"Мир интернета"

[душман]

«Лаборатория Касперского» зафиксировала рост числа финансовых угроз в Сети

По данным, полученным «Лабораторией Касперского» с помощью облачной инфраструктуры Kaspersky Security Network, во втором квартале 2016 г. число пользователей, подвергшихся попытке заражения вредоносным ПО для кражи денег через системы онлайн-банкинга, выросло на 16% по сравнению с предыдущим кварталом.

При этом Россия оказалась на втором месте в рейтинге стран, жители которых сталкивались с наибольшим риском стать жертвой финансовой кибератаки, сообщили в «Лаборатории Касперского».
Большое количество финансовых угроз в ушедшем квартале эксперты связывают с тем, что создатели различных вредоносных программ объединили усилия. К примеру, владельцы зловреда Nymaim, который изначально разрабатывался как блокер-вымогатель, включили в исходный код своего детища фрагменты банковского трояна Gozi, который открывает злоумышленникам удаленный доступ к зараженным компьютерам.
«Финансовое вредоносное ПО развивается очень быстро. Новые банковские трояны имеют более широкий набор функций и разнообразные модули. Поэтому, например, если у киберпреступников не получается украсть конфиденциальные данные пользователя, они могут с помощью все того же зловреда зашифровать их и потребовать выкуп. А трояны из семейства Neurevt, крайне распространенные сегодня, умеют не только собирать данные в системах онлайн-банкинга, но и рассылать спам», — пояснил Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
Помимо банковских троянов, которые продолжают оставаться основной финансовой угрозой для пользователей, набирают силу программы-шифровальщики и вымогатели, которые требуют выкуп за восстановление доступа к данным или зараженной системе в целом, отметили в компании. Так, за второй квартал 2016 г. «Лаборатория Касперского» обнаружила более 9 тыс. новых модификаций шифровальщиков — и это в три раза больше, чем в первом квартале этого года. Еще значительнее увеличилась доля мобильных троянов-вымогателей — с начала года эксперты выявили в 7 раз больше установочных пакетов этих вредоносных программ, чем в четвертом квартале 2015 г.
Всего же во втором квартале решения «Лаборатории Касперского» отразили более 170 млн атак, которые осуществлялись с интернет-ресурсов, расположенных в 191 стране мира. Приблизительно каждая десятая атака проводилась с веб-ресурсов, находящихся на территории России.

[душман]

Обнаружен новый Linux-троян для майнинга криптовалют

Исследователи из компании «Доктор Веб» обнаружили новый Linux-троян, способный запускать на инфицированной системе программу для майнинга криптовалют.

Основная особенность вредоноса, получившего название Linux.Lady.1 (по классификации «Доктор Веб»), заключается в том, что он написан на языке программирования Go, разработанном компанией Google.
Оказавшись на системе, троян собирает и отправляет на C&C-сервер злоумышленников данные об ОС, количестве процессоров, числе запущенных процессов и прочие сведения. Затем троян получает конфигурационный файл для загрузки и запуска программы, предназначенной для добычи криптовалют. Полученные деньги вредонос зачисляет на принадлежащий преступникам электронный кошелек.
Конфигурационный файл содержит ссылки на специальные сайты, используемые трояном для определения внешнего IP-адреса зараженного устройства. Также вредоносная программа может атаковать другие компьютеры, расположенные в данной сети. Троян пытается подключиться без пароля к удаленным узлам через порт, используемый журналируемым хранилищем данных Redis (remote dictionary server), рассчитывая на некорректную настройку атакуемой системы.
В случае успешного подключения вредонос записывает в планировщик задач cron удаленного компьютера скрипт-загрузчик, который загружает и устанавливает на скомпрометированном узле копию Linux.Lady.1. Далее вредоносная программа добавляет в список авторизованных ключей ключ для соединения с атакуемым компьютером по протоколу SSH.

[душман]

Хакеры попытались взломать сайты WADA и CAS

Сайты Всемирного антидопингового агентства (WADA) и Спортивного арбитражного суда (CAS) были атакованы хакерами.

Киберпреступники пытались получить доступ к результатам допинг-тестов спортсменов. Об этом 12 августа сообщило Associated Press.
Координатор по связям с общественностью WADA Мэгги Дюран пояснила, что хакерам не удалось взломать сайт, несмотря на то, что на YouTube было опубликовано видео, в котором киберпреступники объявили о получении доступа к порталу.
Дюран добавила, что WADA продолжает следить за ситуацией.Она отметила, что хакеры провели фишинговую атаку и разослали зарегистрированным пользователям письма с вредоносными ссылками, чтобы получить их логины и пароли.
Генеральный секретарь CAS Матье Риб подчеркнул, что сайт Спортивного арбитражного суда был атакован хакерами «не в первый и не в последний раз». Он добавил, что на портале размещается публичная, а не конфиденциальная информация. Несмотря на то, что хакерская атака была неудачной, организация проводит проверку, чтобы убедиться, что никто не пострадал от действий киберпреступников.

[душман]

«Лаборатория Касперского» запатентовала технологию для борьбы с эксплойтами под Adobe Flash Player

«Лаборатория Касперского» получила патент на технологию, которая выявляет эксплойты под Adobe Flash Player, часто успешно скрываемые с помощью переупаковки.

Запатентованная технология включена в решения Kaspersky Internet Security для всех устройств и Kaspersky Total Security для всех устройств, сообщили в «Лаборатория Касперского».
Новая разработка позволяет детектировать вредоносные файлы вне зависимости от того, каким образом они пытаются этому противостоять, что облегчает процесс обнаружения зловредов в том случае, когда традиционные методы, такие как сигнатурный или эвристический анализ, не работают.
Это происходит, например, когда эксплойт переупаковывается для каждого пользователя, то есть, когда для каждой новой жертвы применяется уникальный вредоносный файл, пояснили в компании.
Эксперты «Лаборатории Касперского» создали универсальную свертку, представляющую собой контрольную сумму от байт-кода анализируемых вредоносных файлов, с помощью которой можно выявить сразу целые их группы. На данный момент она работает для обнаружения разных видов вредоносного ПО, использующего стековые виртуальные машины: не только эксплойтов под Adobe Flash Player, написанных на ActionScript, но и зловредов, написанных на .NET.
«Подобного рода свертки, покрывающие не отдельные файлы, а группы файлов, облегчают обнаружение эксплойтов, потому что легко встраиваются в системы автоматического распознавания и позволяют детектировать множество объектов за один раз. В будущем мы, возможно, сделаем такие свертки для других типов вредоносных файлов, использующих стековые виртуальные машины», — рассказал Александр Лискин, руководитель группы эвристического детектирования «Лаборатории Касперского» и один из авторов технологии.
«Применение этих свертков позволило достичь потрясающих результатов в области обнаружения эксплойтов под Adobe Flash Player, количество которых резко выросло за последние годы. Также благодаря внедрению данной технологии сейчас запускается отдельный сервис автоматического обнаружения таких зловредов в рамках нашей системы автодетектирования вредоносного ПО», — добавил Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского» и соавтор технологии.

[душман]

Роскомнадзор навсегда заблокирует доступ к библиотеке «Либрусек»

С 8 сентября 2016 года доступ к популярной пиратской online-библиотеке «Либрусек» на территории РФ может быть заблокирован навсегда.

