Все новости о вирусах и антивирусах

[student]

Опасный Android-троянец загружен из Google Play Store более 100 миллионов раз

Специалисты компании Doctor Web сообщили о том, что более 33 мобильных приложений, распространявшихся через Google Play Store, были инфицированы троянцем Android.Click.312.origin. Неизвестные злоумышленники, стоящие за распространением вредоносного ПО, внедряли его во вполне легитимные и полезные приложения, такие как аудиоплееры, считыватели QR-кодов и т.д. При этом приложения сохраняли свою функциональность и не детектировались защитными решениями как потенциально вредоносные.

Объясняется это главным образом тем, что после установки троянец оставался в спящем режиме не менее 8 часов, прежде чем перейти к активным действиям. Android.Click.312.origin способен осуществлять широкий спектр нежелательных и вредоносных действий – в частности, он использовался для открытия без ведома пользователя веб-страниц и накрутки кликов на рекламные баннеры. Также зловред сообщал на командные серверы своих хозяев данные об инфицированном устройстве, используемой им версии операционной системы и параметрах интернет-соединения. Исследователи полагают, что эта информация могла служить для загрузки дополнительных вредоносных модулей.

Содержавшие вредоносное ПО приложения, по информации Doctor Web,были загружены из Google Play Store в общей сложности более 100 миллионов раз. Представители компании уведомили корпорацию Google о проблеме. Часть приложений была удалена из магазина, разработчики других поспешили выпустить обновления, ликвидирующие вредоносный модуль.

[student]

Российский хакер получил срок за кражу денег с банковских карт
28.08.2019, Ср, 17:02, Мск

Житель Красноярска, который является участником хакерской группировки TipTop, получил два года условно за кражу средств со счетов клиентов крупных российских банков. В группе он занимался выводом средств со счетов жертв. Доступ к этим счетам группировка получала с помощью троянов, замаскированных под Viber и Google Play.

Решение суда

Житель Красноярска приговорен к двум годам лишения свободы условно за кражу денег с банковских карт с помощью вредоносного ПО. Об этом сообщает МВД по Чувашской республике на своем сайте. Приговор был вынесен Канашским районным судом.

Осужденному 31 год, ранее у него уже была судимость. Он является участником хакерской группировки, в которой занимался тем, что переводил деньги со счетов пострадавших на счета злоумышленников. Этим способом ему удалось похитить около 75 тыс. руб. у гражданок, проживающих в Чувашской республике.

Преступник был задержан сотрудниками отдела «К» МВД по Чувашской Республике и Управления «К» МВД России при содействии экспертов ИБ-компании Group-IB. При обыске его жилища были найдены компьютерная техника, жесткие диски, флэш-накопители, телефоны и SIM-карты.

Группировка TipTop

Спойлер   :

Как поясняет Group-IB, хакерская группировка, в состав которой входил осужденный житель Красноярска, известна под рабочим названием TipTop. Группа занималась кражей средств со счетов клиентов крупнейших российских банков в течение нескольких лет.

В общей сложности TipTop удалось заразить вредоносным ПО более 800 тыс. смартфонов. Точный ущерб пока не подсчитан, но по предварительным оценкам хакеры ежедневно похищали от 100 тыс. руб. до 700 тыс. руб.

После ликвидации в конце 2016 г. хакерской группировки Cron именно TipTop считается одной из крупнейших и опаснейших хакерских групп в России. Первые свидетельства ее активности специалисты Group-IB обнаружили в 2015 г.

Преступная схема

Вредоносное ПО, которое использовала TipTop, было замаскировано под популярные приложения для ОС Android, такие как мессенджер Viber, магазин приложений Google Play или графические приложения Adobe, а также под приложения крупнейших банков. Ссылки на скачивание приложений размещались на сайтах, созданных самими хакерами, или на взломанных сторонних ресурсах. В погоне за новыми жертвами хакеры рекламировали свои сайты в поисковых системах, реклама показывалась по запросу «мобильный банк».

