Все новости о вирусах и антивирусах

[student]

WannaCry напомнил о себе

Зловред WannaCry, атаки которого в мае привели к инфицированию сотен тысяч компьютеров во всем мире, напомнил о себе серией новых инцидентов. Так, полиция австралийского штата Виктория сообщила об инфицировании шифровальщиком 55 камер контроля дорожного движения. С еще более серьезными проблемами столкнулся известный автопроизводитель Honda Motor. Компания вынуждена была на один день остановить конвейер своего завода в японском городе Саяма.

Агентство Reuters сообщает, что завод, производящий модели Accord, Odyssey и Step Wagon, был остановлен после того, как зловред WannaCry обнаружился в сетях нескольких подразделений компании как в самой Японии, так и в США, Китае и Европе. Тем не менее, компания подчеркивает, что производственные процессы не были блокированы вредоносным ПО, а остановка конвейера стала превентивной мерой. Завод в Саяме возобновил свою работу уже на следующий день. Можно вспомнить, что в мае атака WannaCry привела к временной остановке предприятий другого крупного автопроизводителя - Renault-Nissan Alliance.

[vdovbnenko]

В США ограничили использование продуктов Лаборатории Касперского

В Белом доме удалили из списка контрактов Лабораторию Касперского для обеспечения безопасности правительственных систем.
 
Администрация президента США Дональда Трампа удалила Лабораторию Касперского из двух списков поставщиков, продукция которых одобрена для использования правительственными агентствами, передает Reuters.
 
Отмечается, что продукция Лаборатории была удалена из списков, касающихся контрактов на предоставление услуг в области информационных технологий и цифрового фотооборудования.
 
Представитель Администрации общих служб США (GSA) сообщила, что такие действия были предприняты "после тщательного рассмотрения" и направлены на обеспечение целостности и безопасности правительственных систем США.
 
По информации агентства, госучреждения по-прежнему смогут использовать продукцию Касперского, которая была приобретена не в рамках контрактов GSA.
 
В свою очередь, в Лаборатории Касперского заявили, что не получали обновлений от GSA или другого правительственного агентства США по поводу своего статуса в качестве поставщика.
 
Напомним, 11 июля Вloomberg со ссылкой на данные внутренней переписки компании сообщило, что Лаборатория Касперского имеет тесные связи с российским правительством и разведывательными службами. В компании опровергли сообщения о связях с ЗСУ.

[student]

Зловред FruitFly: вопросов больше, чем ответов

Специалисты по кибербезопасности пытаются разгадать загадку вредоносного ПО для Mac, получившего название FruitFly («плодовая мушка»). Впервые оно было обнаружено в январе нынешнего года в системах нескольких биотехнологических компаний и исследовательских лабораторий. Находка стала заметным событием, поскольку зловреды для Mac в принципе чрезвычайно редки. Корпорация Apple выпустила необходимые обновления безопасности, однако спустя полгода FruitFly вновь напомнил о себе.

Новые варианты зловреда обнаружил Патрик Уордл, в прошлом – специалист АНБ США, а ныне ведущий исследователь компании Synack. И столкнулся сразу с множеством загадок. Прежде всего, в коде вредоносного ПО он нашел отсылки к старым программным библиотекам и версиям MacOS. Старым настолько, что можно предположить, что зловред существует уже не менее 5 лет, но все это время оставался незамеченным. Другой особенностью обнаруженных версий FruitFly оказался мощнейший шпионский функционал. Программа получает доступ к файловой системе, контроль над веб-камерой, осуществляет клавиатурный шпионаж и даже оповещает своих хозяев, когда владельцы инфицированных устройств включают их и входят в систему. Наконец, в коде FruitFly Уордл обнаружил список доменных имен, очевидно, используемых командными серверами организаторов атаки. Часть этих имен оказалась свободна, и Патрик Уордл зарегистрировал их. После чего зафиксировал порядка 400 запросов со стороны инфицированных компьютеров Mac. Беглый анализ показал, что 90 процентов зараженных устройств приходятся на США, а принадлежат они преимущественно частным лицам, никак, похоже, не связанным между собой.

