Теги → кибератаки
Быстрый переход

Российских пользователей Android атакует опасный банковский троян

«Лаборатория Касперского» предупреждает о том, что в России наблюдается масштабная кампания по заражению Android-устройств опасной вредоносной программой под названием Asacub.

Названный зловред — это троян, главной задачей которого является кража данных банковских карт жертвы. Кроме того, Asacub может выполнять ряд других функций. В частности, программа способна отправлять злоумышленникам информацию о заражённом устройстве и список контактов, звонить на определённые номера, отправлять SMS-сообщения с указанным текстом на указанный номер, закрывать определённые приложения и пр.

Схема распространения зловреда выглядит следующим образом. Пользователь получает SMS со знакомого номера с тем или иным текстом и предложением перейти по указанной ссылке. При переходе на такой сайт открывается страница загрузки трояна с инструкциями по его установке.

Изображения «Лаборатории Касперского»

Изображения «Лаборатории Касперского»

Как уже было отмечено, сообщения приходят со знакомого номера. Более того, троян обращается к жертвам по имени. Достигается это за счёт того, что сообщения рассылаются со смартфона предыдущей жертвы и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на заражённом аппарате.

В настоящее время количество российских пользователей Android, которым приходят сообщения от зловреда, достигает 40 тыс. в сутки. 

Доля целевых атак в Сети превысила 50 процентов

Исследование, проведённое компанией Positive Technologies, говорит о том, что количество киберинцидентов во втором квартале текущего года выросло практически в полтора раза (на 47 %) по сравнению со второй четвертью 2017-го.

В период с апреля по июнь включительно было зафиксировано большое количество целевых атак на различные организации. Доля таких кибернападений превысила долю массовых атак, достигнув 54 %.

Эксперты отмечают, что киберпреступники продолжают изобретать новые методы воздействия на пользователей, которые позволили бы им заразить целевую систему вредоносным ПО, украсть деньги или получить доступ к конфиденциальной информации. В настоящее время примерно каждая четвёртая кибератака нацелена на частных лиц.

Сетевые злоумышленники всё чаще проводят атаки с целью получения конфиденциальной информации. Интерес для преступников представляют прежде всего персональные данные, учётные записи и данные банковских карт.

В прошлом квартале отмечено большое количество атак на криптовалютные сети, такие как Verge, Monacoin, Bitcoin Gold, ZenCash, Litecoin Cash. В результате злоумышленники похитили в общей сложности более 100 млн долларов США.

«Если говорить о прогнозах, то, вероятно, сохранится тенденция к увеличению доли атак, направленных на хищение данных. Многие компании уделяют недостаточно внимания защите обрабатываемой информации, что делает её легкой добычей даже для низкоквалифицированных хакеров», — отмечает Positive Technologies. 

Киберпреступники атакуют пользователей Windows через уязвимость «нулевого дня»

Компания ESET предупреждает о том, что киберпреступная группировка PowerPool проводит атаки с использованием пока не закрытой «дыры» в операционных системах Microsoft Windows.

Речь идёт об уязвимости «нулевого дня», информация о которой была раскрыта в конце августа нынешнего года. Брешь связана с работой планировщика задач Windows. Злоумышленники могут повысить свои привилегии в системе и выполнить на компьютере жертвы произвольный программный код. Уязвимость затрагивает операционные системы Windows версий с 7 по 10.

Участники кибергруппы PowerPool используют брешь при проведении целевых атак. Нападения уже зафиксированы во многих странах, в том числе в России.

Атака начинается с рассылки вредоносных спам-писем с бэкдором первого этапа. Вредоносная программа предназначена для базовой разведки — она выполняет команды злоумышленников и передаёт собранные данные на удалённый сервер. Если компьютер заинтересовал киберпреступников, на него загружается бэкдор второго этапа: эта вредоносная программа предоставляет постоянный доступ к системе.

Таким образом, злоумышленники получают возможность красть конфиденциальную информацию и выполнять произвольные действия на инфицированном компьютере. 