Хакеры часто меняли вредоносные программы, которыми пользовались: в 2015 г. это был троян Hqwar (Agent.BID), а в 2016 г. они применяли уже целый букет вредоносного ПО, включая троян Honli, модернизированный в том же году в Asacub.g, а также трояны Cron и CatsElite (MarsElite). В 2017 г. группировка вернулась к Hqwar, а кроме того, добавила в свой арсенал Lokibot и модернизированный старый троян Marcher (Rahunok).

Вредоносное ПО автоматически загружалось на смартфоны при скачивании маскировочного приложения. Программа давала злоумышленникам доступ к мобильному банкингу жертвы. Все перечисленные выше трояны позволяли перехватывать SMS-сообщения, прослушивать телефонные разговоры и отправлять USSD-запросы.

Однако хакеры в основном использовали их для кражи данных банковских карт. Для этого создавались фишинговые окна, похожие на окна банковских приложений, а также фальшивые формы авторизации в личных кабинетах банков, что позволяло узнать логин и пароль. Серверы, которыми пользовалась группировка для заражения устройств и управления бот-сетями, в разное время располагались на территории Германии, США и Украины.

Варианты наказания

Злоумышленник из Красноярска был осужден по статье 273 Уголовного кодекса России, предусматривающей ответственность за создание, использование и распространение вредоносных компьютерных программ.

Статья предлагает за это наказание в виде ограничения свободы на срок до четырех лет или принудительных работ на тот же срок. Как вариант, возможно лишение свободы на тот же срок со штрафом в размере до 200 тыс. руб. или в размере дохода осужденного за период до 18 месяцев.

Если указанные действия были совершены группой лиц или из корыстной заинтересованности, лишить свободы могут на пять лет, причем это может сопровождаться штрафом от 100 тыс. до 200 тыс. руб., а также лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

[student]

Крупнейшая атака хакеров: под ударом все iPhone

Раскрыта беспрецедентная хакерская атака на пользователей iPhone

Эксперты по информбезопасности сообщили о беспрецедентной хакерской атаке на пользователей iPhone, которая продолжалась в течение нескольких лет. Злоумышленники воспользовались рядом вредоносных сайтов, которые впоследствии заражали вирусом «яблочные» устройства. Сообщается, что количество пострадавших юзеров исчислялось тысячами в неделю.

Компания Google раскрыла преступную схему, которую в прессе уже окрестили «крупнейшей атакой на iPhone за всю историю». Сообщается, что хакеры заражали айфоны пользователей вредоносным ПО в течение 2,5 лет. При этом количество пострадавших от этой атаки составляло тысячи юзеров в неделю.

Спойлер   :

Злоумышленники воспользовались небольшим количеством вредоносных сайтов, посещая которые пользователь заражал свой гаджет — для этого не требовалось дополнительных действий, кроме захода на веб-ресурс.

Как только в устройство проникал вирус, все секреты его владельца становились доступны хакерам — геолокация, обновляющаяся каждую минуту, пароли, переписка в WhatsApp и Telegram, список контактов, а также письма в Gmail.

Сообщается, что зараженное устройство, будучи перезагруженным, стирало вирус из памяти, оставаясь безопасным до следующего посещения вредоносного сайта. Однако, эксперт по кибербезопасности Google Иэн Бир указывает на то, что полученная хакерами информация имеет такую важность, что даже одного раза достаточно, чтобы злоумышленники могли получить постоянный доступ к аккаунтам в социальных сетях и сервисах, которыми пользовался юзер.

Всего было обнаружено по меньшей мере 14 уязвимостей, а также пять схем атак, которые применяли хакеры.

По словам ИБ-евангелиста компании Avast Луиса Корронса, злоумышленники использовали уязвимости нулевого дня, поэтому любой пользователь iPhone и iPad мог быть скомпрометирован, просто посетив веб-сайт.

«Речь идет не о сайтах, которые специально создаются для подобных атак, а об обычных, нормальных страницах, которые были взломаны. Самое плохое в этой ситуации — пользователи не смогут сразу понять, что их устройство теперь взломано, так как внешних признаков атаки нет», — пояснил Корронс.

