Автор Тема: Новости от «Касперский»  (Прочитано 26794 раз)

0 Пользователей и 1 Гость просматривают эту тему.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #120 : 16 Апрель 2019, 12:40:24 »
«Лаборатория Касперского» нашла в Windows новую опасную уязвимость
16.04.2019 08:35


Эксперты антивирусной «Лаборатории Касперского» обнаружили новую уязвимость в операционной системе Microsoft Windows. Брешь позволяет хакерам получить контроль над заражённым устройством.

Злоумышленники использовали так называемый бэкдор — особый тип вредоносного ПО, с помощью которого можно получить удалённый доступ к компьютеру пользователя, запустить exe-файл и установить программу. Она, в свою очередь, запускала бэкдор, написанный на PowerShell. Это легитимный компонент Windows, благодаря которому хакерам удалось обойти стандартные механизмы защиты операционной системы, сообщает РИА Новости со ссылкой на заявление «Лаборатории Касперского».

San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2231
  • Респект: +1738/-0
Новости от «Касперский»
« Ответ #121 : 24 Май 2019, 20:14:41 »
Лаборатория Касперского зафиксировала рост числа мобильных троянов

Из исследования Лаборатории Касперского стало известно, что в первом квартале 2019 года существенно выросло число финансовых угроз, которые нацелены на мобильные устройства. Высокий рост в сравнении с аналогичным периодом 2018 года показали мобильные банковские трояны.
Банковские трояны получают деньги пользователей собирая данные, открывающии доступ к банковским счетам и электронным кошелькам жертвы. Трояны-вымогатели вымогают деньги у пользователя, блокируя экран устройства или шифруя его файлы.
В этом году эксперты компании зафиксировали около 30 тысяч банковских троянов, к сравнению, в 2018 году это число немного не дотягивало до 19 тысяч. Таким образом, рост вредоносных троянов увеличился почти на 58%.
Число зафиксированных троянов-вымогателей достигло 28 тысяч, что в три раза больше результата прошлого года (9 тысяч).

San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2231
  • Респект: +1738/-0
Новости от «Касперский»
« Ответ #122 : 03 Июль 2019, 13:41:50 »
«Лаборатория Касперского» продлила соглашение о сотрудничестве с Интерполом

В рамках сотрудничества «Лаборатория Касперского» будет оказывать Интерполу широкую консультационную поддержку в расследовании киберпреступлений, проводить тренинги для сотрудников организации и предоставлять данные о новейших цифровых угрозах, а также инструменты для их изучения.
Спойлер   :
Кроме того, компания будет поддерживать инициативы Интерпола по расширению экспертизы правоохранительных органов разных стран мира в борьбе с IT-угрозами и злоумышленниками.«С ростом числа сложных угроз международное сотрудничество и обмен экспертизой становятся важны как никогда раньше. Мы рады объявить, что продолжаем наше партнёрство с Интерполом и предоставляем ему возможность пользоваться данными и технологиями, необходимыми для борьбы с киберпреступлениями по всему миру», — написал Евгений Касперский, генеральный директор «Лаборатории Касперского».
«Лаборатория Касперского» работает в сфере информационной безопасности с 1997 года. Компания ведёт свою деятельность в 200 странах и территориях мира и имеет 35 региональных офисов в 31 стране на 5 континентах. Штат сотрудников «Лаборатории Касперского» насчитывает свыше 4 тысяч высококвалифицированных специалистов, аудитория пользователей продуктов и технологий компании составляет 400 млн человек и 270 тысяч корпоративных клиентов. В портфолио разработчика насчитывается более 30 ключевых продуктов и сервисов.

San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2231
  • Респект: +1738/-0
Новости от «Касперский»
« Ответ #123 : 25 Июль 2019, 16:49:33 »
«Лаборатория Касперского» представила универсальное решение для защиты физической и виртуальной IT-инфраструктуры

«Лаборатория Касперского» объявила о расширении портфеля продуктов для корпоративного рынка и выпуске решения Kaspersky Security для бизнеса «Универсальный». Таким образом, теперь заказчикам доступны на выбор четыре уровня защитного комплекса: «Стандартный», «Расширенный», «Универсальный» и Total.
Спойлер   :
Kaspersky Endpoint Security для бизнеса «Универсальный» объединяет в одном продукте необходимые функции управления и контроля для всех типов конечных точек — как виртуальных, так и физических. Помимо средств защиты, в составе решения представлены инструменты системного администрирования, патч-менеджмента и шифрования.Kaspersky Security для бизнеса «Универсальный» доступен на территории России, Беларуси, Закавказья, стран Средней Азии и продаётся через партнёров «Лаборатории Касперского». В рамках приобретаемой лицензии компании могут менять соотношение виртуальных и физических рабочих станций, а также серверов.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #124 : 29 Август 2019, 09:42:15 »
Специалисты «Лаборатории Касперского» нашли троянец-дроппер в приложении, установленном более 100 млн раз
28.08.2019 [23:49]


Специалисты «Лаборатории Касперского» обнаружили, что популярное приложение CamScanner — Phone PDF creator, которое в Google Play скачали более 100 млн раз, содержит рекламный троянец-дроппер. Само приложение представлено как решение для сканирования и управления оцифрованными документами, однако за последний месяц появились отзывы пользователей, указывающие на наличие скрытых и вредоносных возможностей.

Спойлер   :


По данным специалистов, в приложении есть рекламная библиотека, добавленная туда недавно. Подобное ранее часто фиксировалось на смартфонах китайского производства. Антивирусы «Лаборатории» распознают компонент как Trojan-Dropper.AndroidOS.Necro.n. Эксперты уже связались с Google, после чего приложение удалили из магазина. Отмечается, что в последнем обновлении программы вредоносного кода уже нет, однако для разных устройств могут быть актуальны разные версии приложения. А некоторые из них могут содержать дроппер.

Сообщается, что библиотека использовалась для монетизации рекламы или продажи премиум-аккаунтов. Очевидно, так разработчики CamScanner хотели заработать, но сами стали жертвой недобросовестных рекламодателей.



Вредоносный модуль мог показывать рекламу, принудительно подписывать пользователей на платные услуги и так далее. Пока что комментариев со стороны разработчиков не последовало. Остаётся надеяться, что они извлекут урок из произошедшего.

Напомним, что ранее специалисты компании «Доктор Веб» нашли троянец-кликер в приложениях Google Play, установленных более 100 млн раз. То есть схема остаётся прежней, и, похоже, в Google не особо стремятся её менять. И это настораживает.

San-Sanich.

  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 623
  • -> Вас поблагодарили: 8715
  • Сообщений: 2231
  • Респект: +1738/-0
Новости от «Касперский»
« Ответ #125 : 11 Сентябрь 2019, 16:14:06 »
«Лаборатория Касперского» расширит область применения KasperskyOS

«Лаборатория Касперского» сфокусируется на развитии экосистемы бизнес-приложений сторонних разработчиков для своей безопасной операционной системы KasperskyOS.
Спойлер   :
Таким образом компания намерена существенно расширить область применения программной платформы, которая может быть использована не только в автоматизированных системах управления технологическими процессами (АСУ ТП), телекоммуникационном оборудовании, транспортных и энергетических системах, Интернете вещей, критически важных инфраструктурах и устройствах, но и для решения различных задач в корпоративной среде.
Сообщается, что первым продуктом, который получит поддержку KasperskyOS и войдёт в портфолио доверенного ПО, станет унифицированная платформа для коммуникаций CommuniGate Pro, обеспечивающая передачу электронной почты, голосовых данных, SMS-сообщений и файлов в корпоративной сети. Данный проект будет реализован в рамках технологического партнёрства «Лаборатории Касперского» с компанией CommuniGate Systems.«Мы продолжаем развивать KasperskyOS и расширять пул партнёров, которые создают программные и программно-аппаратные продукты, защищённые на уровне ядра. Для этого мы выстраиваем сотрудничество с российскими производителями ПО. Наш новый шаг в этом направлении — включение в экосистему решений, работающих на KasperskyOS, доверенного инструмента для автоматизации многих ежедневных бизнес-процессов», — прокомментировал Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского».