Соответствующее решение было вынесено Мосгорсудом по заявлению издательства «АСТ» 8 августа, сообщает издание «Известия» со ссылкой на руководителя Ассоциации защиты авторских прав в интернете Максима Рябыко.
Как пояснил Рябыко, решение суда связано с нелегальной публикации на сайте lib.rus.ec трех произведений: «Древний. Предыстория. Книга третья» Сергея Тармашева, «Кто не думает о последствиях» Даниила Корецкого и «Нежные листья, ядовитые корни» Елены Михалковой.
В случае, если администрация ресурса не подаст апелляцию, решение суда вступит в силу через 30 дней с момента принятия, то есть, 8 сентября. Документ будет направлен Роскомнадзору, и адрес «Либрусека» попадет в единый реестр запрещенных сайтов.
Библиотека lib.rus.eс была основана в июне 2007 года. По данным сервиса Similarweb, ее аудитория в среднем составляет 9,4 млн пользователей в месяц.
Напомним, в апреле нынешнего года Московский городской суд вынес решение о «пожизненной» блокировке доступа к популярной online-библиотеке Flibusta.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошлая неделя оказалась богатой самыми разнообразными инцидентами безопасности, начиная с раскрытия деятельности APT-группировки, остававшейся в тени в течение пяти лет, и заканчивая атакой на российскую легкоатлетку Юлию Степанову.

Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 8 по 14 августа 2016 года.В начале прошлой недели стали известны подробности о деятельности группировки Strider (ProjectSauron по версии «Лаборатории Касперского»), занимающейся кибершпионажем. Жертвами злоумышленников являются избранные цели в России, Китае, Швеции и Бельгии. В ходе атак хакеры используют сложное модульное вредоносное ПО Remsec, созданное специально для шпионажа. Инструмент выполняет функции бэкдора и кейлоггера, а также похищает хранящиеся на зараженном компьютере файлы.
Как сообщил ИБ-эксперт Брайан Кребс, компания Oracle стала жертвами хакеров, которые также обвиняются в атаке на руководство Демократической партии США. Злоумышленники взломали портал техподдержки для предприятий, использующих PoS-системы MICROS. По словам участвующих в расследовании экспертов, скомпрометированный ресурс подключался к серверу, подконтрольному хакерской группировке Carbanak. Данная организация является частью российского киберпреступного синдиката, подозревающегося в хищении $1 млрд у банков, ритейлеров и представителей гостиничного бизнеса.
Помимо атаки на Oracle, на прошлой неделе стало известно о взломе сервера форума для разработчиков Dota 2 Dev, приведшему к утечке данных порядка 2 млн пользователей. Как пояснил администратор ресурса, злоумышленники смогли получить доступ к информации, проэксплуатировав уязвимость в движке vBulletin.
Большой резонанс на прошлой неделе вызвало сообщение об угрозе конфиденциальности, предоставляемой «умными» Bluetooth-вибраторами. По данным австралийских экспертов Goldfisk и Follower, устройства We-Vibe 4 Plus собирают и отправляют на сервер производителя сведения о частоте использования, выбранных режимах и температуре тела.  
Специалисты компании Eset сообщили о фишинговой кампании, нацеленной на похищение учетных записей пользователей Facebook. С целью получить доступ к аккаунтам злоумышленники распространяют поддельные сообщения о терактах в Праге. По данным компании, жертвами хакеров стали тысячи пользователей из Чехии и Словакии.
Особого внимания заслуживают уведомления о новых образцах вымогательского ПО, которое на прошлой неделе отличилось большим разнообразием. К примеру, эксперты «Лаборатории Касперского» обнаружили очередную версию шифровальщика Shade, активно использующегося на территории России и стран СНГ. У вредоноса появилась логика, позволяющая проверять систему на причастность к бухгалтерии. Если компьютер используется в бухгалтерии, новый вариант Shade не шифрует файлы, как обычно, а устанавливает на систему инструменты для удаленного управления.
Эксперты McAfee Labs обнаружили новое вымогательское ПО El Gato (в переводе с испанского означает «кот») для Android-устройств, способное не только шифровать файлы, но также похищать SMS-сообщения и блокировать экран. Примечательно, что после блокировки троян не требует выкупа, а в его коде содержится инструкция, объясняющая, как вернуть контроль над устройством.
Аналитик компании AVG Якуб Крустек сообщил о появлении нового вымогателя под неоднозначным названием Hitler. Инфицировав систему, троян отображает на экране уведомление с изображением Адольфа Гитлера, информирующее пользователя о том, что его файлы зашифрованы. В отличие от остальных программ подобного типа, в качестве выкупа за восстановление файлов Hitler требует не биткойны, а код предоплаченной карты Vodafone номиналом €25.
Исследователи из компании «Доктор Веб» обнаружили новый Linux-троян, способный запускать на инфицированной системе программу для майнинга криптовалют. Linux.Lady.1 (по классификации «Доктор Веб») написан на разработанном компанией Google языке программирования Go.
Группа исследователей под руководством ИБ-эксперта Флавио Гарсии представила способ беспроводного взлома автомобилей Volkswagen. Эксперты обнаружили уязвимость, позволяющую открывать двери транспортного средства с помощью простого и недорого устройства. Проблема затрагивает практически все автомобили Volkswagen, выпускаемые с 1995 года (порядка 100 млн машин).
В конце прошлой недели стало известно о хакерской атаке на принадлежащие российской легкоатлетке Юлии Степановой электронную почту и учетную запись в системе ВАДА. Через данную учетную запись спортсменка сообщает Всемирному антидопинговому агентству о своем местонахождении.

[душман]

Бэкдор-шпион атакует жителей России, Великобритании, Испании и США

Компания «Доктор Веб» обнаружила бэкдора, устанавливающего на атакуемый компьютер в целях шпионажа легальные компоненты TeamViewer.

Троян, получивший наименование BackDoor.TeamViewerENT.1, также имеет самоназвание Spy-Agent (так называется административный интерфейс его системы управления). Злоумышленники развивают этих троянов с 2011 г. и регулярно выпускают их новые версии, сообщили сегодня в «Доктор Веб».
Как и схожий с ним по архитектуре троян BackDoor.TeamViewer.49, этот бэкдор состоит из нескольких модулей. Однако если предшественник задействовал компоненты программы удаленного администрирования компьютера TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то BackDoor.TeamViewerENT.1 использует их именно для шпионажа.
Основные вредоносные функции трояна сосредоточены в библиотеке avicap32.dll, а параметры его работы хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки, троян сохраняет на диск атакуемой машины необходимые для работы программы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.
Если приложение в ОС Microsoft Windows требует для своей работы загрузку динамической библиотеки, система сначала пытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Этим и воспользовались вирусописатели: приложению TeamViewer действительно необходима стандартная библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows.
Но троян сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.
После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троян скачивает их со своего управляющего сервера.
Помимо этого, если BackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине.
Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников: перезагрузить ПК; выключить ПК; удалить TeamViewer; перезапустить TeamViewer; начать прослушивание звука с микрофона; завершить прослушивание звука с микрофона; определить наличие веб-камеры; начать просмотр через веб-камеру; завершить просмотр через веб-камеру; скачать файл, сохранить его во временную папку и запустить; обновить конфигурационный файл или файл бэкдора; подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.
Очевидно, что эти команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями инфицированных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого трояна киберпреступники устанавливали на инфицированные компьютеры вредоносные программы семейств Trojan.Keylogger и Trojan.PWS.Stealer, указали в «Доктор Веб». Вирусные аналитики компании провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов.
Так, в июле с использованием BackDoor.TeamViewerENT.1 киберпреступники атаковали жителей Европы, среди которых больше всего насчитывалось резидентов Великобритании и Испании, а в августе переключились на резидентов США. При этом довольно много зараженных компьютеров расположено на территории России.
Специалисты «Доктор Веб» продолжают следить за развитием ситуации, а также призывают пользователей проявлять бдительность и вовремя обновлять вирусные базы. По данным компании, троян BackDoor.TeamViewerENT.1 детектируется и удаляется антивирусом Dr.Web.

