Корпорация Microsoft представила 23-й отчёт Security Intelligence Report, освещающий ситуацию с безопасностью в киберпространстве.

Исследование охватывает период с февраля 2017-го по январь 2018 года. Отчет посвящён трём темам: ботнетам, популярным методам хакерских атак и вирусам-вымогателям.

Отмечается, что сети зомбированных устройств, или ботнеты, продолжают оставаться серьёзной угрозой для пользователей по всему миру. В ноябре 2017 года совместно с ESET и правоохранительными органами Microsoft уничтожила командную инфраструктуру одной из крупнейших сетей по распространению вредоносного ПО — ботнета Gamarue, также известного как Andromeda. Однако злоумышленники продолжают формировать новые сети инфицированных устройств.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25–30 % в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше — 15 %.

Вымогательство криптовалюты или других платежей с угрозой уничтожить все данные жертвы остаётся привлекательной стратегией для злоумышленников. В России в среднем 0,13 % устройств сталкивались с программами-вымогателями в месяц, в мире этот показатель равен 0,14 %.

Злоумышленники не оставляют без внимания облачные платформы. В ходе исследования выяснилось, что 79 % SaaS-приложений для облачного хранения данных и 86 % SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Этим активно пользуются киберпреступники.

Отмечается, что самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6 % до 10 %. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т. д.) составили менее 1 %. 

«Лаборатория Касперского» обнародовала результаты исследования, посвящённого проблемам обеспечения безопасности несовершеннолетних интернет-пользователей.

Представленные данные базируются на результатах опроса сотен российских семей, в которых есть дети в возрасте 7–18 лет. Исследование проводилось в феврале–марте нынешнего года.

Сообщается, что наиболее уязвимы для киберугроз подростки в возрасте 13–15 лет. Дело в том, что именно в этот период поведение детей в Интернете становится более активным и сложным. Одновременно начинает ослабевать контроль со стороны родителей.

Подростки  сталкиваются с самыми разными угрозами. Это жестокий контент, травля, оскорбления и угрозы, сомнительные сообщения от незнакомцев и, разумеется, самые разнообразные вредоносные программы.

В целом, как отмечает «Лаборатория Касперского», школьники любого возраста сегодня слабо защищены от интернет-угроз. Например, почти каждый пятый опрошенный получал приглашение дружить от незнакомых взрослых в соцсетях. Чуть меньше половины респондентов случайно попадали на сайты для взрослых. Почти каждый третий школьник либо сталкивался, либо слышал о случаях травли, причём сами родители знают лишь примерно о половине подобных случаев.

Ситуация ухудшается тем, что взрослые зачастую пренебрегают средствами родительского контроля. Такую функцию настраивают лишь 36 % родителей. Более того, как правило, она включена только на компьютерах, в то время как смартфоны остаются незащищёнными. 

«Доктор Веб» предупреждает о том, что сетевые злоумышленники используют популярный видеохостинг YouTube с целью распространения опасной вредоносной программы, инфицирующей компьютеры под управлением операционных систем Windows.

Зловред, получивший обозначение Trojan.PWS.Stealer.23012, написан на языке Python. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр с применением специальных приложений. Как раз за такие программы и другие полезные утилиты злоумышленники и выдают трояна.

При попытке перейти по указанной ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив с вредоносным кодом. После его запуска происходит инфицирование ПК, и зловред приступает к работе.

Главной задачей трояна является сбор конфиденциальной информации. Вредоносная программа похищает сохранённые логины/пароли из браузеров, копирует файлы с рабочего стола, делает снимки экрана.

Полученная таким образом информация упаковывается в архив spam.zip, который вместе с данными о расположении заражённого устройства отправляется на сервер злоумышленников. В результате, преступники могут получить доступ к учётным записям жертвы в социальных сетях и различных веб-сервисах, а также завладеть сведениями персонального характера. 

Компания Positive Technologies изучила эффективность атак с применением методов социальной инженерии: полученные результаты представлены в подробном отчёте.

Исследование говорит о том, что киберпреступники всё чаще используют методы социальной инженерии для проникновения в инфраструктуру организации при целевой атаке. Дело в том, что в системе защиты практически любой сложности слабым звеном остаётся именно человеческий фактор.