ФСБ сформировала центр по компьютерным инцидентам

Федеральная служба безопасности Российской Федерации (ФСБ) сформировала Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Как сообщается в документе, опубликованном на Официальном интернет-портале правовой информации, новая структура является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

НКЦКИ предстоит решать довольно широкий спектр задач. В частности, структура будет отвечать за обмен данными о компьютерных инцидентах между субъектами критической информационной инфраструктуры. Кроме того, специалисты центра займутся обнаружением, предупреждением и ликвидацией последствий компьютерных атак.

Новая структура будет отвечать за сбор, хранение и анализ информации о компьютерных инцидентах. Центру также предстоит распространять и публиковать информационные и справочные материалы, участвовать в работе научно-технических конференций, симпозиумов, совещаний и выставок по вопросам, связанным с киберпреступлениями и атаками в сетевом пространстве.

Центр в процессе работы сможет привлекать к реагированию на компьютерные инциденты организации и экспертов, осуществляющих деятельность в соответствующей области. 

Многофункциональные зловреды всё чаще атакуют пользователей Интернета

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сетевые злоумышленники всё чаще применяют универсальные вредоносные программы, позволяющие реализовывать атаки разного типа.

Эксперты проанализировали активность 60 000 ботнетов — сетей инфицированных устройств. Оказалось, что их владельцы переключают внимание на использование многофункциональных зловредов, которые можно модифицировать под практически неограниченное количество задач. Это может быть, скажем, рассылка спама, организация DDoS-атак или распространение банковских троянов.

Исследование, в частности, показало, что в течение первой половины текущего года доля бэкдоров выросла с 6,6 % до 12,2 % от общего числа циркулируемых в ботнетах зловредов. Бэкдоры не имеют специфического предназначения, но дают возможность удалённо контролировать заражённую систему. Такие программы предоставляют злоумышленникам широкий набор функций — от сохранения скриншотов и нажатий клавиш до непосредственного управления устройством.

Отмечается также, что за первые шесть месяцев этого года доля программ-загрузчиков поднялась с 5 % (во второй половине 2017 года) до 12 %. Популярность таких зловредов связана с тем, что они дают возможность загрузить в заражённую систему любые дополнительные компоненты для реализации той или иной атаки.

Наконец, зафиксировано увеличение популярности майнеров: их доля выросла за полгода с 2,7 % до 5 %. Такие программы активно распространяются из-за того, что ботнет всё чаще рассматривается как инструмент для генерации криптовалют. 

Кибергруппировка Turla организовала атаку через Microsoft Outlook

Компания ESET проанализировала новую кибератаку известной группировки Turla, целью которой стала кража конфиденциальных данных госучреждений в странах Европы.

За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации и пр.

В ходе очередной атаки злоумышленники используют вредоносную программу с управлением через Microsoft Outlook. Для связи с этим зловредом служат электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. С помощью таких посланий на заражённый компьютер могут оправляться различные команды, в том числе для сбора данных, а также для выполнения других программ и различных запросов.

Вредоносная программа проверяет каждое входящее письмо на наличие PDF-файла с командами. Кроме того, зловред дублирует своим операторам все исходящие письма жертвы. Таким образом, в руках злоумышленников может оказаться конфиденциальная информация.

«Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты — MAPI», — отмечает ESET. Специалисты полагают, что на сегодняшний день Turla — единственная кибергруппа, которая использует подобные инструменты. 

В распространённых в России банкоматах обнаружена опасная «дыра»

Эксперты Positive Technologies выявили опасную уязвимость в распространённых в России банкоматах NCR, которая позволяет злоумышленникам произвести незаконную выемку средств.

О проблеме рассказала газета «Коммерсантъ». Схема атаки сводится к установке на контроллер диспенсера (сейфовой части для выдачи купюр) устаревшего программного обеспечения. Уязвимость связана с недостаточной защитой механизма записи памяти.

Злоумышленники, как отмечается, могут подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных.

Американская компания NCR была поставлена в известность о наличии «дыры» в банкоматах более полугода назад. В феврале нынешнего года было выпущено обновление программного обеспечения, в котором брешь устранена.

Однако российские банки, использующие устройства NCR, апдейт ещё не осуществили. Сложность заключается в том, что обновление необходимо устанавливать вручную на каждый банкомат.

«Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределённость банкоматов», — говорят эксперты.

Добавим, что, по оценкам, только на сервисном обслуживании компании NCR в России находятся более 40 тыс. банкоматов. 

Количество вредоносных майнеров стремительно растёт

Данные, собранные «Лабораторией Касперского», говорят о том, что количество вредоносных программ для скрытой добычи криптовалют быстро растёт.

Злоумышленники отказываются от распространения шифровальщиков, отдавая предпочтение майнерам. Это обеспечивает пусть и небольшой, но постоянный доход, а не потенциально существенный одноразовый выкуп, как в случае с вымогателями.

Основной способ установки майнеров — это инсталляторы рекламного ПО, распространяемые с помощью социальной инженерии. Но есть и более изощрённые варианты, например, распространение посредством уязвимостей.

Процесс обнаружения майнеров сопряжён с рядом трудностей, поскольку пользователи зачастую сами устанавливают подобные программы ради добычи криптовалют, не подозревая, что мощности их устройства эксплуатируют киберпреступники.

Сообщается, что во втором квартале текущего года «Лаборатория Касперского» обнаружила приблизительно 14 тыс. новых модификаций майнеров. Эти зловреды атаковали компьютеры более 2,2 млн пользователей по всему миру.

Присутствие майнера в системе может обернуться резким уменьшением производительности компьютера и ростом расходов на электричество. В случае мобильных устройств возможен выход аккумулятора или даже основной платы из строя из-за большой вычислительной нагрузки и перегрева. 

Ситуация с безопасностью Android-устройств улучшается

Исследование, проведённое компанией ESET, позволяет говорить о том, что количество киберугроз, нацеленных на платформу Android, сокращается.

Так, в первые шесть месяцев 2018 года были обнаружены 348 уязвимостей для Android — это 41 % от общего числа «дыр», найденных в прошлом году. Таким образом, можно сделать вывод, что ситуация с безопасностью Android-устройств постепенно улучшается.

Отмечается также, что только четверть Android-багов 2018 года являются критическими. Это меньше доли уязвимостей данной категории, которые были обнаружены специалистами в предыдущие годы.

Общее число обнаружений Android-угроз сократилось на 27,48 % в сравнении с аналогичным периодом прошлого года и на 12,87 % в сравнении со второй половиной 2017 года.

Впрочем, злоумышленники продолжают активно атаковать владельцев Android-гаджетов. В настоящее время ежемесячно появляются около 300 новых образцов вредоносного кода для Android.

Причём сетевые злоумышленники разрабатывают качественно новые преступные схемы с использованием Android. К примеру, недавно была зафиксирована атака криптомайнеров на смарт-телевизоры на базе Android TV. 

Организаторы DDoS-атак бьют по криптовалютному рынку

«Лаборатория Касперского» обнародовала отчёт «DDoS-атаки во втором квартале 2018 года», освещающий основные тенденции развития распределённых атак типа «отказ в обслуживании».

Сообщается, что одним из самых популярных методов монетизации остаются DDoS-нападения на сайты, связанные с криптовалютами, и валютные биржи. Причём такие атаки используются не только для того, чтобы помешать конкурентам увеличить число инвесторов, но и как способ получить цифровые деньги незаконным путём.

Исследование говорит о том, что злоумышленники продолжают активно искать пути усиления DDoS-атак через новые и ранее открытые уязвимости в распространённом программном обеспечении. В частности, внимание киберпреступников привлекают экзотические «дыры» в сетевых протоколах.

В прошлом квартале лидирующее положение по числу атак сохранил Китай с результатом 59,03 %. На втором месте оказался Гонконг (17,13 %), а на третьем — Соединённые Штаты (12,46 %).

Среди регионов с наибольшим числом командных серверов ботнетов лидируют Соединённые Штаты (44,75 %), Южная Корея (11,05 %) и Италия (8,84 %).

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

Самая долгая атака во втором квартале продолжалась 258 часов (почти 11 дней), что немногим уступает рекорду предыдущего квартала — 297 часов (12,4 дня). При этом значительно выросла доля атак с Linux-ботнетов.

