскоязычных пользователей Всемирной сети.

Киберпреступники несколько лет распространяли инфицированный браузер Tor, используя его для слежки за жертвами и кражи их биткоинов. Заражённый веб-обозреватель распространялся через различные форумы под видом официальной русскоязычной версии Tor Browser.

Зловред позволяет злоумышленникам видеть, какие сайты жертва посещает в данный момент. Теоретически они также могут менять содержимое посещаемой страницы, перехватывать вводимые данные и показывать фальшивые сообщения на сайтах.

«Преступники не меняли бинарные файлы браузера. Вместо этого они внесли изменения в настройки и расширения, поэтому обычные пользователи могли не заметить разницы между оригинальной и зараженной версиями», — говорят эксперты ESET.

Схема атаки также  предусматривает изменение адреса кошельков платёжной системы QIWI. Вредоносная версия Tor автоматически подменяет оригинальный адрес биткоин-кошелька на адрес преступников, когда жертва пытается оплатить покупку биткоинами.

Ущерб от действий злоумышленников составил как минимум 2,5 млн рублей. Реальный же размер хищений средств может оказаться гораздо больше. 

Huawei ежедневно подвергается 1 млн кибератак

Китайская телекоммуникационная компания Huawei Technologies Co., являющаяся одним из мировых лидеров в сфере 5G, каждый день подвергается примерно 1 млн кибератак, которые осуществляются с территории Поднебесной и из других стран.

Об этом в одно из недавних интервью рассказал старший вице-президент компании Джон Саффолк (John Suffolk). По его мнению, хакеры пытаются украсть данные о передовых разработках Huawei в сфере 5G. Он также отметил, что Huawei защитилась от большинства кибератак, но некоторые компьютеры старого типа всё же пострадали от действий злоумышленников. При этом компания не смогла точно установить источник атак. По словам Саффолка, кибератаки осуществляются посредством отправки вредоносного ПО в электронных сообщениях.

Компания Huawei имеет множество патентов в сфере 5G. Работая в 170 странах и регионах, она заключила десятки коммерческих контрактов, связанных с развёртыванием сетей связи пятого поколения на территории разных государств. Несмотря на это, правительство США продолжает оказывать давление на своих союзников, убеждая их в том, что они должны отказаться от использования оборудования Huawei при развёртывании 5G-сетей. И хотя американские власти говорят о том, что Huawei ведёт шпионскую деятельность в пользу китайского правительства, каких-либо доказательство этого представлено не было.

В ходе интервью Джон Саффолк заявил о том, что Huawei готова сотрудничать с иностранными государствами для повышения уровня безопасности, добавив, что компания не получала запросов от правительства Китая и представителей Коммунистической партии о предоставлении информации.

«Если китайское правительство попросит его сделать что-то, что, по его мнению, будет неуместным, например, передать данные или использовать бэкдор, он просто откажется это делать», —  сказал Саффолк об основателе и президенте Huawei Жэне Чжэнфэе (Ren Zhengfei).

Однако опасения по поводу шпионажа со стороны китайских компаний вряд ли исчезнут в ближайшее время, учитывая, что правительство и предприятия имеют тесные связи в КНР, стране, которая фактически управляется только Коммунистической партией.

window-new
Soft
Hard
Тренды 🔥