[душман]

В Сети активизировался троян Nemucod — распространитель бэкдора-кликера Kovter

Компания Eset предупредила о росте активности загрузчика Nemucod.

Троянская программа распространяет бэкдор Kovter, кликающий по рекламным ссылкам, сообщили в Eset.Nemucod использовался в 2016 г. в нескольких крупных киберкампаниях. Его доля достигала 24% в общемировом объеме вредоносных программ, а уровень распространенности в отдельных странах превышал 50%. Ранее загрузчик распространял преимущественно шифраторы, включая Locky и TeslaCrypt.
В новой кампании, зафиксированной облачной системой Eset LiveGrid, Nemucod используется для загрузки бэкдора Kovter, предназначенного для накрутки кликов по рекламным объявлениям.
Актуальная версия Nemucod, изученная специалистами Eset, распространяется в спам-рассылке. К письму приложен ZIP-архив, где под видом счета-фактуры скрывается исполняемый файл. Если пользователь запустит зараженный файл, Nemucod загрузит на компьютер Kovter.
В свою очередь, Kovter открывает атакующим удаленный доступ к ПК жертвы. Модификация бэкдора, изученная специалистами Eset, кликает по рекламным ссылкам при помощи встроенного браузера. Кликер поддерживает до 30 потоков, в каждом из которых посещает сайты и накручивает просмотры рекламы. Число потоков может меняться по команде или автоматически — в зависимости от текущей производительности компьютера.
В связи с ростом активности Nemucod специалисты Eset рекомендуют соблюдать базовые правила безопасности и уделить внимание настройкам почты. В частности, если почтовый клиент или сервер позволяет блокировать вложения по расширению, лучше заблокировать все отправления с файлами .EXE, .BAT, .CMD, .SCR и .JS. При этом стоит убедиться, что операционная система отображает расширения файлов — это поможет распознать подделки, использующие двойное расширение (например, исполняемый файл INVOICE.PDF.EXE под видом безвредного INVOICE.PDF).
Если файлы с «подозрительным» расширением может прислать доверенный отправитель, стоит тщательно проверять адреса и сканировать письма и вложения продуктом для безопасности.

[душман]

В национальных зонах .RU и .РФ аккредитованы пять новых регистраторов

«Координационный центр национальных доменов .RU/.РФ» подписал соглашение об аккредитации с пятью новыми регистраторами — «ААБ-Медиа», «Ю.РУ», МСТЦИ, «Фаерфокс» и «Домены.ру».

Об этом сообщили в «Координационном центре национального домена сети интернет».Как отмечается, компания «ААБ Медиа» — первый регистратор, работающий в Центрально-Черноземном районе России. Компания занимается разработкой собственных информационных систем, онлайн-сервисов и торговых площадок для предпринимателей.
Также «ААБ Медиа» предоставляет услуги хостинга.Другие четыре регистратора представляют столичный регион и узко специализируются на услугах регистрации доменных имен.
В целом в настоящее время услуги регистрации доменов в зонах .RU и .РФ предоставляют 43 аккредитованных регистратора, отметили в «Координационном центре».

[душман]

«Лаборатория Касперского» обнаружила кампанию кибершпионажа: жертвами стали компании из 30 стран

«Лаборатория Касперского» зафиксировала волну целевых атак на компании по всему миру, основным инструментом которых стали фишинговые письма с вложенной в них известной коммерческой шпионской программой HawkEye.

Цель кампании кибершпионажа, проходившей в основном в июне 2016 г. и получившей название Operation Ghoul, заключалась в краже корпоративных данных, имеющих ценность на черном рынке. От атак пострадали более 130 организаций из 30 стран, в том числе из России, сообщили в «Лаборатории Касперского».
Адресатами вредоносных рассылок в основном являлись топ-менеджеры и менеджеры среднего звена. Они получали письма, которые выглядели как платежные извещения с вложенным документом от системы SWIFT, а на самом деле содержали вредоносное ПО, основу которого составляла шпионская программа, открыто продаваемая в анонимной сети Darkweb.
Зловред позволяет собрать и отправить на серверы управления злоумышленников интересующие их данные с компьютеров жертв, в том числе информацию о нажатых клавишах, данные из буферов обмена, логины и пароли для подключения к FTP-серверу, учетные данные из браузеров, мессенджеров (Pattalk, Google Talk, AIM), почтовых клиентов (Outlook, Windows Live Mail), а также информацию об установленных приложениях (Microsoft Office).
В списке жертв Operation Ghoul находятся преимущественно промышленные и инженерно-строительные организации, но также есть и судоходные, фармацевтические, производственные, торговые предприятия и образовательные учреждения.
В «Лаборатории Касперского» предполагают, что за этими атаками стоит кибергруппировка, на счету которой множество других операций и которая до сих пор активна. Эксперты компании следят за деятельностью данной группы с марта 2015 г.
«В переводе на русский ghoul означает вампир. Так иногда называют очень алчных людей. Эта характеристика как нельзя лучше описывает злоумышленников, стоящих за этими атаками. Чтобы обогатиться, они крадут данные у компаний с целью дальнейшей перепродажи и ищут доступ к банковским счетам жертв. Кампания Operation Ghoul оказалась весьма эффективной, несмотря на то что для ее проведения использовались довольно простые инструменты. Мы рекомендуем всем организациям быть настороже, поскольку целью подобных атак может быть любая из них», — предупредил Мохаммад Амин Хасбини, антивирусный эксперт «Лаборатории Касперского».
Для защиты от Operation Ghoul и других угроз такого типа «Лаборатория Касперского» рекомендует компаниям обучать сотрудников тому, как отличать фишинговые письма и ссылки от настоящих; использовать защитное решение в сочетании со специальным продуктом для защиты от целевых атак; снабжать сотрудников отделов информационной безопасности оперативными данными о киберугрозах, чтобы в их распоряжении были действенные инструменты для обнаружения и предотвращения целевых атак, такие как индикаторы компрометации и правила YARA.
Продукты «Лаборатории Касперского» детектируют вредоносное ПО, используемое Operation Ghoul, как Trojan.MSIL.ShopBot.ww,Trojan.Win32.Fsysna.dfah либо Trojan.Win32.Generic.

[душман]

Задержаны мошенники, под видом сотрудников МВД вымогавшие «штрафы» якобы за просмотр порно

Белорусские правоохранители задержали киберпреступную группировку, вымогавшую у пользователей «штрафы» якобы за посещение порнографических сайтов.

