Поиск

Хакеры активно атакуют сайты на платформе Magento для управления интернет-магазинами с помощью популярного расширения службы поддержки Mirasvit Helpdesk, сообщил исследователь безопасности Виллем де Гроот. В сентябре 2017 года специалисты по кибербезопасности из компании WebShield опубликовали подробные сведения о двух уязвимостях в расширении Mirasvit, затрагивающие все версии виджета до 1.5.2. Первая уязвимость (CVE-2017-14320) позволяет злоумышленникам загружать файлы на серверы Magento. Вторая (CVE-2017-14321) представляет собой уязвимость межсайтового скриптинга (XSS). Как утверждает де Гроот, хакеры проэксплуатировали вторую уязвимость для взлома сайтов Magento. Злоумышленники отправляли через виджет на первый взгляд безобидное сообщение, в котором был скрыт вредоносный код. Вредоносное сообщение сохранялось в базе данных Magento. Вредоносный код выполнялся после того, как владелец сайта открывал сообщение. Как пояснил исследователь, вредоносный код добавлял дополнительный код в нижний колонтитул, который выполнялся на всех страницах магазина. Роль кода заключалась в сборе данных платежных карт клиентов. Де Гроот опубликовал копию вредоносного кода на портале GitHub, а также предоставил инструкцию по проверке его наличия для владельцев сайтов на базе Magento.

Ученые из Наньянcкого технологического университета (Сингапур) опубликовали результаты исследования, согласно которому, датчики в современных смартфонах, таких как акселерометр, гироскоп и датчик расстояния, могут быть использованы злоумышленниками для подбора PIN-кода и разблокировки устройства. Используя данные, полученные от шести различных датчиков и самые современные алгоритмы машинного обучения, исследователям удалось разблокировать тестовые Android-смартфоны в 99,5% случаев всего за три попытки. В ходе эксперимента использовались телефоны, на которых был установлен один из 50 наиболее распространенных PIN-кодов. По словам исследователей, они использовали датчики в смартфоне для определения цифры, которая была нажата пользователем, в зависимости от наклона телефона и уровня блокировки света пальцами владельца. Исследователи полагают, что их работа подчеркивает существенный недостаток в безопасности смартфонов, поскольку использование датчиков в телефонах не требует никаких разрешений, предоставляемых владельцем, и доступно для всех приложений. В ходе эксперимента, команда исследователей установила на Android-смартфоны специальное приложение, собиравшее данные шести датчиков: акселерометра, гироскопа, магнитометра, датчика расстояния, барометра и датчика освещенности. «Во время ввода PIN-кода, телефон по-разному перемещается в пространстве при нажатии 1, 5 или 9. Нажатие 1 правым большим пальцем блокирует больше света, чем при нажатии 9», - пояснили специалисты. Алгоритм классификации был обучен на основе данных, собранных от трех человек, каждый из которых вводил случайный набор из 70 четырехзначных PIN-кодов. Алгоритм фиксировал соответствующие реакции датчиков. Алгоритм придавал каждому показателю датчиков свое значение важности в зависимости от того, насколько чувствительны они были к нажатию разных цифр. Таким образом алгоритму удалось устранить факторы, меньше всего влияющие на вероятность успеха при подборе PIN-кода. Как отметили исследователи, чем больше информации собирал алгоритм, тем лучше становились показатели успешного подбора PIN-кода. Хотя вредоносное приложение не способно правильно подобрать PIN-код сразу после установки, используя компьютерное обучение, оно сможет собирать данные тысяч пользователей и со временем определить шаблон ввода PIN-кода, а затем на основе полученной информации взламывать устройства. Эксперты порекомендовали производителям смартфонов ограничить доступ приложений к датчикам в будущем.

Исследователи безопасности из компании Barracuda сообщили о новой мошеннической кампании, в ходе которой злоумышленники рассылают вредоносные письма, замаскированные под PDF-документы, якобы отправленные принтерами и сканерами HP, Epson и Canon. Специалисты обнаружили кампанию в ноябре 2017 года. Эксперты зафиксировали несколько миллионов попыток заражения. Как пояснили эксперты, большинство современных принтеров имеют функцию отправки отсканированного документа на электронную почту. Поскольку данная практика довольно распространена, множество пользователей считают отправленные принтером электронные письма с вложением в виде PDF-документа полностью безопасными, чем и пользуются злоумышленники. В ходе новой вредоносной кампании мошенники рассылают сообщения, замаскированные под электронные письма якобы от принтеров и сканеров крупных производителей, таких как Canon, Epson и HP. В теме таких писем указано "Scanned from HP," "Scanned from Epson," или "Scanned from Canon". Сами же сообщения содержат вложение в виде вредоносного PDF-документа. По словам исследователей, чтобы избежать обнаружения антивирусными решениями, вредоносное ПО использует различные методы, в том числе эксплуатирует уязвимость в WinRAR, позволяющую изменить расширение файлов. Таким образом программа может успешно маскироваться под файлы с расширением .txt, .jpg и пр. Вредонос позволяет злоумышленникам следить за пользователем, а также получить контроль над устройством жертвы, в том числе изменять настройки компьютера, просматривать и копировать файлы, получить доступ к подключенным системам и пр.

