Все новости о вирусах и антивирусах

[student]

Вирус-шифровальщик атаковал тысячи школ по всему миру

Американский разработчик платформы школьного ПО Finalsite стал жертвой вируса-вымогателя — вредоносной программы, которая шифрует данные на зараженных компьютерах и требует выкуп в обмен на разблокировку. Атака затронула сайты более 8 тысяч учебных заведений по всему миру.

В результате действий злоумышленников были временно отключены сайты школ старших классов, интернатов и колледжей. Около 4500 пострадавших учреждений расположены в США, еще около 3500 — в других странах.

В компании сообщили, что зафиксировали атаку еще во вторник, 4 января, после чего изолировали свои компьютерные системы. Накануне сайты "большинства наших школ вернулись в онлайн", передает CNN со ссылкой на представителей Finalsite. "В настоящее время у нас нет никаких свидетельств того, что данные были скомпрометированы", — добавили в компании.

Из-за хакерской атаки пострадавшие школы некоторое время не могли оповещать учащихся о закрытии классов на карантин из-за коронавируса, а также принимать заявки на участие в образовательных программах. Кроме того, возникли проблемы с дистанционным обучением.

По данным киберзащитной компании Emsisoft, за последние три года вирусы-шифровальщики ежегодно атакуют более тысячи школ в США. "К сожалению, нет оснований полагать, что 2022 год будет существенно отличаться от предыдущих лет по числу инцидентов", — отметил аналитик по угрозам Emsisoft Бретт Кэллоу.

[student]

Обнаружен неизвестный ранее бэкдор для Windows, macOS и Linux
15.01.2022 [20:48]

Исследователи из компании Intezer, работающей в сфере информационной безопасности, обнаружили неизвестное ранее вредоносное программное обеспечение, которое не детектируется многими антивирусными инструментами. Вредонос, получивший название SysJoker, впервые был замечен на Linux-сервере «ведущего учебного заведения». Позднее им удалось выявить версии бэкдора для Windows и macOS.

Открытие Intezer любопытно сразу по нескольким причинам. Прежде всего стоит отметить, что кроссплатформенное вредоносное ПО встречается достаточно редко. Также было установлено, что SysJoker написан с нуля и для обеспечения его работы использовалось четыре отдельных сервера управления и контроля, что говорит о высоком уровне подготовки и доступе к значительным ресурсам авторов вредоноса. Необычно и то, что ранее неизвестное вредоносное ПО для Linux было обнаружено используемым на практике. Анализ версий SysJoker для Windows и macOS показал, что вредоносное ПО предоставляет расширенные возможности бэкдора.

Исполняемый файл вредоноса имеет расширение .ts. После попадания на устройство жертвы вредонос маскируется под системное обновление. В сообщении сказано, что SysJoker написан на C++, и версии ПО для Linux и macOS не обнаруживаются системой поиска вредоносных программ VirusTotal. Специалисты Intezer считают, что SysJoker в настоящее время используется неизвестными злоумышленниками для шпионажа, а также не исключают, что в будущем он может помочь в распространении программ-вымогателей.

[student]

Vmware: системы Linux подвергаются атакам программ-вымогателей и криптоджекинга

Vmware провела исследование угроз вредоносного ПО на базе Linux Exposing Malware in Linux-Based Multi-Cloud Environments. Linux, как наиболее распространенная облачная операционная система, является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентировано на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.

В числе главных выводов, в которых описаны сценарии использования вредоносных программ злоумышленников для атак на ОС Linux: программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах; в 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig; более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.

Спойлер   :

«Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых — операционные системы на базе Linux, чтобы добиться максимального эффекта при минимальными усилиях, — отметил Джованни Винья (Giovanni Vigna), старший директор подразделения анализа угроз безопасности компании Vmware. — Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Злоумышленники атакуют как публичные, так и частные облачные среды. К сожалению, существующие средства противодействия вредоносному ПО в основном направлены на устранение угроз для серверов под управлением Windows, поэтому многие облака становятся уязвимыми для атак, основная цель которых — ОС на базе Linux».

Успешно проведенные атаки программ-вымогателей на облачные среды могут иметь катастрофические последствия для систем безопасности. Атаки программ-вымогателей на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных — так реализуется схема двойного вымогательства. Программы-вымогатели эволюционировали, чтобы атаковать/задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах. Злоумышленники теперь ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примерами этому могут служить программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и программы-вымогатели семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на всей территории США.

Киберпреступники, нацеленные на быстрое получение прибыли, часто охотятся за криптовалютой, используя для атаки один из двух подходов: внедряют вредоносное ПО для кражи из онлайн-кошельков; монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый криптоджекинг). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) — в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.

Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок — это Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.

За период с февраля 2020 по ноябрь 2021 г. подразделение анализа угроз Vmware обнаружило в сети более 14 тыс. активных серверов Cobalt Strike Team. Общая доля взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, то есть более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа как Cobalt Strike и Vermilion Strike стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.

«Наше исследование показало, что все больше семейств программ-вымогателей переходят в категорию вредоносного ПО на базе Linux, существует вероятность атак, которые могут использовать уязвимости Log4j, — сказал Брайан Баскин (Brian Baskin), менеджер по исследованию угроз компании Vmware. — Выводы нашего отчета могут быть использованы для более глубокого понимания природы вредоносных программ на базе Linux и сдерживания растущей угрозы, которую сейчас представляют программы-вымогатели, криптомайнеры и программы удаленного доступа для мультиоблачных сред. Поскольку атаки, нацеленные на облако, продолжают развиваться, организациям следует придерживаться концепции «нулевого доверия» Zero Trust для обеспечения безопасности всей инфраструктуры».