KasperskyOS создана с нуля и в силу своей архитектуры гарантирует высокий уровень информационной безопасности. Основной принцип работы ОС сводится к правилу «запрещено всё, что не разрешено». Это позволяет исключить возможность эксплуатирования как уже известных уязвимостей, так и тех, что будут обнаружены в будущем. При этом все политики безопасности, в том числе запреты на выполнение определённых процессов и действий, настраиваются в соответствии с потребностями организации. Платформа поставляется в качестве предустановленного программного обеспечения на различных типах оборудования, применяемого в индустриальных и корпоративных сетях

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #126 : 13 Сентябрь 2019, 20:29:42 »
США ввели вечный запрет на программы «Касперского»

Теперь государственным учреждениям США и их коммерческим подрядчикам навсегда запрещено использовать продукты «Лаборатории Касперского».

Расширение запрета на «Касперского»

В США вступает в силу постоянно действующее правило, запрещающее государственным учреждениям использовать какие бы то ни было разработки «Лаборатории Касперского». Запрет отныне распространяется не только на сами учреждения, но и на и подрядчиков и поставщиков ИТ-услуг для госорганов.

Вечный запрет для «Касперского» оказывать услуги госсектору США начал действовать 10 сентября 2019 г.

Окончательный вариант запрета опубликовал Управляющий совет по федеральным закупкам (Federal Acquisition Regulation Council), в который входят представители Министерства обороны США, Администрация служб общего назначения США и Национального управления по аэронавтике и исследованию космического пространства (NASA).

Спойлер   :
Юридическим основанием для этого запрета стали положения Закона о бюджетных ассигнованиях на национальную оборону США (National Defense Authorization Act 2018), принятого Конгрессом в 2018 г. Этот закон прямо запрещает использовать продукты «Лаборатории Касперского» в государственных органах. «Лаборатория» оказалась единственной компанией, прямо названной в законопроекте.

Основным мотивом законодателей, по крайней мере, заявленным публично, были «излишне тесные» связи руководства «Лаборатории Касперского» с российскими спецслужбами. Перед этим издания Bloomberg News, The New York Times, The Washington Post и другие публиковали материалы, в которых утверждалось со ссылкой на источники, желавшие остаться неизвестными, что офицеры спецслужб имеют широкое влияние на руководство компании, и что разработки компании использовались для скачивания секретной информации (в частности, шпионских программ АНБ/Equation).
Последнее и стало заявленной причиной жёстких мер со стороны правительства США — или поводом для них.

«Лаборатория Касперского» настаивает, что утверждения, лежащие в основе секции 1634 (a) и (b) теперь уже окончательного закона об ассигновании средств на оборону (National Defense Authorization Act for Fiscal Year 2018), были основаны на неподтверждённых обвинениях, слухах и домыслах и не содержали никаких доказательств какой-либо вины со стороны компании», - заявила CNews пресс-служба компании. - «С помощью нашей глобальной инициативы по информационной открытости (Global Transparency Initiative), открытия Центров прозрачности в разных регионах мира, «Лаборатория Касперского» демонстрирует готовность подтверждать надежность и безопасность своих решений и процессов обработки пользовательских данных».

Инцидент с АНБ

«Лаборатория» категорически отрицала обвинения в работе на российские спецслужбы. Что же касается инцидента с АНБ, то он, по утверждению руководства компании, был связан с тем, что сотрудник спецслужбы, у которого на домашнем компьютере стояли защитные инструменты «Лаборатории», брал на дом работу, в том числе, секретную. Антивирус «Лаборатории», очевидно, был подключён к аналитической сети Kaspersky Security Network (KSN). При соответствующих настройках все выявленные на локальном устройстве сэмплы вредоносных программ автоматически закачиваются для анализа в KSN. Это же произошло и с разработками Equation/АНБ.

Инцидент произошел в 2014 г., как раз когда его компания занималась расследованием деятельности хакерской группировки Equation Group.

Как пояснял тогда глава компании Евгений Касперский, как только эксперты «Лаборатории» поняли, что имеют дело с секретными данными, они пришли в кабинет главы компании и сообщили ему о проблеме. Касперский распорядился немедленно удалить эту информацию. Кроме того, чтобы облегчить решение подобных вопросов в будущем, он прописал в политике компании, что любая конфиденциальная или засекреченная информация, найденная таким образом, должна немедленно удаляться.

Тем не менее, как сообщила позднее New York Times, об инциденте узнали израильские спецслужбы, которые смогли проникнуть в сети «Лаборатории» в 2015 г. с помощью шпионского трояна Duqu-2 и обнаружили там следы присутствия данных АНБ. Информация была передана американцам.

После этого «Лабораторию Касперского» начали интенсивно выдавливать из госорганов США, и никакие попытки компании восстановить своё имя не помогли. В связи с этим Евгений Касперский выразил готовность выступить перед Сенатом США и ответить на любые его вопросы. Также «Лаборатория» заявляла о готовности раскрыть американским властям исходные коды своего ПО с целью избавиться от обвинений в кибершпионаже. Попытки отстоять свою позицию в суде в США были безуспешны.

Курс на прозрачность

В 2018 г. «Лаборатория» открыла первый центр прозрачности в Цюрихе — в рамках глобальной инициативы по информационной открытости, анонсированной в 2017 г.

Несмотря на это Европарламент весной 2018 г. также рекомендовал запретить использование ПО компании на всей территории Евросоюза. В ответ «Лаборатория» немедленно свернула все проекты в сфере кибербезопасности со всеми партнёрами из Европы, включая Европол.

В апреле 2019 г., однако, Еврокомиссия пришла к выводу, что в продукции «Лаборатории» отсутствует вредоносный код и функции кибершпионажа.

«Уберите из своих систем всё это» Драконовский запрет сейчас распространился не только непосредственно на госорганы, но и на любые коммерческие компании, выступающие в качестве ИТ-подрядчиков федеральных ведомств. Риск, который якобы может возникнуть в результате приобретения продуктов «Касперского» для использования в госорганах, в США считают «неприемлемым».

Запрет предусматривает, что разработки «Лаборатории» нельзя будет использовать в любых ИТ-системах, так или иначе соприкасающихся с государственными сетями, вплоть до систем выплаты заработной платы у подрядчиков, сотрудничающих с федеральными ведомствами, - заявил Алан Чвоткин (Alan Chvotkin), исполнительный вице-президент Совета по специализированным услугам, ассоциации, объединяющей федеральных подрядчиков. В то время как сугубо коммерческую практику, не связанную с обслуживанием госорганов, запрет не затрагивает, в остальном намерения правительства совершенно очевидны.

«Правительства США даёт недвусмысленный посыл: ребята, даже не пытайтесь как-либо сегментироваться и сегрегироваться: просто выкиньте всё это (разработки «Касперского» - прим. CNews) из своих систем, - и это будет самым разумным подходом», - заявил Чвоткин изданию Netgov.

«Вероятнее всего, «Лаборатории» не стоит надеяться на улучшение своего положения в США до кардинального изменения политической обстановки, что вряд ли можно ожидать в ближайшее время - считает Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего», - но опыт Huawei иллюстрирует возможность различных вариантов развития событий. Вопрос в том, кто сможет оперативно занять освободившееся место на американском рынке и к приведет ли это к кардинальному изменению позиций на мировом рынке антивирусных решений».

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #127 : 16 Сентябрь 2019, 21:13:04 »
Прощай, Kaspersky Free!
16 сентября 2019


Вчера в ночь обновился известный антивирус, который на момент выхода описывался как полноценный, бесплатный и без рекламы – просто без дополнительных функций. Это обновление кардинально изменило политику компании в отношении пользователей и их данных, попутно заблокировав все настройки. Теперь это совершенно другой продукт с очень сомнительной функциональностью.