Все эти находки чрезвычайно интересны, однако они не только не проясняют ситуацию, но лишь запутывают ее. Патрик Уордл исключает возможность того, что FruitFly является шпионским инструментом каких-либо правительственных спецслужб – и, учитывая прошлое исследователя, ему, пожалуй, стоит верить. Но в таком случае совершенно непонятно, кому и зачем потребовалось создавать зловред для Mac (что само по себе является нетривиальной задачей) и шпионить за рядовыми пользователями. Никаких свидетельств того, что FruitFly приносит своим хозяевам хоть какую-то прибыль, нет. Кроме того, нет пока и никаких догадок относительно того, каким образом происходит заражение вредоносным ПО.

[student]

Украинец арестован за распространение зловреда NotPetya

Киберполиция Украины арестовала 51-летнего жителя города Никополь Черниговской области по подозрению в распространении вредоносного ПО NotPetya. По версии правоохранителей, мужчина загружал на файлообменные ресурсы исполняемый файл вредоносного ПО и публиковал ссылки на него на своих страницах в социальных сетях. Он также создал и опубликовал видеоинструкцию по загрузке и запуску NotPetya с целью инфицирования систем.

При этом примечательно, что задержанный не имеет отношения ни к созданию опаснейшего зловреда, ни к его атакам в конце июня нынешнего года. Более того, он, судя по всему, распространял вредоносное ПО с целью помочь пользователям заразить им свои собственные системы. Дело в том, что NotPetya, причинивший серьезный ущерб многим крупным украинским компаниям, распространялся через обновления M.E.Doc – ведущего украинского ПО для бухгалтерского учета.

Принимая это во внимание, украинские власти разрешили компаниям, пострадавшим от кибератаки, сдвинуть сроки подачи налоговых документов. Предполагается, что многие компании загружали вредоносное ПО по ссылкам задержанного никопольчанина с целью заразить им свои системы и таким образом добиться налоговых послаблений либо скрыть допущенные нарушения в бухгалтерии.

По данным правоохранителей, размещенный жителем Никополя зловред был загружен в общей сложности более 400 раз. Мужчине грозит до 3 лет лишения свободы.

[student]

Locky вернулся

Сразу несколько компаний и исследователей, специализирующихся в области кибербезопасности, сообщили о массированных атаках шифровальщика Locky. Этот опасный зловред стал самым популярным у киберпреступников вымогательским ПО в 2016 году, однако в начале нынешнего года практически исчез с радаров. Высказывались предположения, что его создатели могли быть арестованы правоохранительными органами. Но если это и так, то у них определенно нашлись «наследники». Всего за одну неделю в августе обнаружились сразу две новых версии Locky.

О первой из них сообщил 9 августа исследователь под ником Racco42. Она получила название Diablo6 – по имени расширения .diablo6, присваиваемого программой зашифрованным файлам. За расшифровку заблокированных файлов зловред требует 49 биткоинов (порядка 1600 долларов). А уже 16 августа аналитики Malwarebytes нашли еще одну версию Locky, названную Lukitus – также по расширению зашифрованных файлов. Обе разновидности распространяются в спам-сообщениях, число которых позволяет предположить использование ботнета. Так, защитными решениями Comodo Group только 9-11 августа было обнаружено свыше 62 тысяч писем, содержавших Diablo6 во вложениях. Отправлены они были более чем с 11600 различных IP-адресов в 133 странах мира. Исследователи Malwarebytes также сообщили, что и Diablo6, и Lukitus распространяются через ботнет Necurs.

Статистики распространения Lukitus пока нет, что же касается Diablo6, то чаще всего сообщения, содержавшие этот зловред, отправлялись, по данным Fortinet, пользователям в США (37 процентов всех случаев) и Австрии (36 процентов). Далее следуют Великобритания, Дания и Индия. Пользователям следует проявить максимальную осторожность в отношении писем от неизвестных отправителей, поскольку средств расшифровки заблокированных Locky файлов по-прежнему не существует.