По словам эксперта, от этой атаки мог пострадать любой пользователь iOS, то есть сотни миллионов людей по всему миру.

Собеседник «Газеты.Ru» подчеркнул, что официального антивируса для iOS до сих пор нет, что осложняет обнаружение подобных угроз.

«Важно отметить, что для iOS нет официальных антивирусных решений — это политика компании Apple. Они утверждают, что «разрабатывали платформу iOS, закладывая безопасность в основу», и поэтому нет необходимости в дополнительных антивирусных решениях. Конечно, сторонние антивирусные программы для iOS все равно существуют, и они предлагают некоторую защиту, например, фильтрацию вредоносных веб-сайтов, но официального антивируса для iOS не существует», — отметил Луис Корронс.

Сейчас подобные атаки пришли в мир именно мобильных устройств и именно на платформу iOS, рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ.

«В наши дни смартфон для любого человека — не просто телефон, а уже полноценный компьютер, содержащий огромное количество личных данных. Раньше атаки были достаточно распространены для платформы Android за счет того, что эта платформа из-за своей архитектуры более уязвима к таким атакам. Однако здесь злоумышленникам удалось найти какие-то недостатки уже для операционной системы iOS», — пояснил Дягилев.

«Серьезности этой истории придало то, что раньше iOS считалась более безопасной, чем Android, и это активно поддерживала сама компания Apple. Сейчас мы видим, что количество вредоносных программ для устройств Apple растет, эта платформа привлекает все большее количество злоумышленников: хакеры тратят огромные ресурсы на поиск уязвимостей нулевого дня», — сообщил собеседник «Газеты.Ru».

Дягилев отметил, что этот случай — далеко не первая и не последняя атака.

Если система показала, что в ней есть изъяны, которые позволяют находить уязвимости нулевого дня, то вопрос следующей атаки — это всего лишь вопрос времени.

«Если будут найдены новые уязвимости, возможно, будут скомпрометированы и более новые модели смартфонов. Это процесс, который уже не остановить», — заключил эксперт.

[student]

Компании потеряли $3 трлн из-за кибервзломов. Дальше — больше
2 Сен, 2019

С распространением в мире цифровизации все больше компаний сталкиваются с ущербом от кибератак. «Умнеют» не только системы защиты, но и системы взлома. По подсчетам Juniper Research, в прошлом году потери от атак хакеров достигли 3 триллионов долларов. И с каждым годом эта цифра будет только расти, передает SecurityLab.

Сообщается, что в дальнейшем следует ожидать увеличения ущерба от кибервзломов примерно на 11% в год. Таким образом к 2024 году сумма потерь может составить более 5 триллионов долларов.

В основном, компании, зависящие от цифровой среды, страдают от утечки данных. В то же время правительство с каждым годом повышает штрафы за утерю важной информации, поэтому суммы ущерба растут.

Разумеется, постоянно совершенствуются методы киберзащиты. Однако не стоит забывать, что развитие технологий может быть умело использовано и хакерами. Аналитики предупреждают, что в скором времени взломщики начнут использовать искусственный интеллект, способный изучать систему безопасности.

Напомним, в лаборатории «Доктор Веб» подсчитали, что количество кибератак на умную технику может вырасти до 100 миллионов уже к концу текущего года. При этом число кибератак, как и их сложность, в дальнейшем будет только увеличиваться.

[student]

Смарт-телевизоры и потоковые медиаплееры сливают личные данные пользователей крупным корпорациям-
19 Сен, 2019


Сразу два независимых исследования, проведённых американскими и британскими компаниями, выявили, что умные телевизоры и потоковые медиаприставки передают конфиденциальные данные пользователей третьим лицам.

В ходе исследований было выявлено, что смарт-телевизоры, такие как Samsung и LG, а также потоковые приставки от Roku и Amazon отслеживают и отправляют данные таким корпорациям, как Google, Facebook и Netflix.