Злоумышленники инфицировали компьютеры жертв вредоносным ПО, перенаправлявшим их на поддельные сайты Министерства внутренних дел Республики Беларусь.
Попав на поддельный ресурс, пользователь видел уведомление с требованием уплатить штраф якобы за просмотр запрещенных материалов. В течение 12 часов жертва должна была выплатить 65-100 белорусских рублей (порядка 2-3,3 тыс. российских рублей).
В случае неуплаты штрафа компьютер пользователя блокировался. Данная схема принесла мошенникам прибыль на общую сумму в 163 тыс. белорусских рублей (свыше 500 тыс. российских рублей).
Следственными подразделениями Минской области РБ возбуждены уголовные дела по ст.209 «Мошенничество», ст.354 «Разработка, использование, либо распространение вредоносных программ» УК Республики Беларусь. За совершенные преступления злоумышленникам грозит наказание в виде лишения свободы на срок до 10 лет с конфискацией имущества.

[душман]

Фишеры охотятся за игроками в Pokemon GO

Исследователи из ирландской компании AdaptiveMobile зафиксировали ряд фишинговых спам-кампаний, направленных на пользователей популярной мобильной игры Pokemon Go.

В ходе одной из операций злоумышленники рассылают SMS-сообщения, содержащие короткую ссылку на фишинговый ресурс Pokemonpromo.xxx, имитирующий легитимный сайт Pokemon GO. Портал обещал дополнительные возможности игрокам, если они порекомендуют ресурс 10 другим пользователям. В настоящее время ресурс не активен.
В рамках других SMS-кампаний злоумышленники предлагали 14,5 тыс. покекоинов (виртуальная валюта в игре Pokemon GO) игрокам, заработавшим 100 очков. SMS-сообщения содержали короткие ссылки на различные фишинговые сайты, в том числе Pokemon Generator, запрашивавшим учетные данные пользователей для якобы последующего перевода валюты на их счета.
Как отмечают эксперты, ссылки на данные ресурсы содержались не только в SMS-сообщениях, но и размещались в различных соцсетях и на форумах Pokemon GO.
С ростом популярности Pokemon GO начала привлекать внимание не только фишеров, но и вирусописателей. К примеру, ранее стало известно о фальшивом приложении Pokemon GO для Windows, под видом которого скрывалось вымогательское ПО. Программа способна не только шифровать файлы пользователей, но и устанавливать бэкдор на целевой системе.

[душман]

На WikiLeaks обнаружено 324 образца вредоносного ПО

Болгарский ИБ-эксперт Веселин Бончев обнаружил в дампе электронных писем, опубликованном на сайте WikiLeaks, 324 образца вредоносного ПО.

Большинство из них содержатся во вложениях к письмам, полученных от хакеров. Злоумышленники отправляли вредоносные письма с целью скомпрометировать того или иного пользователя или организацию, а затем они оказались опубликованными на WikiLeaks.
Как отметил Бончев, 324 образца – это лишь то, что удалось обнаружить и подтвердить за один раз, и на самом деле их может быть гораздо больше. По словам эксперта, 30 лет занимающегося исследованиями компьютерных вирусов, «нет никаких сомнений» в том, что содержащееся на сайте ПО действительно вредоносное.
«Перечень далеко не исчерпывающий, поскольку я только начал проводить анализ», – подчеркнул Бончев.

[душман]

Хакеры воздали должное своим «коллегам» из телесериала «Мистер Робот»

По мере того, как хакерская культура постепенно проникает в поп-культуру, поп-культура вдохновляет киберпреступников на новые свершения.

В последнее время большую популярность набирает американский телесериал «Мистер Робот» («Mr. Robot»), повествующий о борьбе хактивистов с обществом потребления, поэтому неудивительно, что киберпреступники решили воздать ему должное.
ИБ-эксперт Майкл Гиллеспи обнаружил новый вариант вымогательского ПО EDA2, которое он назвал FSociety. Вредонос получил такое название, поскольку после инфицирования компьютера на экран выводится логотип FSociety – вымышленной хакерской группировки из телесериала «Мистер Робот».
Троян-шифровальщик базируется на проекте с открытым исходным кодом EDA2, разработанным в начале 2016 года турецким ИБ-экспертом Ютку Сено в образовательных целях. Как и остальные варианты EDA2, FSociety шифрует файлы на компьютере жертвы с использованием алгоритма AES, а затем загружает на C&C-сервер ключ для дешифровки, зашифрованный алгоритмом RSA.
Вымогатель исправно шифрует файлы, однако в остальном выглядит недоработанным. Похоже, FSociety все еще находится на стадии разработки и не распространяется активно. Помимо логотипа, на экране инфицированного компьютера не отображаются ни сообщение с требованием выкупа, ни какие-либо контакты его авторов.

[душман]

Самораспространяющийся троян для Linux организует ботнеты

Вирусные аналитики компании «Доктор Веб» исследовали еще одного Linux-трояна, написанного на языке Go.

Он умеет атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети, сообщили в «Доктор Веб».
Новый троян получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого трояна, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на движке Drupal, но этим его возможности не ограничиваются.
«Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, “равный к равному”), — рассказали в «Доктор Веб». В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать, таким образом, децентрализованный P2P-ботнет.
Сам зараженный компьютер при запуске трояна работает как один из узлов этой сети».Троян принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля троян сканирует сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах.
Хотя сделать это возможно далеко не всегда.Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, киберпреступники просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.
Для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость этой CMS. С помощью SQL-инъекции троян авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация — возможность автоматического распространения без участия пользователей, отметили в «Доктор Веб».
По мнению экспертов компании, Linux.Rex.1 представляет серьезную опасность для владельцев веб-сайтов, а также пользователей устройств под управлением Linux. Сигнатура Linux.Rex.1 добавлена в базы «Антивируса Dr.Web для Linux», этот троян детектируется и удаляется антивирусными продуктами «Доктор Веб».

[душман]

Власти навечно заблокировали знаменитый файлообменник

Популярный файлообменный сервис Ex.ua оказался под «пожизненной» блокировкой из-за незаконного размещения созданного ТНТ сериала «Бородач».

По аналогичной причине под пожизненную блокировку попали еще четыре видеоресурса.Информация об этом следует из картотеки Antizapret.info. Решение о блокировке было вынесено Мосгорсудом в рамках «антипиратского» закона.
Ex.ua – популярный украинский файлообменный сервис. В 2010 г. Американская звукозаписывающая ассоциация RIAA внесла его в число 25 крупнейших пиратских ресурсов в мире.
С иском в Мосгорсуд обратился телеканал ТНТ, обнаруживший на Ex.ua незаконную копию созданного им сериала «Бородач». Одновременно ТНТ подал жалобу еще на 21 видеоресурс, также незаконно разместивших этот сериал.
Сериал «Бородач» вышел на экраны в 2016 г. Его главный герой – «Охранник Всея Руси Сашка Бородач» – ранее фигурировал в юмористической программе «Наша Russia».
Расширенная редакция «антипиратского» закона, вступившая в силу в 2015 г., предусматривает механизм «пожизненной» блокировки. Если Мосгорсуд дважды признает один и тот же ресурс нарушителем прав одного и того же истца, Роскомнадзор должен на постоянной основе заблокировать к нему доступ.
В отличие от «обычной» блокировки», «пожизненная» блокировка уже не может быть отменена, даже в случае, если ресурс-нарушитель удалил спорный контент.
В 2012 г. правоохранительные органы Украины провели обыски в дата-центре Ex.ua, изъяли его сервера и прекратили делегирование доменного имени. Однако впоследствии уголовное дело было прекращено, а ресурс возобновил работу.
В России Росокомнадзор с 2014 г. неоднократно блокировал доступ к Ex.ua. Причинами этого были решения как Мосгорсуда, выданные в связи с нарушениями авторских прав, так и решения различных региональных судов. Одно из них было связано с незаконной публикацией переписки сотрудника петербургского «Агентства интернет-исследований» Игоря Осадчего.
Часть прежних блокировок впоследствии была отменена. Теперь же файлообменный ресурс заблокирован «навечно».
Это первая «пожизненная» блокировка файлообменного сервиса. Помимо Ex.ua, Мосгорсуд в рамках данного иска постановил «пожизненно» заблокировать еще четыре ресурса.
Это зеркала популярного торрент-трекера rutor.org – ru-ru.org и new-rutor.org, онлайн-кинотеатр с сериалами vseriale.tv и сайт с возможностью просмотра сериалов и программ телеканала ТНТ comedyportal.net. Оставшиеся 17 ресурсов, фигурирующих в иске, впервые были пойманы на нарушении прав ТНТ, поэтому доступ к ним на постоянной основе пока не блокировался.
Отметим, что ТНТ ведет активную борьбу с пиратскими копиями своих сериалов. Так, ранее под пожизненную блокировку попали шесть онлайн-кинотеатров, разместивших копии сериала «Озабоченные».