В ходе анализа защищённости корпоративной инфраструктуры эксперты имитировали активность хакеров и отправляли сотрудникам компаний сообщения, содержащие вложенные файлы, ссылки на веб-ресурсы и формы для ввода паролей. Оказало, что примерно шестая часть — 17 % — таких нападений в реальной жизни могли бы в итоге привести к компрометации компьютера сотрудника, а впоследствии — и всей корпоративной инфраструктуры.

Самым эффективным методом социальной инженерии оказались сообщения с фишинговой ссылкой: по ней перешли 27 % получателей. Пользователи невнимательно читают адрес или даже не утруждают себя его проверкой, сразу переходя на поддельный сайт.

Для повышения эффективности атаки злоумышленники могут комбинировать различные методы: в письме одновременно может присутствовать и вредоносный файл, и ссылка на сайт с набором эксплойтов и формой для ввода пароля.

Исследование показало, что эффективность рассылок от лица поддельных компаний снижается: на долю таких писем пришлось 11 % потенциально опасных действий. С другой стороны, если сообщение приходит от имени реальной компании и реального человека, вероятность успеха взломщиков резко возрастает (33 %). 

Специалисты компании Avast обнаружили в магазине Google Play два приложения со встроенными средствами для скрытого майнинга. Эти программы загрузили тысячи владельцев мобильных устройств под управлением Android.

Вредоносный код для добычи криптовалюты Monero скрывается в приложениях SP Browser и Mr. MineRusher. Схема работы майнеров выглядит следующим образом. После запуска программы происходит автоматическое соединение с веб-сайтом apptrackers.org, где размещён CoinHive Java Script для добычи Monero. Как только соединение с доменом выполняется, начинается собственно майнинг.

Важно отметить, что весь процесс проходит незаметно для пользователя — в фоновом режиме, когда экран выключен, а устройство использует передачу данных или подключено к Wi-Fi. Результатом работы майнера могут стать сбои. Кроме того, происходит быстрый разряд аккумулятора.

Любопытно, что одновременно компания ESET обнаружила ряд криптовалютных зловредов в каталоге программного обеспечения популярной площадки Download.com. Вредоносный код, распространяющийся вместе с легитимными программами, предназначен для кражи биткоинов. Когда пользователь копирует и вставляет адрес своего биткоин-кошелька, чтобы перевести туда средства, зловред перехватывает эти данные и заменяет собственными. Если жертва не заметит подмену, её средства будут переведены на счёт злоумышленников. На сегодняшний день атакующие собрали 8,8 биткоина — больше 4 млн рублей по курсу на 15 марта. 

Компания Positive Technologies опубликовала результаты анализа активности киберпреступников в четвёртом квартале минувшего года.

Отмечается, что сетевые злоумышленники всё чаще атакуют веб-приложения банков и электронных торговых площадок. Связано это с тем, что успешные взломы приносят ощутимую финансовую выгоду. Кроме того, информацию, полученную в результате компрометации торговых площадок, можно выгодно продать другим участникам торгов и компаниям-конкурентам.

По результатам исследования отмечено незначительное увеличение интенсивности атак в дневные и вечерние часы. При этом основная часть атак направлена на пользователей веб-ресурсов, которые в это время особенно активны.

Что касается атак в ночные и утренние часы, то злоумышленники проводят их с расчётом, что службы безопасности компаний не смогут своевременно обнаружить атаку и отреагировать должным образом.

Половина зарегистрированных компанией Positive Technologies атак на веб-ресурсы в прошлом квартале производилась с российских IP-адресов. В рейтинг стран — источников атак также вошли США (11,6 %), Китай (4,3 %), Франция (4,3 %) и Германия (2,5 %).

В целом, как отмечается, абсолютно любое веб-приложение вне зависимости от функциональных особенностей может стать мишенью для злоумышленников. После публикации информации о новой уязвимости злоумышленники в кратчайшие сроки разрабатывают эксплойты и начинают тестировать их на веб-приложениях. Для автоматизации атак нарушители могут использовать не только общедоступные готовые эксплойты и утилиты, но и целые ботнеты. 

«Доктор Веб» предупреждает о появлении в магазине Google Play многочисленных фальшивых приложений с троянскими функциями, которые замаскированы под популярные программы.

Зловреды имеют названия известных приложений, а также схожие с оригиналами значки. В частности, обнаружены подделки под «Qiwi Кошелёк», «Сбербанк Онлайн», «Одноклассники», «ВКонтакте» и НТВ. Кроме того, выявлены фальшивые игры, сборники рецептов и пособия по вязанию.