Исследование, проведенное Северо-Восточным университетом и Имперским колледжем Лондона, показало, что эти устройства отслеживают конфиденциальную информацию, даже если зрители ничего не просматривают. Аналитики также отмечают, что наличие или отсутствие у пользователя учетной записи на какой-либо видеосервис, не имеет значения, поскольку данные отправляются независимо от этого.

Вместе с этим также установлено, что смарт-колонки и камеры осуществляют отправку пользовательских данных в такие компании, как Spotify и Microsoft.

Исследование проводилось на 81 различных девайсах в Великобритании и США. Эти устройства чаще всего подключались к сервисам Akamai, Amazon, Google и Microsoft, поскольку именно эти компании предоставляют облачные и сетевые услуги. Исследователи смогли проанализировать сетевой трафик и сделать вывод, что информация, передаваемая на сервера этих компаний, включала в себя названия пользовательских устройств, местоположение и время взаимодействия с пользователем.

Ещё одно исследование, проведенное Принстонским университетом, свидетельствует о том, что некоторые приложения, установленные на приставках Roku и Fire TV, отправляют конфиденциальную информацию таким компаниям, как Google.

Напомним, ранее в ходе исследований было подтверждено, что миллионы смарт-телевизоров подвержены опасности взлома.

[student]

Основателя Football Leaks обвинили в 147 преступлениях


75 из них были связаны с доступом к чужим данным, а 70 — с вымогательствами и нарушениями приватности переписки.

Генеральная прокуратура Португалии обвинила основателя web-сайта Football Leaks (действующий по типу WikiLeaks) Руи Пинто (Rui Pinto) в 147 преступлениях. Согласно официальному заявлению, 75 преступлений были связаны с несанкционированным доступом к чужим данным, а 70 — с вымогательствами при отягчающих обстоятельствах и нарушениями приватности переписки. Об этом сообщает португальское издание Publico.

Португальская полиция задержала Руи Пинто в Венгрии в январе нынешнего года по подозрению во взломе баз данных европейских футбольных клубов и дальнейшей публикации секретных документов на протяжении последних четырех лет на портале Football Leaks. Согласно обвинительному заключению, с начала 2015 года Руи Пинто получал «несанкционированный доступ к компьютерным системам и почтовым ящикам» с помощью «компьютерных программ и цифровых инструментов».

Пинту обвиняют в незаконном доступе к серверам Генеральной прокуратуры и документам по делам Tancos, BES, и операции Marques, а также данным лиссабонской юридической фирмы PLMJ, инвестиционного фонда Doyen Sports и португальской футбольная федерации.

По словам Руи Пинту, он создал Football Leaks с целью раскрыть коррупцию в спорте путем публикации конфиденциальных документов, включая «информацию о трансферах игроков и тренеров, соглашениях между спортивными организациями, спортивных контрактах и ​​агентствах игроков». Благодаря опубликованным Football Leaks данным были зафиксированы серьезные нарушения финансового фэйр-плей (свод этических и моральных законов) со стороны многих клубов, в частности, «ПСЖ» и «Манчестер Сити», что грозило им исключением их из Лиги чемпионов. Также обнародованные данные вызвали проблемы с налоговыми органами Испании у нападающего «Ювентуса» Криштиану Роналду.

[student]

Группировка Turla использует новое вредоносное ПО для перехвата TLS-трафика

Один из методов распространения вредоноса задействует ранее обнаруженный троян COMPfun.

Киберпреступная группировка Turla (также известна как Venomous Bear или Waterbug) распространяет новое вредоносное ПО, получивший название Reductor, для перехвата зашифрованного TLS-трафика и заражения целевой сети. По словам исследователей из «Лаборатории Касперского», между Reductor и ранее обнаруженным трояном COMPfun есть сходство, указывающее на общего создателя. Как считают эксперты, троян COMPfun, предположительно разработанный Turla, используется в качестве загрузчика.

Злоумышленники применяют два разных метода для распространения Reductor. В первом варианте они используют установщики зараженного программного обеспечения с встроенными 32- и 64-разрядными версиями Reductor. Данные установщики могут быть представлены такими популярными программами, как Internet Download Manager, WinRAR, пиратские сайты и пр.

