Все новости о вирусах и антивирусах

[student]

Новый шифровальщик: «плати или заражай друзей»

Исследователи сообщают о набирающих силу атаках нового зловреда-шифровальщика Popcorn Time. Его отличительной чертой является то, что, инфицируя компьютер и зашифровывая файлы, он ставит жертву перед весьма неприятным выбором. Пользователю предлагается либо заплатить выкуп за расшифровку (сумма составляет 1 биткоин – порядка 760 долларов) либо разослать прилагаемую организаторами атаки ссылку всем своим контактам. Переход по этой ссылке ведет к заражению все тем же Popcorn Time, и если хотя бы 2 из друзей жертвы также окажутся инфицированы, киберпреступники бесплатно разблокируют компьютер. По словам создателя Bleeping Computer Лоуренса Эбрамса, организаторы атак зловредов-шифровальщиков никогда прежде не использовали подобную тактику.

Кроме того, анализ кода Popcorn Time показал, что если в течение недели пострадавший не выполнит одно из условий вымогателей, они в состоянии полностью уничтожить все файлы на инфицированном компьютере. Наконец, еще одной особенностью зловреда является попытка спекуляции на злободневных проблемах. В выводимом на экран инфицированных компьютеров сообщении хакеры уверяют, что являются сирийскими студентами, пострадавшими от войны в стране и лишившимися своих семей. А все средства, полученные от хакерских атак они, якобы, направят на покупку продовольствия и медикаментов.

[student]

Новая утечка Yahoo: похищены данные более чем миллиарда пользователей

Компания Yahoo признала факт утечки персональных данных, которая затронула гигантское число пользователей – более 1 миллиарда. Ранее в сентябре Yahoo уже сообщала об утечке, признанной рекордной, но тогда проблема затронула «всего лишь» чуть более 500 миллионов человек. Сама атака, повлекшая за собой похищение персональных данных, имела место еще в августе 2013 года. В руках хакеров оказались имена пользователей, их адреса электронной почты, номера телефонов, даты рождения и пароли. Последние хранились в зашифрованном виде, но защищены они алгоритмом хеширования MD5, который признан небезопасным и при должной настойчивости со стороны киберпреступников может быть взломан.

Агентство Bloomberg сообщает, что в числе затронутых атакой пользователей Yahoo – свыше 150 тысяч правительственных чиновников, конгрессменов и их помощников, агентов ФБР, АНБ и других спецслужб, а также сотрудников министерства обороны. Это позволяет считать инцидент угрозой национальной безопасности США.

Нынешняя утечка может стать тяжелейшим ударом для компании, которая и без того переживает не лучшие дни. В июле было достигнуто соглашение о приобретении Yahoo телекоммуникационным гигантом Verizon за 4,8 миллиарда долларов. Однако уже после сентябрьских сообщений о предыдущей утечке представители Verizon заявили, что будут внимательно следить за ходом расследования, чтобы выяснить, насколько проблема может повлиять на стоимость компании. А очередная утечка вполне может привести и к срыву сделки.

[student]

«Взлом» президентских выборов в США – новое свидетельство

Компания Recorded Future сообщила о еще одном свидетельстве того, что хакеры могли повлиять на исход выборов президента США. На одном из подпольных хакерских форумов специалисты компании обнаружили выставленные на продажу логины и пароли учетных записей сотрудников Комиссии по содействию выборам США (EAC). Это правительственное агентство существует с 2002 года, и в его компетенцию входит, в том числе, тестирование и сертификация электронного оборудования для голосования.

Представители Recorded Future смогли связаться с продавцом данных, выдавая себя за потенциальных покупателей. По их словам, логины и пароли находятся в руках русскоговорящего хакера, а число скомпрометированных учетных записей превышает 100. При этом среди взломанных аккаунтов есть и учетные записи, наделенные максимальным уровнем административных привилегий. Это означает, что, используя их, киберпреступники теоретически могли похищать конфиденциальную информацию, заражать системы вредоносным ПО и подменять данные. Хакер, продающий логины и пароли, утверждает, что получил их, эксплуатируя до сих пор не ликвидированную уязвимость в системе EAC. Информацию об этой уязвимости он якобы пытается продать правительству некой ближневосточной страны.