[vladimir1949]

Эксперты предупредили о новейшем банковском трояне Xenomorph, который распространяется через Play Маркет
25.02.2022 [11:25]

Открытая природа экосистемы Android привлекает как пользователей, так и разработчиков ПО. Тем не менее, далеко не все из них добросовестны. Эксперты компании Threat Fabric предупредили о появлении банковского трояна Xenomorph, уже заразившего многие Android-смартфоны — в первую очередь клиентов 56 европейских банков.

В докладе сообщается, что уже насчитывается 50 000 установок вредоносного ПО из маркетплейса Google Play. Примечательно, что вредоносный код прятался в приложении Fast Cleaner, маскировавшемся под инструмент очистки устройства от цифрового мусора и оптимизации работы аккумулятора. Тем не менее основной целью была именно кража данных.

Как выяснила Threat Fabric, Xenomorph принадлежит к семейству троянов-дропперов Gymdrop. Судя по всему это вредоносное ПО того же семейства, что и троян Alien, который Threat Fabric обнаружила в ноябре 2021 года.


При «посредничестве» приложения Fast Cleaner, вирус Xenomorph может получить доступ к учётным данным банковских онлайн-приложений. Он отслеживает активность пользователя и немедленно предлагает собственную форму для авторизации вместо настоящей — пользователь может подумать, что он работает с реальным банковским софтом. В действительности вся банковская информация передаётся трояну.

Судя по всему, Xenomorph всё ещё пребывает на ранней стадии распространения. Тем не менее, по данным Threat Fabric, от его действий уже пострадали пользователи банковских приложений из Испании, Португалии, Италии и Бельгии, а также владельцы некоторых криптокошельков и пользователи почтовых приложений.

[student]

Среднестатистическому хакеру для поиска уязвимостей требуется менее 10 часов времени
29.09.2022 [16:22]

Исследование Института SANS и компании Bishop Fox, работающей в сфере информационной безопасности, показало, что среднестатистический «белый» хакер обнаруживает уязвимости, позволяющие проникнуть во внутреннюю сеть жертвы, в среднем менее чем за 10 часов. Быстрее это сделать удаётся специалистам, занимающимся тестированием безопасности облачных систем. После обнаружения уязвимости или слабого места около 58 % «белых» хакеров проникают во внутреннюю сеть менее чем за 5 часов.

В ходе упомянутого исследования были опрошены 300 экспертов в сфере информационной безопасности. По словам респондентов, чаще всего уязвимости и слабые места, позволяющие проникнуть во внутреннюю сеть, связаны с уязвимыми конфигурациями IT-инфраструктуры, недостатками программного обеспечения и недостаточно защищёнными веб-сервисами.

Спойлер   :

Результаты исследования отражают показатели реальных злонамеренных атак и подчёркивают ограниченное количество времени, которым располагают компании для обнаружения и реагирования на киберугрозы, считает Том Эстон (Tom Eston), помощник-вице-президента Bishop Fox. «Пять или шесть часов для взлома, необходимые этичному хакеру, не являются большой неожиданностью. Это соответствует тому, что делают настоящие хакеры, особенно с помощью социальной инженерии, фишинга и других реальных векторов атак», — отметил Эстон.

По мнению опрошенных специалистов, многие организации не обладают возможностями для оперативного обнаружения и реагирования на хакерские атаки. В Bishop Fox считают, что исследование компании должно убедить организации сосредоточиться на предотвращении атак и обеспечении безопасности своих IT-систем. Для минимизации ущерба им необходимо со стремительной быстротой реагировать на подобные инциденты. Отмечается, что человеческий фактор продолжает оставаться наиболее уязвимым местом, поскольку около 49 % успешных атак проводятся с применением инструментов социальной инженерии и фишинга.

Также в ходе исследования был составлен профиль среднестатистического «белого» хакера. Почти две трети респондентов имеют опыт работы от 1 до 6 лет, только 1 из 10 этичных хакеров работает в профессии менее года, а около 30 % — имеют опыт работы от 7 до 20 лет. Большинство «белых» хакеров имеют опыт работы в сфере сетевой безопасности (71 % респондентов), внутреннего тестирования на проникновение (67 % респондентов) и безопасности приложений (58 % респондентов).

[student]

Выполнить DDoS-атаку или взломать аккаунт в соцсетях стало проще — хакеры снизили расценки
11.10.2022 [13:56]

Согласно исследованию Positive Technologies, сейчас кибератаки больше обсуждают в мессенджерах, чем на форумах киберпреступников. За последний год число предложений услуг хакеров в Telegram резко выросло, что привело к падению расценок, сообщает РБК.

По данным Positive Technologies, стоимость проведения DDoS-атаки в течение суток в настоящий момент составляет $40 (2,6 тыс. руб. по текущему курсу), взлом аккаунта во «ВКонтакте» — в пределах от $10 до $50 (630–3,13 тыс. руб.), взлом мессенджеров Telegram, Viber и WhatsApp — от $350 (22 тыс. руб.). В ходе исследования было проанализировано 323 публичных канала и группы в Telegram с количеством подписчиков более 1 млн.

Спойлер   :

В 2021 году компания BI.ZONE приводила расценки на хакерские услуги: взлом аккаунта во «ВКонтакте» тогда стоил от 700 руб. до 12 тыс. руб., аккаунта в Telegram — от 30 тыс. до 170 тыс. руб., в WhatsApp — от 20 тыс. до 130 тыс. руб.

Также снизилась стоимость вредоносного ПО. По словам аналитика исследовательской группы Positive Technologies Екатерины Семыкиной, за последние четыре года расценки на вредоносное ПО для шифрования упали примерно в 27 раз, с $270 до $10.