В общей сложности, как сообщает «Доктор Веб», найдены более 70 вредоносных программ, которые загрузили свыше 270 000 пользователей. Трояны распространяются как минимум четырьмя разработчиками — Tezov apps, Aydarapps, Chmstudio и SVNGames.

Попав на мобильное устройство под управлением Android, фальшивое приложение соединяется с управляющим сервером, который в ответ может передавать заданную злоумышленниками веб-ссылку. Открытие страницы выполняется с применением WebView непосредственно в самих приложениях, где ссылка на целевой интернет-адрес не видна. При этом содержимое показываемых страниц может быть абсолютно любым. В частности, это могут оказаться поддельные формы входа в учётную запись онлайн-банкинга или социальных сетей. В результате владельцы смартфонов и планшетов рискуют стать жертвами фишинговых атак.

Ситуация ухудшается тем, что на момент написания заметки многие фальшивые приложения продолжали распространяться через площадку Google Play. Можно предположить, что такие программы присутствуют и в неофициальных магазинах Android-приложений. 

Компания ESET предупреждает о том, что сетевые преступники взяли на вооружение новую схему добычи криптовалют мошенническим путём.

Сообщается, что злоумышленники распространяют вредоносное приложение для обмана начинающих пользователей майнинговых сервисов. Программа под названием Monero Miner (XMR) разработчика My Portable Software нацелена на владельцев мобильных устройств под управлением операционных систем Android.

Приложение Monero Miner предназначено для добычи криптовалюты Monero. Причём в отличие от известных лжемайнеров, в которых заявленная функция майнинга попросту отсутствует, а задачей является демонстрация рекламы, Monero Miner действительно добывает цифровые деньги.

Проблема же заключается в том, что все средства, полученные при помощи Monero Miner, поступают преступникам, вне зависимости от того, какой адрес кошелька указывает пользователь во время настройки программы.

Приложение Monero Miner распространялось через магазин Google Play: программу загрузили десятки тысяч пользователей. Сейчас зловред удалён, но ничто не мешает злоумышленникам распространять его под видом других приложений и утилит. Кроме того, зловред с большой долей вероятности распространяется через неофициальные магазины Android-приложений. 

«Лаборатория Касперского» опубликовала подробный отчёт об эволюции вредоносных программ и развитии киберугроз в мобильной сфере.

Сообщается, что интенсивность атак на владельцев устройств под управлением операционных систем Android за минувший год выросла в 1,2 раза. При этом наибольшей угрозой для пользователей на протяжении последних нескольких лет являются трояны-рутовальщики, которые, получая права суперпользователя, выполняют на смартфоне или планшете произвольные вредоносные операции. Такие зловреды отображают большое количество рекламы, загружают и устанавливают различные компоненты и приложения, а также пытаются опустошить счета жертв.

В последнее время широкое распространение получили мобильные зловреды-вымогатели. Количество таких троянов подскочило в 2017 году вдвое по сравнению с предыдущим годом и в 17 раз по сравнению с 2015-м.

Россия в минувшем году заняла первое место по количеству пользователей, атакованных мобильными банковскими троянами. Как отмечается, с такими вредоносными программами в нашей стране сталкивался каждый 40-й пользователь Android-устройств.

В 2017 году были обнаружены несколько модульных троянов, один из способов монетизации деятельности которых — кража денег посредством WAP-подписок. Некоторые зловреды также имели модули для майнинга криптовалют: рост цен на цифровые деньги делает майнинг более выгодным делом, хотя производительность мобильных устройств не такая уж и высокая. 

«Лаборатория Касперского» обнаружила хакерские группировки, использующие методы и техники сложных целевых атак для распространения троянов, предназначенных для скрытой добычи криптовалют.

Бум цифровых денег привёл к тому, что пользователи Интернета всё чаще подвергаются атакам программ-майнеров. По оценкам, интенсивность таких нападений в прошлом году выросла практически в полтора раза по сравнению с 2016 годом.

Для распространения зловредов с функциями добычи цифровых денег используются разные методы. Такие трояны могут скрываться в различных приложениях или играх. Кроме того, пользователи становятся жертвами рекламного ПО.

Злоумышленники также начали прибегать к сложным техникам заражения — целевым атакам. Схема подобных нападений выглядит следующим образом. Жертву вынуждают скачать и установить некую программу со скрытым майнером. Установщик работает как легитимная утилита для Windows, а его главная цель — скачать сам майнер с удалённого сервера. После начала исполнения программы запускается легитимный процесс, а его код изменяется на вредоносный.