Ни Министерство юстиции США, ни сама Комиссия по содействию выборам пока никак не прокомментировали информацию о возможном взломе.

[student]

7 минут на оценку опасности взлома

Компания Balabit опубликовала результаты своего исследования, посвященного проблемам реагирования на киберугрозы. Как явствует из документа, 44% британских предприятий и организаций не укладываются в сроки, отводимые на расследование киберинцидентов, а также не успевают вовремя отчитываться о них. Одной их главных причин такого положения дел авторам исследования видится нехватка компетентных специалистов в штатах компаний.

Так, в 55% предприятий и организаций, включенных в обзор, расследованием и оценкой степени угрозы киберинцидентов занимаются менее 3 специалистов в области IT и информационной безопасности. Еще в 25% – от 3 до 8 человек, и лишь в 7% наиболее крупных компаний – свыше 50 человек. Таким образом, по подсчетам Balabit, в среднем 9,2 специалиста расследуют ежедневно 578 случаев киберугроз (среднее число инцидентов, с которыми приходится сталкиваться предприятиям и организациям). Иными словами, на расследование и оценку серьезности каждой киберугрозы у одного специалиста есть всего около 7 минут. В такой ситуации вряд ли стоит удивляться тому, что многие случаи атак и утечек данных остаются незамеченными компаниями на протяжении нескольких месяцев и даже лет.

[student]

Под угрозой данные 9,5 миллиона пользователей Lynda.com

У примерно 9,5 миллиона пользователей ресурса Lynda.com есть явный повод для беспокойства. Их персональные данные могли оказаться в руках хакеров, хотя прямых доказательств взлома пока нет. Ресурс Lynda.com является подразделением социальной сети профессиональных контактов LinkedIn. На сайте собраны обучающие материалы по наиболее востребованным специальностям, цель проекта – помочь посетителям самостоятельно повысить свою квалификацию или получить новую профессию.

Накануне администрация Lynda.com начала рассылать своим пользователям сообщения, в которых предупреждает о том, что «неустановленная третья сторона» попыталась получить доступ к их персональным данным, включая контактную информацию и описание обучающих курсов, на которые они записаны. В ответ на просьбу самих пользователей и СМИ прояснить ситуацию представители Lynda.com заявили, что не располагают свидетельствами того, что какие-либо персональные данные были похищены. Однако в качестве меры предосторожности ресурс уже самостоятельно изменил пароли порядка 55 тысяч человек, а общее число пользователей, которые будут проинформированы об угрозе, составит около 9,5 миллиона.

Стоит напомнить, что ранее в этом году сеть LinkedIn также весьма неохотно и сдержанно комментировала ситуацию с утечкой данных своих пользователей. Тогда хакер под ником Peace выставил на продажу на подпольных ресурсах в «темной сети» dark web адреса электронной почты и пароли более чем 117 миллионов пользователей LinkedIn.

[student]

Один взломанный аккаунт Yahoo «стоит» 0,0003 доллара

Хакеры, похитившие данные более миллиарда учетных записей пользователей различных сервисов Yahoo, могли заработать почти миллион долларов только на «оптовой продаже» украденной информации. Об этом сообщила газета The New York Times, ссылаясь на специалистов компании InforArmor. По утверждениям последних, похищенная база данных некоторое время назад появилась в «темной сети» (dark web) и привлекла внимание как минимум трех киберпреступных группировок. Две их них специализируются на массовых спам-рассылках, еще одна, предположительно, связана с кибершпионской деятельностью.

Все три покупателя согласились уплатить запрошенную продавцом сумму в 300 тысяч долларов. Таким образом, один взломанный аккаунт Yahoo был оценен в микроскопические 0,0003 доллара. С другой стороны, продавцам три этих сделки принесли, соответственно, вполне весомые 900 тысяч долларов.

Признанная на сегодняшний день рекордной утечка данных пользователей Yahoo стала достоянием гласности на прошлой неделе, а причиной ее названа хакерская атака, имевшая место еще в 2013 году.

