Поиск

Компания Positive Technologies прогнозирует волну атак на сайты, так или иначе связанные с Чемпионатом мира по футболу 2018 (ЧМ-2018). Напомним, что в рамках мероприятия ЧМ-2018 в России пройдёт финальная часть состязания — с 14 июня по 15 июля 2018 года. Матчи будут организованы в одиннадцати городах: в их число входят Москва, Калининград, Санкт-Петербург, Волгоград, Казань, Нижний Новгород, Самара, Саранск, Ростов-на-Дону, Сочи и Екатеринбург. Эксперты Positive Technologies полагают, что атакам в связи с горячо ожидаемым спортивным соревнованием подвергнутся интернет-площадки банков, государственных учреждений и объектов здравоохранения. Исследование Positive Technologies говорит о том, что уязвимые онлайн-ресурсы позволяют злоумышленникам оказывать влияние на дипломатические отношения, получать доступ к списку пациентов клиник пластической хирургии, похищать огромные суммы у криптовалютных бирж и осуществлять другие атаки. «Публикация ложных новостей, к примеру, на официальном сайте министерства иностранных дел может спровоцировать дипломатический скандал и осложнить внешнеполитическую обстановку. Традиционно мишенью хакеров становятся и веб-ресурсы, связанные с проведением президентских и парламентских выборов. Под угрозой находятся также веб-приложения, имеющие отношение к финальной части ЧМ-2018: эксперты Positive Technologies ожидают волну атак на такие сайты», — говорится в материале Positive Technologies.

По словам исследователей безопасности, медицинское оборудование для проведения компьютерной томографии (КТ) и магнитно-резонансной томографии (МРТ) уязвимо к кибератакам. Специалисты предупреждают о необходимости обеспечения защиты не только ПК, но и другого подключенного электронного оборудования в медучреждениях еще с 2012 года. Теперь об угрозе кибератак на КТ и МРТ сообщают эксперты Университет имени Бен-Гуриона (Израиль). Согласно их новому отчету , защите медоборудования уделяется недостаточно внимания, а это недопустимо, поскольку уязвимые устройства могут представлять угрозу здоровью и жизни пациентов. В отчете специалистов представлены результаты исследования уязвимостей в КТ и МРТ. Как правило, подобное оборудование подключено к внутренним сетям медучреждений, и злоумышленники могут получить к ним доступ через устаревшую прошивку. Хакеры могут атаковать устройство и заставить его показывать неверные данные, таким образом причинив вред здоровью пациента. По словам исследователей, число атак будет расти по мере обнаружения новых уязвимостей в медицинском оборудовании. Уже известны случаи, когда больницы подвергались атакам вымогательского ПО. Тем не менее, шифровальщики – не единственный вектор атак на медучреждения, предупреждают эксперты. Среди прочего, злоумышленники могут фальсифицировать значения параметров для изменения уровней излучения, вмешиваться в работу оборудования, нарушать сигналы сканирования и вызывать отказ в обслуживании.

Власти Южной Кореи запустили программу Best of the Best ("Лучшие из лучших") по подготовке элитного киберподразделения для защиты от хакерских атак со стороны КНДР, сообщает издание The Guardian. Как заявил руководитель программы Ким Цзин-сеок, главной задачей программы является воспитание целого поколения экспертов по защите от киберугроз. Ежедневно в Южной Корее фиксируются тысячи кибератак и информация о большинстве из них не попадает в новостные издания, отметил он. Участники программы в основном представляют собой молодежь, начиная от учеников старшей школы, до молодых людей старше 20 лет. Программа предоставляет возможность учиться у экспертов и осваивать уникальные навыки в IT-технологиях. Напомним, в 2017 году Южная Корея неоднократно становилась жертвой кибератак со стороны КНДР. Несмотря на то, что северокорейское правительство отрицало все обвинения в свой адрес, эксперты связывают хакерские подразделения КНДР с кибератаками на южнокорейские биржи криптовалют, серверы одного из производителей вооружений, Интегрированный правительственный центр обработки данных и пр.

Компания Positive Technologies выяснила, какие убытки несут российские кредитные организации в результате кибератак, приводящих к нарушению работы IT-инфраструктуры. Сообщается, что банковская отрасль — единственная, в которой 100 % компаний обучают сотрудников основам информационной безопасности. Большинство финансовых учреждений в нашей стране сейчас выделяют от 20 до 40 млн рублей в год на обеспечение защиты IT-инфраструктуры. Некоторые же банки тратят на эти цели от 80 до 150 млн рублей. Примерно треть — 30 % — российских кредитных организаций оценивают возможный ущерб от нарушения работы корпоративной инфраструктуры в течение одного дня в 50 млн рублей. Ещё 7 % банков называют сумму от 10 до 50 млн рублей, 25 % — от 2 до 10 млн рублей, а 38 % — от 0,5 до 2 млн рублей. Кроме того, в «круглую» сумму обходится восстановление корпоративной инфраструктуры после вывода из строя. Так, 12 % банков оценивают такие работы в 10–50 млн рублей, а каждый третий банк (33 %) готов потратить на эти мероприятия от 2 до 10 млн рублей. Не меньшее беспокойство у банков вызывает угроза кражи базы данных. Более половины участников опроса (53 %) оценили предполагаемые потери от кражи базы данных клиентов конкурентом в сумму более 50 млн рублей. Наконец, серьёзный ущерб может нанести недоступность для пользователей веб-приложений банка. Невозможность совершить перевод или платёж через онлайн-сервис даже в течение одного дня вызовет недовольство среди клиентов. Большинство банков (52 %) считают, что недоступность ключевого веб-приложения в течение одного дня может нанести ущерб в размере 2‒10 млн рублей.

