Поиск

Эксперты «Лаборатории Касперского» завершили расследование ограбления банкомата и вышли на след хорошо подготовленной кибергруппировки, за которой могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak. В процессе расследования сотрудниками банка был обнаружен пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA – поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь. Уже на следующий день после создания правил YARA эксперты «Лаборатории Касперского» нашли то, что искали, – образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане. Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах. Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата. «Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», – сказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». Защитные решения «Лаборатории Касперского» успешно распознают и блокируют атаки ATMitch.

Эксперты «Лаборатории Касперского» изучили предложения на черном рынке DDoS-услуг и выяснили, что DDoS-атаки сегодня становятся все более недорогим и эффективным инструментом в руках злоумышленника. Себестоимость организации подобной атаки составляет примерно $7 в час, тогда как ущерб достигает тысяч и миллионов долларов, сообщили в «Лаборатории Касперского». «Сегодня организация DDoS-атак по уровню сервиса уже вполне сравнима с обычным бизнесом. Главное отличие состоит в том, что у исполнителя и заказчика нет прямого контакта друг с другом: заказ атаки осуществляется с помощью веб-сервисов, на которых можно выбрать нужную услугу, внести оплату и даже получить отчет о проделанной работе. В некоторых случаях для заказчиков даже предусмотрена система кредитов и бонусов, которые начисляются за каждую приобретенную атаку, — рассказали в компании. Говоря языком бизнеса, таким образом киберпреступники развивают программы лояльности и клиентский сервис. Из-за подобной простоты и удобства количество регистраций на многих веб-сервисах для организации DDoS измеряется десятками тысяч: правда, стоит учитывать, что эти цифры могут завышаться владельцами сервисов с целью искусственного увеличения популярности ресурса». Цена DDoS-атаки может варьироваться, в среднем заказчик платит примерно $25 в час. Если учесть, что злоумышленники тратят на организацию атаки с использованием ботнета из 1000 рабочих станций около $7 в час, то чистая прибыль киберпреступников от каждого часа атаки в данном случае составляет около $18. Как выяснили в «Лаборатории Касперского», на стоимость атаки влияет множество факторов. Например, ее сценарий и источник: так, ботнет из популярных IoT-устройств стоит дешевле, чем ботнет, организованный из серверов. Также имеет значение длительность инцидента и местонахождение заказчика: так, организация DDoS-атаки на англоязычных ресурсах стоит дороже аналогичных предложений на русскоязычных. Помимо этого, большое значение имеют особенности конкретной жертвы. Атаки на государственные сайты, а также на ресурсы, защищаемые от DDoS с помощью специальных решений, стоят в разы дороже, потому что атаковать первые рискованно, а вторые — технически сложно. Например, на одном из преступных сервисов атака на сайт без защиты стоит до $100, а на защищенный ресурс — от $400. Альтернативным и зачастую более выгодным для преступников сценарием является шантаж: злоумышленники требуют у жертвы выкуп за то, чтобы не начинать DDoS-атаку или прекратить уже идущую. Сумма выкупа может составлять тысячи долларов в биткойнах. При этом вымогателям даже не обязательно обладать ресурсами для атаки, достаточно лишь одного сообщения с угрозой. «Преступники продолжают активно искать новые, более дешевые способы организации ботнетов и более хитрые сценарии атак, с которыми сложнее справиться защитным решениям, — рассказал Денис Макрушин, антивирусный эксперт «Лаборатории Касперского». Поэтому пока в Сети есть достаточное количество уязвимых серверов, компьютеров и IoT-устройств, и пока многие компании предпочитают оставаться без защиты от DDoS, рентабельность, частота и сложность таких атак будет лишь расти». Некоторые преступники не брезгуют, наряду с организацией подобных атак, предоставлять и защиту от них, однако эксперты «Лаборатории Касперского» не рекомендуют пользоваться подобными услугами.

