Теги → киберпреступность
Быстрый переход

Количество вредоносных майнеров стремительно растёт

Данные, собранные «Лабораторией Касперского», говорят о том, что количество вредоносных программ для скрытой добычи криптовалют быстро растёт.

Злоумышленники отказываются от распространения шифровальщиков, отдавая предпочтение майнерам. Это обеспечивает пусть и небольшой, но постоянный доход, а не потенциально существенный одноразовый выкуп, как в случае с вымогателями.

Основной способ установки майнеров — это инсталляторы рекламного ПО, распространяемые с помощью социальной инженерии. Но есть и более изощрённые варианты, например, распространение посредством уязвимостей.

Процесс обнаружения майнеров сопряжён с рядом трудностей, поскольку пользователи зачастую сами устанавливают подобные программы ради добычи криптовалют, не подозревая, что мощности их устройства эксплуатируют киберпреступники.

Сообщается, что во втором квартале текущего года «Лаборатория Касперского» обнаружила приблизительно 14 тыс. новых модификаций майнеров. Эти зловреды атаковали компьютеры более 2,2 млн пользователей по всему миру.

Присутствие майнера в системе может обернуться резким уменьшением производительности компьютера и ростом расходов на электричество. В случае мобильных устройств возможен выход аккумулятора или даже основной платы из строя из-за большой вычислительной нагрузки и перегрева. 

Новый Android-троян подменяет номера электронных кошельков в буфере обмена

«Доктор Веб» предупреждает о распространении новой вредоносной программы, нацеленной на устройства под управлением операционных систем Android.

Зловред получил название Android.Clipper; на сегодняшний день известны как минимум две его модификации. Главная задача трояна заключается в подмене номеров электронных кошельков в буфере обмена с целью пересылки денег злоумышленникам.

При запуске на инфицированном устройстве зловред выводит поддельное сообщение об ошибке и продолжает работу в скрытом режиме. При этом одна из версий программы маскируется под приложение для работы с электронными кошельками Bitcoin.

После проникновения на смартфон или планшет зловред начинает отслеживать изменения содержимого буфера обмена. Если троян обнаруживает, что пользователь скопировал в буфер номер электронного кошелька, он отсылает этот номер на управляющий сервер. В ответ высылается номер кошелька киберпреступников, который требуется вставить в буфер обмена вместо исходного. В результате, деньги переводятся мошенникам.

Вредоносная программа может подменять номера электронных кошельков платёжных систем Qiwi, Webmoney (R и Z) и «Яндекс.Деньги», а также криптовалют Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin.

Сейчас зловред активно продвигается на различных хакерских площадках и форумах. «Доктор Веб» полагает, что в скором времени можно ожидать появление большого количества модификаций этой вредоносной программы. 

Злоумышленники крадут аккаунты пользователей каршеринга в России

«Лаборатория Касперского» обнародовала результаты исследования, в ходе которого изучалась безопасность систем каршеринга (краткосрочной аренды автомобилей) в России.

Популярность каршеринга в нашей стране быстро растёт. Так, в Москве парк автомобилей, число активных пользователей и количество поездок, сделанных ими в 2017 году, практически удвоилось. Вместе с тем всё чаще сервисы каршеринга подвергаются атакам киберпреступников.

Главная цель злоумышленников — завладеть чужим аккаунтом для доступа к системе каршеринга. Краденые учётные записи затем продаются через Интернет, их цена составляет от $18.

Покупателями могут выступать любители покататься за чужой счёт: оплачивать штрафы и потенциальный ущерб, не говоря уже о самой стоимости поездки, придётся законному владельцу аккаунта.

Кроме того, краденые аккаунты покупают те, кому доступ к системам каршеринга закрыт. Это молодые люди, не достигшие 21 года, лица без достаточного стажа за рулём или вообще без водительских прав, а также заблокированные пользователи.

Изображения «Лаборатории Касперского»

Изображения «Лаборатории Касперского»

Исследование «Лаборатории Касперского» показало, что безопасность мобильных приложений каршеринга оставляет желать лучшего. Злоумышленники могут использовать различные приёмы для кражи аккаунтов. Это, в частности, перехват данных, которыми приложение обменивается с сервером, а также подбор автоматически выданных паролей. Интерфейс приложения может быть перекрыт фальшивым окном для получения данных учётной записи. Наконец, для кражи аккаунтов используются вредоносные программы.

