Сегодня 16 декабря 2017
18+
Теги → кибератаки
Быстрый переход

Positive Technologies назвала ключевые киберугрозы 2017 года

Компания Positive Technologies рассказала о наиболее заметных событиях в области кибербезопасности в уходящем году, а также поделилась прогнозами на 2018 год.

Криптовалюты и майнинг, безусловно, стали одними из самых обсуждаемых тем IT-рынка. Это привело к изменению ландшафта сетевых угроз. Кроме того, к развитию атак новых типов привело расширение Интернета вещей и систем межмашинного взаимодействия.

Positive Technologies отмечает, что минувший год запомнится громкими атаками вирусов-вымогателей и «масштабируемыми» атаками на банкоматы. Злоумышленники всё чаще реализуют схемы тайного майнинга и концентрируют своё внимание на блокчейн-стартапах.

Число компаний, столкнувшихся в 2017 году с целевыми атаками, увеличилось почти вдвое. Причём такие нападения становятся всё более сложными: начинают активно применяться методы, затрудняющие анализ и расследование инцидентов. Кроме того, злоумышленники начали эксплуатировать уязвимости телеком-платформ: отмечены схемы перехвата кодов для двухфакторной аутентификации с помощью уязвимостей сигнального протокола SS7.

Что касается прогнозов на 2018 год, то эксперты Positive Technologies выделяют следующие моменты. Вероятно, продолжится рост логических атак на банкоматы. Внимание злоумышленников будет направлено на веб-кошельки и платформы блокчейн-проектов. Киберпреступники займутся разработкой методов атак на инфраструктуру «умного» города и подключённых транспортных средств. Наконец, говорится о возможном проведении принципиально новых атак с использованием уязвимостей аппаратного уровня, в частности, в Intel Management Engine. 

Раскрыта информация о русскоязычной хакерской группировке MoneyTaker

Компания Group-IB, работающая в сфере расследований инцидентов информационной безопасности, рассекретила деятельность русскоязычной хакерской группировки MoneyTaker.

Сообщается, что MoneyTaker — это наименее изученная специалистами и практически не освещаемая в прессе команда сетевых злоумышленников. MoneyTaker атакует адвокатские конторы и производителей финансового программного обеспечения.

Группировка за полтора года провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. В США средний ущерб от одной атаки составляет 500 тысяч долларов. В России средний объём извлечённых группой денежных средств в результате компрометации АРМ КБР (автоматизированное рабочее место клиента Банка России) — 72 млн рублей.

«Первая атака, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 года они успешно взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР», — сообщает Group-IB.

Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что участники MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т. п. Для проведения целенаправленных атак MoneyTaker используют распределённую инфраструктуру, которую сложно отследить.

Более подробно о деятельности группировки можно узнать здесь

«Умные» автомобили: какие угрозы поджидают производителей и владельцев в 2018 году

«Лаборатория Касперского» рассказала о ключевых угрозах, с которыми столкнутся производители и владельцы подключённых автомобилей в наступающем году.

По оценкам, уже до конца 2020 года на дорогах будет четверть миллиарда транспортных средств с возможностью обмена данными через мобильные сети. Удалённая диагностика неисправностей, телематика и информационно-развлекательные системы с выходом в Интернет значительно повышают комфорт и безопасность водителя, но вместе с тем открывают новые возможности перед киберпреступниками.

Одна из главных проблем — уязвимости приложений и сервисов для подключённых автомобилей. Высокая сложность систем и желание разработчиков поскорее вывести продукт на рынок будут приводить к появлению новых лазеек для злоумышленников.

Программное обеспечение зачастую создают разные разработчики и устанавливают разные поставщики. К тому же софт опирается на различные платформы управления. В итоге ни у кого из участников не будет полной картины исходного кода используемой системы.

Ещё одна проблема заключается в том, что подключённые компоненты всё чаще разрабатываются и внедряются компаниями, более знакомыми с аппаратным, чем с программным обеспечением. Как правило, такие компании недооценивают важность постоянных обновлений.