Спойлер   :

Во втором сценарии цели уже заражены трояном COMpfun, который использует атрибут COM CLSID для достижения персистентности на системе. Получив доступ к адресной строке браузера, троян может выполнить команду на загрузку дополнительных модулей с C&C-сервера, в том числе дроппер/расшифровщик Reductor.

Вредонос добавляет цифровые сертификаты из своего раздела на целевой хост и предоставляет операторам возможность добавлять дополнительные сертификаты удаленно через именованный канал (named pipe). Авторы вредоноса разрывают TLS-рукопожатие без перехвата интернет-трафика. Вместо этого они анализируют исходный код браузеров Mozilla Firefox и бинарный код Google Chrome для исправления соответствующих функций генерации псевдослучайных чисел (ГПСЧ) в памяти процесса. Браузеры используют ГПСЧ для генерации «случайной клиентской» последовательности для сетевого пакета в самом начале TLS-рукопожатия. Reductor добавляет зашифрованные уникальные аппаратные и программные идентификаторы для жертв в поле «случайный клиент». Для исправления функций системы ГПСЧ разработчики использовали небольшой встроенный дизассемблер длины команд от Intel.





«Вредоносное ПО не выполняет MitM-атаку. Однако изначально мы полагали, что установленные сертификаты могут способствовать атакам MitM на TLS-трафик, и поле «случайный клиент» с уникальным идентификатором в рукопожатии будет идентифицировать интересующий трафик. Дальнейший анализ подтвердил наши догадки», — сообщают исследователи.

Согласно данным телеметрии, злоумышленники уже имели некоторый контроль над сетевым каналом жертвы, благодаря которому они заменяли вредоносный установщик легитимным.

«Все сообщения C&C-сервера обрабатываются в отдельном потоке. Редуктор отправляет HTTP POST-запросы с уникальным идентификатором оборудования цели, зашифрованный с помощью AES 128, скриптам /query.php на C&C-сервере, указанным в его конфигурации», — поясняют исследователи.

Вредоносная программа получает команды с C&C-сервера для выполнения различных операций, которые включают скачивание и загрузку файлов, поиск имени хоста, обновление установленного цифрового сертификата, создание нового процесса, удаление пути к файлу, проверку подключения к интернету и пр.

Именованный канал (named pipe) — один из методов межпроцессного взаимодействия, расширение понятия конвейера в Unix и подобных ОС. Именованный канал позволяет различным процессам обмениваться данными, даже если программы, выполняющиеся в этих процессах, изначально не были написаны для взаимодействия с другими программами.

[student]

Воровство под видом трейдинга

Исследователь под ником MalwareHunterTeam сообщил об обнаружении очередной преступной схемы, нацеленной на активных пользователей криптовалют. Неизвестные злоумышленники основательно подошли к вопросу, объявив о создании ни много ни мало бесплатной трейдинговой платформы JMT Trader, позволяющей совершать операции с криптовалютами на ведущих биржах. Они также запустили весьма качественно сделанный сайт JMT Trader и аккаунт платформы в Twitter (последний, впрочем, не подает признаков жизни уже с июня).

Ссылка на загрузку самой программы JMT Trader ведет в GitHub-репозиторий, откуда можно скачать файлы для установки Windows- и macOS-версий, а также исходный код для компиляции платформы под Linux-системы. При этом файлы не являются вредоносными, более того, JMT Trader действительно позволяет выполнять все те операции, которые рекламирует. Это не должно удивлять, поскольку в реальности программа является всего лишь клоном легитимного ПО QT Bitcoin Trader. Однако в процессе установки запускается еще и загрузка программы CrashReporter.exe, которая является зловредом, хотя и не слишком известным: в настоящий момент она детектируется как вредоносная лишь 5 из 69 защитных решений в базе VirusTotal.