[student]

Хакер – похититель Рождества

Компании TNS и Huntsman Security представили данные любопытного исследования, проведенного ими в Великобритании. В своем опросе исследователи объединили, казалось бы, мало связанные темы – киберпреступность и новогодние и рождественские праздники. Однако результаты показали, что связь есть и очень даже прямая. 59% респондентов в возрасте от 16 до 64 лет высказали мнение, что хакерские атаки могут стать главным фактором, способным омрачить праздники.

Вот основные причины для беспокойства, названные респондентами: невозможность своевременно обнаружить, что с банковской карты похищены средства из-за малого числа сотрудников служб безопасности, работающих в праздники; невозможность совершить в последний момент необходимые покупки онлайн из-за хакерских атак; нарушение работы служб бронирования билетов и отелей, что может привести к отмене запланированных поездок; невозможность подключить и настроить подаренные или в полученные подарок электронные устройства.

Один из руководителей Huntsman Security Пирс Уилсон, комментируя эти результаты, находит тревоги пользователей вполне обоснованными: «Данные прошлых лет показывают, что, например, в Рождество в Британии выходят на работу менее 3% всех работающих граждан. Естественно, это сказывается и на способности предотвращать и расследовать киберпреступления. И для преступников это просто оптимальный момент. Поэтому всем отраслям экономики – от банковской сферы и оптовой торговли до индустрии гостеприимства и транспорта – нужно сделать все, чтобы их специалисты по киберзащите были в полной мере готовы к отражению атак в праздничные дни».

[student]

«Нигерийские письма» на новый лад

Офис окружного прокурора Лос-Анджелеса объявил о том, что намерен добиваться от Нигерии выдачи гражданина этой африканской страны Остина Кельвина Онагинора, подозреваемого в киберпреступлении против жителей Лос-Анджелеса. Нигерийские мошенники «прославились» на весь мир еще с тех пор, когда электронная почта только входила в повседневный обиход – рассылая «письма счастья», обещавшие колоссальные деньги за скромную финансовую помощь в оформлении наследства и т.д. Однако Остин Кельвин Онагинор действует куда более современными методами. Согласно заявлению офиса окружного прокурора, еще в мае нынешнего года он разослал более тысячи фишинговых писем сотрудникам различных административных департаментов округа Лос-Анджелес. И 108 чиновников клюнули на эту наживку, введя логины и пароли своих служебных учетных записей на фальшивых веб-страницах. В результате в руках хакера оказались персональные данные большого числа жителей Лос-Анджелеса, причем похищенная информация включает не только имена и адреса электронной почты, но и номера социального страхования, водительских удостоверений, а в некоторых случаях – еще и данные о банковских счетах и картах. Предполагается, что утечка могла затронуть в общей сложности данные 756 тысяч человек.

Всем пострадавшим обещаны бесплатные услуги мониторинга состояния банковских счетов и защиты персональных данных. Что касается хакера, то если он окажется в руках американского правосудия, то его ждет тюремное заключение на срок до 13 лет.

[student]

Хакеры взломали смартфоны бойцов ВСУ для слежки за артиллерией

Хакерская группировка Fancy Bear использовала вредоносное ПО на устройствах Android для слежки за украинской артиллерией. Об этом сообщает Reuters со ссылкой на доклад компании CrowdStrike.

В исследовании отмечается, что обнаруженное вредоносное ПО работает аналогично тому, что было задействовано при взломе серверов Национального комитета Демократической партии США. Зараженные устройства передают мошенникам геолокационные данные и всю информацию о коммуникациях жертвы.

Специалисты полагают, что полученные таким образом данные могли быть переданы одной из сторон украинского конфликта. Вирус содержался в приложении на Android, помогающем ускорить обработку информации о координатах цели.

Приложение создали украинские разработчики. ПО распространялось в соцсетях на официальных страницах Вооруженных сил Украины. По словам экспертов, Fancy Bear впервые использовали платформу Android.

В октябре компания ESET, занимающаяся вопросами кибербезопасности, выяснила, что хакерская группировка Fancy Bear планировала атаки на ряд структур НАТО, влиятельных чеченцев и украинских политиков.