Вот как описывал Kaspersky Free сам Евгений Касперский в момент выхода:

    Free, это действительно только самое необходимое, но нам ни разу за него не стыдно. Это та же защита без компромиссов. И при этом без всякой фигни вроде слежки за пользователем в рекламных целях и торговли его конфиденциальностью – чем обычно страдает бесплатный софт, чтобы прокормить своих создателей.

Навязчивая реклама в нём появилась довольно быстро. Она отображалась не просто в интерфейсе антивируса, а в отдельном окне поверх других приложений и часто мешала работать. До поры до времени я просто закрывал на это глаза и тихо посмеивался над несбывшимся обещанием.

С новым обновлением улетучились остатки приватности. Изменилось лицензионное соглашение по использованию сети KSN (Kaspersky Security Network). Теперь в ней собирается ещё большая куча сведений, даже простое перечисление которых утомляет – список вырос как минимум вчетверо. Самое интересное, что в интернете актуальную версию договора найти не удалось. Кому интересно – вот его копипаста из Kaspersky Free (осторожно, много букв!).

==================================================

Положение о Kaspersky Security Network.

Спойлер   :
Настоящее Положение определяет порядок получения и использования информации, указанной в приведенном ниже перечне.
Настоящее Положение относится к продуктам Kaspersky Anti-Virus («Антивирус Касперского»), Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free и Kaspersky Security Cloud для Windows, правообладателем которого является АО «Лаборатория Касперского» (далее «Лаборатория Касперского» или Правообладатель).

В целях выявления новых и сложных для обнаружения угроз информационной безопасности и их источников, угроз вторжения, а также оперативного принятия мер по повышению уровня защиты информации, хранимой и обрабатываемой Пользователем с помощью ЭВМ, Пользователь соглашается в автоматическом режиме предоставлять следующую информацию:
1. Информацию о версиях установленной на компьютере операционной системы (далее ОС) и установленных пакетах обновлений: разрядность ОС, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, имя компьютера в сети (локальное и доменные имена), региональные настройки ОС (данные о часовом поясе, раскладке клавиатуры по умолчанию, языках интерфейса), настройки UAC, настройки сетевого экрана OC, настройки родительского контроля ОС, настройки и данные служб ОС.
2. Сведения обо всех установленных программах: название и версию установленного приложения, версии установленных обновлений, название издателя, дату и полный путь установки на компьютере.
3. Информацию об установленном ПО Правообладателя и состоянии антивирусной защиты компьютера: версию ПО, информацию о файлах загружаемых модулей, их имени, размере, пути к ним, контрольных суммах (MD5, SHA2-256, SHA1), производителе, подписи и целостности, идентификаторах процессов, куда были загружены модули, порядок загрузки модулей, версии используемых антивирусных баз и времени их последнего обновления, данные статистик обновлений и соединений с веб-сайтами Правообладателя, уникальный идентификатор установки ПО на компьютер и уникальный идентификатор компьютера, информацию о режиме работы ПО.
4. Информацию об используемом беспроводном подключении компьютера к сети: имя беспроводной сети, контрольную сумму (MD5 и SHA256) MAC-адреса точки доступа, признак работы компьютера от батареи или стационарной электросети, признак наличия DNS, тип компьютера, данные о типе и защищенности беспроводной сети; уникальные идентификаторы, составленные с использованием уникального идентификатора компьютера, уникального идентификатора установки ПО на компьютер, имени беспроводной сети и MAC-адреса точки доступа; информация о доступных для подключения беспроводных сетях: имя сети, MAC-адрес точки доступа, данные о защищенности сети и уровень качества сигнала; признак использования VPN-соединения, категория беспроводной сети, заданная в ПО, настройки DHCP, контрольная сумма (SHA256) IP-адреса (IPv4 или IPv6) компьютера, имя домена и контрольная сумма (SHA256) пути из URL-адреса сервиса предоставления доступа в интернет; параметры WPS точек доступа: контрольные суммы имени и серийного номера устройства, наименование и номер модели устройства, название его производителя; местное время начала и окончания подключения компьютера к беспроводной сети, режим контроля подключения устройств к домашней беспроводной сети, список доступных точек доступа беспроводной сети и их параметры.
5. Информацию об активностях на компьютере Пользователя: данные о запущенных процессах в системе (идентификатор процесса в системе (PID), имя процесса, данные об учетной записи, от которой запущен процесс, программе и команде, запустившей процесс, полный путь к файлам процесса и командная строка запуска, указатель нахождения файла процесса в автозапуске, описание продукта, к которому относится процесс (название продукта и данные об издателе), а также об используемых цифровых сертификатах и информацию, необходимую для проверки их подлинности, или данные об отсутствии цифровой подписи файла), URL-адреса посещаемых веб-сайтов и время посещения, ответ от DNS-сервера и длительность хранения ответа в буфере, IP-адреса (IPv4 или IPv6) DNS-сервера и домена веб-сайта, имя домена, способ определения имени домена, признак вхождения имени домена в список, имя файла процесса, обращающегося к веб-сайту, размер и контрольные суммы (MD5 и SHA256) файла, путь к нему и код шаблона пути, результат проверки ЭЦП файла, строка User Agent, длительность хранения данной информации до отправки в KSN, поисковые запросы, параметры HTTP-запросов, тип ошибки обработки протокола, время, прошедшее с момента последней активности пользователя на компьютере, а также информацию о загружаемых в процессы модулях: их имена, размеры, типы, контрольные суммы (MD5, SHA2-256, SHA1) и пути к ним.
6. Данные обо всех проверяемых объектах и действиях: название проверяемого объекта, дата и время проверки, названия и размер проверяемых файлов и пути к ним, дата и время создания файла, имена упаковщика (если файл был упакован), данные PE-заголовка файла, версия компилятора, количество, размер и данные секций файла, энтропия файла, идентификатор типа и формата файла, URL и IP-адреса, с которого загружается объект, идентификатор протокола загрузки и номер порта соединения, контрольные суммы (MD5, SHA2-256, SHA1) процесса, выполняющего загрузку объекта, контрольные суммы объекта (MD5, SHA2-256, SHA1), тип и значение дополнительной контрольной суммы объекта, данные о ЭЦП (сертификате) объекта (дату и время подписания, имя владельца сертификата, серийный номер сертификата и алгоритм вычисления контрольной суммы, данные об открытом ключе сертификата: контрольная сумма (SHA2-256) открытого ключа, идентификатор базы сертификатов, имя эмитента сертификата, результат проверки сертификата), идентификатор задачи ПО, который выполнил проверку, дата и время выполнения проверки, результат выполненной проверки и решения пользователя и продукта по ним, данные об изменении группы доверия.
7. В случае обнаружения угрозы или уязвимости, дополнительно к информации о проверяемом объекте предоставляется информация об идентификаторе, версии и типе записи в антивирусной базе, название угрозы согласно классификации Правообладателя, контрольные суммы (MD5, SHA2-256, SHA1) файла приложения, запросившего URL, на котором произошло обнаружение, IP-адрес (IPv4 или Ipv6) обнаруженной угрозы, идентификатор типа трафика, на котором произошло обнаружение, идентификатор уязвимости и класс её опасности, URL-адрес страницы обнаружения, номер скрипта на странице, идентификатор опасности, типа и статуса обнаружения, промежуточные результаты анализа объекта, признак того, что объект является контейнером, уровень целостности процесса.
8. Информацию о сетевой атаке: IP-адрес атакующего компьютера и номер порта компьютера пользователя, на который была направлена сетевая атака, идентификатор протокола, по которому выполнялась атака, название и тип атаки.
9. URL- и IP-адрес страницы, на которой был обнаружен вредоносный или подозрительный контент, имя, размер и контрольная сумма файла, запросившего данный URL, идентификатор и вес правила, по которому был вынесен результат проверки, цель атаки.
10. Информацию о заблокированных ссылках компонентами «Родительский контроль» или «Веб-контроль»: о причине блокировки, версии компонентов «Родительский контроль» или «Веб-контроль», URL- и IP-адрес заблокированной ссылки.
11. Информацию о работе компонента «Проверка ссылок»: вынесенные пользователем результаты проверки о доброкачественности/вредоносности доменов, контрольные суммы (MD5) URL и Referrer проверяемого домена, идентификатор компонента «Проверка ссылок».
12. Результаты проверки писем компонентом «Анти-спам»: версию компонента «Анти-спам», идентификаторы сработавших правил проверки и их вес, IP-адрес отправителя, наиболее вероятный IP-адрес источника спама, статус письма после проверки.
13. Информацию о работе компонента «Безопасные платежи»: признак режима его работы, информацию об изменениях, сделанных пользователем в списке веб-сайтов, которые защищаются компонентом: URL-адрес и Referrer (если есть) веб-сайта, признак добавления, редактирования или удаления веб-сайта, режим запуска компонента для данного веб-сайта, контекст изменения списка веб-сайтов; информация о браузере, который используется для посещения веб-сайта: URL-адрес и Referrer веб-сайта, название и версия браузера, тип запуска браузера, длительность и признак успешности запуска, данные об уровне его защиты и тип сообщения об уровне защиты, название и версия браузера, из которого был запущен используемый браузер.
14. Информацию о работе компонента «Режим безопасных программ»: идентификатор версии его настроек, признак режима его работы, результат проверки статуса файла и источник статуса доверия, агрегированные данные о количестве доверенных, недоверенных и неизвестных объектов.
15. Агрегированные данные результатов проверки по локальным и облачным базам KSN за период проверки: количество уникальных неизвестных объектов, количество уникальных доверенных объектов, количество уникальных недоверенных объектов, общее количество статусов «неизвестный объект», общее количество статусов «доверенный объект», общее количество статусов «недоверенный объект», количество объектов, отнесенных к доверенным по результатам проверки сертификата, определенных как доверенные по доверенному URL-адресу, признанных доверенными по логике передачи доверия от доверенного процесса, количество неизвестных объектов, по которым не принято решение о доверии или недоверии, количество объектов, которые пользователь сделал доверенными. Версия локальной базы KSN на компьютере в момент отсылки статистики и идентификатор настройки ПО работы с базой, информацию об успешных/неуспешных запросах в KSN (соединений и транзакций), а также потраченное на операции время, длительности сессий связи с KSN, объём отправленных и полученных данных, время начала и окончания получения информации для отправки в KSN, а также общее количество запросов в KSN, невыполненных по какой-либо причине с указанием причины.
16. Информацию о работе компонента «Защита от сбора данных»: Referrer из http запроса слежения, название сервиса или организации, предоставляющих услуги слежения, категория сервиса слежения по версии Правообладателя, идентификатор и версия браузера, открывшего URL.
17. В случае обнаружения потенциально вредоносного объекта предоставляется информация о данных в памяти процессов, элементы иерархии системных объектов (ObjectManager), данные памяти UEFI BIOS, названия ключей реестра и их значения.
18. Информацию о событиях в системных журналах: время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание.
19. Информацию о сетевых соединениях: версию и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса, открывшего порт, путь к файлу процесса и его цифровая подпись, локальный и удалённый IP-адреса, номера локального и удалённого портов соединения, состояние соединения, время открытия порта.
20. Информацию о запущенном файле: его контрольную сумму, формат, количество запусков файла, версия пакета статистики, информация о ПО: номер сборки, идентификатор ПО и версии ПО.
21. Информацию о выполнении отката деятельности вредоносной программы: данные о файле, активность которого откатывается (имя файла, полный путь к нему, его размер и контрольные суммы (MD5, SHA2-256, SHA1)), данные об успешных и неуспешных действиях по удалению, переименованию и копированию файлов и восстановлению значений в реестре (имена ключей реестра и их значения), информация о системных файлах, изменённых вредоносной программой, до и после выполнения отката, название обнаруженной угрозы согласно классификации Лаборатории Касперского, идентификатор антивирусных баз и идентификатор записи в антивирусных базах, на основе которой был сформирован вердикт.
22. Информацию об использовании VPN-соединений: IP-адрес VPN-сервера, с которым устанавливается соединение, уникальный идентификатор установки ПО на компьютер.