Подробнее об исследовании можно узнать здесь

Поклонники игры Fortnite рискуют стать жертвами киберпреступников

Компания ESET сообщает о том, что сетевые злоумышленники организовали новую кибератаку, жертвами которой становятся поклонники игры Fortnite.

Напомним, что Fortnite — это мультиплатформенный шутер в жанре королевской битвы. Проект пользуется очень большой популярностью. Так, в июне нынешнего года разработчик — компания Epic Games — сообщил о 125 млн зарегистрированных игроков.

Сейчас игра доступна на Windows, macOS, PlayStation 4, Xbox One, iOS и Nintendo Switch. Кроме того, к выходу готовится Android-версия Fortnite — и именно тему грядущего анонса этой модификации игры эксплуатируют злоумышленники.

Специалисты ESET обнаружили множество сайтов, распространяющих вредоносное ПО под видом Fortnite для Android. Для продвижения этих зловредов используется площадка YouTube: мошенники размещают видеоролики с руководством по установке «мобильной версии» игры с сайта, ссылка на который дана в примечании к видео.

Если жертва попадается на крючок киберпреступников и загружает фальшивую игру, на мобильное устройство попадает вредоносное программное обеспечение, демонстрирующее рекламу или подписывающее пользователя на дорогостоящие SMS-сервисы. Кроме того, жертва рискует потерять игровой аккаунт и даже лишить работоспособности свой смартфон или планшет. 

Организаторы DDoS-атак бьют по криптовалютному рынку

«Лаборатория Касперского» обнародовала отчёт «DDoS-атаки во втором квартале 2018 года», освещающий основные тенденции развития распределённых атак типа «отказ в обслуживании».

Сообщается, что одним из самых популярных методов монетизации остаются DDoS-нападения на сайты, связанные с криптовалютами, и валютные биржи. Причём такие атаки используются не только для того, чтобы помешать конкурентам увеличить число инвесторов, но и как способ получить цифровые деньги незаконным путём.

Исследование говорит о том, что злоумышленники продолжают активно искать пути усиления DDoS-атак через новые и ранее открытые уязвимости в распространённом программном обеспечении. В частности, внимание киберпреступников привлекают экзотические «дыры» в сетевых протоколах.

В прошлом квартале лидирующее положение по числу атак сохранил Китай с результатом 59,03 %. На втором месте оказался Гонконг (17,13 %), а на третьем — Соединённые Штаты (12,46 %).

Среди регионов с наибольшим числом командных серверов ботнетов лидируют Соединённые Штаты (44,75 %), Южная Корея (11,05 %) и Италия (8,84 %).

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

Самая долгая атака во втором квартале продолжалась 258 часов (почти 11 дней), что немногим уступает рекорду предыдущего квартала — 297 часов (12,4 дня). При этом значительно выросла доля атак с Linux-ботнетов.

«Наиболее выгодными мишенями для злоумышленников, по всей видимости, продолжают оставаться кибервалюты, однако в ближайшее время можно ожидать как громких нападений, связанных со срывом киберчемпионатов, так и относительно мелких вымогательств, нацеленных на отдельных стримеров и игроков», — заключает «Лаборатория Касперского». 

Бесплатные подарочные карты iTunes и Google Play — очередная уловка мошенников

«Лаборатория Касперского» предупреждает о том, что в Интернете набирает обороты новая мошенническая схема, жертвы которой рискуют потерять свои деньги или раскрыть персональные данные.

На этот раз злоумышленники предлагают пользователям совершенно бесплатно сгенерировать коды подарочных карт, в частности, iTunes, Google Play, Amazon, Steam и пр. Для этого киберпреступники создают многочисленные фишинговые сайты, якобы формирующие коды. Ресурсы-генераторы могут быть совершенно разными по качеству исполнения, а ссылки на них распространяются в том числе посредством спам-рассылок.

Пользователю, попавшемуся на удочку мошенников, предлагается выбрать подарочную карту для «генерации» кода. При этом жертва должна подтвердить, что не является роботом. Для этого злоумышленники предлагают перейти по предложенной ссылке и выполнить некое задание: пройти опрос, сыграть в лотерею, оставить номер телефона и почтовый адрес, подписаться на платную SMS-рассылку или установить рекламное ПО.

Само собой, действующий код подарочной карты пользователь не получит, даже выполнив все требования киберпреступников. Вместе с тем пользователь может в лучшем случае потратить много времени на выполнение бесполезных заданий, а в худшем — потерять деньги и предоставить злоумышленникам информацию личного характера, которая в дальнейшем может быть использована при проведении целевых атак. 