Спойлер   :

В сентябре Fancy Bear объявила о взломе базы данных Всемирного антидопингового агентства (WADA) и начала по частям публиковать сведения о многих именитых спортсменах, в разные годы принимавших запрещенные препараты в терапевтических целях. В списке оказались теннисисты Рафаэль Надаль и сестры Уильямс, бегун Мохаммед Фарах, велогонщик Фабиан Канчеллара, гимнастка Симона Байлз и другие. Из представителей России упоминается боксер Миша Алоян.

Хакерская группировка Fancy Bear обвиняется в кибератаках на правительства разных стран. В частности, хакеров разыскивают власти Германии, Франции и США. При этом ряд правительств, экспертов и организаций, таких как WADA, напрямую связывают деятельность хакеров с Россией.

[student]

Супергерои бессильны перед хакерами

Хакеры группировки OurMine в течение вчерашнего дня «отметились» несколькими успешными атаками на аккаунты популярнейших пользователей в Twitter. В частности, их жертвой стал аккаунт студии Marvel, известной фильмами о супергероях по мотивам известных в США комиксов. Кроме того, киберпреступники взломали и официальные аккаунты популярных героев Marvel (также принадлежащие студии) – Человека-муравья, Железного человека и Капитана Америка.

В тот же день хакеры OurMine смогли взломать и официальные аккаунты Национальной футбольной лиги США (NFL) и видеосервиса Netflix. Во всех случаях на страницах были размещены однотипные записи примерно следующего содержания: «Привет, это OurMine! Не волнуйтесь, мы всего лишь проверяем вашу безопасность. Чтобы узнать больше, свяжитесь с нами».

Ранее группировка OurMine уже осуществляла аналогичные атаки на Twitter-аккаунты многих знаменитостей – в частности, Марка Цукербрега. Хакеры заявляют, что своими действиями стремятся привлечь внимание к проблемам кибербезопасности. Впрочем, мотивы их вряд ли бескорыстны: они уверяют, что обладают информацией об уязвимостях и готовы поделиться ею со знаменитыми людьми и крупными компаниями – но, разумеется, не безвозмездно.

[student]

«Белые» хакеры атакуют серверы киберпреступников

Если чудеса все же случаются, то рождественские и новогодние праздники – точно самое подходящее для них время. Именно таким маленьким чудом выглядит сообщение специалиста «Лаборатории Касперского» Идо Наора в блоге SecureList. Наор вместе с коллегами обнаружил неизвестную ранее кибергруппировку, которая атакует командные серверы хакеров.

Неизвестные «цифровые Робин Гуды» получают доступ к таким серверам и анализируют содержащиеся на них похищенные персональные данные. После чего рассылают жертвам сообщения с информацией об утечке и призывом позаботиться о безопасности. Сообщения рассылаются на английском и испанском языках. Таинственные «белые» хакеры называют себя Group Demostenes. Название предположительно отсылает к имени древнегреческого философа и оратора Демосфена, знаменитого своими афоризмами, среди которых есть и такой: «всякое слово без дела ничтожно и пусто».

[student]

Новый шифровальщик требует выкуп более чем в 200 тысяч долларов

Зловред KillDisk, использованный в атаках на предприятия энергетического сектора Украины год назад, обрел «новую жизнь». Тогда KillDisk наряду с другим вредоносным ПО – BlackEnergy – применялся для уничтожения всех данных на жестких дисках инфицированных компьютеров. Новая же разновидность этого зловреда, обнаруженная специалистами компании CyberX, оказалась шифровальщиком.

За распространением новой «инкарнации» KillDisk стоит группировка TeleBots, предположительно, выделившаяся из состава хакерской группы Sandworm, которая и организовала атаки на украинские энергетические компании. Но если тогдашние нападения имели, судя по всему, политическую подоплеку, то нынешние атаки KillDisk нацелены, прежде всего, на обогащение самих хакеров. Зловред шифрует файлы инфицированных устройств, используя алгоритмы RSA и AES, а за их расшифровку киберпреступники требуют колоссальную по меркам этого криминального бизнеса сумму в 222 биткоина (порядка 206 тысяч долларов).