В случае выгрузки ПО, перечисленные в пп. 5, 6, 7 данные не передаются, но могут быть сохранены в ограниченном по объему хранилище на компьютере Пользователя. Указанные данные не могут быть восстановлены после удаления ПО. После загрузки ПО указанные данные будут переданы в «Лабораторию Касперского» для указанных выше целей.

Для дополнительной проверки в «Лабораторию Касперского» могут отправляться объекты, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру Пользователя:
• Файлы и их части.
• Имя, размер и версия отправляемого файла, его описание и контрольные суммы (MD5, SHA2-256, SHA1), путь к нему, идентификатор формата, название его производителя, название продукта, к которому относится файл.
• Даты и время начала и окончания срока действия сертификата, если отправляемый файл имеет ЭЦП, дата и время подписания, имя издателя сертификата, информация о владельце сертификата, отпечаток и открытый ключ сертификата и алгоритмы их вычисления, серийный номер сертификата.
• Информация о дате и времени создания и модификации файла, признак, используется ли дата и время подписания файла при проверке подписи, результат проверки файла на целостность.
• Объекты, обнаруженные по вредоносным ссылкам.
Такие объекты могут временно сохраняться на компьютере пользователя, до момента их отправки.

Дополнительно, для целей предотвращения и расследования возникших инцидентов, могут отправляться исполняемые и неисполняемые доверенные файлы, участки оперативной памяти компьютера, загрузочные сектора операционной системы, а также отчеты об активностях приложений, которые содержат:
• Информацию о запускаемых процессах и сервисах: контрольные суммы (MD5, SHA2-256, SHA1) файла процесса или сервиса, имя и размер файла, путь к нему, имена и пути к файлам, к которым получал доступ процесс, имена ключей реестра и их значения, к которым получал доступ процесс, участки оперативной памяти компьютера, URL- и IP-адреса, к которым обращался процесс или с которых был получен запускаемый файл.
• Имя учетной записи, от которой работает процесс, имя компьютера, на котором он запущен, заголовки окон процесса, идентификатор антивирусных баз, название обнаруженной угрозы согласно классификации «Лаборатории Касперского», уникальный идентификатор лицензии, дата истечения лицензии и её тип, информацию о версиях установленной на компьютере операционной системы (ОС) и пакетов обновлений, локальное время.