Жертвой хакерской группировки Cobalt стал не только банк «Глобэкс», но и «Севастопольский Морской банк», у которого предположительно были похищены средства. Об этом сообщило информагентство ТАСС со ссылкой на источники в сфере информационной безопасности, знакомые с ситуацией. 21 декабря на сайте банка появилось уведомление об ограничении работы ряда банкоматов, пояснявшееся проведением профилактических работ, однако, по словам собеседников агентства, проблема была связана с ликвидацией последствий хищения денег. Как полагают источники, с помощью вредоносного ПО злоумышленникам удалось получить доступ к информационным системам банка и его счетам, а затем обналичить средства в банкоматах. Согласно словам собеседников, речь идет о незначительном ущербе. По одним данным злоумышленники похитили более 10 млн рублей, по другим - 24 млн рублей. В самой кредитной организации факт инцидента не подтвердили, но и не опровергли, добавив, что интернет-банк работает без ограничений. Напомним, на минувшей неделе стало известно о хакерской атаке на российский банк «Глобэкс», ставшей первым инцидентом в РФ, в ходе которого преступники использовали для вывода средств международную систему передачи финансовой информации SWIFT. Как выяснилось позже, атака оказалась успешной лишь частично.

Двое хакеров заразили вредоносным ПО почти две трети уличных камер наблюдения в Вашингтоне, округ Колумбия, в рамках вымогательской схемы, следует из документов Федерального суда округа Колумбия. Согласно материалам уголовного дела, правительство США обвиняет двух румынских хакеров, действовавших за пределами страны, во взломе 65% уличных камер наблюдения, находящихся в ведении полиции города Вашингтон. Злоумышленникам удалось скомпрометировать 123 из 187 камер, установленных в городе. Взлом предположительно произошел в начале января текущего года. Подозреваемые во взломе Михай Александру Исванка и Эвелине Чисмару также обвиняются в использовании компьютеров, к которым были подключены камеры, для распространения вымогательского ПО Cerber и Dharma посредством спам-рассылки. Хакеры обвиняются в "попытке вымогательства денег и других ценностей, а также передаче комерческих сообщений, содержащих угрозы о причинении вреда защищенным компьютерам". Ранее сообщалось об аресте 5 граждан Румынии по обвинению в распространении вымогательского ПО CTB-Locker и Cerber.

Исследователи безопасности из компании Secureworks опубликовали отчет о деятельности хакерской группировки Lazarus, предположительно связанной с правительством КНДР. Как следует из доклада, новыми объектами хакерских атак стали сотрудники компаний, занимающихся криптовалютой. Группировка запустила новую фишинговую кампанию, замаскированную под предложение занять должность финансового директора в одной крупной криптовалютной фирмы, расположенной в Лондоне. Перейдя по ссылке в фишинговом письме, жертва заражалась вредоносным ПО, позволяющим удаленно управлять инфицированным устройством, загружать дополнительные вредоносные программы и похищать данные. Эксперты обнаружили сходство данного ПО с другими вредоносными программами, использовавшимися в ходе предыдущих кибератак Lazarus. Фишинговая кампания была обнаружена 25 октября 2017 года, однако, по мнению специалистов, хакеры работают в данном направлении по меньшей мере с 2016 года. Напомним, с мая 2017 года эксперты зафиксировали хакерские атаки по меньшей мере на три южнокорейские криптовалютные биржи. Как полагают исследователи, атаки инициированы правительством Северной Кореи для обхода экономических санкций со стороны ООН.

Исследование, проведённое компанией Positive Technologies, показало, что сетевые преступники всё активнее организуют атаки в сегменте криптовалют и ICO (первичное размещение цифровых денег). Эксперты, в частности, зафиксировали нападения на сайт, где осуществляется ICO. Хакеры подменяют адрес криптокошелька, после чего инвесторы самостоятельно переводят деньги на счёт мошенников. Кроме того, получил распространение незаметный для стороннего наблюдателя вид заработка: злоумышленники загружают на машины жертв вредоносное программное обеспечение, создавая ботнеты, добывающие криптовалюту незаметно от пользователей. Одна из самых «дорогих» кибератак 2017 года напрямую связана с криптовалютами: из-за уязвимости в клиенте сети Ethereum злоумышленники похитили около 30 млн долларов США. Специалисты предупреждают, что криптовалютная лихорадка может обернуться для IT-отрасли огромными убытками в связи с кибератаками нового типа. «Вопрос защищённости веб-ресурсов ещё никогда не стоял так остро, как в ситуации с блокчейн-проектами и ICO, когда несанкционированный доступ к управлению сайтом и контентом означает потерю миллионов долларов за несколько минут. Вместе с ростом числа новых ICO к концу года ожидается и рост атак на блокчейн-платформы», — говорят эксперты. Кроме того, в прошлом квартале отмечен рост количества киберинцидентов в госсекторе. Доля атак, направленных на государственные организации, составила 13 % и впервые за последние два года превысила долю атак на финансовые компании (7 %).