Инструменты для запутывания кода стоят от $20 до $100 (от 1,26 тыс. до 6,27 тыс. руб.), а ботнет (сеть компьютеров, заражённая вредоносным софтом) или руководство по его созданию обойдётся гораздо дороже — до $750 (47 тыс. руб.). Цены на вымогательское ПО составляют десятки долларов.

Аналитик назвала причиной популярности Telegram среди злоумышленников то, что в нём проще создавать анонимные аккаунты. Также за четыре года вредоносов написано множество, товар стал менее уникальным, и даже хакеры с низким уровнем квалификации могут собрать вредонос, чтобы потом продавать его в сети.

Всего во втором квартале этого года в Telegram было размещено более 27 тыс. постов на хакерскую тематику, что в 2,5 раза больше, чем за аналогичный период прошлого года.

По словам экспертов, хакеры начали массово переходить в мессенджеры с киберпреступных форумов после того, как в 2020–2021 гг. несколько крупных форумов были взломаны из-за уязвимостей. Большинство сообщений в мессенджерах (52 %) касаются пользовательских данных, включая их продажу, 29 % — посвящены различным услугам киберпреступников, 15 % — распространению вредоносного ПО, 3 % — обсуждению уязвимостей и эксплойтов, 1 % — проблемам доступа к корпоративным сетям.

[vladimir1949]

Встроенный антивирус Windows потерпел фиаско при сравнении с 17 конкурентами

Интегрированный в ОС Windows 11 антивирус Microsoft Defender неожиданно показал один из худших результатов по версии AV-Test в сравнении со своими 18 конкурентами. «Защитник» справился не со всеми 0-day-атаками и тормозил работу системы. В ходе предыдущих этапов испытаний, проводившихся в Windows 10, показатели фирменного антивируса Microsoft были гораздо более высокими.

Microsoft Defender в аутсайдерах

Microsoft Defender («защитник Windows»), встроенная в ОС Windows 11 система защиты от вредоносного ПО, продемонстрировала один из худших результатов в серии тестов, проведенных лабораторией AV-Test.

AV-Test – независимая организация, которая занимается тестированием и сертификацией антивирусного и иного ПО в сфере информационной безопасности для операционных систем Windows и Android. Лаборатория AV-Test расположена в Магдебурге (Германия).

Спойлер   :

В актуальном итоговом рейтинге ИБ-решений для домашнего использования AV-Test антивирус Microsoft разделил последнюю строчку с ПО Application Whitelisting американской компании PC Matic, набрав 16 баллов, то есть уступил 17 (из 18) конкурентам. Как выяснили специалисты лаборатории, «защитник» существенно замедляет копирование файлов и установку программ и не столь хорош при выявлении атак с использованием уязвимостей нулевого дня.

Не всех так плохо

С одной стороны, подобный результат указывает на то, что Microsoft есть куда стремиться в развитии базового инструмента защиты своей операционной системы. С другой, математически отставание от лидеров рейтинга у Defender, на самом деле, минимальное. Получившие наивысший рейтинг от AV-Test программы набрали всего на три балла больше.


Оценки качества потребительских антивирусных Windows-решений по версии AV-Test

Примечательно, что это первое исследование ПО в данной категории, проведенное AV-Test в среде Windows 11. Ранее программная часть конфигурация тестового стенда была представлена ее предшественницей – Windows 10. Причем в прошлом Microsoft Defender для этой версии ОС неоднократно удостаивался высшего балла лаборатории. Например, по итогам июня 2022 г. «защитник» оказался в числе лидеров, а аутсайдерами стали все тот же Application Whitelisting (PC Matic) и Total AV (Protected.net).

Методология исследования

Каждый исследуемый продукт оценивается по трем критериям: защита (protection), производительность (performance) и удобство использования (usability). В каждой из них антивирусное решение может получить от нуля до шести баллов, в зависимости от того, насколько хорошо оно себя проявило в ходе испытаний. Таким образом, каждый из участников рейтинга может заработать максимум 18 баллов. Получившие не менее 10,5 балла удостаиваются «знака качества» (seal of approval) лаборатории, 17,5 балла и выше – звания «лучшего продукта» (top product).

Качеству защиты специалисты присваивают оценку на основании двух показателей: надежность защиты от атак вредоносов с помощью уязвимостей нулевого дня, включая веб- и email-угрозы; стабильность в выявлении широко распространенных вредоносных программ, обнаруженных за последние четыре недели.

Оценка производительности антивируса в основном сводится к расчету того, насколько сильно работа решения в фоновом режиме замедляет выполнение распространенных пользовательских операций, таких как копирование файлов, посещение популярных веб-сайтов, запуск стандартных приложений.

В категории «удобство» AV-Test оценивает влияние антивируса на общий комфорт пользователя при выполнении типовых операций на ПК, а не продуманность интерфейса самой исследуемой программы, как можно было бы подумать. Так, на полученный балл влияют, к примеру, частота ложных срабатываний антивируса при посещении определенных страниц в интернете и попытке установки легитимного ПО.

Специалисты AT-Test утверждают, что при выполнении тестирования используют самые свежие версии антивирусного ПО, доступные широкой публике, и не ограничивают их в автоматической установке обновлений и доступе к облачным службам, если таковые попытки будут предприняты программой.

«Мы сосредоточились на реалистичных сценариях тестирования и проверили продукты на соответствие реальным угрозам. Продукты должны были продемонстрировать свои возможности, используя все компоненты и уровни защиты», – говорится в отчете AV-Test.

