Сегодня 17 августа 2017
18+
E3 2017
Теги → кибератаки
Быстрый переход

Расходы в области информационной безопасности в ближайшие годы продолжат расти

Компания Gartner сделала прогноз по мировому рынку продуктов и сервисов для обеспечения информационной безопасности на ближайшие годы.

В прошлом году затраты в названной области оценивались в $80,8 млрд. В нынешнем году расходы, как ожидается, поднимутся приблизительно на 7 %. В результате объём рынка достигнет $86,4 млрд.

В дальнейшем расходы в области информационной безопасности будут расти. Объясняется это в том числе развитием новых угроз. Так, по данным «Лаборатории Касперского», сетевые злоумышленники всё чаще обращают своё внимание на устройства Интернета вещей (IoT). Яркий пример — ботнет Mirai, который в 2016 года блокировал работу определённого сегмента Интернета, заразив и взяв под контроль такие домашние устройства, как видеорегистраторы, камеры видеонаблюдения и принтеры.

Кроме того, всё большая угроза исходит от программ-вымогателей. Такие зловреды становятся сложнее и разнообразнее. При помощи растущей и всё более эффективной подпольной экосистемы злоумышленники предлагают свои вредоносные решения «под ключ» тем, у кого недостаточно навыков, ресурсов или времени для создания собственного ПО.

Gartner полагает, что в обозримом будущем наиболее быстрорастущим сегментом рынка информационной безопасности останутся различные защитные сервисы. В 2018 году суммарный объём отрасли достигнет $93 млрд. 

Интенсивность кибератак на банкоматы растёт

Компания Positive Technologies сообщает о том, что количество логических атак на банкоматы с применением вредоносного программного обеспечения в Европе в 2016 году выросло на 287 % по сравнению с предыдущим годом.

Обнародованные данные были получены в ходе исследования зловреда GreenDispenser. Об этом трояне впервые стало известно в 2015 году после атак на банкоматы в Мексике. Затем кражи с применением данной программы были зафиксированы в странах Восточной Европы.

Расследование показало, что злоумышленники получали доступ в сервисную зону банкомата для установки GreenDispenser. После этого преступники при помощи трояна снимали с банкомата деньги. GreenDispenser рассчитан только на выдачу денег, а не на кражу данных банковских карт, поэтому, чтобы обычные держатели карт не сняли деньги до прихода мошенника, на экране отображалось сообщение о том, что банкомат временно не работает. Ущерб от деятельности GreenDispenser в 2015–2016 годах составил как минимум 180 тысяч долларов США.

Эксперты отмечают, что ущерб только от одной логической атаки на банкомат в Европе в среднем составляет 8434 долларов. В нынешнем году, по прогнозам специалистов, количество атак на банкоматы и собственно банки вырастет на 30 %.

«Из-за сходства устройства банкоматов злоумышленники могут использовать одно и то же вредоносное ПО для атак на банкоматы по всему миру. В последнее время мы наблюдаем уже нескрываемый интерес у участников киберпреступных форумов к теме ATM, в том числе к технологиям, используемым в разработке троянов. В связи с этим мы прогнозируем всплеск разработок новых вредоносных программ для атак на банкоматы и инфраструктуру управления банкоматами», — сообщает Positive Technologies. 

Великобритания ужесточила требования к защищённости смарт-автомобилей

Власти Великобритании опубликовали в минувшее воскресенье новые директивные указания под названием «Основные принципы кибербезопасности транспортного средства для подключённых и автоматизированных транспортных средств», требующие от автопроизводителей усилить киберзащиту подключённых к Интернету транспортных средств, чтобы те были лучше защищены от хакерских атак.

Motor-Talk

Motor-Talk

Правительство выразило обеспокоенность тем, что интеллектуальные транспортные средства, обеспечивающие водителей различной необходимой информацией в ходе поездки, включая данные о местонахождении, могут стать целью для хакеров, стремящихся получить доступ к персональным данным или захватить контроль над технологией с преступными намерениями, или же похитить автомобиль с системой без ключа.

Также правительство заявило, что новые директивы гарантируют, что при создании новых транспортных средств специалисты будут разрабатывать усиленные меры по противодействию угрозам кибербезопасности.