Уязвимость в Windows позволяет злоумышленникам похищать хеши паролей NTLM без какого-либо участия пользователя. Проэксплуатировать уязвимость довольно легко, и для осуществления атаки не нужны особые технические навыки. Все, что нужно – добавить вредоносный SCF-файл в общедоступную папку Windows. После добавления в папку файл выполняется, а затем собирает хеши паролей NTLM и отправляет их на подконтрольный злоумышленникам сервер. С помощью легкодоступного ПО атакующие могут взломать хеш и получить доступ к компьютерам жертв. Получив непосредственный доступ к сети, где находится атакуемый компьютер, хакеры способны эскалировать доступ к соседним системам. Проблема не затрагивает общие папки с парольной защитой. Поскольку пароль является в Windows опцией по умолчанию, многим пользователям нечего опасаться. Тем не менее, в компаниях, школах и других организациях для удобства пользования общие папки паролем не защищены, что делает их уязвимыми. Уязвимость была обнаружена колумбийским исследователем безопасности Хуаном Диего. В апреле текущего года Диего сообщил Microsoft о проблеме, и в октябре компания выпустила патч в рамках плановых обновлений. Однако исправление предназначено только для Windows 10 и Windows Server 2016. Остальные версии ОС остаются уязвимыми, поскольку модификации реестра не совместимы с более ранними версиями Windows Firewall. Как сообщил Диего порталу Bleeping Computer, выпушенный Microsoft бюллетень ADV170014 действительно исправляет проблему, однако исследователь так и не смог определить причину ее появления. «Атака осуществляется автоматически. Причина, делающая ее возможной, до сих пор мне не ясна. Microsoft хранит все в большом секрете», - отметил Диего. NTLM (NT LAN Manager) – протокол сетевой аутентификации, разработанный фирмой Microsoft для Windows NT.

В субботу, 21 октября, сайты Центрального статистического управления Чешской Республики (Cesky statisticky urad) подверглись DDoS-атакам во время подсчета голосов на выборах в нижнюю палату парламента. По словам представителей пресс-службы ведомства, работа сайтов volby.cz и volbyhned.cz была временно нарушена. Изначально провайдер сообщил, что перебои вызваны проблемами с его стороны и связаны с техническими неполадками. Как позже выяснилось в ходе расследования, сайты подверглись "масштабным и сложным" DDoS-атакам. Благодаря оперативно принятым мерам, последствия атак были полностью устранены, а нормальная работа ресурсов восстановлена. Результаты выборов не были модифицированы. Атакующим не удалось скомпрометировать инфраструктуру, используемую для подсчета голосов и последующей независимой обработки данных. В настоящее время расследованием кибератаки занимается чешская полиция и правительственное агентство по вопросам кибербезопасности. Напомним, ранее ответственные за организацию выборов должностные лица США, обеспокоенные безопасностью систем для голосования, предприняли меры по усовершенствованию систем перед выборами в Конгресс США в 2018-2020 годах.