Для улучшения качества работы продукта Пользователь соглашается предоставлять следующую информацию в «Лабораторию Касперского»:
• Информацию об установленном на компьютере ПО Правообладателя: дата и время установки, название и версия ПО, версии установленных обновлений, данные об установленной лицензии (её идентификатор и тип), уникальный идентификатор установки ПО на компьютер и уникальный идентификатор компьютера, локализацию интерфейса, дату и время, установленные на компьютере в момент предоставления данных в KSN, идентификатор ребрендинга ПО.
• Информацию о версиях установленной на компьютере операционной системы (ОС) и установленных пакетов обновлений, текущем языке локализации ОС и языке локализации, заданным при установке ОС, версии и контрольных суммах (MD5, SHA2-256, SHA1) файла ядра ОС, архитектуре ОС, параметрах режима работы ОС, информацию о включении режима Device Guard.
• Информацию об установленном на компьютере программном обеспечении: его название и название его производителей, информацию о ключах реестра и их значениях, информацию о файлах компонент установленного программного обеспечения (контрольные суммы (MD5, SHA2-256, SHA1) файла, имя файла, путь к файлу на компьютере, размер, версия и цифровая подпись), тип приложения, в отношении которого было выполнено обнаружение.
• Информацию об установленном на компьютере аппаратном обеспечении: данные об объеме оперативной памяти, марке процессора (CPU) и количестве ядер, марке накопителей на жёстких дисках (HDD), тип, название, модель, версия прошивки, характеристики встроенных и подключенных устройств.
• В случае обнаружения угрозы, предоставляется признак того, что объект является контейнером, уровень целостности процесса.
• Информацию об использовании пользовательского интерфейса продукта: данные об открытых окнах интерфейса (идентификаторы и названия окон и использованных элементах управления) и переходах между окнами, данные, определяющие причину открытия окна, время и тип взаимодействия пользователя с интерфейсом, данные об изменении настроек и параметров продукта (название настройки или параметра, их старое и новое значения).
• Данные о возникших ошибках в работе компонент продукта: тип и время ошибки, а также идентификатор компонента продукта и задачи, при выполнении которой возникла ошибка.
• Данные о проверке защищённых соединений: используемый при соединении сертификат и его контрольные суммы (MD5, SHA2-256, SHA1), DNS- и IP-адрес (IPv4 или IPv6) сетевого ресурса, номер удалённого порта, имя и версия исполняемого приложения, установившего защищённое соединение, а также путь к данному приложению, код ошибки проверки защищённого соединения (при возникновении ошибки).
• Данные о найденном во время установки продукта несовместимом стороннем ПО: время и способ обнаружения несовместимого ПО, его имя и тип, локализация устанавливаемого продукта, дата выпуска компонента, отвечающего за обнаружение несовместимого стороннего ПО, информация о принятом пользователем решении относительно обнаруженного стороннего ПО.
• Данные о качестве обновления установленного продукта и антивирусных баз: IP-адрес (IPv4 или IPv6) используемого источника обновлений, тип задачи обновления, идентификатор предыдущего и текущего обновления ПО, количество и суммарный объём файлов, скачанных при обновлении, средняя скорость скачивания файлов обновлений, средняя скорость сетевых операций при обновлении, статус завершения задачи обновления, тип ошибки, которая могла произойти при обновлении, число неуспешных завершений обновления, идентификатор компонента продукта, которые выполняет обновление, значение фильтра TARGET задачи обновления; дата создания индексных файлов установленных и загружаемых обновлений, дата и время установленных и загружаемых обновлений.
• Информацию о ресурсах, используемых компонентами продукта при выполнении проверок объектов: фактическое и среднее время проверки разными компонентами продукта, общее, минимальное и максимальное время проверки, перехвате сетевого трафика, количество запросов на проверку, идентификатор операции проверки, время начала и окончания запуска сервисного процесса и интерфейса продукта «Лаборатории Касперского», длительность получения данных по стороннему ПО, количество событий в течение этого времени.
• Информацию о взаимодействии продукта и My Kaspersky: идентификатор и имя домена сервиса, к которому выполнен запрос, количество запросов и успешных/неуспешных соединений с каждым сервисом, количество ответов от каждого сервиса, количество ошибок и превышений времени ожидания при запросах, время начала и окончания получения данных о количестве запросов и соединений.
• Информацию о процессе, выполняющего атаку на самозащиту ПО: имя и размер файла процесса, его контрольные суммы (MD5, SHA2-256, SHA1), полный путь к нему и код шаблона пути, даты и время создания и компоновки файла процесса, признак исполняемого файла, атрибуты файла процесса, информацию о сертификате, которым подписан файл процесса, код учетной записи, от имени которой был запущен процесс, идентификатор операций, которые осуществлялись для доступа к процессу, тип ресурса, с которым выполняется операция (процесс, файл, объект реестра, поиск окна с помощью функции FindWindow), имя ресурса, с которым выполняется операция, успешность выполнения операции, репутация файла процесса и его сертификата по KSN.
• Идентификатор процесса ПО, который подвергся атаке.
• Идентификатор события аварийного завершения работы ПО или приложения, установленного на компьютере.
• Информацию о работе ПО на компьютере: данные по использованию процессора (CPU), данные по использованию памяти (Private Bytes, Non-Paged Pool, Paged Pool), количество активных потоков и количество потоков в состоянии ожидания, длительность работы ПО до возникновения ошибки.
• Информацию о системе на момент возникновения BSOD: имя и версия драйвера, из-за которого произошел BSOD, код проверки ошибки (bug check) и его параметры, стек сбоя драйвера, идентификатор типа обнаруженного участка памяти, созданного при сбое, признак длительность сессии ОС более 10 минут до BSOD или внезапного отключения питания (Unexpected Power off), уникальный идентификатор участка памяти ОС, дата и время BSOD, отчёты драйверов ПО из участка памяти (код ошибки, имя модуля, имя файла с исходным кодом и строка, где произошла ошибка), полный номер сборки ядра ОС, название, локализация и версия приложения, в котором обнаружен сбой, номер ошибки и её описание из системного журнала приложения, для которого обнаружен сбой, информация об исключительной ошибке в приложении, адрес сбоя приложения в формате смещения в модуле, имя и версия модуля приложения, в котором произошел сбой, признак сбоя приложения в плагине ПО, стек сбоя, время работы приложения до сбоя, метод определения сбоя ПО (драйверные перехваты, обработка трафика или количество ожидающих потоков), имя процесса, который инициировал перехват или обмен трафиком, который привел к сбою в ПО.
• Имя корневого индексного файла баз, его дата и время, вторичные индексные файлы и их дата и время для некоторых категорий обновления, имена некоторых файлов из обновляемых категорий и их контрольные суммы для скачанных и скачиваемых баз.
• Информацию о файле NativeImage: тип, имя, контрольные суммы файла (MD5, SHA2-256, SHA1), полный путь к файлу на компьютере, код шаблона пути к файлу, идентификатор версии модуля файла, контрольная сумма (SHA256) ЭЦП сборки, из которой создан проверяемый файл, и идентификатор метода определения сборки, идентификаторы результатов проверки целостности файла.
• Информацию о работе компонента «Защита от сбора данных»: URL-адрес, который добавляется пользователем в список исключений или удаляется из него, признак добавления или удаления URL из списка исключений, идентификатор настройки компонента.
• Информацию о компоненте «Мониторинг активности»: полный номер версии компонента, номер сборки, идентификатор текущего события компонента, обработка которого длилась дольше заданного периода времени, время обработки события, общее количество таких событий, название и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса-инициатора текущего события, название и код директории расположения файла на компьютере, максимально допустимое время обработки события, код события, которое переполнило очередь событий, и общее количество таких событий, название файла, директории и код директории расположения файла на диске процесса-инициатора текущего события, переполнившего очередь событий, контрольные суммы (MD5, SHA2-256, SHA1) такого файла, идентификатор события, обработка которого была прервана по истечению времени ожидания, идентификатор фильтра перехвата и тип события перехвата, размер очереди событий компонента на момент отправки статистики, разница между первым и текущим событием в очереди на момент отправки статистики, вероятность отправки статистики, идентификатор формирования статистики, тип сканирования, откуда продукт получил дату установки обнаруженного приложения, путь, дата и время установки и последнего использования обнаруженного приложения, состояние обнаруженного приложения, дата и время запуска ОС, дата и время получения события о совершении контролируемого действия в ОС, дата и время установки продукта, дата и время запуска компонента Мониторинг активности, количество переинициализаций антивирусных баз после их обновления, дата и время последней переинициализации антивирусных баз после их обновления, время задержки обработки события о совершении действия в ОС в подсистеме постоянного хранения событий, время задержки обработки события о совершении действия в ОС в подсистеме проактивной защиты, время задержки обработки события о совершении действия в ОС в подсистеме поведенческого анализа, количество ожидающих синхронных событий о совершении действия в ОС, количество обработанных событий о совершении действия в ОС, количество обработанных синхронных событий о совершении действия в ОС, количество задержанных событий текущего типа о совершении действия в ОС, суммарное время задержки всех событий текущего типа о совершении действия в ОС, суммарное время задержки всех событий о совершении действия в ОС.
• В случае обнаружения изменения контролируемой настройки системы предоставляется идентификатор категории изменяемой настройки, идентификатор типа изменения настройки, название браузера, к которому относится настройка.
• Информацию о работе компонента «Помощник по установке»: имя файла установки стороннего ПО, контрольные суммы (MD5, SHA2-256, SHA1) файла установки, его размер, тип, полный путь к нему, код шаблона пути, дополнительная информация о файле установки (описание и версия файла, название и версия ПО, которое устанавливает файл, название производителя ПО, внутреннее имя файла, первоначальное имя файла, уведомление об авторском праве, язык локализации ПО, признак наличия цифровой подписи, названия субъекта и организации, подписавших файл), дата и время последнего обновления антивирусных баз, установленных на компьютере, название категории файла установки согласно классификации Правообладателя, идентификатор, версия и тип используемой записи в антивирусной базе, признак обнаружения файла установки в отладочном режиме, тип и версия шаблона пользовательского интерфейса файла установки, его контрольные суммы (MD5, SHA2-256, SHA1), информация об использовании пользовательского интерфейса файла установки: идентификатор действия пользователя с элементом интерфейса, название, размещение и текст элемента интерфейса, признак наличия параметров командной строки при запуске файла установки, идентификатор сценария компонента, в рамках которого отправляется статистика, полная версия компонента.
• В случае обнаружения URL-адреса, который используется программой установки для загрузки контента, который может содержать рекламу или предложения об установке дополнительных программ, предоставляются обнаруженный URL-адрес (доменное имя из URL-адреса в случае обращения по защищённому протоколу), название категории URL-адреса согласно классификации Правообладателя, Referrer и IP-адрес (IPv4 или IPv6) обнаруженного URL-адреса.
• Информацию о неуспешной последней перезагрузке ОС: количество неуспешных перезагрузок.
• Информацию об обновлении установленных приложений: идентификаторы обновляемого приложения и его обновления, идентификаторы языка локализации приложения и его обновления, версия приложения до обновления, URL-адрес, используемый для загрузки установочного файла обновления, идентификатор ошибки его загрузки, в случае её возникновения, признак нарушения целостности установочного файла обновления, идентификатор действия пользователя при использовании списка исключений, тип обновляемого приложения, имена файлов процессов, препятствующих установке обновления, идентификатор результата обновления, параметры командной строки запуска установочного файла обновления, признак успешности установки обновления.
• Информацию о работе компонента «Очистка компьютера»: версию базы данных об установленных приложениях и их обновлениях, имя и версию проверенного приложения, папку в реестре, которая относится к данному приложению, папку, в которую было установлено приложение, строку с командой удаления приложения, язык локализации приложения, идентификатор результата проверки приложения, признак установки приложения только для текущего пользователя, признак проверки приложения в отладочном режиме, идентификатор действия пользователя при использовании списка исключений, типы рекомендованного к удалению и удаляемого приложения, имена файлов процессов, препятствующих удалению, идентификатор результата удаления, признак успешности удаления, информация о комплекте, в который входит обнаруженное ПО: идентификатор, версия, название, разработчик, идентификатор языка, тип основного приложения в комплекте, источник информации о дате его установки, дата и время установки и последнего использования основного приложения в комплекте, а также путь его установки, уровень предоставляемой защиты.
• Информацию об использовании функциональности Virtual Private Network (VPN): длительность сессии VPN, информация о географическом расположении сервера VPN, объём исходящего и входящего трафика, идентификатор сценария запуска сессии VPN и тип запуска, идентификатор действия пользователя при запуске сессии VPN, тип события, вызвавшего окончание сессии VPN, тип обработки информации о беспроводной сети, имя беспроводной сети, контрольная сумма (MD5) MAC-адреса точки доступа, данные о типе и защищенности беспроводной сети, контрольные суммы (SHA256), полученные с использованием уникального идентификатора установки ПО на компьютер, имени беспроводной сети и MAC-адреса точки доступа, признак наличия сценария запуска сессии VPN для беспроводной сети и URL-адреса, доменная часть URL-адреса, для которого активирован сценарий запуска сессии VPN, значение настройки, разрешающей отображение уведомлений о подключении к небезопасной беспроводной сети, тип запуска сессии VPN, идентификатор действия пользователя при запуске сессии VPN.
• Информацию об использовании адаптивных сценариев защиты: идентификатор действия ПО или пользователя при обнаружении ввода пароля; идентификатор настройки ОС, снижающей уровень защиты компьютера, идентификатор действия ПО или пользователя при обнаружении данной настройки ОС, тип субъекта, изменяющего настройку ОС, тип задачи сканирования, при выполнении которой обнаружена настройка ОС, результат выполнения задачи сканирования; контрольная сумма (SHA256), полученная с использованием уникального идентификатора установки ПО на компьютер и идентификатора статистики, а также идентификаторы признаков использования компьютера ребёнком.
• Информацию о каком-либо оповещении ПО: тип, идентификатор оповещения и контрольная сумма (MD5), полученная с использованием идентификатора компьютера и идентификатора отправляемой статистики, тип действий пользователя, свидетельствующих об активном использовании компьютера, а также описание приложения, активного в момент действия пользователя;
• Информацию об устройстве: MAC-адрес, тип, количество символов в названии, название производителя, метод обнаружения устройства в Wi-Fi сети; версия движка для определения устройства в Wi-Fi сети; тип, производитель, название и используемая ОС устройства, определенного в Wi-Fi сети, и другая техническая информация.
• Информацию об использовании приложений во время приостановки антивирусной защиты: название и контрольная сумма (MD5) исполняемого файла приложения, путь к файлу и код шаблона пути, информация о причине и длительности приостановки антивирусной защиты.
• Информацию о параметрах жесткого диска: идентификатор параметра S.M.A.R.T., данные атрибутов S.M.A.R.T., модель, серийный номер, наименование и версия встроенного программного обеспечения, размер, состояние, время работы, температура жесткого диска.
• Информацию об обнаружении несовместимого драйверного окружения: архитектура процессора, версия ядра ОС, полная версия ОС с указанием расширенных параметров и версии ядра, расширенная информация о CPU, название несовместимого драйвера, параметры целостности драйвера, состояние работы драйверов, полная версия драйверов, состояние поддержки гипервизора.