[student]

Зловреды для Mac «перевыполнили норму» прошлого года

Компания Malwarebytes опубликовала данные своего отчета за первое полугодие 2017. Они свидетельствуют о том, что киберпреступники все активнее атакуют устройства под управлением macOS и iOS. Убеждение, что обладатели «яблочных» устройств по определению защищены от вредоносного ПО, следует, наконец, оставить в прошлом. Только за первые 6 месяцев нынешнего года исследователи Malwarebytes выявили больше новых и существенно видоизмененных семейств зловредов для Mac, чем за весь предыдущий год. И хотя абсолютная цифра – 17 семейств – выглядит смехотворно малой, тенденция не может не настораживать.

В Malwarebytes обращают особое внимание на троянец Proton RAT. Он способен похищать и передавать своим хозяевам пароли из связки ключей macOS, менеджера паролей 1Password и форм автозаполнения в браузерах. Также беспокойство исследователей вызывает тот факт, что потенциально нежелательные программы все легче проникают в App Store, который принято считать своего рода бастионом, максимально защищенным от вредоносного ПО.

Впрочем, цифры, касающиеся угроз для ОС Android, разумеется, намного выше. Например, только за второй квартал защитными решениями Malwarebytes зафиксирован более чем двукратный рост числа атак с использованием вымогательских программ, блокирующих экран мобильных устройств. Львиная их доля приходится на зловреды семейств Jisut, SLocker и Koler. Ранее корпорация Google сообщила о том, что в новой версии операционной системы Android Oreo реализованы дополнительные защитные механизмы, которые призваны нейтрализовать атаки блокировщиков. Эксперты Malwarebytes надеются, что эти меры окажутся достаточно эффективными.

[student]

«Черви-вымогатели» на марше

90 процентов организаций, использующих защитные решения Fortinet, сталкиваются с атаками, эксплуатирующими уязвимости как минимум трехлетней давности. А в 60 процентах случаев используемые хакерами эксплойты адресованы уязвимостям, обнаруженным еще 10 лет назад. Такие цифры содержатся в отчете компании Fortinet за второй квартал текущего года Global Threat Landscape Report. Но свидетельствует эта статистика вовсе не о наивности киберпреступников: они используют те инструменты, которые приносят им успех. И говорить следует, скорее, о крайней медлительности бизнеса, который до сих пор не осознал критической важности своевременного обновления ПО и устранения выявленных уязвимостей.

По данным Fortinet, во втором квартале 2017 ее защитные решения 62 миллиона раз фиксировали использование вредоносного ПО. Интересно отметить, что особую активность хакеры проявляют в выходные – на субботу и воскресенье пришлись 44 процента всех попыток использования эксплойтов. Это почти вдвое больше, чем на любой из будних дней.

Одной из главных угроз эксперты Fortinet считают возвращение компьютерных червей – вредоносных программ, способных к самовоспроизводству и распространению. Классический пример такого рода программ – печально известный Conficker, обнаруженный в конце 2008 года и за несколько месяцев инфицировавший свыше 12 миллионов устройств. В последние годы компьютерные черви почти исчезли с радаров, однако теперь совершают эффектный «камбэк». Именно червем является зловред Mirai, объединяющий десятки тысяч устройств интернета вещей в ботнеты. А последние массовые кибератаки говорят о том, сколь опасным является оснащение червей функционалом вымогательского ПО (для этих зловредов уже придуман английский термин ransomworms). К этой категории относится зловред WannaCry, от атак которого в нынешнем году пострадали, по последним данным, свыше 500 тысяч компьютеров более чем в 150 странах мира.

[student]

Новый шифровальщик прячется в изображениях

Исследователи сообщают о пополнении в обширном семействе зловредов-вымогателей. Новый шифровальщик SyncCrypt примечателен тем, что его компоненты скрываются в файлах изображений. Вредоносное ПО распространяется в спам-сообщениях с вложенным файлом формата WSF, выдаваемым за судебное постановление. При открытии вложения внедренный в него JScript-код адресуется к серверам, подконтрольным организаторам атаки, и загружает с них несколько файлов.

Все они выглядят как безобидные изображения, однако скрывают в себе компоненты зловреда, которые, как конструктор, собирает тот же JScript-код. SyncCrypt шифрует более 350 типов файлов с помощью алгоритма AES, добавляя к ним расширение .kk. За расшифровку заблокированных вредоносным ПО данных злоумышленники требуют выкуп в сумме 429 долларов. Опасность SyncCrypt усугубляется тем, что, по данным VirusTotal, лишь одна из 58 известных антивирусных программ оказалась в состоянии обнаружить компоненты зловреда в файлах изображений.