Восточноевропейская хакерская группировка FIN7 (также известная как Carbanak) взломала американские правительственные серверы для распространения вредоносных фишинговых писем, якобы отправленных от имени Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC). Об этом сообщили исследователи безопасности из команды Cisco Talos. Проанализировав технологии, использовавшиеся при взломе, эксперты пришли к выводу, что атаки с большой долей вероятности являются делом рук хакерской группировки FIN7. В ходе фишинговой кампании хакеры использовали сложную технику взлома и рассылку, замаскированную под сообщения SEC об утечке финансовой информации из базы данных EDGAR. В письмах содержались вредоносные документы Microsoft Word. По словам исследователя безопасности Крейга Уильямса, данная вредоносная кампания была ориентирована на избранную группу предприятий в США, принадлежащих к различным отраслям, включая финансовую и страховую сферы, а также сектор информационных технологий. В данном случае действия злоумышленников черезвычайно сложно отследить из-за использования многоступенчатой цепочки заражения, эксплуатирующей функцию динамического обмена данными (Dynamic Data Exchange, DDE) в Microsoft Word для удаленного выполнения вредоносного кода. Кроме того, хакеры использовали команды DNS для установки скрытого соединения со скомпрометированным правительственным сервером, настроенном на автоматическую загрузку вредоносного ПО DNSMessenger на инфицированные компьютеры. Вредоносные документы запрашивали файлы с сервера, расположенного в штате Луизиана (сервер был отключен как только стало известно об инциденте). На сервере хранился исходный код, используемый для доставки дополнительных элементов цепочки атак. По словам экспертов, такой метод кибератаки весьма эффективен даже против крупных компаний или правительственных агентств. Несмотря на то, что Microsoft известно о проблемах в протоколе DDE, как правило использующемся для одноразовой передачи данных или непрерывного обмена обновлениями, компания так и не выпустила патч, исправляющий уязвимости. Использование DNSMessenger также является примечательным, поскольку данное ПО запрограммировано на идентификацию администратора скомпрометированной сети, предоставляя злоумышленникам возможность получить информацию о потенциальных объектах атаки. В последнее время FIN7 проявляет усиленную активность, и это только начало целой серии хакерских атак, предполагают эксперты. Считается, что группировка базируется в Восточной Европе и состоит преимущественно из русскоязычных хакеров. Напомним, ранее исследователи безопасности из компании ICEBRG сообщили о появлении в аресенале FIN7 новых техник доставки и обфускации вредоносного ПО.

Олимпийские игры представляют собой чрезвычайно заманчивую цель для хакеров и других преступников, чьи действия могут оказаться разрушительными для одного из главных спортивных событий в мире. По мнению ученых Калифорнийского университета, в 2016 году злоумышленники уже предпринимали попытки вмешаться в выборы президента США, а значит, могут попытаться повлиять и на будущую Олимпиаду. Как сообщается в отчете ученых, опубликованном за четыре месяца до начала Зимних Олимпийских игр в Пхенчхане (Южная Корея), для оптимизации тренировочного процесса, улучшения комфорта зрителей и подсчетов результатов соревнований в спорте все чаще используются цифровые технологии. Благодаря этому у киберпреступников открываются большие возможности. К примеру, они могут внедриться в сети стадиона или систему подсчета голосов, или даже похитить и обнародовать персональные данные спортсменов. Кроме того, жертвами хакеров могут стать транспортная система и болельщики. Наибольшую угрозу представляют кибератаки, способные повлечь за собой физические травмы как участников соревнований, так и зрителей. Также опасны попытки вмешаться в систему подсчета результатов, что может привести к «потере доверия и иметь продолжительное влияние на спорт», говорится в отчете. Как отметили исследователи, за последние несколько лет киберпреступники уже не раз атаковали спортивные мероприятия. К примеру, активисты Anonymous атаковали официальный сайт «Формулы-1», таким образом выразив протест против проведения соревнований в Бахрейне. Во время Чемпионата мира по футболу в 2014 году фишеры выуживали данные электронной почты организаторов мероприятия в Бразилии.

Исследователи «Лаборатории Касперского» рассказали о недавно обнаруженной ими вредоносной кампании Microcin. Кампания получила свое название из-за использующегося в атаках вредоносного компонента microini. Атака начинается с загрузки жертвой вредоносного RTF-файла, содержащего эксплоит для известной и уже исправленной уязвимости в MS Office (CVE-2015-1641). Поскольку файл распространялся через сайты, ориентированные на очень узкую аудиторию, эксперты ЛК заподозрили целевые атаки. По словам исследователей, злоумышленников интересовали посетители форумов, посвященных вопросам получения льготного жилья российскими военнослужащими. На форумах публиковались ссылки на вредоносный ресурс, откуда жертва загружала RTF-файл. Поскольку форумы являются легитимными, а название загружаемого файла соответствует их тематике, у жертв не возникало никаких подозрений. В некоторых случаях киберпреступники использовали не RTF, а PPT-файлы с исполняемым PE-файлом, но без эксплоита. Полезная нагрузка при этом загружалась с помощью скрипта из PPT-файла. После установки на атакуемой системе вредонос загружал дополнительные модули, предоставляя хакером большую свободу действий. В частности, с помощью специальных утилит и модифицированного набора powershell-скриптов PowerSploit злоумышленники похищали хранящиеся на компьютере учетные данные и файлы с расширениями .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt и .rtf. Исследователи отметили несколько особенностей кампании. Во-первых, полезная нагрузка доставляется с использованием стеганографии, что выглядит как загрузка JPEG-изображения. Во-вторых, если перед установкой инсталлятор Microcin обнаружит запущенные процессы некоторых антивирусных решений, установка пойдет без использования внедрения в explorer.exe.