Мартин Калланан (Martin Callanan), министр авиации Великобритании, подчеркнул важность защищённости подключённых транспортных средств от кибератак. «В нашем новом руководстве указано, что необходимо выполнить организациям, начиная с совета директоров и вниз по вертикали, а также даны рекомендации по техническому проектированию и развитию», — отметил Калланан.

Также было заявлено, что правительство планирует ввести новое законодательство, регулирующее страхование самоуправляемых автомобилей.

Кибергруппировка Cobalt с российскими корнями атаковала 250 организаций по всему миру

Хакерская группировка Cobalt, год назад атаковавшая банкоматы на Тайване и в Таиланде, существенно расширила сферу деятельности. Об этом сообщает РБК, ссылаясь на данные Positive Technologies.

Отмечается, что в течение первой половины нынешнего года злоумышленники атаковали более 250 компаний и организаций в 12 странах мира. Нападения, в частности, зафиксированы в СНГ, странах Восточной Европы и Юго-Восточной Азии, в Северной Америке, Западной Европе и Южной Америке.

Схема атаки сводится к рассылке фишинговых электронных писем с вредоносными вложениями. Злоумышленники атакуют банки, биржи, страховые компании, инвестиционные фонды и другие организации. Причём, прежде чем совершить нападение, группировка Cobalt предварительно взламывает инфраструктуру партнёров жертв — четверть всех атак приходится на госорганизации, промышленные и телекоммуникационные компании, а также на предприятия из сферы медицины.

Такой подход позволяет киберпреступникам рассылать фишинговые сообщения от имени официальных структур или партнёров атакуемых компаний. В результате, существенно повышаются шансы на успех атаки.

Группировка массово отправляет вредоносные письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и пр. Количество получателей таких сообщений исчисляется тысячами.

По имеющимся данным, группировка Cobalt имеет российские корни. В «Лаборатории Касперского» полагают, что участники Cobalt — это выходцы из другой опасной группировки, Carbanak, первые атаки которой были зафиксированы ещё в 2013 году.

Новый ботнет обогащает злоумышленников за счёт малого бизнеса

«Лаборатория Касперского» обнаружила новую сеть «зомбированных» компьютеров, которая позволяет злоумышленникам зарабатывать деньги за счёт накрутки фальшивых просмотров рекламных страниц и баннеров в Интернете.

В основе работы ботнета лежит троян Magala, распространяющийся через инфицированные веб-сайты. Попав на компьютер, зловред проверяет установленную версию Internet Explorer: если она ниже восьмой, программа игнорирует устройство и не активируется. Если же нужный браузер найден, троян загружается, запускает скрытый рабочий стол, на котором впоследствии будут проводиться все операции, устанавливает необходимое рекламное ПО и сообщает командно-контрольным серверам о своей готовности к работе.

Magala имитирует клики пользователя на заданных веб-страницах. Жертвами киберпреступников становятся прежде всего компании малого бизнеса, решившие разместить рекламу через неблагонадёжных рекламодателей.

В процессе работы Magala получает от командных серверов список поисковых запросов, для выдачи которых необходимо поднять количество кликов. Далее программа начинает последовательно вводить указанные запросы и переходить по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.

По оценкам «Лаборатории Касперского», в идеальной ситуации злоумышленники могут получить до 350 долларов США с каждого заражённого компьютера в составе ботнета. Впрочем, на практике сумма, скорее всего, окажется значительно меньше. Тем не менее, доходы киберпреступников исчисляются тысячами долларов. 

В прошивке ряда Android-устройств обнаружен троян, заражающий процессы приложений

«Доктор Веб» предупреждает о том, что в прошивках ряда доступных на рынке мобильных устройств присутствует довольно опасная вредоносная программа, способная инфицировать процессы приложений.

Зловред получил обозначение Android.Triada.231. Трояны этого семейства внедряются в системный процесс компонента Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря этому зловреды проникают в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое.

Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Причём, как отмечает «Доктор Веб», внедрение произведено на уровне исходного кода. Иными словами, к заражению причастны инсайдеры или недобросовестные партнёры, которые участвовали в создании прошивок заражённых мобильных устройств.