С другой стороны, по мере роста количества угроз в сфере «умных» автомобилей будет развиваться и отрасль средств обеспечения безопасности. В дальнейшем законодателями будут разработаны требования и рекомендации по обязательному внедрению средств киберзащиты во все подключённые автомобили. 

Личные данные 31 млн пользователей клавиатуры Ai.Type попали в Сеть

Скольких бы проблем удалось избежать людям, если бы они придерживались простейших правил цифровой гигиены: не открывали подозрительные ссылки (особенно присланные незнакомцами), не использовали слишком простые пароли вроде «123456», не посещали сомнительные сайты, не использовали нешифрованные каналы Wi-Fi и так далее. Но если от рядовых пользователей требовать такого сложно, то от разработчиков популярных программ по умолчанию ожидаешь использования хотя бы простейших методов безопасности. Но, оказывается, чужой негативный опыт не всегда способен помочь избежать ошибок.

По крайней мере, специалисты по безопасности The Kromtech Security Center обнаружили попавшую в общий доступ огромную базу данных в формате MongoDB, содержащую самые разнообразные сведения о более чем 31 млн пользователей виртуальной клавиатуры Ai.Type для смартфонов и планшетов Android и iOS, разрабатываемой начинающей компанией из Тель-Авива.

Ai.Type основана в 2010 году и, по данным официального сайта, их флагманский Android-продукт был скачан около 40 млн раз из магазина Google Play, а количество пользователей неуклонно росло благодаря возможностям широкой персонализации клавиатуры. В следующем году они планировали добавить в приложение поддержку ботов и переименовать клавиатуру в Bots Matching Mobile Keyboard.

Как же случилась утечка? Ai.Type случайно предоставила доступ ко всей своей 577-Гбайт базе данных на хостинге Mongo всем пользователям Интернета. Дело в том, что стандартная настройка в платформе MongoDB позволяет любому желающему получать доступ к базе данных, а в худшем сценарии — даже удалять хранящуюся там информацию.

Самое печальное, что помимо регистрационных данных, разработчики собирали целый ворох потенциально чувствительной информации о пользователях. Например, мошенникам или злоумышленникам могут быть доступны такие сведения о пользователе Ai.Type:

Телефонный номер, полное имя владельца, модель и название устройства, название мобильной сети, SMS-номер, разрешение экрана, используемый в системе язык, версия Android, номер IMSI (международный идентификатор мобильного абонента), номер IMEI (уникальный идентификатор смартфона), ассоциированные с телефоном email-адреса, страна проживания, ссылки и информациях из социальных сетей (дата рождения, имя, email и так далее), фотографии (ссылки на Google+ и Facebook), IP (если доступен), данные геопозиционирования (долгота и широта).

В рамках утечки в Сеть также попали 6,5 миллионов записей, содержащих информацию из адресных книг пользователей, хранящихся в аккаунтах Google (занесённые имена со связанными номерами телефонов и иной информацией) — всего сведения о свыше 373 миллионах номеров. Ещё в папке «старая база данных» содержится информация 753 456 человек.

Разумеется, потенциально злоумышленники могут извлечь выгоду и из массы других данных этой огромной базы. Например, оценить самые популярные поисковые запросы по регионам, стандартные сообщения, количество слов на сообщения, средний возраст пользователей и так далее — всё это может быть использовано для более персонализированных схем мошенничества.

Столь масштабная утечка снова во весь рост ставит вопрос: действительно ли пользователям стоит передавать столь широкие личные данные разработчикам в обмен на бесплатные или недорогие продукты, получающие полный доступ к их устройствам и далеко не всегда надёжно защищённые. А компаниям, которые занимаются сбором и хранением такой широкой информации, снова и снова нужно подумать о методах безопасности и контроля, минимизирующих возможность утечки.

В 2018 году ожидается всплеск вредоносного веб-майнинга

«Лаборатория Касперского» обнародовала прогноз по развитию угроз в сфере криптовалют и майнинга на 2018 год.