Хакеры, которые в августе взломали популярный оптимизатор системы CCleaner, также пытались атаковать системы Microsoft, Intel и других крупных технологических компаний. Об этом рассказали исследователи Cisco. Из этого следует, что взлом, описанный Piriform, разработчиком CCleaner, был гораздо серьёзнее, чем предполагалось изначально. Компания заявила, что злоумышленники не успели нанести вред компьютерам пользователей, однако версии программного обеспечения с уязвимостью были установлены у более чем двух миллионов человек. Через эти версии ПО хакеры могли наладить прямую связь с вредоносными сайтами. Тем не менее, Avast, купившая Piriform в июле, быстро приняла необходимые меры и совместно с исследователями и правоохранительными органами закрыла сервер, на который должны были попадать пользовательские данные. Теперь Cisco, одна из компаний, уведомивших Avast об атаке, обнаружила на этом сервере доказательства того, что хакеры установили дополнительное вредоносное ПО на группу как минимум из 20 компьютеров. Достоверно не известно, кому эти компьютеры принадлежали, но исследователи выяснили, что злоумышленники собирались атаковать ряд крупных компаний. Среди них — Samsung, Sony, Akamai и сама Cisco. Хакеры могли использовать дыру в CCleaner как точку опоры для кражи технологических секретов этих компаний, рассказал исследователь Cisco Крейг Уильямс (Craig Williams). Также они могли попытаться внедрить вредоносный код в популярные продукты этих производителей. Avast рассказала, что инфицирована была крайне небольшая часть целевых компьютеров. Компания уже связалась с их владельцами.

Хакерская группировка Phantom Squad организовала массовую спам-кампанию, направленную на тысячи организаций по всему миру. В письмах злоумышленники угрожают 30 сентября нынешнего года осуществить DDoS-атаку на сайты компаний, если те не выплатят выкуп в размере 0,2 биткойна (приблизительно $720). Первым фишинговые письма заметил исследователь безопасности Деррик Фармер. Спам-рассылка началась 19 сентября текущего года и продолжается до сих пор. Эксперты отмечают необычайный размах кампании. Как правило, подобные письма с угрозами рассылаются небольшому числу компаний с тем, чтобы осуществить DDoS-атаку в случае, если организация откажется выплатить требуемую сумму. Поскольку в данном случае имеет место массовая рассылка, ряд экспертов считает, что Phantom Squad не обладает достаточными мощностями для проведения такого количества DDoS-атак в один день и, скорее всего, использует тактику запугивания. Тем не менее, инцидент получил широкую огласку в социальных сетях и на форумах web-мастеров. По словам исследователей безопасности из подразделения Trust&Safety компании Cloudflare, как минимум 5 клиентов сообщили о вымогательских письмах. Злоумышленники даже умудрились послать письмо с угрозами компании, занимающейся защитой клиентов от DDoS-атак. Как отметил исследователь безопасности из компании Radware Дэниэл Смит, вымогатели могут быть лишь подражателями Phantom Squad - хакерской группировки, осуществившей серию DDoS-атак на игровые сервисы зимой 2015 года. Смит также отметил, что письмо практически идентично использовавшемуся кибергруппировкой Armada Collective в июне 2017 года. Эксперты также отметили сравнительно низкую сумму выкупа. Ранее группа злоумышленников, известная как Anonymous, шантажировала подобным образом несколько банков, требуя в качестве выкупа 100 биткойнов.

Хакеры взломали корпоративную базу данных Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) и зарабатывали на инсайдерской информации. Как сообщает Reuters, взлом произошел еще в 2016 году, однако о незаконных сделках с использованием похищенных данных стало известно только в прошлом месяце. Как пояснил регулятор, хакеры проэксплуатировали уязвимость в программном обеспечении и получили доступ к информации, непредназначенной для широкой общественности. SEC хранит большой объем конфиденциальных сведений, которые могут использоваться для инсайдерской торговли или манипулирования фондовым рынком США. База данных Комиссии EDGAR содержит миллионы заявок на раскрытие информации о компаниях, начиная от квартальной прибыли и заканчивая заявлениями о слияниях и поглощениях. Узнав об уязвимости в 2016 году, SEC обновила свои системы, однако, как стало известно в прошлом месяце, уязвимость могла предоставить доступ к данным, использовавшимся затем в инсайдерской торговле. По заверению регулятора, проблема не затронула персонально идентифицируемую информацию и не подвергла риску проводимые им операции. Комиссия по ценным бумагам и биржам США – агентство правительства США. Является главным органом, осуществляющим функции надзора и регулирования американского рынка ценных бумаг. EDGAR (Electronic Data Gathering Analysis and Retrieval) – электронная система подачи заявок. Играет одну из ключевых ролей в операциях SEC, поскольку позволяет инвесторам видеть электронные заявки компаний и рынков. За день с помощью EDGAR в среднем просматривается порядка 50 млн документов. В систему вносится около 1,7 млн документов в год. Инсайдерская торговля – торговля акциями или другими ценными бумагами частными лицами, имеющими доступ к конфиденциальной информации об эмитенте указанных ценных бумаг.