Зловред получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Главной задачей трояна является незаметная загрузка и запуск других вредоносных модулей. Это могут быть, скажем, плагины для кражи конфиденциальной информации из банковских приложений, модули для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Ситуация усугубляется тем, что удалить вредоносную программу стандартными методами невозможно, поскольку она интегрирована в одну из библиотек операционной системы и расположена в системном разделе. Поэтому требуется установка заведомо безопасной прошивки.

Подробнее о проблеме можно узнать здесь

Ботнет Stantinko поразил полмиллиона компьютеров

Компания ESET обнаружила рекламный ботнет Stantinko, в результате работы которого были инфицированы сотни тысяч компьютеров. Причём основная часть жертв находится в России.

Эксперты отмечают, что Stantinko — это весьма сложная киберугроза. Разработчики программы реализовали шифрование кода и комплексные механизмы самозащиты. Это позволило операторам Stantinko оставаться незамеченными на протяжении пяти лет: выяснилось, что ботнет действовал как минимум с 2012 года.

Stantinko специализируется на рекламном мошенничестве, а главной целью является финансовая выгода. Авторы программы предлагают услуги на доходном рынке компьютерных преступлений — обеспечивают ложные переходы по рекламным ссылкам.

Для заражения системы операторы Stantinko маскируют под пиратское ПО загрузчик семейства FileTour. Он устанавливает несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме. Далее зловред устанавливает два расширения браузера, которые предназначены для несанкционированного показа рекламы.

ESET подчёркивает, что Stantinko позволяет операторам выполнять в заражённой системе широкий спектр других действий. Это может быть взлом панелей управления сайтов путём перебора паролей (для последующей перепродажи), мошенничество на Facebook и кража данных.

На сегодняшний день инфицировано около полумиллиона компьютеров. Из них около 46 % находятся в России. На Украину пришлось 33 % заражений. 

Опасный банковский троян получает контроль над Android-устройствами

«Доктор Веб» предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств на базе операционных систем семейства Android.

Зловред Android.BankBot.211.origin — это банковский троян, угрожающий пользователям десятков стран по всему миру. Программа распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После проникновения на устройство жертвы зловред пытается получить доступ к специальным возможностям (Accessibility Service). Для этого троян показывает окно с запросом, которое при каждом его закрытии появляется вновь и не даёт работать с устройством.

Режим специальных возможностей упрощает работу со смартфонами и планшетами на базе Android. Он применяется в том числе для помощи пользователям с ограниченными возможностями: этот режим позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню.

В случае Android.BankBot.211.origin режим специальных возможностей эксплуатируется для выполнения вредоносных действий. Так, троян добавляет себя в список администраторов устройства, устанавливает менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана.

Зловред крадёт конфиденциальную информацию клиентов кредитно-финансовых организаций. Так, троян способен показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, а также отображать фишинговое окно настроек платёжного сервиса с запросом ввода информации. Свои действия вредоносная программа согласует с управляющим сервером. 

Пользователи продуктов Apple оказались под ударом спамеров

Компания ESET предупреждает о новой кибератаке: на этот раз жертвами  злоумышленников становятся пользователи продуктов Apple.

Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.

Схема выглядит следующим образом. Пользователю приходит сообщение от лица онлайн-магазина: в нем говорится, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.

На фишинговом сайте злоумышленники просят ввести Apple ID и пароль. После этого жертве предлагается заполнить анкету «для подтверждения личности». Мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения, а также данные банковских карт.

Разумеется, впоследствии все эти сведения будут задействованы киберпреступниками в других атаках, направленных на хищение средств.

Добавим, что распознать спам можно по грамматическим ошибкам. При этом адрес отправителя, само собой, не имеет отношения к Apple. 

Опасный вирус крадёт деньги с банковских карт пользователей Android

Компания Group-IB предупреждает о распространении опасной вредоносной программы, жертвами которой становятся пользователи SMS-банкинга и мобильных банковских приложений.