[San-Sanich.]

Avast представила инструменты для киберзащиты небольших компаний

Компания Avast анонсировала комплекс решений для обеспечения информационной безопасности (ИБ) малого и среднего бизнеса. Портфель Avast Business содержит решения, в которые вошли технологии купленной за $1,3 млрд компании AVG.
Avast Business включает в себя три уровня защиты конечных устройств для операционных систем Windows и Mac с дополнительной консолью управления, доступной в облаке или локально, а также приложения Managed Workplace и CloudCare.

Спойлер   :

По данным исследования Avast, в 90 % компаний уверены, что в ближайшие пять лет ИБ станет одной из главных задач для их бизнеса, однако каждый третий респондент не планирует в ближайшем будущем проекты по улучшению корпоративной киберзащиты.
Отмечается, что Avast Business решает эту проблему, предлагая индивидуальные услуги, которые упрощают безопасность и помогают малому и среднему бизнесу выбрать единственно верное решение для защиты от кибератак.
«Мы представляем единый портфель эффективных инструментов и ресурсов безопасности под брендом Avast Business, который поможет предотвратить взломы и киберпреступления, избежать потери данных, простоя и ущерба в работе. Анонс Avast Business — очередной этап в объединении Avast-AVG, который позволяет создавать будущее кибербезопасности для наших бизнес-клиентов», — сообщил старший вице-президент и руководитель SMB-подразделения Avast Кевин Чапмен (Kevin Chapman).

[student]

Хакеры украли данные половины населения США

Неизвестные злоумышленники взломали веб-сайт крупнейшего американского бюро кредитной истории Equifax и похитили данные 143 млн его клиентов. Компания публично заявила об этом через полтора месяца после того, как узнала сама. За это время трое топ-менеджеров Equifax продали принадлежащие им акции компании общей стоимостью $1,8 млн.


Кража данных

Спойлер   :

Данные более 143 млн американских пользователей оказались в руках хакеров, включая даты рождения, домашние адреса, номера социального страхования, водительских удостоверений и кредитных карт. Об этом сообщило на своем сайте бюро кредитных историй Equifax, одна из трех крупнейших организаций такого рода в США, которая и стала жертвой злоумышленников. Издание Bloomberg называет инцидент одной из самых масштабных краж данных в истории. Пострадала почти половина населения США — всего в стране проживает 323 млн человек.

В ходе атаки хакеры использовали уязвимость веб-сайта компании. Злоумышленники действовали в период с середины мая до конца июля 2017 г. В числе прочего они получили доступ к документам по опротестованию транзакций, которые содержали исчерпывающую идентификационную информацию около 182 тыс. клиентов. Номера кредитных карт были украдены примерно у 209 тыс. пользователей, сообщает Equifax. Помимо клиентов из США пострадали также некоторые граждане Канады и Великобритании.

Расследованием инцидента уже занимается Федеральное бюро расследований (ФБР). Последствия атаки будет устранять компания Mandiant, специализирующаяся на кибербезопасности.

Продажа акций

Equifax узнала о случившемся 29 июля 2017 г., однако заявление опубликовала только вчера вечером, после закрытия торгов на бирже. Акции компании сразу же упали на 13% — со $142,72 до $124. Bloomberg сообщает, что три топ-менеджера Equifax успели продать принадлежащие им акции на сумму $1,8 млн уже после того, как о краже данных стало известно компании, но еще до того, как об инциденте было объявлено публично.

Записи регуляторных органов показывают, что три дня спустя после того, как кредитное бюро узнало о проблеме, финансовый директор Equifax Джон Гэмбл (John Gamble) избавился от акций стоимостью $946,4 тыс., а Джозеф Лафран (Joseph Loughran), президент по информационным решениям компании в США, воспользовался случаем продать акции на $584,1 тыс.. Еще через пару дней, 2 августа, Родольфо Плодер (Rodolfo Ploder), глава кадровой службы, продал акции общей стоимостью $250,5 тыс.