Эксперты компании FireEye раскрыли подробности деятельности специализирующейся на кибершпионаже иранской хакерской группировки APT33, атаковавшей авиакомпании в США и Саудовской Аравии, а также один из южнокорейских конгломератов. Основными целями хакеров являются предприятия аэрокосмической промышленности, энергетического сектора и военные объекты. Группировка APT33 активна с 2013 года. Одним из методов хакеров является фишинговая рассылка. Письма, как правило замаскированные под объявления о работе, содержат вредоносную ссылку, при переходе по которой на компьютер жертвы устанавливается бэкдор. Фишинговые кампании активно проводились в течение всего 2016 года. Эксперты отмечают высокий профессионализм хакеров, злоумышленники даже регистрировали домены фиктивных компаний, чтобы создать видимость законной деятельности. Проанализировав деятельность APT33 за последнее время, эксперты отметили, что хакеры могут готовить более разрушительные атаки. Эксперты обнаружили, что группировка использует один из своих инструментов DropShot для установки вредоносного ПО ShapeShift - усовершенствованной версии червя Shamoon, атаковавшего нефтедобывающие организации в Саудовской Аравии ранее в этом году. Как заявил аналитик по киберугрозам компании Dragos Джо Словик, группировка расширяет географию своей деятельности за пределы Ближнего Востока, и атакует организации в Южной Корее, Пакистане, Израиле и Великобритании. В последние четыре месяца хакеры также проявляют интерес ко все большему количеству государственных структур.

Eset обнаружила новую вредоносную программу, предназначенную для скрытой добычи криптовалют через браузеры пользователей. Веб-майнер JS/CoinMiner.A активен в русскоязычном сегменте интернета – по данным телеметрии Eset, 65,29% отраженных атак приходится на Россию, 21,95% на Украину и 6,49% на Беларусь. Кибермошенники давно освоили кражу вычислительных мощностей чужих компьютеров, но обычно они пытаются устанавливать на машины жертв вредоносные программы. В данном случае добыча криптовалюты в пользу атакующих производится напрямую в браузере, когда пользователь заходит на определенные сайты. Скрипты для майнинга внедряют в популярные сайты с потоковым видео или браузерными играми, где пользователи проводят сравнительно много времени. Эти ресурсы ожидаемо загружают процессор, что позволяет замаскировать дополнительную нагрузку от майнера. Таким образом, скрипт работает дольше, оставаясь незамеченным. Чтобы «поделиться» вычислительной мощностью компьютера с мошенниками, пользователю достаточно зайти на сайт с встроенным майнером. Пока страница открыта в браузере, процессор будет генерировать криптовалюту для авторов вредоносного скрипта. С помощью веб-майнера злоумышленники добывают криптовалюты Feathercoin, Litecoin и Monero. В отличие от биткоинов, для майнинга этих валют не требуется специальное оборудование и вычислительные мощности, превосходящие возможности среднестатистического компьютера. Для защиты от веб-майнеров Eset рекомендует установить блокировщик рекламы или скриптов, а также включить обнаружение потенциально нежелательных приложений в антивирусном продукте. Отключение JavaScript в браузере защитит от несанкционированного майнинга, но создаст ограничения в использовании легитимных сайтов. NOD32 детектирует веб-майнер как JS/CoinMiner.A potentially unsafe application.