Зловред атакует устройства под управлением операционной системы Android. Схема нападения выглядит следующим образом. Сначала потенциальной жертве приходит MMS-сообщение с предложением просмотреть некую фотографию. При попытке открыть изображение на устройство загружается собственно вредоносная программа: она запрашивает ряд разрешений, а также права администратора. После этого зловред заменяет стандартное приложение для работы с SMS.

Попадая на устройство, вредоносная программа рассылает себя пользователям из списка контактов. Таким образом, входящее сообщение для будущей жертвы выглядит так, будто его отправил знакомый, родственник или, скажем, коллега по работе.

Параллельно вредоносная программа делает запрос на номер SMS-банкинга жертвы, узнаёт баланс счёта и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у неё снимают деньги, даже если подключена функция SMS-оповещений о списаниях.

Кроме того, зловред может фальсифицировать окна авторизации банковских приложений. Это позволяет злоумышленникам воровать данные банковских карт.

«Характерно, что антивирусные программы, установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное. Антивирусы в этой ситуации просто не помогают», — говорят специалисты Group-IB. 

Новый зловред подписывает российских владельцев смартфонов на платные сервисы

«Лаборатория Касперского» обнаружила новую вредоносную программу, атакующую российских пользователей мобильных устройств под управлением операционной системы Android.

Зловред получил название Xafekopy. Он способен незаметно подписывать жертв на платные сервисы. В частности, русскоязычная версия вредоносной программы умеет заходить на сайты операторов «большой четвёрки» и получать подтверждение подписки. Причём Xafekopy способен обходить проверку CAPTCHA. Кроме того, подтверждение подписки может осуществляться посредством SMS.

По данным «Лаборатории Касперского», троян создан группой китайскоговорящих злоумышленников. Вредоносная программа распространяется через рекламные сети под видом различных приложений. Более того, такие утилиты действительно могут выполнять определённые полезные функции, что усыпляет бдительность модераторов и администраторов магазинов приложений.

При этом Xafekopy нацелен главным образом на пользователей в Индии и России: за последний месяц на эти страны пришлось 61 % и 25 % всех атакованных.

Исследователи добавляют, что Xafekopy имеет некоторые сходства с вредоносной программой Ztorg. Возможно, создатели одного зловреда купили или украли файлы у авторов другого.  Кроме того, эксперты зафиксировали распространение зловреда Xafekopy через Ztorg.

Новая фишинговая атака замаскирована под рассылку штрафов ГИБДД

Специалисты Group-IB, по сообщению RNS, зафиксировали новую фишинговую атаку, нацеленную на российских пользователей Интернета.

Злоумышленники рассылают потенциальным жертвам фальшивые сообщения о штрафах ГИБДД. Причём такие «письма счастья» замаскированы под уведомления от портала государственных услуг.

К сообщению прикреплена фотография автомобиля, совершающего нарушение правил дорожного движения. В шапке письма расположен логотип электронного правительства. Плюс к этому имеется отметка об отсутствии вирусов.

Сообщения действительно не содержат вредоносных вложений. Однако при нажатии на любой интерактивный раздел письма с гиперссылками происходит переход на фишинговый сайт.

Организаторы рассылки делают упор на то, что при оперативной оплате штрафа можно получить 50-процентную скидку. Главной же целью злоумышленников является сбор конфиденциальных данных, таких как информация о банковских картах.

«Бренд "госуслуги", с учётом его популярности, постоянно находится под пристальным вниманием злоумышленников. За последний год наша система Threat intelligence зафиксировала более 1 тыс. скомпрометированных учётных записей пользователей этого портала. Мы прогнозируем увеличение количества атак на пользователей госуслуг», — сообщил глава Group-IB Илья Сачков. 

Киберпреступники под видом Uber крадут данные банковских карт

Компания ESET зафиксировала новую фишинговую атаку: злоумышленники обманным путём пытаются завладеть данными банковских карт своих жертв.

Киберпреступники прикрываются популярным сервисом Uber. От имени этой всемирно известной компании рассылаются электронные письма, в которых предлагается получить крупную скидку на следующую поездку в такси. Нажав на баннер в сообщении, пользователь попадает на фишинговый сайт, внешне схожий с официальным ресурсом Uber. Любопытно, что в URL-адресе этой мошеннической страницы фигурирует слово «uber», что может сбить невнимательных посетителей с толку.