При участии в программе KSN для всех перечисленных выше целей Вы соглашаетесь предоставлять следующую информацию:
• Уникальный идентификатор установки ПО на компьютере.
• Полная версия установленного ПО.
• Идентификатор типа ПО.
• Уникальный идентификатор компьютера, на котором установлено ПО.

В зависимости от конкретного используемого или выбранного вами ПО будут также обрабатываться дополнительные данные.
Если вы используете приложение Kaspersky Internet Security или осуществляете переход на него, будут также обрабатываться следующие данные:
– Информацию о работе компонента «Безопасные платежи»: признак режима его работы, информация об изменениях, сделанных пользователем в списке веб-сайтов, которые защищаются компонентом: URL-адрес и Referrer (если есть) веб-сайта, признак добавления, редактирования или удаления веб-сайта, режим запуска компонента для данного веб-сайта, контекст изменения списка веб-сайтов; информация о браузере, который используется для посещения веб-сайта: URL-адрес и Referrer веб-сайта, название и версия браузера, тип запуска браузера, длительность и признак успешности запуска, данные об уровне его защиты и тип сообщения об уровне защиты, название и версия браузера, из которого был запущен используемый браузер.
– Информацию об обновлении установленных приложений: идентификаторы обновляемого приложения и его обновления, идентификаторы языка локализации приложения и его обновления, версия приложения до обновления, URL-адрес, используемый для загрузки установочного файла обновления, идентификатор ошибки его загрузки, в случае её возникновения, признак нарушения целостности установочного файла обновления, идентификатор действия пользователя при использовании списка исключений, тип обновляемого приложения, имена файлов процессов, препятствующих установке обновления, идентификатор результата обновления, параметры командной строки запуска установочного файла обновления, признак успешности установки обновления.
– Информацию о работе компонента «Удаление программ»: версию базы данных об установленных приложениях и их обновлениях, имя и версию проверенного приложения, папку в реестре, которая относится к данному приложению, папку, в которую было установлено приложение, строку с командой удаления приложения, язык локализации приложения, идентификатор результата проверки приложения, признак установки приложения только для текущего пользователя, признак проверки приложения в отладочном режиме, идентификатор действия пользователя при использовании списка исключений, типы рекомендованного к удалению и удаляемого приложения, име

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #128 : 06 Октябрь 2019, 17:31:18 »
Хакерское подразделение СГБ Узбекистана оказалось раскрыто из-за собственных ошибок

Исследователям удалось обнаружить используемые SandCat эксплоиты, а также разрабатываемое ею вредоносное ПО.