Группа злоумышленников эксплуатирует CDN-серверы Facebook для хранения вредоносных файлов, которые затем используются для инфицирования систем пользователей банковскими троянами. В последние две недели исследователи в области безопасности заметили несколько подобных кампаний. Предположительно, их организатором является та же группировка, ранее эксплуатировавшая облачные сервисы Dropbox и Google для хранения и распространения вредоносного ПО. Новая вредоносная кампания была замечена экспертом в области безопасности, известным в Сети как MalwareHunter. Злоумышленники используют CDN-серверы Facebook, поскольку домену Facebook «доверяет» большинство защитных решений, пояснил исследователь. Процесс заражения проходит в несколько этапов. На первом жертва получает спам-письмо якобы от местных властей, содержащее ссылку, которая ведет на CDN-сервер Facebook. Атакующие загружают вредоносные файлы на страницы различных групп в соцсети либо в другие публичные разделы ресурса, а затем добавляют соответствующие ссылки в спам-письма. После того, как пользователь перейдет по ссылке, на его компьютер загрузится .rar или .zip архив, включающий ссылку на файл. Нажатие на ссылку приводит к запуску интерфейса командной строки или PowerShell и исполнению зашифрованного скрипта PowerShell. Данная техника, предполагающая использование легитимных приложений для сокрытия вредоносных операций, называется Squiblydoo и применяется для обхода защитных решений. Далее скрипт PowerShell загружает и исполняет дополнительный скрипт PowerShell, выполняющий ряд операций. Он загружает DLL-библиотеку, которая, в свою очередь, загружает EXE-файл и вторую вредоносную DLL-библиотеку. Эта библиотека загружает и устанавливает на компьютеры жертв банковский троян Win32/Spy.Banker.ADYV. По словам исследователя, злоумышленники проверяют местоположение пользователя по его IP-адресу. Если жертва находится не в целевой стране (в данном случае в Бразилии), все операции прекращаются. В настоящий момент активность кампании значительно снизилась, однако эксперты предполагают, что в ближайшем будущем злоумышленники вновь запустят ее с некоторыми изменениями. Администрация Facebook уже проинформирована о проблеме. Сеть доставки и дистрибуции содержимого - географически распределенная сетевая инфраструктура, позволяющая оптимизировать доставку и распространение контента конечным пользователям в сети Интернет.

Хакерской группировке CynoSure Prime удалось расшифровать большое количество хэшированных данных. Злоумышленники расшифровали 320 миллионов хешей. В августе 2017 года, известный австралийский исследователь и создатель сайта «Have I been pwned?» Трой Хант опубликовал базу данных хэшей. База данных Ханта была собрана из различных источников. В целом насчитывалось 15 алгоритмов хэширования. Большая часть использовала SHA-1. Хант признал свою ошибку: утечка данных принесла с собой много ненужного, так как просочились также имена пользователей. Также исследователь отметил, что весь набор данных хранится в двух файлах, которые любой может скачать в течении двух минут. Ранее, хакерской группировке CynoSure Prime удалось провернуть похожую операцию. Два года назад хакеры расшифровали 11 миллионов паролей пользователей Ashley Madison.

Хакерская группировка из Саудовской Аравии OurMine взяла на себя ответственность за взлом учетных записей в социальной сети Facebook и Twitter официальных страниц телеканала HBO и телесериала «Игра престолов». Хакеры опубликовали следующее сообщение на скомпрометированных страницах: «Привет, здесь OurMine, мы просто проверяем вашу безопасность, команда HBO, пожалуйста свяжитесь с нами, чтобы улучшить свою защиту». OurMine – это хакерская группировка, успешно взломавшая ранее учетные записи первых лиц крупнейших компаний, среди которых учетная запись директора Twitter Джека Дорси, директора Facebook Марка Цукерберга, директора Google Сундар Пичаи. В большинстве случаев хакеры из OurMine заполучали доступ к учетным записям в социальных сетях, используя данные, полученные в ходе крупных утечек пользовательских баз данных. Не смотря на компрометацию учетных записей, OurMine никогда не выходила за пределы демонстрации взлома. Хакеры предлагают свои услуги по обеспечению безопасности социальных сетей компаний по цене в $5000 за сканирование аккаунтов в социальных сетях, поиск уязвимостей на корпоративных сайтах и подобные услуги. HBO удалось восстановить доступ к своим учетным записям и удалить сообщения хакеров. Напомним, в течение последних нескольких недель вокруг HBO разразился скандал, связанный со взломом корпоративной сети компании. Хакерам удалось похитить несколько терабайт данных, включая не вышедшие в эфир серии популярных сериалов и сценарии к новым сериями «Игры престолов». А в пятницу утекла в сеть новая серия «Игры престолов», официальный показ которой запланирован на 21 августа.

Национальный оператор энергосетей Великобритании ирландская компания EirGrid подверглась атаке хакеров, спонсируемых иностранным правительством. Об этом сообщило издание Irish Independent. По данным издания, инцидент произошел в апреле нынешнего года. В ходе первой атаки, которая продолжалась почти семь часов и производилась с IP-адресов в Гане и Болгарии, злоумышленникам удалось получить доступ к сети Vodafone, используемой EirGrid. Затем хакеры осуществили еще одну атаку, в результате которой скомпрометировали маршрутизаторы компании, расположенные в Уэльсе и Северной Ирландии, таким образом получив доступ к незашифрованным коммуникациям. По словам источников издания, взлом был обнаружен в июле нынешнего года, но пока неизвестно, удалось ли злоумышленникам заразить компьютерную систему компании вредоносным ПО. Как полагают в компании Vodafone и Национальном центре кибербезопасности Великобритании, данная атака является делом рук хакеров, финансируемым иностранным правительством. О каком государстве идет речь, не уточняется. Напомним, в июле текущего года стало известно о кибератаке на энергетические сети в составе национальной энергосистемы Великобритании. Злоумышленники атаковали ирландское Управление по поставкам электроэнергии (Ireland’s Electricity Supply Board, ESB) с целью получить контроль над системами управления сетями. Предполагается, что к атаке причастны хакеры, связанные с правительством РФ.