[душман]

Обзор инцидентов безопасности за прошлую неделю

Главным событием на прошлой неделе стал предполагаемый взлом серверов организации Equation Group, разрабатывающей эксплоиты и хакерские инструменты для Агентства национальной безопасности США.

Тем не менее, помимо этого резонансного события прошедшая неделя ознаменовалась целым рядом инцидентов. Предлагаем ознакомиться с кратким обзором наиболее громких событий в мире ИБ за период с 15 по 21 августа 2016 года.
Как уже упоминалось, большой резонанс как среди ИБ-экспертов, так и среди пользователей вызвала публикация в открытом доступе эксплоитов АНБ. Некоторые инструменты доступны online, однако основной массив похищенных инструментов выставила на продажу хакерская группировка The Shadow Brokers.
Жертвами утечки данных на прошлой неделе стали клиенты отелей Marriott, Hyatt, Intercontinental и Starwood, находящихся под управлением компании HEI Hotels & Resorts. Вредоносное ПО было обнаружено в середине июня текущего года в PoS-терминалах, использующихся для оплаты услуг в ресторанах, барах, спа-салонах, магазинах и прочих учреждениях, расположенных на территории отелей. Предполагается, что вредонос функционировал с марта прошлого года.
Еще одна утечка затронула пользователей геймерского сайта DLH.net. В результате инцидента были похищены около 9,1 млн ключей для активации игр на платформе Steam. Утекший массив также содержит полные имена, логины, зашифрованные пароли, адреса электронной почты, даты рождения, аватары, логины в Steam и информацию об активности пользователей.
Исследователи «Лаборатории Касперского» обнаружили серию целевых атак на промышленные предприятия, находящиеся преимущественно в странах Ближнего и Среднего Востока. В ходе кампании, получившей название Operation Ghoul, злоумышленники атаковали 130 организаций в 30 странах мира с целью похищения конфиденциальных корпоративных и финансовых данных.
Разработчики ядра Linux предупредили о поддельных ключах шифрования Линуса Торвальдса, Грега Кроа-Хартмана и др. Короткие 8-символьные идентификаторы обнаруженных не сервере поддельных ключей совпадают с настоящими ключами, поэтому для верификации эксперты рекомендуют проверять полные 256-битовые отпечатки ключей, а не короткие.
Эксперты из Symantec зафиксировали новую спам-кампанию, в ходе которой в качестве приманки для жертв злоумышленники используют несуществующее видео встречи кандидата в президенты США Хиллари Клинтон с руководителем террористической группировки ДАИШ (ИГИЛ, запрещена в России).
Исследователи компании «Доктор Веб» предупредили о появлении нового Linux-трояна Linux.Rex.1, способного атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.
По сложившейся традиции, на прошлой неделе не обошлось без сообщений о появлении нового вымогательского ПО. ИБ-эксперт Майкл Гиллеспи предупредил о поддельном приложении Pokemon GO для Windows, под видом которого скрывается вымогательское ПО, способное не только шифровать файлы жертвы, но и устанавливать бэкдор на целевой системе.
В свою очередь исследователи из Symantec сообщили о трояне-шифровальщике Shark. Любой желающий может получить его совершенно бесплатно, однако обязуется платить по 20% от каждого выплаченного жертвами выкупа.

[душман]

Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

Исследователь из компании Proofpoint Дариен Хусс обнаружил новое вредоносное ПО Alma Locker, шифрующее файлы на компьютере жертвы и требующее за их восстановление выкуп в размере 1 биткойна, который должен быть уплачен в течение пяти дней.

В последнее время было обнаружено огромное количество новых образцов троянов-шифровальщиков, однако почти все они отличаются слабой реализацией, а C&C-серверы многих из них отключены. Несмотря на наличие некоторых ошибок в реализации, Alma Locker является одной из нескольких обнаруженных недавно вымогательских программ с защищенным алгоритмом шифрования, использующей Tor в качестве рабочего C&C-сервера.
Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.Как сообщает Лоуренс Абрамс из Bleeping Computer, Alma Locker распространяется с помощью набора эксплоитов RIG. После установки на систему вредонос генерирует для зашифрованных файлов расширение, состоящее из пяти случайных символов, и восьмизначный идентификатор жертвы. Данный идентификатор состоит из серийного номера диска C:\ и MAC-адреса первого сетевого интерфейса.
Alma Locker шифрует файлы с помощью 128-битного шифрования и добавляет к ним сгенерированное пятизначное расширение. Например, если расширение будет .a5zfn, то после шифрования файл с именем test.jpg превратится в test.jpg.a5zfn.
В процессе шифрования вымогатель отправляет на C&C-сервер следующую информацию: закрытый ключ шифрования, зашифрованный с помощью алгоритма AES-128, расширения файлов, имена пользователя и активного сетевого интерфейса, Locale ID и версию операционной системы, идентификатор пользователя, зарегистрированное Windows антивирусное ПО и временные метки, указывающие время запуска программы.
После завершения процесса шифрования на экране жертвы появляется уведомление с требованием выкупа, а также ссылки на платежный сайт в сети Tor и декриптор. После запуска декриптор подключается к C&C-серверу и проверяет, был ли выплачен выкуп, какая сумма была положена на счет и уложилась ли жертва в пятидневный срок.

[душман]

В The New York Times подтвердили слухи о хакерской атаке

Представители The New York Times подтвердили информацию о том, что московское бюро издания подверглось хакерской атаке.

Об этом сообщается на сайте издания.Пресс-секретарь NYT Эйлин Мерфи отметила, что попытка взлома, вероятнее всего, не была успешной.
«Мы занимаемся постоянным мониторингом наших систем и используем для этого самое современное оборудование. Нет доказательств того, что какая-либо из наших внутренних систем, включая системы в московском бюро, была взломана или скомпрометирована», — заявила Мерфи.
NYT добавляет, что за попыткой взлома, предположительно, стоят хакеры из России.
Во вторник, 23 августа, сообщалось, что несколько журналистов ведущих американских СМИ стали объектами хакерских атак. Специалисты, которые занялись расследованием попыток взлома, заявили, что за атаками, скорее всего, стоит российская разведка.
Представители NYT тогда не подтвердили эту информацию, отметив, что они «бдительно следят, чтобы никто не взломал» их системы. ФБР от комментариев отказалось.