Напомним, что Комиссия по ценным бумагам и биржам США (SEC) применяет в таких случаях правило 10b5-1 закона «О ценных бумагах и биржах» 1934 г. Согласно этому правилу, те лица, которые покупают или продают ценные бумаги, основываясь на значимой непубличной информации, должны быть привлечены к ответственности за инсайдерскую деятельность.

Однако, по словам представительницы Equifax Инес Гутцмер (Ines Gutzmer), все три топ-менеджера продали лишь некоторую часть принадлежащих им акций компании, и на момент заключения сделок все трое еще не были проинформированы о краже данных.

Что такое Equifax

Equifax — это американское бюро кредитных историй, основанное в 1899 г. Наряду с Experian и TransUnion входит в тройку крупнейших организаций такого рода в США. Главный офис компании расположен в Атланте, штат Джорджия. В распоряжении бюро имеется информация более чем о 800 млн потребителей и 88 млн предприятий по всему миру. Штат компании насчитывает около 9,5 тыс. сотрудников в 14 странах.

Акции Equifax торгуются на Нью-Йоркской бирже. Выручка компании по итогам 2016 г. составила $3,144 млрд, чистая прибыль — $488,8 млн.

[San-Sanich.]

Антивирус Microsoft в тестах AV-TEST оказался среди худших на Windows 7

Microsoft делает ставку на встроенный антивирус Защитник Windows в системе Windows 10, но и на Windows 7 она также рекомендует устанавливать его. Там разработчики не прикладывают тех же усилий для повышения его защитных возможностей и пользователи отдают предпочтение сторонним антивирусам. Это наглядно показывают результаты проверки в институте AV-TEST.

Спойлер   :

Лидирует антивирус Касперского Windows 7, а продукт Microsoft значительно отстаёт от конкурентов по защите, скорости и удобству работы. Microsoft Security Essentials получил по этим параметрам 5, 4,5 и 4 соответственно. Хуже результат только у антивируса Comodo с суммарным показателем 12,5. Провалился он по скорости, получив 1,5 балла.
Статистика AV-TEST в июле говорила о достижении Microsoft Security Essentials результата в 99% по защите против уязвимостей нулевого дня, в том числе вирусов по электронной почте. Теперь это значение снизилось до 97%. Уровень обнаружения угроз последних четырёх недель составляет 99,8%, ложных срабатываний и блокировок сайтов не зафиксировано. Однако при сканированиях системы было 13 и 15 случаев признания достоверных приложений вредоносными.
Microsoft Security Essentials сильнее всего замедляет системы при установке часто используемых приложений. На стандартных и высокопроизводительных ПК это происходит в 56% и 78% случаев.

[student]

«Электронные призраки» грозят кибервойной

Хакерская группировка «Электронные призраки халифата» (Electronic Ghosts of the Caliphate) объявила о начале масштабной войны. «Электронные призраки» заявляют о своей связи с «Исламским государством» (террористическая организация, запрещенная во многих странах мира, включая РФ) и намерении беспощадно бороться с «врагами халифата» в киберпространстве. В распространенном группировкой видео сказано, что уже сегодня, 8 декабря, будет нанесен первый мощный удар, главными целями которого станут сайты правительственных организаций и военных компаний в США.

Впрочем, эксперты по кибербезопасности не склонны переоценивать опасность этих угроз. Они отмечают, что «Электронные призраки» являются частью более масштабной группировки «Объединенный киберхалифат» (United Cyber Caliphate – UCC). Эта группировка активизировалась в последнее время после периода затишья, однако ее действия характеризует крайне невысокий уровень хакерских навыков. В ее «послужном списке» нет никаких более серьезных операций, чем взлом аккаунтов в социальных сетях и подмена стартовых страниц (дефейс) не слишком популярных сайтов.

[student]

Трое молодых людей признали себя виновными в создании ботнета Mirai

В США трое хакеров признали себя виновными в создании вредоносного ПО Mirai, организации кибератак с его помощью и ряде случаев онлайн-мошенничества и вымогательства. Обвинения предъявлены 21-летнему Парасу Джа, Далтону Норману (также 21 год) и Джозии Уайту (20 лет). Именно Джа при содействии Нормана создал исходный код зловреда, инфицировавшего сотни тысяч устройств интернета вещей. После чего троица активно использовала объединенные в ботнет зараженные устройства для организации DDoS-атак и вымогательства. Как выяснилось, их изначальной целью были серверы популярнейшей онлайн-игры Minecraft.