Хакеры российской группировки Cobalt, известные своими атаками на финансовые учреждения в 2016 году, значительно расширили сферу деятельности. Теперь хакеров интересуют не только банки, но и биржи, страховые компании, инвестфонды и другие организации. Об этом сообщается в отчете компании Positive Technologies. В первой половине 2017 года Cobalt разослала фишинговые письма, содержащие вредоносный файл, от имени Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и Национального банка Республики Казахстан. Письма получили более 3 тыс. человек из 250 компаний в 12 странах мира. При этом, письма отправлялись не только на корпоративные почтовые адреса, но и на личные адреса сотрудников, поскольку сотрудники могут проверять личную почту на рабочем месте. Обычно такие письма содержат вредоносный файл, заражающий систему после его открытия/запуска. Как правило, злоумышленники используют документы Microsoft Office (файлы с расширениями .doc, .xls, .rtf), а также архивы с исполняемыми файлами (расширения .scr, .exe, .lnk). Как отмечается в отчете, Cobalt в числе первых заполучили доступ к последней версии эксплойт-билдера Microsoft Word Intruder 8 и использовали инструмент для эксплуатации уязвимости CVE-2017-0199. Согласно статистике Positive Technologies, в среднем 20-30% сотрудников открывают потенциально-опасные вложения, предоставляя злоумышленникам доступ к своим компьютерам.

Хакеры взломали компьютерную систему американского телеканала HBO и украли информацию о предстоящих эпизодах сериала «Игра престолов». Злоумышленники утверждают, что похитили 1,5 терабайта информации. Об этом сообщает Entertainment Weekly. По сведениям издания, хакеры намерены раскрыть сюжет нескольких серий, информация о двух из них уже опубликована. The Telegraph пишет, что также были украдены сценарии двух других проектов телеканала: «Игроки» и «Комната 104». В HBO подтвердили, что телеканал подвергся хакерской атаке, и хакеры получили доступ к коммерческой информации, не уточняя о каких именно документах идет речь. HBO занимается расследованием инцидента, сотрудничает с правоохранительными органами и компаниями, которые специализируются на кибербезопасности.

Как сообщила в пятницу представитель Министерства иностранных дел РФ Мария Захарова, 29 июня текущего года ресурсы ведомства подверглись мощным кибератакам. «Электронная почта Министерства иностранных дел России была подвергнута очень масштабной хакерской атаке с большими последствиями», - говорит Захарова. По данным расследования, проведенного сотрудниками министерства совместно с ФСБ, инцидент произошел в первой половине дня 29 июня. В ходе атаки злоумышленники использовали предварительно скомпрометированную учетную запись российского посольства в Иране и венгерский IP-адрес. Со взломанной почты преступники разослали пользователям сайта mid.ru фишинговые письма, содержащие ссылку на поддельную страницу авторизации в общем почтовом сервисе. По всей видимости, таким образом хакеры пытались выманить у жертв их учетные данные. В качестве меры предосторожности учетные записи пользователей были заблокированы. Напомним, в октябре прошлого года американский хакер The Jester заявил об успешной атаке на сайт Министерства иностранных дел РФ. По словам Захаровой, злоумышленник действительно взломал сайт МИДа, но не действующий, а старый.

Эксперты компании Wordfence обнаружили новый тип web-атак, в ходе которых злоумышленники используют незавершенные инсталляции WordPress. То есть, атаки основываются на сайтах, куда пользователи уже загрузили систему управления контентом (CMS) WordPress, нот так и не установили ее до конца. Такие ресурсы открыты для внешних подключений, и кто угодно может получить доступ к панели установки и завершить процесс инсталляции CMS. По данным Wordfence, с конца мая и до середины июня текущего года резко возросло число сканирований интернета на наличие инсталляций WordPress с установочным файлом. Исследователи обнаружили как минимум одного хакера, получившего доступ к сайту, где CMS не была установлена до конца. Неизвестный загрузил пароль и логин своей собственной базы данных и завершил процесс инсталляции. Таким образом, он обеспечил себе возможность управлять сайтом через заново созданную учетную запись администратора и через редактор файлов внедрять и выполнять вредоносный код для получения контроля над чужим сервером. Злоумышленник также установил собственный плагин для выполнения вредоносного кода. Одновременно с ростом числа сканирований в июне 2017 года увеличилось количество атак на сайты под управлением WordPress. Чаще всего атаки осуществлялись с IP-адресов в России, Украине и США.