«Наиболее выгодными мишенями для злоумышленников, по всей видимости, продолжают оставаться кибервалюты, однако в ближайшее время можно ожидать как громких нападений, связанных со срывом киберчемпионатов, так и относительно мелких вымогательств, нацеленных на отдельных стримеров и игроков», — заключает «Лаборатория Касперского». 

Криптомайнеры всё чаще атакуют пользователей Интернета

Данные, полученные «Лабораторией Касперского», говорят о том, что интенсивность атак программ-вымогателей постепенно снижается.

Так, за последнее время количество пользователей, атакованных шифровальщиками, сократилось почти вдвое. Если в 2016–2017 гг. было зафиксировано приблизительно 1,2 миллиона жертв, то в 2017–2018 гг. — около 750 тысяч.

Впрочем, это вовсе не означает, что сетевые злоумышленники снизили активность. Киберпреступники попросту переключили внимание на относительно новый тип вредоносных программ — так называемые криптомайнеры.

В отличие от шифровальщиков, майнеры не кодируют пользовательские данные. Вместо этого они скрытно добывают криптовалюты, используя вычислительные мощности инфицированного устройства.

За последние два года количество атак криптомайнеров значительно выросло — с 1,9 до 2,7 миллиона, а их доля в общем количестве обнаруженных угроз увеличилась с 3 % до 4 %.

Заражение майнером имеет ряд весьма негативных последствий. Так, система медленнее реагирует на действия пользователя, потому что память, процессор и видеокарта устройства заняты добычей криптовалют. В случае ноутбуков и смартфонов происходит быстрый разряд аккумулятора; более того, высокая нагрузка может и вовсе вывести батарею из строя. Наконец, увеличиваются расходы жертвы на оплату электричества. 

Хакеры атакуют гаджеты для домашних животных

Исследование, проведённое «Лабораторией Касперского», говорит о том, что «умные» гаджеты для домашних питомцев могут таить угрозу как для самих животных, так и для их владельцев.

Сейчас на рынке представлен широчайший ассортимент электронных устройств для заботы о питомцах или наблюдения за ними. Это веб-камеры, автоматические кормушки и поилки, электронные игрушки, датчики температуры и пр. Причём многие такие гаджеты имеют подключение к Интернету, а следовательно, могут стать инструментом в руках киберпреступников.

В ходе исследования, в частности, выяснилось, что больше трети — 37 % — устройств, предназначенных для домашних животных, могут быть подключены к компьютерной сети. На данный момент о взломе таких гаджетов рассказали 12 % участников опроса.

Последствия несанкционированного доступа к подобным устройствам могут быть самыми неприятными: к примеру, взломав систему видеонаблюдения, злоумышленники могут тайно наблюдать за жильцами с целью последующего шантажа или планирования ограбления.

Исследование также показало, что у 35 % респондентов использование гаджетов для питомцев вызвало определённые риски для животных или самих владельцев. В большинстве случаев (34 %) неправильное функционирование электронного устройства поставило под угрозу здоровье домашнего животного. Практически в каждом четвёртом случае (23 %) риску оказалась подвержена жизнь питомца. Кроме того, треть респондентов (31 %) заявили, что инциденты с гаджетами вызвали стресс у них самих или других домочадцев. 

Российский солнцемобиль получит защиту от киберугроз

С 6 по 22 июля в США пройдут международные соревнования автомобилей на солнечной энергии American Solar Challenge: в состязании примет участие российский солнцемобиль SOL.

О проекте SOL мы уже рассказывали. Это инициатива команды Polytech Solar Team из Санкт-Петербургского политехнического университета Петра Великого. Машина получила корпус из композитного материала и специально разработанный электрический мотор. Утверждается, что автомобиль сможет развивать скорость до 150 км/ч.

Одной из особенностей SOL станет защита от киберугроз, которую обеспечит «Лаборатория Касперского». Дело в том, что в ходе предстоящих состязаний солнцемобиль будет постоянно обмениваться информацией с машиной сопровождения. В частности, в режиме реального времени будут передаваться такие показания, как скорость, напряжение, ток, температура батареи и солнечных панелей, уровень заряда аккумуляторов.