CrashReporter.exe – бэкдор, запускающийся при каждой авторизации пользователя в системе. Он устанавливает связь с командными серверами киберпреступников, похищает криптовалютные кошельки, логины и пароли, а также может использоваться для загрузки дополнительного вредоносного ПО. Исследователи отмечают, что нынешние атаки JMT Trader имеют немало общего с киберпреступной операцией AppleJeus, раскрытой специалистами «Лаборатории Касперского» в 2018 году. Предполагается, что за атаками AppleJeus стояли хакеры северокорейской группировки Lazarus.

[student]

Шифровальщик BitPaymer парализовал работу крупной немецкой компании

Начиная с 13 октября немецкая компания Pilz не может восстановить свой производственный цикл вследствие масштабной хакерской атаки. Pilz – один из ведущих мировых производителей контроллеров, сенсоров, реле и других технических средств автоматизации. На сайте компании сообщается, что инцидентом могли быть затронуты серверы и рабочие станции в подразделениях Pilz в 76 странах мира. В качестве предупредительной меры все без исключения компьютеры были отключены от внутренней сети, доступ к ней заблокирован. При этом сами производственные мощности атакой не затронуты, однако из-за невозможности отслеживать статус заказов и принимать новые работа ведется чрезвычайно медленно и с явным нарушением графиков.

Причиной проблем стало инфицирование внутренней сети зловредом-шифровальщиком BitPaymer. Это вредоносное ПО известно с лета 2017 года. Его операторы специализируются на атаках только на крупные компании и организации. Соответственно, весьма крупной оказывается и сумма выкупа, которую злоумышленники требуют за предоставления ключа расшифровки заблокированных данных: известен случай, когда эта сумма составила 1 миллион долларов. На протяжении двух лет BitPaymer распространяется исключительно через крупный ботнет Dridex. На этом основании многие эксперты полагают, что речь идет не просто о «сотрудничестве»: вероятнее всего BitPaymer и был создан самими операторами Dridex. В настоящий момент нет информации ни о сумме выкупа, которую требуют от Pilz киберпреступники, ни о том, намерена ли компания вести переговоры с ними.

[student]

18 вредоносных приложений удалены из AppStore

Корпорация Apple удалила из своего магазина AppStore сразу 18 приложений вредоносного характера. Это достаточно редкая ситуация: Apple славится чрезвычайно жесткой проверкой всех поступающих в магазин приложений, к тому же число как приложений для iOS, так и их разработчиков заметно меньше, чем в случае с ОС Android. И если в магазине Google Play подобные «массовые чистки» случаются регулярно, то инцидент такого рода с AppStore сразу обращает на себя внимание.

Характер удаленных приложений весьма различен – от видеоконвертеров и файл-менеджеров до расписания поездов индийских транспортных компаний и расписания молитв для правоверных мусульман. Все они полностью выполняют свои функции, однако помимо этого еще и обращаются к командному серверу киберпреступников, откуда получают указания на осуществление дополнительных акций. Этими акциями являются демонстрация рекламных баннеров, открытие в фоновом режиме окон браузера с целью накрутки кликов и посещений, а также подписка пользователей на дорогостоящие сервисы без их ведома.

Вредоносная активность приложений была обнаружена специалистами компании Wandara, которая занимается обеспечением кибербезопасности мобильных устройств. Все программы созданы индийской компанией-разработчиком AppAspect. При этом эксперты Wandara допускают, что вредоносный код, ответственный за связь приложений с командным сервером киберпреступников, мог быть внедрен в программы не самим разработчиком, а некой третьей стороной. Впрочем, следует сказать, что ранее вредоносный код обнаруживался и в приложениях от AppAspect для ОС Android.

[student]

Эмодзи-клавиатура украла у пользователей не менее 18 миллионов долларов

Компании Secure-D и Upstream Systems представили отчет об активности вредоносного Android-приложения Ai.type. Оно представляет собой дисплейную эмодзи-клавиатуру и позволяет пользователям быстро набирать сообщения, состоящие из различных смайлов и других популярных символов. К сожалению, этим его возможности далеко не ограничиваются.

 В фоновом режиме приложение постоянно открывает рекламные баннеры и накручивает клики на них, одновременно снабжая рекламные сети информацией о реальных кликах и переходах пользователя. Но самая большая угроза состоит в том, что Ai.type без ведома пользователей подписывает их на дорогостоящие сервисы и приобретение премиального контента.