[душман]

В Сеть утекли данные 200 тыс. поклонников игры Grand Theft Auto

Во вторник, 23 августа, сайт gtagaming.com, посвященный игре Grand Theft Auto, сообщил о компрометации базы данных пользователей своего форума.

В результате инцидента утекли электронные адреса, хешированные пароли и другие данные 200 тыс. поклонников GTA.
Как сообщает администрация ресурса, причиной инцидента послужила уязвимость в движке vBulletin, позволяющая осуществлять SQL-инъекции. Напомним, на этой неделе по той же причине в сеть утекли данные свыше 800 тыс. пользователей форумов Epic Games. Еще раньше злоумышленникам удалось взломать форум для разработчиков Dota 2, форум Clash of Kings, геймерский сайт DLH.net и форум, посвященный Ubuntu.
По словам ИБ-эксперта Троя Ханта, администраторы форумов не спешат устанавливать обновления, исправляющие уязвимость в vBulletin. Как отметил исследователь, на gtagaming.com использовалась версия vBulletin 3.8.7, выпущенная пять лет назад. Это был точечный релиз, а версия 3.0 вышла еще в 2004 году. «Для тех, кто не помнит столь далекие времена, напоминаю, тогда еще даже не было Facebook», - подчеркнул Хант.
Согласно уведомлению на сайте gtagaming.com, администрация ресурса намерена закрыть сайт, поскольку не может обеспечить пользователям надлежащую защиту от хакеров.

[душман]

Число программ-вымогателей в 1 полугодии 2016 г. выросло на 172%

Компания Trend Micro Incorporated опубликовала отчет по информационной безопасности за первое полугодие 2016 г. «Время программ-вымогателей» (The Reign of Ransomware).

Как и прогнозировали эксперты компании, 2016 г. стал годом онлайн-вымогательства. По данным отчета, в первом полугодии 2016 г. количество программ-вымогателей по сравнению с аналогичным показателем 2015 г. выросло на 172%. Отдельные разновидности программ-вымогателей способны атаковать все уровни сети. Всего за первые шесть месяцев текущего года обнаружено 79 новых разновидностей программ-вымогателей, что превышает их общее количество, обнаруженное за весь 2015 г. Все они привели к финансовым потерям, которые оцениваются в более чем $209 млн, сообщили сегодня в Trend Micro.
«Программы-вымогатели способны нанести большой ущерб организациям, а киберпреступники, стоящие за такими атаками, постоянно совершенствуют свои методы, — отметил Раймунд Гинес, СТО Trend Micro. Программы-вымогатели остаются самой крупной киберугрозой 2016 года и приводят к значительным потерям для бизнеса в различных отраслях. Предприятиям необходимо внедрять многоуровневые решения для защиты, чтобы противостоять этим угрозам, которые могут проникнуть в корпоративную сеть в любой момент».
Мошенничество с использованием корпоративной электронной почты (Business Email Compromise, BEC) также распространяется по всему миру. Однако, по данным Trend Micro, основными мишенями для подобных атак являются организации в США. За первую половину 2016 г. ФБР зафиксировала 22 тыс. жертв этого вида мошенничества, при этом финансовые потери составили более $3 млрд. Примечательно, что кибератаки с целью вымогательства, зафиксированные в первой половине 2016 г., например, такие как BEC, в 58% случаев были совершены с использованием электронной почты.
Новые уязвимости и программы-вымогатели усиливают атаки при помощи наборов эксплойтов. Набор эксплойтов Angler стал использоваться меньше, что может быть связано с арестом 50 киберпреступников, полагают в компании. Однако его место заняли другие наборы эксплойтов, включая новых игроков, таких как Rig и Sundown. Программное обеспечение без обновлений продолжает предоставлять злоумышленникам дополнительные возможности заражения сетей при помощи наборов эксплойтов, указали в компании.
В то же время, растет количество уязвимостей, обнаруженных в Adobe Flash Player и платформах для интернета вещей. Так, Trend Micro и ZDI (Zero Day Initiative, инициатива нулевого дня) сообщили о нескольких значительных уязвимостях в браузерах и операционных системах, выявленных в ходе соревнования Pwn2Own. Всего за первую половину 2016 г. компания обнаружила 473 уязвимости в различных продуктах: 28 из них — в Adobe Flash Player, а 108 — в Advantech Web Access.
Между тем, инциденты утечки данных продолжают фиксироваться, их жертвами становятся организации в различных отраслях: как частный, так и государственный сектор пострадали от инцидентов, связанных с утечками данных, в первой половине текущего года. По данным Trend Micro, среди жертв — такие компании, как MySpace и Verizone, организации здравоохранения и государственные учреждения.
Обновление вредоносных программ для PoS-терминалов привело к росту числа кибератак. Вредоносное программное обеспечение FastPoS, оснащённое возможностями для кражи данных кредитных карт, поразило как малый, так и средний бизнес по всему миру. Появилась новая вредоносная программа FighterPoS, которая, действует как червь, распространяясь через сеть PoS-терминалов.
Наборы эксплойтов вновь используют старые уязвимости для атак: так, несмотря на наличие патчей и появление тысяч новых эксплойтов, в первой половине 2016 г. снова стал использоваться эксплойт ShellShok. Это еще раз доказывает преимущество виртуального патчинга, который обеспечивает более быструю защиту для корпоративных сетей при появлении уязвимостей, подчеркнули в Trend Micro.
После ареста создателей DYRE значительно увеличилось количество атак с использованием таких троянов, как QAKBOT. Этот вид используется для получения ключевой информации, такой как банковские данные, информации о действиях пользователей в Сети и другой важной информации.
«К несчастью, киберпреступники умеют очень хорошо приспосабливаться, и, когда мы выпускаем патч или находим решение проблемы, они находят все новые способы для атак, — отметил Эд Кабрера, Chief Cybersecurity Officer, Trend Micro. Это создает колоссальные проблемы как для компаний, так и для отдельных пользователей, поскольку как только предлагаются решения для существующих угроз, сами угрозы видоизменяются. Организациям лучше всего предвидеть возможность атаки и подготовиться заранее, внедряя новейшие решения для информационной безопасности, применяя виртуальный патчинг, а также проводя обучение сотрудников.Это позволит многократно уменьшить риски угроз».

[душман]

«Лаборатория Касперского» представила новую версию Kaspersky Internet Security для всех устройств

«Лаборатория Касперского» представила новую версию своего флагманского решения для защиты домашних пользователей Kaspersky Internet Security для всех устройств.