Арбитражный суд Москвы отказал в удовлетворении иска производителя антивирусов «Лаборатория Касперского» о защите своего фирменного наименования к АО «НПО "Лаборатория Касперского"». Как посчитал суд, две компании занимаются разной деятельностью и их продукция не может быть спутана потребителем. Напомним, в сентябре 2016 года «Лаборатория Касперского» обратилась в Арбитражный суд Москвы с требованием запретить АО «НПО "Лаборатория Касперского"» использовать аналогичное название и сменить его. По мнению истца, НПО незаконно использует его фирменное наименование и торговый знак. Как указывается в решении суда, компании занимаются разными видами деятельности. Деятельность истца в основном связана с ПО по защите информации, тогда как виды деятельности ответчика, зарегистрированного летом 2016 года, - научные исследования и разработки в области естественных и технических наук, консультирование по вопросам коммерческой деятельности и управления и пр. Кроме того, суд проанализировал названия организаций и пришел к выводу, что они не являются тождественными. Согласно выписке из ЕРГЮЛ, полное наименование ответчика звучит как «Научно-производственное объединение "Лаборатория Касперского"», а истца – Акционерное Общество «Лаборатория Касперского». Таким образом, в наименовании НПО только два слова из пяти совпадают с используемыми в названии производителя антивирусов. Также, указал суд, слово «лаборатория» является общеупотребительным и может относиться к различным видам деятельности, а фамилия «Касперский» ассоциируется не только с гендиректором ЛК, но и с известным шахматистом (по всей видимости, речь идет о шахматисте Антоне Касперском). Кроме того, суд не получил доказательств, что НПО незаконно использует товарный знак «Лаборатории Касперского» - «KASPERSKY» и «KASPERSKYlab», отмечается в решении. Как подчеркнули в «Лаборатории Касперского», НПО не имеет никакого отношения к производителю антивирусов. В ближайшее время компания намерена обжаловать решение суда.

В продукте для защиты детей Kaspersky Safe Kids появилась новая функция по мониторингу групп и пабликов ребенка во «ВКонтакте», рассказали в «Лаборатория Касперского». Таким образом компания рассчитывает помочь родителям быть в курсе того, состоит ли их ребенок в потенциально опасных группах в этой социальной сети. Для того чтобы узнать, в каких группах состоит ребенок, нужно подключить его профиль «ВКонтакте» на портале My Kaspersky — далее система будет автоматически один или два раза в сутки проверять все группы, в которых состоит ребенок, и предупреждать, если среди них окажутся подозрительные. Отчет можно будет увидеть на портале My Kaspersky. Таким образом родители будут оперативно узнавать обо всех изменениях, пояснили в компании. Система осуществляет мониторинг всех групп ребенка на предмет наличия в них потенциально опасного контента. Защитное решение выдает предупреждение в случае, если в группах обсуждаются такие темы, как наркотики, алкоголь, жестокость, насилие, порно, суицид, оружие и т.п. Кроме того, система информирует родителя и в том случае, если ребенок решит присоединиться к так называемым «впискам» — популярным сейчас группам о домашних вечеринках, участвовать в которых, в ряде случаев, может любой желающий. Согласно статистике «Лаборатории Касперского», почти 70% интернет-активностей российских детей приходится на средства онлайн-коммуникации, и социальные сети составляют львиную долю такого общения. «Социальные сети, разумеется, не являются абсолютным злом для детей. Напротив, это естественное продолжение общения и взаимодействия со сверстниками и особый способ познания мира. Однако в силу своей неопытности дети отнюдь не всегда понимают, что некоторые их действия в соцсетях могут повлечь за собой негативные последствия. Незнакомцы в “друзьях”, излишняя откровенность, открытый доступ к личным данным, присоединение к сомнительным пабликам и группам — все это может угрожать психологическому комфорту и физической безопасности ребенка, — рассказала Дарья Лосева, эксперт по детской интернет-безопасности «Лаборатории Касперского». Основная задача родителей — научить ребенка, с кем можно общаться через социальные сети, а с кем общение может быть потенциально опасным. В этом случае специализированные программы, такие как Kaspersky Safe Kids, не только становятся своеобразной страховкой детей в цифровом мире, но и помогают старшему поколению вовремя распознать потенциальную угрозу». Решение Kaspersky Safe Kids совместимо со всеми популярными операционными системами. Программа помогает родителям быть в курсе, что ребенок делает в интернете и сколько времени он там проводит, а также дает возможность получать оповещения о звонках и SMS на смартфоне ребенка и определять его текущее местонахождение благодаря функции геолокации. Помимо технических средств защиты, решение также содержит подборку советов психолога, которые помогают родителям понимать причины того или иного поведения детей и адекватно оценивать степень риска для них.