Определены главные киберугрозы для россиян

Сбербанк назвал основные киберугрозы, с которыми чаще всего сталкиваются российские пользователи Интернета и владельцы мобильных устройств.

Отмечается, что едва ли не главную опасность представляет социальная инженерия. Дело в том, что в системе защиты практически любой сложности слабым звеном остаётся человеческий фактор. Поэтому методы социальной инженерии позволяют злоумышленникам осуществлять атаки с высокой эффективностью.

«Киберпреступность в первую очередь ассоциируют с хакерами и взломом IT-систем. Но на самом деле взламывают чаще не машину, а человека. Около 80 % попыток мошенничества, которые фиксируется в Сбербанке, приходится на так называемую социальную инженерию», — приводит «РИА Новости» заявления специалистов финансовой организации.

Одним из самых эффективных методов социальной инженерии являются сообщения с фишинговой ссылкой.

Вторая по масштабу угроза для российских пользователей, по мнению экспертов Сбербанка, — это вредоносное программное обеспечение. Причём таким атакам всё чаще подвергаются владельцы мобильных устройств под управлением операционной системы Android.

Излюбленной схемой мошенников является отправка SMS-сообщений от лица банков. Злоумышленники под различными предлогами выманивают данные банковских карт, в результате чего жертвы лишаются своих денег.

Российские пользователи также часто сталкиваются с мошенничеством при покупке товаров по объявлениям. Злоумышленники, предлагая заманчивую цену, просят перевести определённую сумму в качестве аванса. Получив эти деньги, мошенники перестают выходить на связь. 

Тема криптовалют приносит сетевым мошенникам миллионы долларов

«Лаборатория Касперского» сообщает о том, что сетевые мошенники продолжают активно эксплуатировать темы майнинга и криптовалют с целью незаконной наживы.

Отмечается, что кроме взлома криптовалютных бирж, эксплуатации уязвимостей в смарт-контрактах и использования зловредов-майнеров, мошенники прибегают и к классическим методам социальной инженерии. Причём такие схемы приносят киберпреступникам миллионы долларов США.

Одна из наиболее популярных целей злоумышленников — это потенциальные ICO-инвесторы (первичное размещение монет). Мошенники рассылают фальшивые письма с сообщениями о старте продажи токенов и указывают адреса для перевода криптовалюты.

Кроме того, киберпреступники создают поддельные страницы, имитирующие официальные сайты ICO-проектов. Мошенники также заманивают пользователей предложениями о переводах определённых сумм в криптовалютах, обещая большую прибыль.

«Киберпреступники идут в ногу со временем и следят за последними тенденциями в области информационных технологий. Поэтому неудивительно, что они не обошли стороной такие популярные темы, как криптовалюта и ICO. Однако новые схемы мошенничества здесь основаны на простых известных методах социальной инженерии, при этом они позволяют киберпреступникам зарабатывать миллионы долларов», — отмечает «Лаборатория Касперского».

Нужно добавить, что чаще всего криптовалютные мошенники находят жертв через фишинговые письма и поддельные страницы в Интернете, ссылки на которые распространяются посредством электронной почты. 

Количество киберинцидентов в первом квартале подскочило на треть

Компания Positive Technologies обнародовала результаты анализа активности киберпреступников в первом квартале текущего года: сообщается, что ситуация с безопасностью в Интернете ухудшилась.

Исследование показало, что в период с января по март включительно количество уникальных киберинцидентов на 32 % превысило показатели аналогичного периода в 2017 году. Иными словами, число атак подскочило на треть.

Существенно выросла доля кибернападений, нацеленных на получение данных. Причём злоумышленников преимущественно интересовали персональные данные, а также учётные записи и пароли для доступа к различным сервисам и системам.

В подавляющем большинстве атак — в 63 % — применялось вредоносное программное обеспечение. При этом одним из самых распространённых инструментов сетевых злоумышленников стали шпионские модули. В 23 % атак с применением вредоносных программ злоумышленники распространяли майнеры криптовалют.

Больше других от кибератак пострадали частные лица. Одновременно продолжила расти доля киберинцидентов, нацеленных на госучреждения: в первом квартале 2018 года она составила 16 %. Наибольший ущерб от действий сетевых злоумышленников несут компании и организации, так или иначе связанные с финансовым сектором.

«По нашим оценкам, в течение года продолжится рост числа уникальных кибератак. Стоит ожидать появления новых видов вредоносного ПО, преимущественно шпионского. Также представляется высокой вероятность фишинговых атак во время проведения чемпионата мира по футболу», — говорят эксперты.