Продукт теперь может предложить пользователям дополнительную защиту при соединениях через публичные сети Wi-Fi. Кроме того, решение поможет с обновлением устаревшего и удалением ненужного программного обеспечения, сообщили в «Лаборатории Касперского».
По данным исследования «Лаборатории Касперского», 87% россиян предпочитают в поездке подключаться к общественным точкам доступа Wi-Fi. При этом каждый восьмой путешественник из России становился жертвой киберпреступников в поездке. Кроме того, даже находясь в своем родном городе, пользователи ежедневно выходят в Сеть в кафе, кино, транспорте и т.д. Подключение к интернету с помощью публичного Wi-Fi далеко не всегда безопасно, ведь это дает злоумышленникам возможность перехватить логины и пароли, а также другую ценную информацию, которая передается при использовании таких сетей.
Специально для защиты пользователей открытого публичного Wi-Fi в новой версии продукта для ОС Windows реализована функция «Безопасное соединение». Этот модуль обеспечивает безопасность подключения к общественным беспроводным сетям за счет предоставления зашифрованного канала связи. «Безопасное соединение» шифрует все передаваемые и получаемые из интернета данные, что делает их недоступными для посторонних.
Еще две новых функции в Kaspersky Internet Security для всех устройств помогают пользователю управлять программным обеспечением и следить за его своевременным обновлением. Так, модуль с соответствующим названием «Обновление программ» находит приложения и программы, требующие обновления, и, с согласия пользователя, устанавливает последние официальные версии от разработчиков. Таким образом, защитное решение закрывает программные уязвимости, которыми могут воспользоваться злоумышленники для заражения устройства. Поиск и обновление программ происходят в фоновом режиме и оказывают минимальное влияние на работу устройства, отметили в компании.
Однако, помимо программного обеспечения, требующего обновления, на устройствах пользователей нередко есть приложения, с которыми они давно не работали и о существовании которых забыли или даже не знали. Как показал проведенный «Лабораторией Касперского» опрос, почти каждый третий (29%) россиянин хранит на своем устройстве программы, которыми не пользуется уже очень давно. Эти приложения не только замедляют работу устройства, они потенциально могут стать теми «воротами», через которые в систему попадет зловред.
Специально для того чтобы избавить пользователей от таких рисков, «Лаборатория Касперского» включила в Kaspersky Internet Security для всех устройств функцию «Удаление программ». Этот модуль сканирует все установленное ПО и выявляет как те программы, с которыми пользователь почти не работает, так и те, о существовании которых он, возможно, вовсе не знает — например, дополнительные приложения, установленные при скачивании какого-либо ПО. После извещения об обнаружении таких программ пользователь сам принимает решение, какие из них удалить.
«Мы считаем, что ИТ-безопасность — вопрос не только эффективности защитного решения, но и цифровой грамотности. Пользователь с высоким уровнем киберграмотности обычно аккуратно и внимательно ведет себя в интернете и при этом готов применять новейшие технологии для защиты персональной информации, файлов, тайны личной жизни, самих устройств или же спокойствия других членов семьи. И мы стремимся дать пользователю такие возможности с каждой новой версией своих решений», — рассказала Елена Харченко, руководитель отдела управления продуктами для домашних пользователей «Лаборатории Касперского».
Одновременно с Kaspersky Internet Security для всех устройств «Лаборатория Касперского» выпускает обновленную версию продукта для защиты домашних пользователей — Kaspersky Total Security для всех устройств. В нем доступны все новые и оптимизированные функции флагманского решения, а также «Менеджер паролей», Kaspersky Safe Kids, функция автоматического резервного копирования данных и технологии шифрования файлов, что обеспечивает защиту частной жизни пользователя в Сети.

[душман]

Сайт autonum.info отправлен на блокировку

Роскомнадзор сообщил о блокировке ресурса, размещавшего личные данные российских автовладельцев.

На основании вступившего в законную силу решения Симоновского районного суда г. Москвы операторам связи  направлено требование об ограничении доступа к сайту autonum.info, сообщает пресс-служба ведомства. Ресурс внесен в Реестр нарушителей прав субъектов персональных данных 23 августа 2016 года.Деятельность сайта autonum.info признана судом незаконной и нарушающей права граждан на неприкосновенность частной жизни, личную и семейную тайну. Информация на указанном сайте обрабатывалась с нарушением законодательства Российской Федерации в области персональных данных, утверждается в релизе Роскомнадзора.В частности сайт autonum.info позволял пользователям получить доступ к персональной информации российских автовладельцов (ФИО, контактные данные, номер телефона), используя номер автомобиля.В июле этого года Роскомнадзор заблокировал доступ к материалам четырех интернет-ресурсов по требованию Генпрокуратуры. В том случае повод был совершенно иной: на сайтах публиковали призывы к бойкоту выборов в Госдуму осенью 2016 года. В правозащитной организации "РосКомСвобода" тогда были не согласны с этим решением, подчеркивая, что запреты на подобную агитацию вообше отсутствуют в российском законодательстве.Ранее Роскомнадзор заблокировал несколько торрент-сайтов с пиратским контентом.

[душман]

Патч для Windows 10 Anniversary Update вызывает сбой в работе PowerShell

Компания Microsoft выпустила свежий куммулятивный патч KB 3176934 для Windows 10 Anniversary Update.

Как выяснилось, обновление не только не устраняет ряд предыдущих ошибок, включая проблему с зависанием web-камер, но и выводит из строя PowerShell.
Как пояснили разработчики платформы, в связи с отсутствием в сборке файла .MOF обновление приводит к сбою в работе Службы настройки требуемого состояния (Desired State Configuration, DSC). Все операции DSC приводят к появлению ошибки Invalid Property.
Более того, из-за недостающего бинарного файла прекращает работать функция implicit remoting, используемая PowerShell для работы с командами удаленных сессий.
По словам разработчиков PowerShell, патч с исправлением проблемы будет включен в следующее  обновление Microsoft, релиз которого запланирован на 30 августа 2016 года.
С момента выхода юбилейного обновления Windows 10 Anniversary Update 2 августа, пользователи не раз сообщали о проблемах, связанных с данной операционной системой. В частности, помимо зависания системы и сбоя в работе web-камер, на ряде устройств с установленной Windows 10 Anniversary Update возникала проблема с получением обновлений для антивируса Avast.

[душман]

Вымогательское ПО Fantom маскируется под обновление Windows

Исследователь из AVG Якуб Кроустек обнаружил очередное вредоносное ПО, созданное на базе проекта с открытым исходным кодом EDA2.

По совам эксперта, Fantom отображает на экране зараженного компьютера поддельное окно обновления Windows, уведомляющее о том, что система якобы устанавливает критический патч. В то же время в фоновом режиме вымогатель незаметно шифрует файлы пользователя.
На данный момент какой-либо способ восстановления файлов без уплаты выкупа отсутствует. По словам Лоуренса Абрамса из Bleeping Computer, разработчики Fantom приложили максимум усилий, чтобы скрыть вредоносную активность вымогателя, замаскировав его под критическое обновление Windows. Для большей убедительности в свойствах файлах указано название «critical update».
После установления на системе жертвы Fantom извлекает и выполняет файл WindowsUpdate.exe, отображающий поддельный экран установки обновления Windows. Экран отображается поверх всех открытых пользователем окон и блокирует доступ к любой дугой программе. Избавиться от него можно, нажав комбинацию клавиш Ctrl+F4. Поддельный процесс установки обновлений завершится и Windows снова откроется в привычном виде, однако шифрование файлов все равно будет продолжаться.
Завершив процесс шифрования, Fantom отображает уведомление с инструкциями по восстановлению файлов и уникальным идентификатором, присваиваемым каждой жертве. Как сообщается в уведомлении, пользователь должен связаться с операторами вредоноса по указанной электронной почте и предоставить свой идентификатор. Далее ему следует оплатить «услуги» злоумышленников по расшифровке файлов, после чего он получит декриптор.

[душман]

Сайт реестра российского ПО оказался недоступен из-за просроченного SSL-сертификата

Из-за проблем с SSL-сертификатом сайт Единого реестра российского ПО оказался недоступен на протяжении нескольких дней.