По оценкам Secure-D и Upstream Systems, приложение было скачано из Google Play и сторонних магазинов порядка 40 миллионов раз, и уже принесло злоумышленникам, управляющим вредоносной активностью, не менее 18 миллионов долларов – по сути украденных у пользователей.

Интересно отметить, что из Google Play приложение было удалено еще в июне - а пик несанкционированных списаний средств со счетов владельцев инфицированных устройств пришелся на июль. Вероятно, мошенники торопились заработать как можно больше, прежде чем их деятельность будет раскрыта.

В настоящее время приложение Ai.type все еще доступно в некоторых неофициальных магазинах Android-приложений. Устанавливать его категорически не следует, а всем пользователям, имеющим Ai.type на своих смартфонах, необходимо незамедлительно удалить его. Компания-разработчик приложения пока не прокомментировала публикацию.

[student]

Шифровальщик MegaCortex меняет пароли и угрожает опубликовать файлы жертв

Исследователи кибербезопасности сообщили об обнаружении новой разновидности зловреда-шифровальщика MegaCortex. Его функционал выходит за рамки привычных для подобного вредоносного ПО действий, создавая дополнительные и весьма серьезные угрозы для жертв. Проникая на устройство, зловред зашифровывает файлы, после чего выводит информацию об атаке с требованием связаться с операторами для уплаты выкупа и получения ключа расшифровки. При этом в уведомлении говорится о том, что пароль пользователя для вход в учетную запись Windows изменен. К таким угрозам организаторы атак с использованием зловредов-шифровальщиков прибегали и ранее, чтобы посильнее запугать пользователя – а в данном случае они осуществили свою угрозу. Как сообщил исследователь Виталий Кремец, новая версия MegaCortex действительно меняет пароль, лишая пользователя возможности войти в свою учетную запись.

Помимо этого, в требовании выкупа утверждается, что вредоносное ПО создает копии всех зашифрованных файлов и пересылает их на подконтрольный киберпреступникам удаленный сервер - и в случае, если жертва не примет условия вымогателей, они выложат все данные в открытый доступ. Насколько реальна эта угроза, в настоящее время неизвестно, однако очевидно, что новый MegaCortex в любом случае представляет весьма серьезную опасность.

[student]

Ущерб от BEC-атак превышает 300 миллионов долларов в месяц

Сеть по расследованию финансовых преступлений – специальный орган при Министерстве финансов США – оценивает ежемесячные потери от BEC-атак более чем в 300 миллионов долларов. Термин BEC (сокращение от business email compromise) означает атаки с компрометацией электронной деловой переписки. В «классическом» виде BEC-атака подразумевает взлом учетной записи одной из руководителей компании или организации. Затем от его имени киберпрестпуники шлют сообщения работникам финансовых подразделений с распоряжением срочно перевести крупную сумму на указанный счет (разумеется, подконтрольный самим хакерам).

Но в последнее время все более популярной становится другая разновидность этих атак. Киберпреступники взламывают аккаунты компаний-подрядчиков, выполняющих те или иные работы по контракту с жертвами – либо успешно выдают себя за представителей подрядчиков - и выставляют фиктивные счета на оплату выполненных работ. Очередной жертвой такого мошенничества стал муниципалитет города Окала в американском штате Флорида. Его сотрудники получили сообщение электронной почты якобы от компании Ausley Construction, которая ведет строительство нового терминала международного аэропорта Окалы. В письме указывалось, что очередной транш платежа по контракту следует перевести на другой счет, поскольку компания сменила банк. К письму прилагались код банка, номер банковского счета и перечень выполненных работ. Служащие муниципалитета приняли сообщение за чистую монету и перевели по указанным реквизитам чуть более 742 тысяч долларов. Мошенничество раскрылось лишь через несколько дней, когда настоящий представитель компании Ausley Construction поинтересовался судьбой очередного платежа.