Пользователям, попавшим на фишинговый сайт, предлагается создать аккаунт Uber, чтобы скидка была автоматически учтена в следующей поездке. Кнопка «входа» перенаправляет жертву на поддельную страницу регистрации — там нужно ввести личные данные, включая имя, фамилию, номер мобильного телефона, а также номер, срок действия и CVV/CVC банковской карты. Разумеется, вся эта информация сразу же оказывается в руках злоумышленников. Получив запрашиваемые сведения, мошенники попросту перенаправляют пользователя на официальный сайт Uber.

Фишинговая атака началась 17 июня. На сегодняшний день на фальшивую страницу перешли десятки тысяч пользователей из разных стран. Те, кто оставил злоумышленникам данные банковской карты, рискуют лишиться своих средств. 

«Лаборатория Касперского» проанализировала фишинговые атаки на промышленные компании

«Лаборатория Касперского» зафиксировала рост интенсивности фишинговых атак на промышленные компании со стороны нигерийских злоумышленников.

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур (Kaspersky Lab ICS CERT) за три месяца идентифицировал более 500 атакованных предприятий в более чем 50 странах мира. Причём доля индустриальных компаний среди них превысила 80 %.

Схема нападения выглядит следующим образом. Потенциальной жертве отправляется составленное специальным образом письмо: злоумышленники прилагают максимум усилий для того, чтобы получатель счёл такое послание легитимным и открыл вложение. Разумеется, прикреплённый файл в данном случае содержит вредоносный код, который выполняет ту или иную последовательность действий.

Специалисты «Лаборатории Касперского» выяснили, что в ходе проведённых атак письма рассылались в том числе от имени компаний — контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счёту, уточнить расценки на продукцию или получить груз по накладной. При этом во всех письмах содержались вредоносные вложения, предназначенные для кражи конфиденциальных данных, а также установки скрытых средств удалённого администрирования систем.

Оказалось, что основная часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии.

Результатом фишинговых атак на индустриальные компании могут быть не только финансовые потери последних. Киберпреступники получают возможность проникнуть в промышленную сеть, а это чревато самыми непредсказуемыми последствиями. Теоретически при этом может быть нарушена нормальная работа целых отраслей. 

Робомобиль компаний Vedecom и Karamba будет защищён от кибератак

Европейская компания Vedecom Tech, занимающаяся разработкой самоуправляемых автомобилей, и израильская фирма Karamba Security объявили в понедельник о сотрудничестве в создании полностью автономных автомобилей, которые появятся на дорогах некоторых европейских городов уже в этом году.

Karamba Security

Karamba Security

Vedecom Tech уточнила, что полностью автономные транспортные средства (SAE Level 5) будут запущены для коммерческого использования в конце 2017 года и в 2018 году муниципалитетами во Франции, Германии, Италии, Португалии и Нидерландах.

Система антивирусного автомобильного программного обеспечения Karamba Carwall and Autonomous Security будет защищать автомобиль от возможных кибератак на внешние коммуникации между транспортными средствами и окружающей инфраструктурой, а также на его внутреннюю электронику.

В заявлении компаний отмечено, это будет первое в отрасли производство защищённых от кибератак, коммерчески доступных автомобилей.

techcrunch.com

techcrunch.com

Vedecom Tech является коммерческим подразделением фонда Vedecom Public Foundation, в число участников которого входят известные автопроизводители Renault, Peugeot и поставщик автомобильных комплектующих и запасных частей Valeo.

Председатель совета директоров Karamba Дэвид Барзилай (David Barzilai) рассказал в интервью Reuters, что первые транспортные средства, созданные в рамках совместного проекта, будут развёрнуты в Версале. Они будут выполнять перевозки туристов на короткие расстояния до 7 км по специально выделенным дорожным полосам.

Ожидается, что полностью самоуправляемые транспортные средства будут доступны не ранее 2021 года, но автопроизводители уже предлагают множество полуавтономных вспомогательных систем для вождения, таких как система автопилота Tesla.