Более подробно с результатами исследования можно ознакомиться здесь

Кампания кибершпионажа InvisiMole: целевые атаки на российские объекты

Специалисты ESET зафиксировали новую кибершпионскую кампанию: неизвестные злоумышленники атакуют избранные цели в России.

Киберпреступники применяют вредоносную программу InvisiMole, которая открывает удалённый доступ к заражённому устройству, позволяет следить за действиями жертвы и перехватывать конфиденциальные данные.

Зловред InvisiMole имеет модульную архитектуру. В его состав, в частности, входят компоненты RC2FM и RC2CL, собирающие информацию о жертве. Способ распространения программы пока полностью не установлен: в настоящее время рассматриваются все варианты, включая инсталляцию вручную при наличии у злоумышленников физического доступа к компьютеру.

Модуль RC2FM может удалённо включать микрофон, записывать звук, делать снимки экрана, создавать списки файлов на накопителях, а также передавать собранную информацию злоумышленникам.

Компонент RC2CL, в свою очередь, обладает более широкой функциональностью. Он изучает заражённый компьютер и передаёт атакующим исчерпывающие данные о системе. Кроме того, атакующие могут включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна.

Любопытно, что группировка, использующая программу InvisiMole, активна как минимум с 2013 года, но до сих пор ей удавалось избегать обнаружения. Связано это с тем, что злоумышленники проводят исключительно целевые атаки. Кстати, помимо России, жертвы зафиксированы в Украине. 

Практически каждое второе веб-приложение допускает кражу данных пользователей

Компания Positive Technologies опубликовала неутешительные результаты анализа безопасности веб-приложений: исследование говорит о том, что защита подобных платформ оставляет желать много лучшего.

Так, практически все системы — 96 % — теоретически обеспечивают возможность организации атак на пользователей. Несанкционированный доступ к веб-приложению может быть получен примерно в каждом втором случае (48 %). При этом возможность получения полного контроля над приложением была выявлена примерно в каждом шестом случае (17 %).

В число самых распространённых проблем входят «Межсайтовое выполнение сценариев» (Cross-Site Scripting), «Подделка межсайтового запроса» (Cross-Site Request Forgery) и «Открытое перенаправление» (URL Redirector Abuse). Кроме того, часто встречается уязвимость «Внедрение операторов SQL».

Оказалось, что киберпреступники могут похитить персональные данные пользователей практически в каждом втором веб-приложении: такая проблема затрагивает 44 % систем. Речь идёт в том числе о финансовых учреждениях, интернет-магазинах и телекоммуникационных компаниях. При этом доля приложений, для которых существует угроза утечки критически важной информации, составляет 70 %.

Эксперты пришли к выводу, что две трети обнаруженных ошибок (65 %) были допущены при разработке приложений и содержатся в их программном коде. А каждая третья проблема безопасности связана с некорректными параметрами конфигурации веб-серверов.

Более подробную информацию об исследовании можно найти здесь

Троян BackSwap крадёт деньги с банковских счетов необычным способом

Компания ESET обнаружила новую вредоносную программу, атакующую пользователей компьютеров под управлением операционных систем Windows: зловред получил название BackSwap.

Главная задача трояна — кража средств с банковских счетов жертв. Причём механизм атаки реализован с применением довольно оригинальной тактики, позволяющей обходить продвинутые механизмы защиты.

Эксперты говорят, что обычно банковские трояны внедряют в процессы браузера вредоносный код, с помощью которого отслеживается посещение сайтов финансовых организаций. В ходе атаки происходит изменение НТТР-трафика или перенаправление жертвы на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода.

BackSwap действует иначе. Зловреду не требуется внедрение кода в процессоры браузера. Троян идентифицирует работу с онлайн-банком с помощью событий Windows в цикле ожидания сообщений. После этого вредоносный код внедряется в веб-страницу через консоль разработчика в браузере или в адресную строку.

«Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершён, адресная строка будет очищена, чтобы скрыть следы компрометации», — объясняет ESET.

Подобная схема позволяет обойти защитные механизмы и усыпить бдительность жертвы. Атака может осуществляться в различных браузерах, включая Google Chrome и Mozilla Firefox. 

Прогнозируется волна кибератак в связи с Чемпионатом мира по футболу 2018

Компания Positive Technologies прогнозирует волну атак на сайты, так или иначе связанные с Чемпионатом мира по футболу 2018 (ЧМ-2018).