В уходящем году именно криптоденьги стали одной из наиболее «горячих» тем в IT-секторе. И пока пользователи создают фермы для майнинга, киберпреступники осваивают совершенно новые способы монетизировать свою вредоносную деятельность.

В 2018 году, по мнению экспертов «Лаборатории Касперского», злоумышленники сосредоточатся на наиболее прибыльных схемах добычи криптоденег. В частности, ожидается всплеск вредоносного веб-майнинга.

Преступники продолжат атаковать пользователей при помощи программ-шифровальщиков, требуя выкуп в криптовалютах. В то же время прогнозируется рост целевых атак на компании с целью установки майнерского ПО. В отличие от программ-вымогателей, позволяющих получить потенциально большой, но разовый выкуп, майнерские программы гарантируют хоть и меньший, зато стабильный доход.

Бум майнинга, как считают специалисты, повлияет на весь Интернет в целом, открыв новые способы монетизации веб-сайтов. Один из них заменит рекламу: за удаление майнингового скрипта сайты будут предлагать пользователям подписаться на платный контент. С другой стороны, в обмен на майнинг пользователи смогут получить бесплатный доступ к развлекательному контенту, например, фильмам.

Кроме того, стандартный метод безопасности CAPTCHA, позволяющий отличить людей от ботов, в ряде случаев будет заменён специальным режимом веб-майнинга. Тогда будет неважно, бот ли посетитель или человек, пока он «платит» майнингом. 

Обезврежена обширная сеть ботнетов Gamarue

Компания ESET сообщает о том, что специалистам по вопросам кибербезопасности удалось ликвидировать сеть ботнетов Gamarue (Andromeda), которая действовала с 2011 года.

В операции, которая стартовала 29 ноября, приняли участие ФБР, Интерпол и Европол, специалисты ряда компаний, включая ESET и Microsoft, и другие структуры. При этом началу активных действий предшествовала длительная и всесторонняя подготовка, в ходе которой эксперты следили за деятельностью Gamarue, идентифицировали серверы и анализировали применяемые злоумышленниками вредоносные инструменты.

Семейство зловредов Gamarue предназначено для кражи учётных данных, загрузки и выполнения в заражённых системах других вредоносных программ. При этом организаторы атак могут менять функциональность, внедряя дополнительные модули. Это могут быть, скажем, компоненты для перехвата данных в веб-формах или инструменты для удалённого управления системой.

Зловреды Gamarue продавались на киберпреступном рынке, из-за чего за годы существования вредоносного семейства появились сотни независимых ботнетов. Операторы Gamarue использовали для его распространения разные способы: социальные сети, мессенджеры, съёмные носители, спам-рассылки, наборы эксплойтов.

В рамках проекта ликвидации была обезврежена сеть из 464 отдельных ботнетов, заражавшая более 1,1 млн компьютеров ежемесячно. Нейтрализована инфраструктура ботнета — 1214 доменов и IP-адресов, которые использовались операторами в качестве серверов управления и контроля. Таким образом, можно с уверенностью сказать, что инфраструктура Gamarue повержена. 

Практически каждая вторая атака на веб-приложения нацелена на доступ к данным

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучались атаки на веб-приложения в третьем квартале нынешнего года.

Сообщается, что веб-приложения вне зависимости от функциональных особенностей по-прежнему остаются привлекательной мишенью для злоумышленников. В прошлом квартале число атак в сутки в среднем варьировалось от 500 до 700 и крайне редко опускалось ниже 200. Максимальное количество зафиксированных атак в день составило 4321.

Практически каждое второе кибернападение нацелено на доступ к данным, а 30 % атак направлены на пользователей. Отмечается увеличение интенсивности инцидентов в дневные и вечерние часы; при этом отдельные пики количества атак могут быть зафиксированы в любое время суток.

В прошлом квартале самой распространённой была атака «Внедрение SQL-кода» — доля таких инцидентов составила 25,5 %: в случае успешной реализации нападения злоумышленник может получить несанкционированный доступ к чувствительной информации или выполнить команды ОС.