Лидеры и антилидеры рейтинга

В общей сложности в испытаниях приняло участие 19 антивирусных продуктов. Из них 11 получили высший балл. Это V3 Internet Security 9.0 (AhnLab), Avast Free AntiVirus 22.6 и 22.7, Avast One Essential 22.6 и 22.6, AVG Internet Security 22.6 и 22.7, Avira Internet Security for Windows 1.1, Bitdefender Internet Security 26.0, GData Total Security 25.5, K7 Security Total Security 16.0, Kaspersky Internet Security 21.3 российской «Лаборатории Касперского», Malwarebyte Premium 4.5, Norton 360 22.22.

Несколько не дотянули до них, но все равно показали себя более чем достойно Trendmicro Internet Security 17.7, Vimpre Advanced Security 11.0 и eScan Internet Security Suite. Эта троица уступила конкурентам по надежности защиты, набрав 5,5 балла, как и у Microsoft Defender. К слову, в вопросах обеспечения безопасности хуже них оказался только TotalAV 5.17 (5 баллов).

Также по полбалла до максимально возможной оценки не добрали F-Secure SAFE-18 и McAfee Total Protection 26.0. Результаты их тестирования AV-Test выявили некоторые проблемы производительности. В частности, продукт MacAfee отличился существенным замедлением работы системы при установке на компьютер стороннего ПО.

[student]

Антивирусы нового поколения меняют правила игры

Антивирусное программное обеспечение G Data сделано в Германии 360pxВ последние годы антивирусное программное обеспечение претерпело глубокую метаморфозу. Это решительный ответ производителей на все более сложные и дерзкие атаки киберпреступников. Есть антивирусы нового поколения, которые меняют правила игры, например, от G Data Software .

На протяжении десятилетий антивирусное программное обеспечение использовало файлы на основе сигнатур для идентификации вирусов. В настоящее время это метод, который не гарантирует остановки хакеров, потому что он является реактивным . Вирус должен быть выпущен и начать заражать системы и сети, а после обнаружения поставщики проводят анализ, разрабатывают сигнатуру и обновляют свое программное обеспечение.

Спойлер   :

« Этот старомодный подход не работает с головокружительной скоростью, с которой киберпреступники создают вирусы и другие типы вредоносных программ. В наши дни поставщики антивирусов используют технологии на основе ИИ, такие как машинное обучение и прогнозная аналитика. Вместо того, чтобы полагаться на файлы сигнатур, программное обеспечение выявляет нарушения, анализируя шаблоны и поведение пользователей

, — объясняет Роберт Дземянко , G DATA Software.

Внедренные в последние годы инновации в антивирусной сфере позволяют решать задачи, связанные с ИТ-безопасностью, в более широком масштабе. Что на практике означает остановку таких атак, как программы- вымогатели или брутфорс (методика взлома паролей или криптографических ключей, заключающаяся в проверке всех возможных комбинаций).

Одним из примеров технологии, основанной на машинном обучении, является DeepRay от G DATA, который использует нейронные сети, чтобы определить, достаточно ли подозрительны новые неизвестные файлы. В свою очередь, механизм Зверяотслеживает поведение кода в операционной системе и сохраняет информацию о каждой подозрительной активности в локальной небольшой базе данных. Стоит подчеркнуть, что он не идентифицирует вредоносные файлы как таковые, а наблюдает за моделями вредоносного поведения и их ассоциациями. Beast очень полезен для обнаружения атак нулевого дня и необычного или вредоносного кода, разработанного для данного объекта.

Одной из самых больших киберугроз как для бизнеса, так и для бизнес-пользователей является вредоносное ПО-вымогатель , которое шифрует данные, хранящиеся на локальных и сетевых дисках. По данным Cybersecurity Ventures, в 2021 году каждые 11 секунд компания становилась жертвой такого типа атак. Вот почему ведущие поставщики антивирусов предлагаютмодули защиты от программ-вымогателей .

G DATA Software разработала запатентованную технологию защиты от шифрования жесткого диска. Для частных клиентов этот компонент активирован по умолчанию, а для бизнес-клиентов его необходимо активировать «вручную».

Киберпреступники получают огромную прибыль от своей деятельности, что позволяет им создавать все более изощренные вредоносные программы. Поставщики программного обеспечения для обеспечения безопасности не должны отставать и должны всегда держать руку на пульсе.

-" В этом году ожидается дальнейшее развитие поведенческого анализа на основе искусственного интеллекта и машинного обучения. Мы намерены развивать обнаружение, основанное на наблюдении за процессами, улавливании моделей вредоносного поведения и их связей.

- объявляет Роберт Демьянко.

[student]

Таинственный новый троян надежно удаляет файлы с дисков в Украине

Эксперты ESET в конце января 2023 г. выявили хакерскую атаку на Украинские инфосистемы при помощи утилиты SwiftSlicer. Она запускает очень надежный алгоритм удаления важных системных файлов на ПК с Windows с минимальной возможностью восстановления. Утилита написана на Golang – фирменном языке Google, который интернет-гигант разрабатывает с 2007 г.

Массовая кибератака

В Сети выявлено новое вредоносное ПО SwiftSlicer для принудительного удаления данных на компьютерах под Windows. Обнаружившая его компания ESET, автор известного антивируса NOD32, считает, что этот софт использовался в ходе недавней массированной кибератаки на Украину.

ESET ушла из России в марте 2022 г. в знак поддержки санкций. Ее эксперты полагают, что софт SwiftSlicer использовался для атаки на Украину хакерской группировкой Sandworm.

Темная история

Спойлер   :

Специалисты ESET обнаружили атаку при помощи SwiftSlicer 25 января 2023 г. Они не сообщают, на кого именно она была направлена – это могли быть как обычные пользователи, так и конкретные организации. Количество пострадавших в результате этой атаке тоже не раскрывается.