[student]

Хакерам-«инсайдерам» предъявлены обвинения

Офис окружного прокурора Южного округа Нью-Йорка выдвинул обвинения в отношении трех граждан КНР. Биржевые трейдеры Ят Хонь, Бо Жень и Чин Хунь обвиняются в незаконном проникновении в компьютерные системы нескольких крупных юридических фирм и последующем использовании инсайдерской информации для личного обогащения. В частности, по версии обвинения, китайские хакеры были заранее осведомлены о приобретении корпорацией Intel компании Altera за 16,7 миллиарда долларов в марте 2015 года. Используя полученные незаконным путем имя и пароль учетной записи сотрудника юридической фирмы, готовившей эту сделку, Ят Хонь, Бо Жень и Чин Хунь смогли получить доступ к серверу фирмы и установить на нем вредоносное ПО. Оно позволило им быть в курсе переписки 11 партнеров фирмы и заранее приобрести более 210 тысяч акций Altera. После объявления о сделке с Intel цена этих акций подскочила на 26 процентов. На их перепродаже хакеры выручили свыше 1,4 миллиона долларов.

По данным офиса окружного прокурора, Ят Хонь, Бо Жень и Чин Хунь причастны еще как минимум к 10 случаям подобного использования инсайдерской информации. В общей сложности они смогли заработать на таких незаконных операциях порядка 4,1 миллиона долларов. Обвинение будет добиваться экстрадиции подозреваемых. В случае, если их вина будет доказана, в США им грозит не менее 50 лет тюрьмы.

[student]

В администрации Обамы заявили о новой атаке «российских хакеров»

Источники в администрации Белого дома утверждают, что электроэнергетическая компания в Вермонте нашла в своей системе программу «российских хакеров».

Ключевые коммунальные компании получили от ФБР коды, которые, по мнению бюро, свидетельствуют об активности «российских хакеров».

Такой код был обнаружен в компьютерной системе в Вермонте, передает РИА «Новости» со ссылкой на Washington Post.

Речь идет либо о компании Green Mountain Power, либо о Burlington Electric.

О времени обнаружения кода не сообщается.

Как пишет газета, работа системы не была нарушена, но сам факт проникновения позволяет хакерам вмешиваться в работу коммунальных служб. При этом Washington Post не исключает, что хакеры могли просто проверять, способны ли они «проникнуть в часть электро-энергетической системы».

[tuzor]

Найден способ взлома процессоров Intel через USB-порт компьютера

Специалисты российской компании Positive Technologies Максим Горячий и Марк Ермолов разработали технологию взлома процессоров Intel. Никаких специальных инструментов не требуется, для взлома нужен лишь компьютер с портом USB.

Взлом процессора предоставляет хакеру полный контроль над компьютером -- он может запускать на нём любой исполняемый код, в том числе вредоносный.

Взломать можно любой процессор Intel, начиная с семейства Skylake -- в них реализована технология Direct Connect Interface (DCI). Используется уязвимость отладки JTAG, которая нужна для для настройки, аппаратной отладки гипервизоров, ядра ОС и драйверов.

Для доступа к ресурсам процессора нужно подключиться к DCI через порт USB 3.0, минуя отладочный кабель и программатор. Взлом осуществляется с использованием программного пакета Intel для разработчиков системного программного обеспечения Intel System Studio, в частности, его компоненты Intel System Debugger и Intel DAL. DCI у многих процессоров Intel по умолчанию не заблокирован.

Службы безопасности процессора и операционной системы не могут отследить этот взлом и предотвратить его, поскольку уровень их работы ниже уровня работы отладочного программного обеспечения Intel. Теоретически для взлома потребуется лишь кабель и набор программ, а после получения доступа к ресурсам процессора хакер может выполнять любые задачи: читать или записывать информацию в регистры процессоров, а также останавливать процессор, осуществлять пошаговую фокусировку и прочее.

Как защититься от этого взлома:

Технология взлома может породить целый класс хакерских атак. Эксперты назвали три способа защиты от взлома:

1. Активация Intel BootGuard -- она защищает от активации DCI через UEFI HII.
2. Отключение отладки процессора в IA32_DEBUG_INTERFACE MSR.
3. Проверка установки нужных значений битов DCI в устройстве P2SB.