На втором месте в рейтинге самых распространённых среди киберпреступников схем находится атака на пользователей веб-приложения «Межсайтовое выполнение сценариев» с результатом 22,7 %.

Ещё около 10 % пришлось на атаки типа «Подключение локальных файлов», направленные на выполнение произвольного кода на сервере. Примерно 8,2 % составили нападения класса «Удалённое выполнение кода и команд ОС», с помощью которых злоумышленник может получить полный контроль над сервером с веб-приложением.

Отмечается, что атаки на веб-ресурсы регионального значения происходят в гораздо больших объёмах, нежели на муниципальные, поскольку последние посещают меньше пользователей, которые могут стать потенциальными жертвами злоумышленников. Более подробно с результатами исследования можно ознакомиться здесь

Хакеры проявляют повышенный интерес к криптовалютным кошелькам и ICO

Исследование, проведённое компанией Positive Technologies, показало, что сетевые преступники всё активнее организуют атаки в сегменте криптовалют и ICO (первичное размещение цифровых денег).

Эксперты, в частности, зафиксировали нападения на сайт, где осуществляется ICO. Хакеры подменяют адрес криптокошелька, после чего инвесторы самостоятельно переводят деньги на счёт мошенников.

Кроме того, получил распространение незаметный для стороннего наблюдателя вид заработка: злоумышленники загружают на машины жертв вредоносное программное обеспечение, создавая ботнеты, добывающие криптовалюту незаметно от пользователей.

Одна из самых «дорогих» кибератак 2017 года напрямую связана с криптовалютами: из-за уязвимости в клиенте сети Ethereum злоумышленники похитили около 30 млн долларов США.

Специалисты предупреждают, что криптовалютная лихорадка может обернуться для IT-отрасли огромными убытками в связи с кибератаками нового типа. «Вопрос защищённости веб-ресурсов ещё никогда не стоял так остро, как в ситуации с блокчейн-проектами и ICO, когда несанкционированный доступ к управлению сайтом и контентом означает потерю миллионов долларов за несколько минут. Вместе с ростом числа новых ICO к концу года ожидается и рост атак на блокчейн-платформы», — говорят эксперты.

Кроме того, в прошлом квартале отмечен рост количества киберинцидентов в госсекторе. Доля атак, направленных на государственные организации, составила 13 % и впервые за последние два года превысила долю атак на финансовые компании (7 %). 

Киберпреступники открыли охоту на аккаунты «ВКонтакте»

«Лаборатория Касперского» предупреждает о том, что злоумышленники загружают в Google Play десятки приложений, ворующих данные пользователей для входа в социальную сеть «ВКонтакте».

Только за последние два месяца в Google Play были обнаружены 85 вредоносных программ, созданных с целью охоты на аккаунты «ВКонтакте». Причём самое популярное из этих приложений было установлено более миллиона раз, ещё у семи было от 10 000 до 100 000 установок. Таким образом, в общей сложности от этих программ могли пострадать около полутора миллионов владельцев Android-устройств.

Выявленные зловреды в Google Play маскировались под игры и различные дополнения для «ВКонтакте», например, для скачивания музыки или отслеживания посетителей страницы. Поэтому у пользователей не вызывало подозрений то, что программы запрашивали данные для входа в социальную сеть.

Организаторы атаки учли географическую популярность «ВКонтакте». Вредоносные приложения похищали данные только на устройствах с определёнными языками — русским, белорусским, украинским, казахским, армянским, азербайджанским, киргизским, румынским, таджикским и узбекским.

По всей видимости, преступники используют украденную информацию для раскрутки групп «ВКонтакте». Так, некоторые жертвы оказались подписаны на определённые страницы без собственного ведома. 

На россиян обрушилась волна атак фальшивых мобильных приложений банков

Компания Group-IB предупреждает о новой волне атак мобильных троянов, замаскированных под приложения ведущих российских банков.

Специалисты зафиксировали массированную атаку на пользователей устройств под управлением операционной системы Android. Анализ показал, что вредоносные программы распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. Ситуация ухудшается тем, что интенсивность нападений постоянно растёт.