Напомним, что в рамках мероприятия ЧМ-2018 в России пройдёт финальная часть состязания — с 14 июня по 15 июля 2018 года. Матчи будут организованы в одиннадцати городах: в их число входят Москва, Калининград, Санкт-Петербург, Волгоград, Казань, Нижний Новгород, Самара, Саранск, Ростов-на-Дону, Сочи и Екатеринбург.

Эксперты Positive Technologies полагают, что атакам в связи с горячо ожидаемым спортивным соревнованием подвергнутся интернет-площадки банков, государственных учреждений и объектов здравоохранения.

Исследование Positive Technologies говорит о том, что уязвимые онлайн-ресурсы позволяют злоумышленникам оказывать влияние на дипломатические отношения, получать доступ к списку пациентов клиник пластической хирургии, похищать огромные суммы у криптовалютных бирж и осуществлять другие атаки.

«Публикация ложных новостей, к примеру, на официальном сайте министерства иностранных дел может спровоцировать дипломатический скандал и осложнить внешнеполитическую обстановку. Традиционно мишенью хакеров становятся и веб-ресурсы, связанные с проведением президентских и парламентских выборов. Под угрозой находятся также веб-приложения, имеющие отношение к финальной части ЧМ-2018: эксперты Positive Technologies ожидают волну атак на такие сайты», — говорится в материале Positive Technologies. 

Зафиксирована самая продолжительная с 2015 года DDoS-атака

«Лаборатория Касперского» опубликовала отчёт «DDoS-атаки в первом квартале 2018 года», в котором рассматриваются основные тенденции развития распределённых атак типа «отказ в обслуживании».

В январе–марте нынешнего года были зафиксированы атаки в 79 странах. Лидерство по числу атак в прошедшем квартале сохранил Китай с долей около 60 %. На втором и третьем местах находятся соответственно США и Южная Корея с результатом около 18 % и 8 %. Россия в рейтинге находится на десятой позиции с долей менее 1 %.

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

Основная активность организаторов DDoS-атак пришлась на первую и последнюю трети квартала. Максимальное количество нападений наблюдалось 19 января (666) и 7 марта (687 атак).

Любопытно, что в минувшем квартале зафиксирована самая продолжительная с 2015 года DDoS-атака. Она длилась 297 часов, или более 12 суток. Доля всех остальных относительно продолжительных атак (не менее 50 часов) выросла за квартал более чем в 6 раз — с 0,10 % до 0,63 %.

Соотношение атак с Windows- и Linux-ботнетов

Соотношение атак с Windows- и Linux-ботнетов

В первую десятку стран по количеству командных серверов ботнетов входят Южная Корея (30,92 %), США (29,32 %), Китай (8,03 %), Италия (6,83 %), Нидерланды (5,62 %), Франция (3,61 %), Германия (3,61 %), Великобритания (2,41 %), Россия (2,01 %) и Гонконг (1,2 %).

Доля Linux-ботнетов в прошедшем квартале слегка уменьшилась по сравнению с концом 2017 года — 66 % вместо 71 %. Соответственно, количество Windows-ботнетов выросло с 29 % до 34 %. 

Объём утечек информации в 2017 году подскочил в четыре раза

Аналитический центр компании InfoWatch обнародовал результаты исследования, в ходе которого изучались утечки конфиденциальной информации в 2017 году.

Сообщается, что количество похищенных записей данных в прошлом году увеличилось по сравнению с 2016-м вчетверо — с 3,1 млрд до 13,3 млрд. Речь идёт об «утёкших» номерах социального страхования, реквизитах пластиковых карт и другой критически важной информации.

Любопытно, что около 13 млрд записей, или почти 99 % совокупного объёма украденных в мире данных, пришлось на 39 крупнейших утечек объёмом от 10 млн записей каждая.

В половине случаев утечек виновны сотрудники компаний. Ещё около 42 % случаев хищения данных — это результат работы внешних злоумышленников.

В глобальной структуре скомпрометированной информации по-прежнему преобладают данные о пользователях — 86 % утечек были связаны с кражей персональных данных и финансовой информации.

Если рассматривать каналы утечки информации, то преобладают сетевые ресурсы. Наибольший объём скомпрометированных данных пришёлся на компании сфер высоких технологий (32 %), торговли (27 %), а также государственные органы (23 %).

В распределении по характеру инцидентов около 83 % случаев пришлись на неквалифицированные утечки, которые не были сопряжены с превышением прав доступа или использованием данных в целях мошенничества.