Хакеры могут в любой момент найти новую цель для SwiftSlicer, не обязательно в Украине.
Не исключено, что основной целью хакеров были в первую очередь организации. По данным Bleeping Computer, недавняя атака Sandworm затронула, в том числе, национальное информационное агентство Украины «Укринформ».

В ESET сообщают, что хакеры запустили SwiftSlicer на компьютерах жертв с использованием групповой политики Active Directory, которая позволяет администраторам домена выполнять сценарии и команды на всех устройствах в сети Windows. Исследователи компании утверждают, что SwiftSlicer был развернут для удаления теневых копий и перезаписи важных файлов в системном каталоге Windows, в частности, драйверов и базы данных Active Directory.

Восстановить файлы после того, как на накопителе поработал SwiftSlicer, почти невозможно. Утилита перезаписывает данные, используя блоки по 4096 байт (4 КБ), которые заполняются случайно сгенерированными битами и байтами. В финале программа перезагружает компьютер, на котором работала.

Гарантия выполненной работы

Как пишет Bleeping Computer, при атаке как минимум на компьютеры «Укринформ», хакеры из Sandworm использовали «коктейль» из шести вредоносных утилит. Предназначение каждой из них – удаление данных с накопителя.

Для чего злоумышленникам нужна была такая перестраховка, остается загадкой. Возможно, ответ кроется в выборе программ, из которых лишь четыре работают под Windows.

Хакеры провели атаку при помощи Windows-утилит CaddyWiper, ZeroWipe и SDelete в дополнение к упомянутой SwiftSlicer. Также использовались утилиты BidSwipe под FreeBSD и AwfulShred для Linux.

В опасности каждый

Хакеры Sandworm, согласно информации из открытых источников, обладает внушительным опытом кибератак. В частности, осенью 2022 г. они провели серию выпадов при помощи нового вымогателя Prestige. Целями были выбраны транспортные и логистические компании Украины и Польши.

В теории, используемые группой Sandworm могут быть использованы против любого пользователя интернета. Но многие из них уже есть в базах данных антивирусов. Например, SwiftSlicer была добавлена в VirusTotal 26 января 2023 г. Менее чем через неделю программа научились обнаруживать 43 из 70 антивирусных систем, которые анализирует VirusTotal.

Как Google помогает хакерам

Утилита SwiftSlicer, согласно информации ESET была создана при участии корпорации Google, хотя и косвенно. Разработчики написали этот малварь на языке Go, он де Golang, который создан в недрах Google.

Релиз первой стабильной версии Golang состоялся в ноябре 2009 г., спустя два года после начала работы над ним. Google продолжает развивать и совершенствовать его на протяжении более 13 лет. За этот немалый по меркам языков программирования срок Go дорос до версии 1.19.5, датированной 10 января 2023 г.

В последние годы Golang стал одним из любимейших языков программистов, создающих именно вредоносное ПО. Он покорил их в первую очередь своей универсальностью – написанный на нем код может быть скомпилирован почти для всех платформ и оборудования.

CNews писал, что киберпреступники отдают предпочтение не только Go, но также языкам D (Dlang), Nim и Rust. Однако, судя по всему, из этой четверки больше всего им нравится именно Rust. Хакеры действительно способствуют росту популярности всего квартета, но за год Golang поднялся в рейтинге Tiobe с 13 на 12 места, тогда как Rust взлетел с 26 на 18. Dlang находится на 46 месте, а Nim не входит в топ-50.

[student]

Через поисковую рекламу в Google ведётся массированная вирусная атака — компания пообещала разобраться
04.02.2023 [14:56]

Поиск дистрибутивов популярных программ через Google всегда был сопряжён с некоторым риском, но в последние дни киберпреступники значительно активизировались — ссылки на ресурсы с вредоносными загрузками показываются в рекламном блоке над органической поисковой выдачей. Сама же Google видимых действий не предпринимает, пишет Ars Techinca со ссылкой на информацию от организации Spamhaus.

Спойлер   :

По ссылкам в рекламе открываются сайты, с которых скачиваются поддельные установочные файлы таких известных программ как Adobe Reader, GIMP, Microsoft Teams, OBS, Slack, Tor, MSI Afterburner и Thunderbird. В реальности компьютеры заражаются вирусами семейств AuroraStealer, IcedID, Meta* Stealer, RedLine Stealer, Vidar, Formbook и Xloader. Ранее эти вредоносы распространялись через фишинговые кампании и спам, но за последний месяц киберпреступники облюбовали рекламную платформу Google Ads, демонстрирующую объявления в поисковой выдаче.

Вредоносы используют сложные механизмы виртуализации, что усложняет их обнаружение, и отправляют по нескольку HTTP-запросов на разные адреса, только один из которых принадлежит настоящему управляющему серверу — серверы же размещаются у общедоступных облачных провайдеров, включая Azure, Tucows, Choopa и Namecheap.

Представитель Google заявил, что киберпреступники часто используют сложных механизмы маскировки вредоносной активности, и компания за последние годы «запустила новые политики сертификации», направленные на проверку рекламодателей. О всплеске мошеннических действий в последние дни компания осведомлена — борьба с ними у неё в приоритете.

[student]

В трояне-шифровальщике для ОС Linux есть дыра, позволяющая жертвам вернуть свои файлы, не заплатив ни копейки

Специалисты по информационной безопасности изучили недавно обнаруженный Linux-вариант вируса-шифровальщика известной группировки кибервымогателей Clop. Как выяснилось, он имеет массу недостатков, которых лишена его более зрелая версия для Windows-систем. Эти недостатки позволили экспертам очень быстро подготовить простой и универсальный инструмент для восстановления зашифрованных в результате атаки файлов. Он доступен уже в течение нескольких месяцев и дает возможность пострадавшим от действий злоумышленников ничего не платить Clop.