Схема внедрения зловредов на мобильные аппараты россиян сводится к следующему. После ввода в поисковике запроса вида «скачать приложение банка ХХХ» в результатах отображаются ссылки на специально сформированные веб-страницы, через которые распространяются трояны, замаскированные под запрашиваемые банковские приложения.

«Качество приложений-подделок, как по дизайну, так и по механике заражения постоянно растёт, что сбивает с толку многих пользователей, не обращающих внимание на критичные детали: название домена, переадресацию на сторонний ресурс и др.», — говорят специалисты.

После проникновения на смартфон фальшивое банковское приложение запрашивает ряд разрешений, в том числе на чтение и отправку SMS. Далее запрашиваются логин и пароль от личного кабинета и реквизиты платёжной карты. В результате, в руках злоумышленников оказывается персональная информация, необходимая для хищения средств. Причём жертва даже не подозревает об осуществляемых транзакциях, поскольку SMS-уведомления перехватываются трояном. 

Мобильный банковский троян атакует пользователей Google Play

Компания ESET предупреждает о том, что сетевые злоумышленники организовали новую атаку на пользователей Android, загружающих полезные приложения и игры через магазин Google Play.

Сообщается, что преступники разместили в Google Play ряд программ и утилит для скрытой загрузки на смартфоны и планшеты жертв мобильного банковского трояна. Речь идёт о зловреде BankBot.

В частности, в Google Play выявлены приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. Кроме того, обнаружены опасные приложения для игры в пасьянс и софт для очистки памяти устройства.

После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна — его установочный пакет замаскирован под обновление Google Play.

Для кражи банковских реквизитов зловред отображает поддельные формы для ввода логина и пароля при запуске пользователем легитимного банковского приложения. Похищенные сведения отсылаются злоумышленникам, что позволяет им опустошать счета жертв.

О том, сколько пользователей Google Play пострадали от действий преступников, не сообщается. Но ESET отмечает, что приложения с вредоносными функциями могут расходиться многими тысячами копий, прежде чем администрация Google Play удаляет такие программы. 

Модульный банковский троян атакует пользователей Windows

«Доктор Веб» предупреждает о появлении новой вредоносной программы, созданной с целью хищения средств с банковских счетов пользователей Интернета.

Зловред относится к семейству Trojan.Gozi, представители которого уже довольно длительное время «гуляют» по просторам Всемирной сети. Новый троян получил обозначение Trojan.Gozi.64: как и предшественники, он атакует компьютеры под управлением операционных систем Windows.

Особенность вредоносной программы заключается в том, что она полностью состоит из отдельных загружаемых плагинов. Модули скачиваются с управляющего сервера специальной библиотекой-загрузчиком, при этом протокол обмена данными использует шифрование. Зловред, в частности, может получать плагины для браузеров, с помощью которых выполняются веб-инжекты. Конфигурация этих веб-инжектов определяется целями злоумышленников.

Установлено, что троян может использовать плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, зловред получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате троян может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое — например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на заражённом компьютере, URL такого сайта в адресной строке браузера остаётся корректным, что может ввести пользователя в заблуждение.

Таким образом, троян позволяет киберпреступникам красть банковские данные, которые затем могут быть использованы для снятия средств жертвы. Дополнительно троян может фиксировать нажатия клавиш, воровать учётные данные из почтовых клиентов и выполнять другие функции. 

Мошенники под видом «Яндекса» организовали срочный набор операторов такси

«Лаборатория Касперского» раскрыла новую мошенническую схему в Рунете: злоумышленники, прикрываясь сервисом «Яндекс.Такси», пытаются нажиться на пользователях.

Суть атаки сводится к следующему. Киберпреступники зарегистрировали доменные имена, схожие по написанию с именем службы «Яндекса». Оформление расположенного по таким адресам сайта выполнено в стиле ресурсов российского IT-гиганта.