Рост количества атак троянов-майнеров

В результате троян работает под прикрытием легитимного процесса, поэтому пользователь не может распознать заражение. К тому же хакеры делают так, что отменить задачу становится невозможно: при попытке остановить операцию система перезагружается. В результате преступники обеспечивают своё присутствие на компьютере на продолжительное время.

Исследование «Лаборатории Касперского» показало, что трояны-майнеры приносят злоумышленникам огромные деньги. Только за последние шесть месяцев 2017 года преступники получили таким образом несколько миллионов долларов США. Подробнее о проблеме можно узнать здесь. 

Компания Positive Technologies обнародовала развёрнутый отчёт, освещающий ситуацию с безопасностью в Интернете и основные направления развития угроз в киберпространстве.

Исследование показало, что в прошлом году семь из каждых 10 атак были совершены с целью получения прямой финансовой выгоды — скажем, за счёт вывода денег с банковских счетов жертвы. Ещё 23 % нападений были произведены с целью кражи той или иной информации.

Практически каждая вторая — 47 % — кибератака была направлена на инфраструктуру компаний. В 26 % случаев пострадали веб-ресурсы. В течение всего 2017 года росло и количество жертв среди обычных пользователей.

В 2017 году злоумышленники продолжили совершенствовать методы социальной инженерии. Наиболее часто они использовали фишинговые сайты и фишинговые рассылки для целевых атак на организации. Чтобы письма выглядели правдоподобно, они подделывали адреса отправителей, регистрировали домены, похожие на доверенные, и даже взламывали контрагентов, чтобы отправлять письма от их имён в обход спам-фильтров.

Поднявшийся в 2017 году ажиотаж вокруг криптовалют и существенный рост популярности ICO привлекли злоумышленников, направивших атаки на криптовалютные биржи, кошельки частных лиц и ICO. И пока одни регистрировали криптокошельки и переводили на них деньги, другие опустошали эти кошельки, например, путём подбора учётных данных.

От DDoS-атак в 2017 году преимущественно страдали государственные компании, онлайн-сервисы и финансовые организации. Кроме того, отмечен рост количества атак в сегменте Интернета вещей.

В целом, кибератаки становятся всё более запутанными и сложными, в том числе из-за использования взломанных веб-приложений в качестве инструментов атаки, а также многоэтапных кампаний, затрагивающих не только целевую организацию, но и её партнёров.  

Компания Positive Technologies обнародовала результаты комплексного исследования, в ходе которого изучалась защищённость современных сотовых сетей.

Сообщается, что безопасность систем мобильной связи всё ещё находится на низком уровне, что подтверждается результатами работ по анализу защищённости сетей SS7 (Signaling System 7). Стандарт SS7 используется для обмена служебной информацией между сетевыми устройствами в телекоммуникационных сетях. В то время, когда разрабатывался этот стандарт, доступ к сети SS7 имели лишь операторы фиксированной связи, поэтому безопасность не была приоритетной задачей.

Сегодня сигнальная сеть уже не является в той же степени изолированной, поэтому злоумышленник, тем или иным путём получивший к ней доступ, имеет возможность эксплуатировать недостатки безопасности для того, чтобы прослушивать голосовые вызовы абонентов, читать SMS, похищать деньги со счетов, обходить системы тарификации или влиять на функционирование мобильной сети.

Исследование показало, что все сотовые сети подвержены атакам злоумышленников. Они, в частности, содержат опасные уязвимости, которые позволяют нарушить доступность сервисов для абонентов.

Практически в каждой сети можно прослушать разговор абонента или прочитать входящие SMS, а мошеннические операции можно успешно проводить в 78 % сетей.

Более того, успешными для злоумышленников являются 100 % атак, направленных на перехват SMS-сообщений. При этом кража передаваемых таким образом одноразовых кодов чревата компрометацией систем дистанционного банковского обслуживания, мобильных банков, интернет-магазинов, порталов государственных услуг и множества других сервисов.

Другой вид атак — отказ в обслуживании — представляет угрозу для электронных устройств Интернета вещей. Сегодня к сетям мобильной связи подключены не только отдельные устройства пользователей, но и элементы инфраструктуры «умных» городов, современные промышленные предприятия, транспортные, энергетические и иные компании.

Более подробно с отчётом Positive Technologies можно ознакомиться здесь. 