Кроме того, Джа, Норман и Уайт создали ботнет Clickfraud, использовавшийся для направления трафика на рекламные ссылки и накрутки доходов от онлайн-рекламы. Только эта деятельность принесла им порядка 100 биткоинов, нынешняя стоимость которых составляет около 1,7 миллиона долларов. Примечательно, что Парас Джа, Далтон Норман и Джозия Уайт не обвиняются в мощнейшей DDoS-атаке, обрушившейся на крупного американского DNS-провайдера DYN в конце октября прошлого года. Атака была организована с помощью ботнета Mirai и вызвала серьезные перебои в работе ряда крупнейших веб-ресурсов, включая Netflix, Twitter, Spotify, PayPal и Reddit. По версии обвинения, атака была организована уже после того, как Джа выложил исходный код Mirai в открытый доступ, и сами создатели зловреда не имели к ней отношения.

В рамках сделки со следствием Парас Джа передаст властям 13 биткоинов (226 500 долларов по нынешнему курсу), еще 33 биткоина (571 000 тысяча долларов) обязуется передать Джозия Уайт. Каждому из обвиняемых грозит по 5 лет тюрьмы и штрафы не менее чем в 250 тысяч долларов. Помимо этого Парас Джа может получить дополнительные 10 лет заключения и еще 250 тысяч долларов штрафа за кибератаку на Ратгерский университет штата Нью-Джерси, которую он осуществил без помощи Нормана и Уайта.

[student]

Игры в Пхенчхане: хакеры «дали старт»

До начала зимней Олимпиады в Пхенчхане остается всего месяц, и к решающему этапу подготовки перешли не только спортсмены и организаторы, но и хакеры. Крупнейшие мировые события, к которым приковано внимание пользователей всей планеты, традиционно представляют повышенный интерес для хакеров, и XXIII зимние Олимпийские игры – разумеется, не стали исключением. Компания McAfee сообщила о масштабной фишинговой атаке, которой подверглись многие южнокорейские организации, включенные в процесс подготовки к Олимпиаде.

Первые фишинговые сообщения были отправлены еще 22 декабря, и их отправителем был указан Национальный контртеррористический центр Южной Кореи, проводивший в это время учения по обеспечению безопасности гостей и участников зимних Игр. Сообщения содержали вредоносный документ в формате Microsoft Word, открытие которого позволяет злоумышленникам устанавливать зашифрованный канал связи между инфицированным устройством и собственным сервером. В дальнейшем этот канал может использоваться для похищения конфиденциальных данных и загрузки на устройства дополнительного вредоносного ПО. Специалисты McAfee установили, что первые вредоносные сообщения были отправлены с IP-адресов в Сингапуре. Эксперты полагают, что за атаками могут стоять хакеры из КНР и Северной Кореи.

[student]

Хакеры могли похитить медицинские данные более чем половины населения Норвегии

Организация Health South-East RHF, под управлением которой находятся больницы Юго-восточного региона Норвегии, сообщила, что подверглась хакерской атаке. Инцидент, предположительно, произошел 8 января, но известно о нем стало лишь на текущей неделе: сотрудники Центра реагирования на киберугрозы в сфере здравоохранения Норвегии (HelseCERT) зафиксировали большие объемы подозрительного трафика, исходящего из сетей Health South-East RHF. Об атаке уведомлены правоохранительные органы страны, специалисты по кибербезопасности, ведущие расследование, охарактеризовали действия хакеров как «чрезвычайно профессиональные».

Норвежские СМИ крайне обеспокоены инцидентом. Юго-восточный регион является самой густонаселенной частью страны, больницы под управлением Health South-East RHF обслуживают порядка 2,9 миллиона человек (при этом население Норвегии составляет 5,2 миллиона жителей). Эксперты предполагают, что подозрительный исходящий трафик был ничем иным как персональными медицинскими данными граждан, которые хакеры смогли отправить на свои серверы. Если эта догадка верна, в руках киберпреступников оказалась медицинская информация более чем половины всех жителей страны.