Уязвимый шифровальщик

Специалисты в области информационной безопасности из компании SentinelLabs выявили ряд изъянов Linux-версии вируса-шифровальщика известной вымогательской группировки Clop. Они позволяют жертвам вредоноса сравнительно легко восстановить собственные файлы, не заплатив злоумышленникам ни копейки. Инструменты, обеспечивающие расшифровку данных, «обработанных» вредоносным ПО Clop доступны в течение нескольких последних месяцев. Об этом сообщило издание Bleeping Computer.

Спойлер   :

Вариант шифровальщика Clop, нацеленного на серверы под управлением операционных систем семейства Linux, впервые был обнаружен в декабре 2022 г. специалистом SentinelLabs Антонисом Терефосом (Antonis Terefos). Первой известной целью Linux-версии вируса стала инфраструктура одного из университетов Колумбии. В атаке на нее также применялся и Windows-вариант вредоносной программы.

Как отмечает Bleeping Computer, Windows- и Linux-версии шифровальщика Clop во многом схожи: обе используют идентичный метод шифрования и в них заложена практически одинаковая логика действий. Тем не менее между ними есть и несколько существенных отличий, в основном обусловленных разницей в API операционных систем. Версия для Linux пока отстает от своего Windows-собрата по имеющейся функциональности.

Шифровальщик группировки Clop для Linux оказался полным недостатков
Рассчитанное на целевые системы под управлением Linux вымогательское ПО Clop находится на раннем этапе разработки, и ему, с точки зрения злоумышленника, недостает качественной обфускации (запутывания кода) и надежных механизмов защиты от обнаружения. Кроме того, вредонос просто кишит уязвимостями, использование которых дает жертвам атак с его участием вернуть себе доступ к ранее утраченным файлам без выплаты выкупа, отмечает издание.

Цель – серверы баз данных Oracle

Исполняемый файл (ELF) шифровальщика Clop для Linux при запуске порождает новый процесс, который пытается добиться повышения собственных привилегий в системе до уровня, позволяющего осуществить шифрование данных.

Файлы и директории, входящие в сферу интересов вредоноса, могут располагаться в домашнем каталоге рядовых пользователей (“/home”), суперпользователя (“/root”), каталоге “/opt”, предназначенном для размещения дополнительного ПО, каталогах Oracle (“/u01”-“/u04”), в которых хранятся файлы баз данных Oracle или использующиеся в качестве точек монтирования для ПО Oracle.

Нацеленность именно на БД Oracle является нетипичной для вирусов-шифровальщиков под Linux – они, как правило, стремятся установить контроль над файлами виртуальных машин VMware под управлением гипервизора ESXi.

В Linux-версии, в отличие от Windows-варианта, также не реализован алгоритм хэширования, который позволяет вередоносу отсеивать определенные типы файлов и не тратить ресурсы на их шифрование. Отсутствует в нем и механизм, позволяющий по-разному обрабатывать файлы различного размера. Кроме того, программе недостает поддержки приема аргументов командной строки, которая могла бы обеспечить злоумышленнику более гибкое управление процессом шифрования данных.

Недостатки функциональности шифрования

В своем нынешнем виде Linux-вариант программы-вымогателя группировки Clop не шифрует ключи RC4 (Rivest cipher 4; поточный шифр) в то время, как в его более зрелой версии для Windows соответствующая мера предусмотрена – используется ассиметричный RSA-подобный алгоритм.

Вместо этого Linux-версией используется единственный заданный в коде «мастер-ключ» RC4, применяемый при генерации ключа шифрования для обработки данных жертвы и его же хранения в локальном файле в опять же зашифрованном «мастер-ключом» виде. Кроме того, вариант вредоноса Clop для проведения атак на Linux-системы не осуществляет валидацию ключа RC4 – в отличие от ситуации с Windows-версией.

Как поясняют эксперты по ИБ, при использовании подобной схемы необходимые криптографические ключи возможно извлечь, а ранее зашифрованные данные – откатить к исходному состоянию. SentinelLabs для этих целей предлагает собственноручно разработанный скрипт на языке Python (содержит всего 146 строк кода), который можно загрузить на хостинге проектов GitHub.

Ко всему прочему специалисты SentinelLabs обратили внимание на тот факт, что Linux-воплощение вируса при записи зашифрованного ключа в файл также добавляет туда некоторое количество дополнительной информации, такой как, к примеру, размер соответствующего файла и время шифрования. Сведения такого рода разработчикам следовало бы держать в тайне, поскольку они позволяют осуществить выборочное восстановление конкретных особо ценных файлов, отмечает Bleeping Computer.

Придется доработать

Вирус-вымогатель Clop для Linux вряд ли получит широкое распространение в текущем его виде, считают эксперты. Легкая доступность скрипта для дешифрования вынудит его авторов поработать над улучшением своего творения.

В разговоре с Bleeping Computer представитель SentinelLabs заявил, что компания передала разработанный ей инструмент для восстановления данных, правоохранительным органам, которые, в свою очередь, смогут оказать помощь пострадавшим от нового вредоноса Clop организациям.

Лучше плохой инструмент, чем его полное отсутствие

Применение Linux-варианта в атаках группировки Clop, несмотря на все его недостатки, по мнению специалистов по ИБ, свидетельствует о том, что злоумышленникам важно иметь хоть какой-то инструмент для воздействия на сегменты инфраструктуры под управлением ОС семейства Linux, чем не иметь его вовсе.

По данным Positive Technologies, число хакерских атак на Linux-системы в III квартале 2022 г. в мире увеличилось более чем в два раза по сравнению со II кварталом того же года. Доля инцидентов с участием Linux выросла с 12% до 30%.