«Лаборатория Касперского» представила новую версию решения Kaspersky Password Manager, которое позволяет хранить логины и пароли, а также вводить их в различных приложениях и сервисах. С помощью решения пользователь может создавать сильные кодовые комбинации для устройств на платформах Windows и OS X, при этом введенные вручную пароли автоматически проверяются на безопасность, сообщили сегодня в «Лаборатории Касперского». В то же время, пользователь нового Kaspersky Password Manager получает удаленный доступ к своим паролям через личную страницу на портале My Kaspersky — это удобно в том случае, когда нет возможности установить приложение или требуется ввести данные с чужого устройства. Найти же нужную комбинацию символов для каждого сайта и сервиса теперь еще легче благодаря голосовому управлению (для браузера Google Chrome). Обновленная версия Kaspersky Password Manager позволяет также импортировать базу паролей из других аналогичных решений, отметили в компании. Согласно опросу, проведенному компанией B2B International по запросу «Лаборатории Касперского» в августе 2016 г., больше половины (52%) российских пользователей опасаются того, что их пароли могут попасть в руки киберпреступников. Даже личные фотографии и видеозаписи менее важны — о них волнуется только 33% респондентов. Подобная расстановка приоритетов имеет под собой основания: по данным того же опроса, каждый шестой интернет-пользователь в России сталкивался с попыткой взлома онлайн-аккаунта. «Пользователей можно понять — сегодня у большинства из нас имеются десятки различных учетных записей: почта, социальные сети, онлайн-банкинг, игры, мессенджеры и многое другое. Трудно придумать и запомнить сложный пароль к каждому аккаунту.Однако для таких случаев есть специальные приложения, например, Kaspersky Password Manager, которые позволяют генерировать надежные комбинации символов, разные для каждого сервиса, хранить их в защищенном виде, синхронизировать на разных устройствах и автоматически вводить в формы на сайтах. Пользователю же при этом нужно запомнить только один мастер-пароль вместо десятков. Эти приложения обеспечивают безопасность учетных записей и освобождают память для других забот», — заявила Елена Харченко, руководитель отдела управления продуктами для домашних пользователей «Лаборатории Касперского». Базовая версия решения Kaspersky Password Manager доступна бесплатно. Всеми новыми функциями теперь могут воспользоваться владельцы компьютеров Windows и Mac. Специально для пользователей новых MacBook Pro также появилась возможность заменить мастер-пароль отпечатком пальца. Скачать бесплатную версию Kaspersky Password Manager можно на странице www.kaspersky.ru/password-manager.

«Лаборатория Касперского» объявила об обнаружении программы, которая позволяет переносить бот Mirai с зараженного Windows-узла на любое уязвимое «умное» устройство, работающее на Linux. Как рассказали в компании, таким образом ботнет теперь может пополняться не только за счет прямого взлома гаджетов интернета вещей, но и за счет заражения их через традиционные ПК (в случае если «умное» устройство подключено к компьютеру). Ботнет Mirai, ставший самым крупным в истории ботнетом из «умных» устройств и позволивший злоумышленникам в конце 2016 года провести серию масштабных DDoS-атак, может стать еще мощнее и крупнее. Код программы-распространителя гораздо чище и богаче, чем оригинальный исходный код Mirai, но ее функциональность пока довольно ограничена – программа способна переносить бот Mirai с Windows на Linux только в том случае, если пароль к удаленному telnet-соединению в «умном» устройстве возможно угадать методом подбора. Тем не менее очевидно, что код программы-распространителя создан крайне опытным разработчиком. Собранные «Лабораторией Касперского» артефакты – языковые метки в ПО, сборка кода на китайской системе, чьи серверы расположены в Тайване, а также использование украденных у китайских компаний сертификатов подписи – указывают на то, что программа могла быть создана китайскоговорящим разработчиком. По данным «Лаборатории Касперского», только в 2017 году Mirai атаковал по меньшей мере 500 уникальных систем, а с учетом новых возможностей в будущем число жертв этого зловреда может значительно увеличиться. Под удар Mirai в 2017 году попали в основном развивающиеся страны: Россия, Индия, Вьетнам, Китай, Пакистан, Филиппины, Бангладеш, Саудовская Аравия, ОАЭ, Иран, Марокко, Египет, Турция, Тунис, Малави, Молдавия, Румыния, Бразилия, Венесуэла, Колумбия и Перу. «Появление «моста» между Linux и Windows для Mirai действительно вызывает беспокойство, поскольку это говорит о том, что в игру вступили более опытные разработчики. Они воспользовались публикацией исходного кода Mirai, и теперь их отточенные навыки и техники могут вывести угрозу на новый уровень.Windows-ботнет, распространяющий боты Mirai для «умных» устройств, открывает для зловреда новые девайсы и сети, которые ранее были недоступны. И это только начало», – отметил Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского». В настоящее время «Лаборатория Касперского» тесно взаимодействует с CERT-командами, хостинг-провайдерами и сетевыми операторами по всему миру, чтобы помочь интернет-инфраструктуре справиться с растущей угрозой и нейтрализовать как можно больше командно-контрольных серверов, которые злоумышленники используют для атак с помощью Mirai. Защитные решения компании распознают и блокируют боты Mirai на Windows.