На мошенническом сайте идёт «срочный набор онлайн диспетчеров» — якобы для работы в «Яндекс.Такси». Требований к кандидатам нет вообще, а обязанности крайне просты: сотрудник должен обработать поступившие от клиентов сервиса заказы (разумеется, фиктивные), за что начисляется вознаграждение.

Собственно обман пользователей происходит при попытке вывода «заработанных» средств. Для этого злоумышленники предлагают ввести свои реквизиты в специальную форму. Однако после её заполнения выдаётся сообщение, что платёжная система отклонила перевод из-за отсутствия у работника «зарплатного счёта». Открыть этот счёт предлагается за небольшое вознаграждение — 240 рублей. Если жертва соглашается, происходит перенаправление на страницу оплаты. Само собой, после списания денег открытия счёта не происходит, а пользователь попросту остаётся ни с чем.

«Лаборатория Касперского» отмечает, что сам сайт сделан довольно качественно: «заказы» поступают, все кнопки нажимаются и «водители» назначаются на «вызовы». Внимательного пользователя, впрочем, могут насторожить слишком хорошие условия работы и высокие суммы вознаграждения. 

Новый бэкдор атакует Linux-системы

Компания «Доктор Веб» предупреждает о появлении новой вредоносной программы, нацеленной на компьютеры с операционными системами на ядре Linux.

Зловред получил обозначение Linux.BackDoor.Hook.1. Этот бэкдор обнаружен в библиотеке libz, которая используется некоторыми программами для функций сжатия и распаковки.

Linux.BackDoor.Hook.1 работает только с бинарными файлами, обеспечивающими обмен данными по протоколу SSH. При этом зловред не работает, если имя запускаемого файла совпадает с /usr/sbin/sshds.

Специалисты выделяют весьма необычный способ подключения злоумышленников к бэкдору: в отличие от других похожих программ, Linux.BackDoor.Hook.1 вместо текущего открытого сокета использует первый открытый сокет из 1024, а остальные 1023 закрывает.

В число функций зловреда входит возможность запускать приложения или подключаться к определённому удалённому узлу. Кроме того, бэкдор способен скачивать файлы, заданные в поступившей от злоумышленников команде. Протокол связи шифруется с использованием алгоритма RC4.

Более подробную информацию о вредоносной программе Linux.BackDoor.Hook.1 можно найти здесь

Китайские хакеры проводят против России сложные целевые атаки

«Лаборатория Касперского» зафиксировала активизацию китайскоговорящих киберпреступных группировок, организующих сложные целевые атаки (APT).

При осуществлении APT-нападений злоумышленники тщательно анализируют все уязвимости и защитные возможности жертвы. Поэтому если компания или организация подвергается целевой атаке, вероятность пострадать от неё и столкнуться с крайне негативными для бизнеса последствиями составляет почти 100 %.

Итак, сообщается, что в третьем квартале нынешнего года были выявлены и расследованы 24 инцидента, которые признаны таргетированными атаками и комплексными кампаниями кибершпионажа. Причём за десятью из них стоят злоумышленники, говорящие на китайском языке.

По данным «Лаборатории Касперского», в минувшем квартале Россия стала одной из приоритетных мишеней китайскоговорящих хакеров. Интерес у киберпреступников вызывают прежде всего российские государственные проекты, реализуемые с некоторыми азиатскими странами.

Так, в июле эксперты обнаружили атаку IronHusky, целью которой стали компании из авиационного сектора России и Монголии — ранее страны договорились о сотрудничестве с намерением развивать проекты воздушной обороны Монголии. Приблизительно в то же время Россия и Индия подписали соглашение о сотрудничестве в атомном секторе — вскоре энергетические предприятия обеих стран оказались атакованы вредоносной программой H2Odecomposition. Анализ этих нападений указывает на то, что к ним причастны китайскоговорящие злоумышленники.

Кроме того, громкую огласку в третьем квартале получили атаки китайскоговорящих группировок на разработчиков ПО Netsarang и CCleaner: злоумышленники внедрили вредоносный код в легитимные продукты, рассчитывая таким образом проникнуть в корпоративные сети самого широкого круга организаций.