Согласно аналитическому отчету «Лаборатории Касперского», только в заключительном квартале 2022 г. от целевых атак шифровальщиков пострадало не менее 730 организаций по всему миру. В числе наиболее активных группировок, принявших участие в атаках, – Clop.

[student]

Операторы связи предупредили о грядущем апокалипсисе квантовых угроз — они дают на их отражение не больше десяти лет

IBM, Vodafone и члены GSMA опубликовали программный документ, в котором наметили важнейшие пути защиты телекоммуникационных компаний от киберугроз квантовой эпохи. И хотя группа не ожидает появления потенциально опасной квантовой системы взлома до 2032 года, для ряда направлений угроза перестала быть призрачной. Под удар уже попадает информация для длительного хранения под грифом «Секретно» и персональные данные граждан. Действовать надо немедля.

Документ Post Quantum Telco Network Impact Assessment об оценке влияния квантовых технологий на телекоммуникационные сети можно загрузить по этой ссылке. Это 57-страничный текст для специалистов, в нём проводится углублённый анализ угроз в сфере квантовой безопасности, с которыми уже сталкивается и вскоре ещё сильнее столкнётся отрасль, а также приводится подробный пошаговый список действий и решений для подготовки к смягчению этих угроз.

Спойлер   :

В частности, в документе даётся оценка связанных с квантовыми киберугрозами бизнес-рисков для конкретных операторов связи, включая четыре типа атак, оказывающих наибольшее воздействие: накопление данных сейчас, расшифровка позже; подпись кода и цифровые подписи; а также изменение истории и атаки на менеджеры ключей. Например, злоумышленники могут уже сегодня накапливать информацию, защищённую до невозможности взлома за разумное время, с надеждой дешифровать её после появления квантовых платформ.

Противостоять будущим угрозам можно будет только с принятием новых стандартов безопасности, которые уже, к слову, разрабатывает та же компания IBM. Это касается не только протоколов и алгоритмов кодирования, но также SIM-карт, инфраструктуры открытых ключей, цифровых сертификатов и многого другого. Учитывая общую инерцию всех бюрократических структур, возникают резонные опасения, что за десять лет серьёзно изменить что-то будет или невозможно, или крайне сложно.

«Появление такой технологии [квантовой киберугрозы] требует немедленной подготовки, поскольку некоторые формы атак могут быть ретроспективными (например, "хранить сейчас, расшифровать потом"). Мотивированные злоумышленники могут собирать и хранить данные сейчас, чтобы расшифровать их, когда станут доступны определённые возможности квантовых вычислений. Как говорится в отчёте, такие субъекты могут делать это, чтобы "подорвать безопасность данных с длительным сроком сохранения конфиденциальности, таких как корпоративные IP, государственные секреты или индивидуальные биоданные"», — сказано в пресс-релизе компании IBM.

[student]

Украденные у Activision данные о сотрудниках появились в открытом доступе
01.03.2023 [15:24]

Данные, украденные у игрового издателя Activision в результате декабрьского инцидента неизвестными киберпреступниками, появились в открытом доступе на одном из популярных форумов в даркнете. Персональная информация пользователей среди них отсутствует.



Факт произведённого в декабре 2022 года взлома Activision подтвердила несколько дней назад, и события стали развиваться по худшему сценарию. Данные, как заявили сами хакеры, были украдены с инстанса Activision в CDN инфраструктуры Azure — они включают в себя 20 тыс. записей о сотрудниках игрового гиганта: полные имена, адреса электронной почты, номера телефонов и адреса офисов. Информация не была выставлена на продажу, а выложена в открытый доступ в формате текстового файла.

Спойлер   :

Взлом был произведён при помощи фишинговой кампании с использованием SMS. Жертвой атаки оказался сотрудник отдела кадров Activision, который, не осознавая последствий своих действий, передал злоумышленникам данные для доступа к ресурсам компании. Представитель Activision подтвердил утечку данных, но заявил, что хакеры не смогли получить доступ к «конфиденциальным данным сотрудников», хотя независимое расследование эту версию опровергло, а опубликованная киберпреступниками информация фактически не оставила на ней камня на камне.

В результате взлома была похищена также информация, относящаяся к готовящейся к выходу игровой продукции — в Activision заявили, что она конфиденциальной не является. Компания также заверила, что данные геймеров и клиентов злоумышленникам похитить не удалось. Однако публикация персональной информации сотрудников Activision в открытом доступе способна в значительной мере осложнить их работу — следует ожидать целой волны очередных фишинговых атак.

[vladimir1949]

Неизвестный троян напал на серверы Microsoft, стоящие на Тайване

Бэкдор неизвестного происхождения эксплуатирует функцию сбора метаданных входящих запросов FREB. Таким образом ему удается сохранять скрытность.

Подслушивающее устройство

Интернет-серверы Microsoft IIS (Internet Information Services) атакует новый вредонос под названием Frebniss, который выполняет функции бэкдора и позволяет скрытно запускать произвольные команды, присылаемые через веб-запросы.

Frebniss обнаружили эксперты Symantec Threat Hunter Team. По их данным, операторы Frebniss в основном атакуют жертв на территории Тайваня.

Microsoft IIS выполняет функции, собственно, веб-сервера и платформы для хостинга веб-приложений, таких как Outlook for the Web и Microsoft Exchange.

В ходе атак, которые изучили эксперты Symantec, хакеры эксплуатировали функцию IIS под названием Failed Request Event Buffering (FREB — буферизация неудачного запроса), которая отвечает за сбор метаданных поступающих запросов: IP-адреса, HTTP-заголовки, файлы Cookie. Смысл этой функции — помочь администраторам сервера устранять проблемы, возникающие при обработке запросов или появлении неожиданных статусов HTTP.