Исследование, проведённое «Лабораторией Касперского», говорит о том, что в 2017 году доля финансового фишинга достигла рекордного уровня. При этом всё чаще атакам злоумышленников подвергаются пользователи устройств Apple.

Анализ показал, что в прошлом году более половины — 54 % — всех фишинговых атак пришлось на различные сайты, так или иначе связанные с финансовыми услугами: банки, платёжные системы, интернет-магазины и т. д. Для сравнения: годом ранее этот показатель равнялся 48 %, а в 2015 году — 34 %.

Полученные данные говорят о том, что доля финансового фишинга, с которым сталкиваются пользователи устройств Apple, подскочила практически вдвое — с 31 % в 2016 году до 56 % в 2017 году.

Вместе с тем интенсивность атак банковских троянов, в том числе мобильных, продолжает снижаться — на 30 % в случае с классическими компьютерными зловредами и на 15 % в случае с Android-программами.

«Лаборатория Касперского» также отмечает, что Россия остаётся в первой тройке стран, наиболее подверженных финансовым атакам. Так, по количеству пользователей, атакованных банковскими троянами, РФ занимает второе место (20 %), уступая лишь Германии. А по числу атак мобильных банковских троянов Россия и вовсе является безусловным лидером, значительно опережая все другие государства — на долю нашей страны приходится 90 % подобных атак. Такая ситуация, по мнению экспертов, объясняется высокой популярностью SMS-банкинга среди россиян. 

Исследование, проведённое компанией ESET, говорит о том, что владельцы мобильных устройств под управлением Android всё чаще страдают от криптовалютных мошенников.

Сообщается, что сейчас злоумышленники применяют несколько основных схем атак. Одна из них — создание поддельных приложений криптовалютных бирж. Такие программы предназначены для перехвата логинов и паролей: похищенные данные затем используются для кражи цифровых денег. Приложения распространяются через Google Play и другие площадки; они могут иметь высокий рейтинг и положительные отзывы.

Похожая схема применяется для взлома криптовалютных кошельков. Мошенники создают фишинговые приложения-кошельки для перехвата закрытых ключей и SEED-фраз (набора слов для восстановления кошелька). В этом случае риск пользователей выше — украденный пароль от биржи можно сбросить, но, если скомпрометирован закрытый ключ, содержимое кошелька потеряно.

Разумеется, киберпреступники не могли оставить без внимания аппаратные возможности современных гаджетов. В экосистеме Android растёт число вредоносных программ-майнеров, которые скрытно добывают криптовалюты в интересах злоумышленников. Для пользователей наличие таких приложений на смартфоне или планшете оборачивается перегревом устройства и быстрым расходом заряда аккумулятора. В некоторых случаях возможен даже выход батареи из строя.

Наконец, ESET выделяет ещё одну группу зловредов — так называемые мобильные лжемайнеры. Их разработчики утверждают, что приложения добывают криптовалюту, но на самом деле они только показывают рекламу, на чём и зарабатывают мошенники. 

Исследование, проведённое «Лабораторией Касперского», говорит о том, что поддельные мошеннические сайты в Интернете становится всё сложнее отличить от настоящих.

Киберпреступники в течение прошлого года продолжили совершенствовать методы обмана пользователей. Фишинг становится всё более изощрённым и продвинутым, а поэтому на удочку злоумышленников могут попасться даже довольно внимательные пользователи.

Так, если год назад одним из важных советов по распознаванию фишинговой страницы была проверка наличия SSL-сертификата (присутствие HTTPS в адресной строке), то сегодня это точно не гарантирует безопасность. Дело в том, что SSL-сертификаты всё чаще встречаются и на мошеннических сайтах. Например, это могут быть бесплатные 90-дневные сертификаты центров Let’s Encrypt и Comodo, получить которые не составляет особого труда.

Кроме того, киберпреступники искусно подделывают написание доменов, так что даже проверка имени сайта не всегда может помочь. «Фишеры активно эксплуатируют кодировку Punycode, которая используется браузерами для представления символов Unicode в адресной строке. Однако если все символы имени домена принадлежат набору символов одного языка, браузер отобразит их не в формате Punycode, а на указанном языке. Мошенники подбирают символы, максимально похожие на латинские, и составляют из них доменное имя, похожее на домен известной компании», — отмечает «Лаборатория Касперского».

В 2018 году, по мнению экспертов, фишеры, атакующие российских пользователей, будут активно эксплуатировать темы зимних Олимпийских игр, Чемпионата мира по футболу, а также выборов президента РФ.