Согласно результатам исследования русскоязычного киберандеграунда, проведенного «Лабораторией Касперского», из 62 семейств программ-шифровальщиков, обнаруженных в процессе исследования в 2016 году, по меньшей мере 47 были созданы русскоговорящими киберпреступниками. Как рассказали в компании, в общей сложности от подобных зловредов в прошлом году пострадало около 1,5 млн пользователей во всем мире, включая различные организации. О происхождении большинства шифровальщиков экспертам «Лаборатории Касперского» стало известно после пристального изучения андеграундного сообщества русскоязычных вирусописателей и их «партнеров». Русскоговорящая киберпреступная среда активно развивается, и на смену небольшим группировкам с ограниченными возможностями приходят большие коалиции, обладающие всеми необходимыми ресурсами для атак на любые цели по всему миру, в том числе на крупные предприятия. Бурный рост числа «русских» программ-шифровальщиков стал возможен именно благодаря этому фактору – развитой и гибкой экосистеме киберпреступного сообщества. «Лаборатория Касперского» выявила три основных пласта в структуре «бизнеса» по созданию и распространению программ-шифровальщиков. Наиболее продвинутые в техническом плане люди занимаются написанием новых и обновлением уже созданных семейств зловредов – это самые привилегированные участники андеграундного сообщества. Другая группа людей развивает и поддерживает партнерские программы, помогающие распространять вредоносное ПО через эксплойты, спам и другие вспомогательные инструменты. На низшей же ступени этой иерархии находятся собственно «партнеры» – киберпреступники, которые помогают в распространении зловредов в обмен на свою долю денег, полученных от жертв шифровальщиков в виде выкупа. По данным «Лаборатории Касперского», ежедневная выручка, получаемая киберпреступниками в рамках одной партнерской программы, может составлять десятки или даже сотни тысяч долларов. При этом 60% выручки – это чистая прибыль. «Мы видим, что маленькие группы, работающие с этими зловредами, постепенно уступают место большим объединениям злоумышленников, которые способны проводить масштабные атаки. Нечто подобное мы наблюдали ранее с русскоязычной финансовой киберпреступностью – достаточно вспомнить нашумевшую группировку Lurk. Именно поэтому мы решили внимательно изучить русскоязычное киберпреступное сообщество. Группировки, создающие шифровальщиков, превращаются в сильного противника, и мы должны знать о нем как можно больше», – сказал Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Согласно результатам исследования «Лаборатории Касперского», банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе и в России, стали жертвами «незаметных» целевых атак, организаторы которых по своей тактике напоминают нашумевшие кибергруппировки Carbanak и GCMAN. По данным «Лаборатории Касперского», для проникновения в корпоративные сети по меньшей мере 140 организаций неизвестные злоумышленники использовали исключительно легитимное ПО, а любые вредоносные файлы хранили в памяти системы, не оставляя никаких следов на жестких дисках. Чаще всего атакующие применяют специализированное ПО для тестирования на проникновение, инструменты администрирования и утилиты для автоматизации задач в Windows, например, PowerShell. На след новой неизвестной кибергруппировки эксперты «Лаборатории Касперского» вышли в конце 2016 года, когда один из банков в СНГ обратился в компанию с просьбой расследовать подозрительную активность в своей сети. В памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое в настоящее время часто используется во вредоносных целях. Как выяснили аналитики «Лаборатории Касперского», код Meterpreter был загружен PowerShell скриптами из реестра операционной системы напрямую в память. Именно это позволило программе оставаться незамеченной и свободно собирать пароли системных администраторов. Конечной целью злоумышленников, скорее всего, было получение доступа к финансовым процессам банка. Расследование инцидента позволило экспертам «Лаборатории Касперского» установить, что подобные атаки осуществлялись по всему миру, и группировка до сих пор остается активной. «Упаковка» вредоносного кода в легитимные утилиты позволяет атакующим избегать детектирования методом «белых списков» (когда в системе можно запускать только официальные программы проверенных производителей), а присутствие лишь в памяти системы оставляет исследователей без каких-либо доказательств и артефактов, на основе которых можно провести расследование. «Стремление атакующих сделать свою активность максимально незаметной и избежать детектирования – проявление последней тенденции в развитии киберугроз. Злоумышленники все активнее используют легитимное и базирующееся в памяти ПО, а также не замечаемые традиционными средствами защиты техники. Вот почему исследование системной памяти становится критически важным», – сказал Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». Детали этого расследования будут представлены «Лабораторией Касперского» на международной конференции по кибербезопасности Security Analyst Summit, которая пройдет на острове Сен-Мартен со 2 по 6 апреля. Эксперты компании Сергей Голованов и Игорь Суменков расскажут о том, какие уникальные тактики помогли злоумышленникам получить доступ к деньгам атакованных организаций и обналичить их в банкоматах.