Передача показателей необходима для того, чтобы на основе полученных данных, учитывая прогноз солнечного излучения и рельеф местности, рассчитать оптимальную скорость, при которой солнечная энергия будет использоваться максимально эффективно. Понятно, что в случае кибератаки может быть нарушена передача данных, что приведёт к сбоям в управлении и к возможному выбытию команды из гонки.

Средства киберзащиты помогут оградить инновационное транспортное средство от вредоносных программ и возможных хакерских атак. «Современные автомобили — это скорее компьютеры на колёсах, чем просто механические средства передвижения, поэтому уже сейчас их надо защищать от киберугроз. И это столь же актуально для солнцемобиля — проекта, требующего обмена значительными объёмами данных и серьёзных вычислений», — отмечают эксперты. 

Прогнозируется волна кибератак в связи с Чемпионатом мира по футболу 2018

Компания Positive Technologies прогнозирует волну атак на сайты, так или иначе связанные с Чемпионатом мира по футболу 2018 (ЧМ-2018).

Напомним, что в рамках мероприятия ЧМ-2018 в России пройдёт финальная часть состязания — с 14 июня по 15 июля 2018 года. Матчи будут организованы в одиннадцати городах: в их число входят Москва, Калининград, Санкт-Петербург, Волгоград, Казань, Нижний Новгород, Самара, Саранск, Ростов-на-Дону, Сочи и Екатеринбург.

Эксперты Positive Technologies полагают, что атакам в связи с горячо ожидаемым спортивным соревнованием подвергнутся интернет-площадки банков, государственных учреждений и объектов здравоохранения.

Исследование Positive Technologies говорит о том, что уязвимые онлайн-ресурсы позволяют злоумышленникам оказывать влияние на дипломатические отношения, получать доступ к списку пациентов клиник пластической хирургии, похищать огромные суммы у криптовалютных бирж и осуществлять другие атаки.

«Публикация ложных новостей, к примеру, на официальном сайте министерства иностранных дел может спровоцировать дипломатический скандал и осложнить внешнеполитическую обстановку. Традиционно мишенью хакеров становятся и веб-ресурсы, связанные с проведением президентских и парламентских выборов. Под угрозой находятся также веб-приложения, имеющие отношение к финальной части ЧМ-2018: эксперты Positive Technologies ожидают волну атак на такие сайты», — говорится в материале Positive Technologies. 

Зафиксирована самая продолжительная с 2015 года DDoS-атака

«Лаборатория Касперского» опубликовала отчёт «DDoS-атаки в первом квартале 2018 года», в котором рассматриваются основные тенденции развития распределённых атак типа «отказ в обслуживании».

В январе–марте нынешнего года были зафиксированы атаки в 79 странах. Лидерство по числу атак в прошедшем квартале сохранил Китай с долей около 60 %. На втором и третьем местах находятся соответственно США и Южная Корея с результатом около 18 % и 8 %. Россия в рейтинге находится на десятой позиции с долей менее 1 %.

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

Основная активность организаторов DDoS-атак пришлась на первую и последнюю трети квартала. Максимальное количество нападений наблюдалось 19 января (666) и 7 марта (687 атак).

Любопытно, что в минувшем квартале зафиксирована самая продолжительная с 2015 года DDoS-атака. Она длилась 297 часов, или более 12 суток. Доля всех остальных относительно продолжительных атак (не менее 50 часов) выросла за квартал более чем в 6 раз — с 0,10 % до 0,63 %.

Соотношение атак с Windows- и Linux-ботнетов

Соотношение атак с Windows- и Linux-ботнетов

В первую десятку стран по количеству командных серверов ботнетов входят Южная Корея (30,92 %), США (29,32 %), Китай (8,03 %), Италия (6,83 %), Нидерланды (5,62 %), Франция (3,61 %), Германия (3,61 %), Великобритания (2,41 %), Россия (2,01 %) и Гонконг (1,2 %).

Доля Linux-ботнетов в прошедшем квартале слегка уменьшилась по сравнению с концом 2017 года — 66 % вместо 71 %. Соответственно, количество Windows-ботнетов выросло с 29 % до 34 %.