Спойлер   :

Вредонос встраивает код в одну из функций DLL-файла, отвечающего за управление FREB (iisfreb.dll), тем самым обеспечивая оператору возможность перехватывать и мониторить все запросы HTTP POST, направляемые на сервер ISS. Когда вредонос выявляет специфические HTTP-запросы, отправленные операторами атаки, он вычленяет из них команды, которые должны быть запущены на сервере.

Как он туда попал?

Эксперты Symantec отметили, что для компрометации модуля FREB злоумышленники уже должны были получить доступ к серверу, но каким именно образом им это удалось, пока остается неизвестным.

Сам по себе инъектируемый вредоносный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода на языке C# прямо в оперативной памяти устройства (без следов на жестком диске), что сильно затрудняет его обнаружение.

Он также ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.

Второй HTTP-параметр закодирован с помощью base64. Это инструкция для Frebniis установить соединение и выполнить команды на других системах через скомпрометированный IIS. В теории это позволяет добраться до защищенных внутренних систем, которые недоступны из внешней сети.

Основной целью эксплуатации FREB является скрытность — вредонос таким образом маскируется от средств обнаружения, и делает это крайне эффективно: никаких следов, никаких файлов, никаких подозрительных процессов в системе не формируется.

В Symantec отметили, что продвинутые средства мониторинга сетевого трафика могут помочь обнаружить признки активности вредоносов, в том числе Frebniis.

«Учитывая, что механизм первоначальной компрометации остается неизвестным, эта программа может быть еще зловредней, чем следует из отчета Symantec, — полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Впрочем, подобные программы обычно используются в целевых атаках, поэтому нельзя исключать, что первоначальный взлом и вовсе осуществляется вручную, или злоумышленники покупают его у брокеров в даркнете. Возможно также, что Frebniis используется в комбинации с каким-то другим вредоносом, который пока не удалось перехватить».

[student]

Более миллиона сайтов на WordPress были взломаны за последние пять лет через плагины и темы
12.04.2023 [19:09]

Широкомасштабная кампания по внедрению вредоносного кода в сайты под управлением WordPress, получившая название Balada Injector, продолжается не менее пяти лет. По меньшей мере миллион сайтов были скомпрометированы с использованием уязвимостей плагинов и тем WordPress. После внедрения на сайт вредоносный код перенаправляет посетителей на мошеннические сайты, включая фейковые службы поддержки, незаконные лотереи и запросы на решение Captcha.

Одновременно внедрённые скрипты ищут конфиденциальную или потенциально полезную информацию, такую как журналы доступа, логи ошибок, файлы с отладочной информацией, инструменты администрирования баз данных, учётные данные администратора и многое другое. Они также загружают на сайты бэкдоры для постоянного доступа и захвата сайта.

Спойлер   :

Исследователи лишь недавно объединили вредоносную активность в единую кампанию, которая не показывает никаких признаков замедления. «Только в 2022 году наш внешний сканер сайтов SiteCheck обнаружил это вредоносное ПО более 141 000 раз, при этом более 67 % сайтов с заблокированными ресурсами загружали скрипты с известных доменов Balada Injector», — отметили эксперты по безопасности компании Sucuri.

Balada Injector используют уязвимости безопасности в плагинах и темах системы управления контентом (CMS) WordPress. Плагины — это модульные надстройки для WordPress позволяющие администраторам сайта добавлять различные функции, такие как проведение опроса, поддержка доски объявлений или интеграция электронной коммерции. Уязвимости в темах и плагинах WordPress могут позволить злоумышленнику внедрить код или получить несанкционированный доступ к сайту.

По оценкам экспертов, сейчас WordPress используется на 60 % сайтов. Такая популярность делает WordPress мишенью для огромного числа злоумышленников. А если добавить к этому огромный объём кода, доступность настроек, сложность экосистемы плагинов и отсутствие последовательных методов безопасности, становится понятно, почему WordPress настолько привлекательна для киберпреступников.

Эксперты по безопасности только за неделю с 15 марта насчитали 37 недавно обнаруженных и исправленных уязвимостей в плагинах и одну уязвимость темы, которые затронули более 6 миллионов сайтов на WordPress. Также известно о 27 уязвимостях в плагинах и 3 уязвимостях в темах, для которых ещё не выпущено исправлений. И эти цифры не являются чем-то из ряда вон выходящим. Всего в 2022 году выявлено 1425 уязвимостей плагинов и тем WordPress.

«WordPress определённо нуждается в обновлении на регулярной основе, тем более, если у вас есть сайт с большим количеством плагинов и стороннего кода, и это один из многих примеров, когда безопасность оказывается слишком сложной для обычного пользователя, который использует сайт для ведения бизнеса», — отмечает Кейси Эллис (Casey Ellis), основатель и технический директор платформы Bugcrowd bug bounty.

Sucuri отслеживает новые волны активности Balada Injector, возникающие каждые две недели, с перерывами между ними, которые «вероятно используются для сбора и тестирования недавно обнаруженных уязвимостей и уязвимостей нулевого дня».

Даже крупные организации не застрахованы от проблем с безопасностью WordPress. Часто сайт разрабатывается и поддерживается отдельным работником или небольшой командой. Эти сотрудники больше заинтересованы в поддержании актуальности сайта, чем в обеспечении его безопасности, в следствие чего пропускаются исправления и предупреждения системы безопасности. Чтобы защититься от Balada Injector и других угроз WordPress, необходимо убедиться, что всё программное обеспечение сайта обновлено, неиспользуемые плагины и темы удалены, а брандмауэр включён.