Специалистам компании «Лаборатория Касперского» удалось выявить киберпреступную группировку, предположительно связанную со Службой государственной безопасности Узбекистана, благодаря ошибкам, допущенным участниками подразделения, получившего название SandCat, при обеспечении собственной операционной безопасности. В частности, исследователи обнаружили ряд эксплоитов, используемых группировкой, а также вредоносное ПО, находящееся в процессе разработки, пишет издание Motherboard Vice.

Спойлер   :
Одна из сомнительных практик включала использование «названия военного подразделения, связанного с СГБ» для регистрации домена, задействованного в атаках. Кроме того, участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания. Еще одну ошибку группировка допустила, встроив скриншот с одного из компьютеров в тестовый файл, тем самым раскрыв крупную платформу для атак, которая находилась в разработке. Благодаря всем этим недочетам специалистам удалось выявить четыре эксплоита для уязвимостей нулевого дня, приобретенных SandCat у сторонних брокеров, а также отследить активность не только данной группировки, но и других хакерских групп в Саудовской Аравии и Объединенных Арабских Эмиратах, использующих те же эксплоиты.

В ходе проведенного исследования специалисты выявили, что IP-адреса машин, используемых для тестирования вредоносного ПО, связаны с доменом itt.uz, зарегистрированным на военную часть 02616 из Ташкента. Более того, с тех же компьютеров SandCat загружала образцы вредоносов на Virus Total.

Впервые эксперты ЛК выявили следы активности SandCat еще в 2018 году, однако в то время у них не было оснований предполагать связь группировки с СГБ. В своих операциях SandCat применяла вредонос под названием Chainshot, который также использовался группировками из Саудовской Аравии и ОАЭ. Однако в атаках SandCat была задействована другая инфраструктура, на основании чего эксперты пришли к выводу, что речь идет о разных преступниках.

По мнению экспертов, SandCat приобретала эксплоиты для атак у двух израильских компаний - NSO Group и Candiru. Обе фирмы прекратили поставлять SandCat эксплоиты в 2018 году, в результате группировка занялась разработкой собственного вредоносного ПО.

«Эти парни [SandCat] существуют уже давно и до недавнего времени я никогда не слышал о наличии у Узбекистана кибервозможностей. Так что для меня было шоком узнать, что они покупают все эти эксплоиты и атакуют людей, и никто никогда не писал о них», - отметил специалист исследовательской команды ЛК Брайан Бартоломью (Brian Bartholomew).

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #129 : 09 Октябрь 2019, 20:29:52 »
«Лаборатория Касперского» обнаружила инструмент для обхода шифрования в браузере
09.10.2019, Ср, 17:13


«Лаборатория Касперского» обнаружила вредоносный инструмент Reductor, который позволяет подменять генератор случайных чисел, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам. Это открывает перед злоумышленниками возможность втайне от пользователя следить за его действиями в браузере. Кроме того, найденные модули имели в своем составе функции удаленного администрирования, что делает возможности этого ПО почти неограниченными.

С помощью данного инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, преимущественно следили за трафиком пользователей.

Установка зловреда происходит в основном либо с помощью вредоносной программы COMPfun, идентифицированной ранее как инструмент кибергруппировки Turla, либо через подмену «чистого» ПО в процессе скачивания с легитимного ресурса на компьютер пользователя. Это, скорее всего, означает, что у злоумышленников есть контроль над сетевым каналом жертвы.

«Мы впервые столкнулись с такого рода вредоносной программой, позволяющей обойти шифрование в браузере и долгое время оставаться незамеченной. Уровень ее сложности позволяет предположить, что создатели Reductor — серьезные профессионалы. Часто подобные зловреды создаются при поддержке государства. Однако мы не располагаем доказательствами того, что Reductor имеет отношение к какой-либо конкретной кибергруппировке. Мы напоминаем всем компаниям, имеющим дело с конфиденциальными данными, о необходимости регулярно проверять степень защищенности корпоративной ИТ-инфраструктуры», — сказал Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

Все решения «Лаборатории Касперского» успешно распознают и блокируют программу Reductor.

Чтобы избежать заражения, «Лаборатория Касперского» рекомендует: регулярно проводить аудит безопасности корпоративной ИТ-инфраструктуры; установить надежное защитное решение с компонентом защиты от веб-угроз, позволяющим распознавать и блокировать угрозы, которые пытаются проникать в систему через зашифрованные каналы, например Kaspersky Security для бизнеса, а также решение корпоративного уровня, детектирующее сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform; подключить SOC-команду к системе информирования об угрозах, чтобы у нее был доступ к информации о новых и существующих угрозах, техниках и тактиках, используемых злоумышленниками; регулярно проводить тренинги по повышению цифровой грамотности сотрудников.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #130 : 12 Февраль 2020, 21:27:08 »
«Лаборатория Касперского»: злоумышленники используют названия сервисов для знакомств
12.02.2020, Ср, 17:22, Мск

По данным опроса «Лаборатории Касперского», приложениями для онлайн-знакомств в России пользуется почти каждый пятый (19%). Злоумышленники не упускают возможности монетизировать интерес к ним. Эксперты «Лаборатории Касперского» обнаружили, что в 2019 г. авторы мобильных зловредов часто использовали названия популярных дейтинговых сервисов. Всего было найдено 1963 подобных вредоносных файла для мобильных устройств. В 1262 из них использовалось название Tinder, а в 263 — Badoo.

Спойлер   :
Так, одно из приложений, которое на первый взгляд выглядит как Tinder, на самом деле является банковским троянцем, который постоянно требует у пользователя предоставления расширенных прав GoogleAccessibility Service — сервиса, созданного с целью облегчить использование приложений людям с ограниченными возможностями. После получения этих прав зловред самостоятельно выдает себе все разрешения, необходимые для кражи денег пользователя. Другое приложение после установки фиксируется в системе под названием Settings, при запуске показывает поддельное сообщение об ошибке и скрывается из списка приложений, чтобы через некоторое время вернуться для показа навязчивой рекламы.

Кроме того, мошенники разрабатывают фишинговые схемы, позволяющие зарабатывать на желании найти партнера для свидания. В рамках одной из распространенных тактик пользователь знакомится с девушкой, и, когда дело доходит до назначения встречи, та предлагает сходить в кино, сама выбирает кинотеатр и сеанс и присылает ссылку, по которой нужно забронировать билеты. Если пользователь оплачивает билеты, его деньги попадают к мошенникам, а человек, с которым он переписывался, перестает выходить на связь.

Помимо фишинговых схем регулярно появляются новые поддельные копии дейтинговых сервисов. Мошенники используют их для сбора личных данных — ценного актива.

«Сайты знакомств пользуются огромной популярностью, и злоумышленники не упускают возможность сыграть на этом. Мы напоминаем о необходимости быть внимательными и рекомендуем скачивать только легитимные версии подобных сервисов из магазинов приложений, а также не делиться слишком большим количеством информации о себе с незнакомцами», — сказал Владимир Кусков, руководитель отдела исследования сложных угроз «Лаборатории Касперского».