Сумма в 300 миллионов ежемесячных потерь, приведенная в начале, может показаться невероятной. Однако лишь за последние два с небольшим месяцами жертвами подобных BEC-атак, помимо Окалы, стали муниципалитет города Нейплс (также в штате Флорида, сумма ущерба – порядка 700 тысяч долларов), американское подразделение медиа-корпорации Nikkei (около 29 миллионов долларов) и одно из подразделений Toyota Group (более 37 миллионов). И речь идет лишь о самых ярких случаях, получивших широкую огласку.

[student]

Организатор заказных DDoS-атак приговорен к 13 месяцам тюрьмы

Суд в США вынес приговор по делу Сергея Усатюка, 21-летнего жителя штата Иллинойс. В феврале нынешнего года он признал себя виновным в совершении ряда киберпреступлений. В период с августа 2015 по ноябрь 2017 годов Усатюк стоял за созданием и обеспечением работы нескольких сайтов, включая ExoStress.in, QuezStresser.com, Betabooter.com, Databooter.com, Instabooter.com, Polystress.com и Zstress.net. Все они представляли собой сервисы по организации заказных DDoS-атак.

По версии обвинения, на Усатюке и его сообщниках лежит ответственность за несколько миллионов DDoS-атак. При этом в распоряжении киберпреступников имелась действительно мощная инфраструктура. Это неоднократно приводило к тому, что DDoS-атаки не только затрудняли или полностью прекращали работу интернет-ресурсов указанных заказчиками жертв, но и выводили из строя оборудование, а также наносили ущерб третьим сторонам. Так, в одном из случаев заказанная атака на школьный округ в Питтсбурге, штат Пенсильвания, оказалась столь мощной, что затронула системы еще 17 организаций (включая правительственные учреждения и местный католический епископат), использовавших ту же сетевую инфраструктуру.

Преступная деятельность Сергея Усатюка принесла ему доход более чем в 500 000 долларов. «Мы не можем мириться с вредоносным использованием веб-трафика. Любой, кто организует подобные схемы или прибегает к их услугам, будет преследоваться по закону и понесет заслуженное наказание», - подчеркнул федеральный прокурор Роберт Хигдон-младший. Суд приговорил Усатюка к 13 месяцам тюремного заключения. После освобождения ему также придется провести три года под надзором полиции.

[student]

Похищены данные покупателей онлайн-магазина Macy's

Компания Macy's распространила сообщение о том, что подверглась хакерской атаке, в результате которой были похищены персональные данные и платежная информация части клиентов. Macy's – крупнейшая в США сеть розничной торговли непродовольственными товарами, которая существует более 150 лет и насчитывает свыше 850 магазинов. Некоторые из них, подобно лондонскому Harrods, сами по себе являются туристическими достопримечательностями – как, скажем, Macy's на Манхэттене. Большой популярностью пользуется и онлайн-магазин компании,  который подвергся атаке.

7 октября неизвестные злоумышленники смогли внедрить вредоносный JavaScript-код на страницы Checkout и My Wallet. Соответственно, вся информация, вводимая посетителями сайта на этих страницах, незамедлительно передавалась на серверы киберпреступников. Это классическая атака по типу MageCart – атакам такого рода в последнее время регулярно подвергаются многие крупные компании. Взлом был обнаружен сторонним исследователем кибербезопасности, который, пожелав сохранить свою анонимность, уведомил Macy's о проблеме. 15 октября вредоносный код был удален. Таким образом, под угрозой оказались пользователи, посещавшие сайт и вводившие свои данные в указанных разделах на протяжении чуть более недели. В руках хакеров могли оказаться полные данные банковских карт, включая сроки действия и коды безопасности, а также имена, адреса, электронная почта и телефонные номера покупателей.

Точное количество затронутых атакой клиентов неизвестно. Компания Macy's сообщает, что речь идет о «небольшом числе покупателей» и все они уведомлены о произошедшем, им предложена бесплатная услуга мониторинга состояния счетов для защиты от несанкционированных транзакций. Для расследования инцидента привлечены специалисты по кибербезопасности «одной из ведущих в этой области компаний».