Компания Microsoft выпустила обновление пакета MS Office, отключающее функцию Dynamic Data Exchange (DDE) в приложении Word, которая ранее неоднократно эксплуатировалась хакерами для установки вредоносного ПО на компьютеры пользователей. Протокол DDE используется для обмена информацией между программами пакета Office, которые используют общие данные или общую память. Это позволяет, например, динамически обновлять Excel-таблицы, в том числе встроенные в документы других программ. Несмотря на то, что DDE довольно старая функция, она по-прежнему поддерживается Office-приложениями. Впервые о проблемах с DDE заговорили еще в 1990-х годах, уже тогда функционал эксплуатировался злоумышленниками для распространения вредоносного ПО. В октябре 2017 года эксперты предупредили, что особенности работы протокола DDE могут быть проэксплуатированы хакерами для создания документов, загружающих вредоносное ПО со стороннего сервера. Данный метод может использоваться в качестве замены макросам в атаках с использованием документов. Месяцем позже Microsoft выпустила рекомендации по защите от атак с использованием протокола DDE. Как подчеркивала компания, DDE является легитимной функцией и не рассматривается как уязвимость. Тем не менее, с ростом числа атак, эксплуатирующих DDE, техногигант постепенно начал менять свою позицию. К примеру, в середине октября производитель выпустил предупреждение Security Advisory 4053440 , содержавшее инструкции по отключению протокола в поддерживающие его приложения (Word, Outlook, Excel). На этой неделе компания представила обновление Office Defense in Depth Update ADV170021 , добавляющее новый ключ в реестр Windows, управляющий статусом DDE в Word. По умолчанию он отключает функцию. Помимо этого, ADV170021 также включает обновления для уже неподдерживаемых версий Word - 2003 и 2007. Microsoft продолжит поддерживать протокол DDE в Excel и Outlook, где функция активна по умолчанию.

18-летнему жителю Великобритании Джеку Чэппеллу предъявлены обвинения в создании web-сервиса, предлагавшего вредоносное ПО, которое использовалось для атак на сайты ведущих мировых компаний, в том числе T-Mobile, EE, Vodafone, O2, BBC, BT, Amazon, Netflix, Virgin Media, а также на ресурс Национального агентства по борьбе с преступностью Великобритании. По данным следствия, Чэппелл не только обеспечивал хакеров вредоносными программами для осуществления DoS-атак, но также предоставлял услуги техподдержки. Согласно сообщению британской полиции, молодому человеку предъявлены обвинения в нарушении «Закона о ненадлежащем использовании компьютера» (Computer Misuse Act), поощрении или содействии в кибератаках, а также в отмывании денег. Как отмечается, в результате атак, к которым был причастен Чэппелл, данные клиентов компаний не пострадали.

Вирусная лаборатория Eset опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Как рассказали в компании, для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах 1С. Группировка RTM использует специально разработанные программы, написанные на языке программирования Delphi. Система телеметрии Eset LiveGrid зафиксировала первые следы этих вредоносных инструментов в конце 2015 г. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью. В фокусе атакующих – бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО).Вредоносное ПО RTM распространяется преимущественно через взломанные сайты (drive-by download) и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором – отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний. Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета. Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 гг. Тем не менее, у этих групп различаются векторы заражения – в кампаниях Buhtrap чаще использовался фишинг. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow. Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак. По оценке экспертов Eset, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности.

Согласно результатам исследования «Лаборатории Касперского», банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе и в России, стали жертвами «незаметных» целевых атак, организаторы которых по своей тактике напоминают нашумевшие кибергруппировки Carbanak и GCMAN. По данным «Лаборатории Касперского», для проникновения в корпоративные сети по меньшей мере 140 организаций неизвестные злоумышленники использовали исключительно легитимное ПО, а любые вредоносные файлы хранили в памяти системы, не оставляя никаких следов на жестких дисках. Чаще всего атакующие применяют специализированное ПО для тестирования на проникновение, инструменты администрирования и утилиты для автоматизации задач в Windows, например, PowerShell. На след новой неизвестной кибергруппировки эксперты «Лаборатории Касперского» вышли в конце 2016 года, когда один из банков в СНГ обратился в компанию с просьбой расследовать подозрительную активность в своей сети. В памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое в настоящее время часто используется во вредоносных целях. Как выяснили аналитики «Лаборатории Касперского», код Meterpreter был загружен PowerShell скриптами из реестра операционной системы напрямую в память. Именно это позволило программе оставаться незамеченной и свободно собирать пароли системных администраторов. Конечной целью злоумышленников, скорее всего, было получение доступа к финансовым процессам банка. Расследование инцидента позволило экспертам «Лаборатории Касперского» установить, что подобные атаки осуществлялись по всему миру, и группировка до сих пор остается активной. «Упаковка» вредоносного кода в легитимные утилиты позволяет атакующим избегать детектирования методом «белых списков» (когда в системе можно запускать только официальные программы проверенных производителей), а присутствие лишь в памяти системы оставляет исследователей без каких-либо доказательств и артефактов, на основе которых можно провести расследование. «Стремление атакующих сделать свою активность максимально незаметной и избежать детектирования – проявление последней тенденции в развитии киберугроз. Злоумышленники все активнее используют легитимное и базирующееся в памяти ПО, а также не замечаемые традиционными средствами защиты техники. Вот почему исследование системной памяти становится критически важным», – сказал Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». Детали этого расследования будут представлены «Лабораторией Касперского» на международной конференции по кибербезопасности Security Analyst Summit, которая пройдет на острове Сен-Мартен со 2 по 6 апреля. Эксперты компании Сергей Голованов и Игорь Суменков расскажут о том, какие уникальные тактики помогли злоумышленникам получить доступ к деньгам атакованных организаций и обналичить их в банкоматах.