Чтобы избежать рисков, связанных с использованием различных сервисов знакомств, «Лаборатория Касперского» рекомендует: скачивать приложения только из официальных источников и при установке проверять, к каким разрешениям есть доступ у каждого из них; не оставлять большое количество личной информации в своих профилях; не доверять слишком активным незнакомцам и не переходить по подозрительным ссылкам в сообщениях от незнакомых людей; прежде чем регистрироваться в том или ином сервисе, посмотреть его рейтинг и почитать отзывы о нем; использовать защитное решение, такое как Kaspersky Internet Security для Android.

yzek65

  • Модератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 5223
  • -> Вас поблагодарили: 15377
  • Сообщений: 6632
  • Респект: +905/-0
Новости от «Касперский»
« Ответ #131 : 15 Февраль 2020, 10:52:17 »
Интенсивность DDoS-атак резко выросла

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в последней четверти 2019 года.

Отмечается, что по сравнению с четвёртым кварталом 2018-го количество DDoS-кампаний увеличилось практически в два раза. В то же время рост по отношению к третьей четверти 2019 года оказался не слишком большим.

Спойлер   :
Эксперты зафиксировали значительное увеличение числа «умных» DDoS-атак. Кроме того, в минувшем квартале злоумышленники продолжили осваивать нестандартные протоколы, применение которых повышает вероятность успеха вредоносной кампании.

Прошлый квартал продемонстрировал рост количества пиринговых (P2P) ботнетов. В отличие от классических, они не зависят от командных серверов, поэтому их сложнее обезвредить.

Основная тенденция последнего квартала 2019 года — это увеличение активности ботнетов по воскресеньям. Доля атак именно в этот день недели возросла на 2,5 % — до 13 %. Хотя такие изменения могут показаться незначительными, стоит учитывать, что доля DDoS-атак по воскресеньям составляла около 10–11 % в течение других трёх кварталов прошлого года.

Первое место по количеству атак занял Китай с долей в 58,46 %. На втором месте оказались Соединённые Штаты с результатом в 17,49 %. Замыкает тройку Япония — 4,86 %. Россия в первую десятку не входит.

Что касается географического распределения ботнетов, то их абсолютное большинство (58,33 %) оказалось зарегистрировано на территории США. На втором месте находится Великобритания (14,29 %), на третьем — Китай (9,52 %).

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #132 : 20 Август 2020, 19:06:30 »
«Лаборатория Касперского» рассказала о фишинговых атаках во 2 квартале

«Лаборатория Касперского» опубликовала отчет о фишинговых атаках во 2 квартале текущего года, составленный на основе данных использования защитных решений российской компании. Как и следовало ожидать, фишеры по максимуму использовали тему пандемии и связанных с ней карантинных ограничений. Так, например, многие кредитные организации предлагали клиентам в период пандемии разного рода бонусы. Этим не замедлили воспользоваться мошенники, массово рассылавшие письма с предложением авторизоваться на фальшивых страницах для получения финансовых льгот. Аналогичным образом эксплуатировались и инициативы правительств многих стран, направленные на облегчение положения граждан.

Спойлер   :
Скажем, пользователи в Бразилии получали уведомления о том, что правительство страны приняло решение освободить их от оплаты счетов за электроэнергию. Чтобы воспользоваться этой возможностью требовалось зарегистрироваться на сайте, перейдя по содержащейся в уведомлении ссылке – вела она, разумеется, на вредоносную страницу.

Чаще других жертвами фишинговых атак во втором квартале становились пользователи из Венесуэлы, где атакам подверглись 17,56% процента от общего числа пользователей. Далее следуют Португалия - 13,51%, Тунис - 13,12%, Франция - 13,08% и Бразилия - 12,91%. Если говорить о доменах верхнего уровня, чаще всего используемых организаторами фишинговых атак, то на первом месте с большим отрывом, естественно, идет домен .COM - 43,56% от общего числа всех доменных имен, задействованных в атаках. За ним расположились .NET (3,96%) и .TOP (3,26%).


student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #133 : 14 Декабрь 2020, 18:42:47 »
«Лаборатория Касперского» выпустила инструмент для определения источника и авторов вредоносного ПО
14.12.2020 [14:39]

«Лаборатория Касперского» представила Kaspersky Threat Attribution Engine — аналитический инструмент для определения источника и авторов вредоносного программного обеспечения.

Kaspersky Threat Attribution Engine предназначен для корпораций и государственных ведомств, которые хотели бы понять, кто стоит за атаками на их ресурсы. Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, определять источники и организаторов. «Зная, кто и с какой целью атакует компанию, сотрудники отделов по IT-безопасности могут быстро разработать и запустить план по реагированию на инцидент», — поясняют в «Лаборатории Касперского»

Спойлер   :


Чтобы выяснить, от какой именно преступной группы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает обнаруженный образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». База данных содержит экземпляры вредоносного ПО, собранного компанией за 22 года работы на рынке информационной безопасности.

В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Kaspersky Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, даёт короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен также подробный отчёт о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.

Систему можно развернуть в изолированной среде, защищённой от доступа сторонних лиц к обрабатываемой информации и отправляемых в неё объектах. Дополнительные сведения о продукте можно найти на сайте kaspersky.ru/enterprise-security/cyber-attack-attribution-tool.

student

  • Супермодератор
  • Аксакал
  • *****
  • Спасибо
  • -> Вы поблагодарили: 38529
  • -> Вас поблагодарили: 36355
  • Сообщений: 16384
  • Респект: +2308/-0
Новости от «Касперский»
« Ответ #134 : 26 Январь 2021, 20:33:25 »
«Лаборатория Касперского» рассказала о трендах корпоративной кибербезопасности на 2021 год
26.01.2021, Вт, 14:47,

Опрос «Лаборатории Касперского» показал, что в 2021 году компании планируют решать вопросы нехватки опытных специалистов и экономии бюджетов путём перевода функций IT и кибербезопасности на аутсорс. Вот ещё некоторые тренды, которые видят эксперты.

В связи с массовым переходом на удалённый формат работы традиционной защиты периметра уже недостаточно, важно учитывать и домашние офисы. Необходимо использовать инструменты для сканирования уровня безопасности рабочего пространства — от поиска уязвимостей в ПО до проверки на подключение к незащищённой точке Wi-Fi. Также потребуется более широкое распространение VPN, привилегированное управление доступом, системы мультифакторной аутентификации, внедрение более строгого мониторинга и обновление существующих планов по реагированию на киберинциденты.

Сервисные модели позволяют обеспечить требуемый уровень кибербезопасности с меньшим объёмом инвестиций. По данным «Лаборатории Касперского», 69% крупных компаний как в России, так и во всём мире планируют работать по MSP- или MSSP-модели. Это позволит им минимизировать вложения и перевести затраты из капитальных в операционные.

Тренинги для внутренних IT-специалистов должны включать обучение навыкам управления. В области кибербезопасности часто нужны очень узкие специалисты, поиск которых обходится бизнесу довольно дорого. В этом случае может помочь аутсорс. Однако компаниям, которые отдают на аутсорс ключевые компоненты кибербезопасности, следует развивать у внутренних команд навыки управления, чтобы они могли регулировать эти функции.

Растёт востребованность облачных сервисов и, соответственно, необходимость в их защите. Согласно опросу «Лаборатории Касперского», некорпоративное ПО и облачные сервисы, такие как социальные сети, мессенджеры или другие приложения, сотрудники используют для работы в подавляющем большинстве российских организаций (в 83% крупных и 87% небольших компаний). Чтобы обезопасить корпоративные данные, нужно более строго отслеживать то, как осуществляется доступ к облачным сервисам. Сотрудникам отделов по кибербезопасности следует отладить эти процессы и выработать навыки управления облачными средами и их защиты.

«Мы видим два новых важных тренда в том, что клиенты ожидают от корпоративной кибербезопасности. Во-первых, то, что защита должна быть качественной, перестало быть вопросом для обсуждения, а воспринимается как непреложный факт. Другой большой тренд — интеграция разных компонентов корпоративной безопасности от одного поставщика. Долгое время в индустрии было распространено мнение, что для обеспечения наиболее эффективной защиты лучше сочетать специализированные решения от разных вендоров. Теперь же организации стремятся к единому подходу и максимально возможной интеграции между разными технологиями безопасности», — говорит Александр Моисеев, директор по развитию бизнеса «Лаборатории Касперского».