Как оказалось, срок действия SSL-сертификата, выданного сайту реестра отечественного ПО в июле минувшего года, истек 22 августа.
Как пояснили в пресс-службе Минкомсвязи, в ведомстве знают о наличии проблемы и обещают решить ее в ближайшее время. На момент написания новости, сайт Единого реестра российского ПО все еще был недоступен.
Это не первый курьез, случившийся с ресурсом за его сравнительно короткую историю существования (напомним, сайт был запущен в январе нынешнего года). В минувшем феврале Минкомсвязи проводило тестовые эксперименты, в результате которых в общем доступе были опубликованы сообщения странного содержания.
В феврале текущего года в администрации президента РФ обсуждалась идея о создании государственного удостоверяющего центра (УЦ) по выдаче SSL-сертификатов, используемых интернет-магазинами, платежными системами и государственными ресурсами. Данная мера призвана обезопасить передачу данных в российском сегменте интернета в случае конфликтов с зарубежными партнерами.

[душман]

Подконтрольные ФБР домены Megaupload распространяют рекламу порно-сайтов

В 2012 году в рамках уголовного дела против компании Megaupload и ее владельца Кима Доткома американские власти изъяли несколько доменов, связанных с файлообменником.

Спустя почти пять лет домены по-прежнему находятся под контролем правительства, однако, судя по всему, оно не слишком озабочено их защитой. Недавно ряд доменов Megaupload был замечен в распространении ссылок на портал, содержащий видеоролики интимного характера.
Megaupload был закрыт почти полдекады назад, но за все это время в судебных разбирательствах были только незначительные подвижки. В прошлом декабре Окружной суд в Новой Зеландии вынес решение об экстрадиции создателя ресурса Кима Доткома и его коллег в США. Пока идет рассмотрение дела, правительство США удерживает контроль над некоторой собственностью компании, в том числе, наличными средствами, автомобилями и более десятка бывших доменных имен, включая Megastuff.co, Megaclicks.org, Megaworld.mobi, Megaupload.com, Megaupload.org и Megavideo.com.
Изначально на ресурсах размещалось уведомление об изъятии доменных имен, однако на этой неделе журналисты издания TorrentFreak заметили, что под именем Megaupload.org размещается сайт, содержащий рекламу ресурсов с мягким порно. Подобная реклама фигурирует и на ресурсах Megastuff.co, Megaclicks.org и Megaworld.mobi. Как отмечает издание, эти домены все еще подконтрольны ФБР.
Это не единичный подобный казус. В прошлом году несколько арестованных доменных имен Megaupload, в том числе Megaupload.com и Megavideo.com начали перенаправлять пользователей на ресурсы с мошеннической рекламой и вредоносным ПО. Тогда проблема была связана с истечением срока регистрации домена CIRFU.net, используемого ФБР в качестве сервера для различных изъятых доменных имен. В конечном итоге сотрудники бюро исправили проблему, но, как оказалось, не полностью.
Несколько недель назад срок регистрации CIRFU.net снова истек, чем не преминули воспользоваться сторонние лица, желающие заработать на подконтрольных ФБР доменах. Согласно данным WHOIS, Megaupload.org все еще использует сервер CIRFU.net, позволяя предположить, что домены Megaupload сейчас находятся под контролем аутсайдера.
«Их (ФБР) управление доменом Megaupload отражает весь ход уголовного дела: непрофессионализм», - прокомментировал создатель файлообменника Ким Дотком.
В феврале 2015 года Федеральное бюро расследований США получило контроль над крупнейшим в «темной паутине» сайтом с детской порнографией Playpen. Пока сайт находился в ведении спецслужбы, его посещаемость существенно возросла, причем некоторые пользователи даже отметили улучшения в качестве работы ресурса.
Напомним, в начале августа нынешнего года Ким Дотком подтвердил информацию о создании наследника Megaupload с поддержкой Bitcoin.

[душман]

Check Point отметила снижение активности традиционного вредоносного ПО и рост мобильного

Компания Check Point Software Technologies Ltd. рассказала о самых активных вредоносных семействах, которые атаковали корпоративные сети в июле 2016 г.

В июле компания зарегистрировала 2300 уникальных активных видов вредоносного ПО, атакующих корпоративные сети, что на 5% меньше, чем в июне. Уже девятый месяц подряд Conficker остается наиболее популярным. Несмотря на общее уменьшение активности вредоносных программ, исследователи отметили рост вредоносного ПО для мобильных устройств, которое в июле составило 9% от всех зарегистрированных вредоносов — это на 50% больше, чем в июне 2016.
HummingBad остается наиболее часто используемым мобильным вредоносом четвертый месяц подряд, сообщили в Check Point.
Впервые за последние четыре месяца Check Point отметил уменьшение количества уникальных вредоносных семейств, но по общему числу угроз июль занимает пока второе место за этот год. Сохраняющаяся высокая активность вредоносного ПО еще раз демонстрирует количество угроз, с которыми сталкиваются сети организаций, и ряд задач, которые должны решить специалисты по безопасности, чтобы предотвращать атаки и защищать ценную информацию.
Россия продолжает держаться в первой половине рейтинга наиболее атакуемых стран. В июле она опустилась до 50 места с 48, занимаемого в июне. В топ-10 вредоносных семейств, атакующих российские сети, вошли Kometaur, Conficker, Ranbyus, Sality, Ldpinch, Delf, Cryptowall, HummingBad, Locky. Больше всего атак в июле было совершено на сети Парагвая, Бангладеш и Малави. Меньше всего — Молдавии, Белоруссии и Аргентины.
В июле Conflicker был отмечен в 13% атак; второе место занял JBossjmx — червь, поражающий системы, на которых установлена уязвимая версия JBoss Application Server. Программа создает вредоносную страницу JSP , которая исполняет произвольные команды. При этом создается еще и программная закладка-шпион, которая принимает команды от удаленного IRC-сервера. На JBossjmx пришлось 12% нападений. И на третьем месте расположился Sality — 8%.
60% всех атак были совершены с использованием вредоносных семейств из топ-10.
В июле мобильное вредоносное ПО по-прежнему оставалось значительной угрозой для корпоративных мобильных устройств. 18 мобильных вредоносов вошли в топ-200 всех вредоносных семейств за июль.
HummingBad — вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку ключей-регистраторов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
Ztorg — троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.
XcodeGhost — скомпрометированная версия платформы разработчиков iOS Xcode. Эта неофициальная версия Xcode изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпилировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства.
«Компании не должны терять бдительность в вопросах безопасности из-за небольшого снижения числа вредоносных программ, отмеченного в июле. Некоторые из них остаются в шаге от рекордных показателей активности, подтверждая масштаб проблемы, с которой сталкивается бизнес в процессе защиты своих сетей от киберпреступников, — отметил Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ.
Бизнесу нужны продвинутые меры предотвращения угроз на их сети, ПК и мобильные устройства, чтобы останавливать вредоносные программы на стадии до заражения. Например, такие решения, как Check Point’s SandBlast и Mobile Threat Prevention, которые обеспечивают защиту от самых новых угроз».

[душман]

«Лаборатория Касперского» рассказала о тенденциях в спаме во 2 квартале 2016 г.

По данным «Лаборатории Касперского», во втором квартале количество спам-рассылок с вложениями, содержащими программы-вымогатели, осталось крайне высоким.

Тем не менее в период с 1 по 21 июня доля таких писем резко сократилась. Вероятно, это падение было связано с временным затишьем ботнета Necurs, с которого преимущественно идут подобные рассылки. После того как ботнет вновь заработал, шаблон спам-письма поменялся, а вредоносные вложения стали еще более сложными, сообщили в «Лаборатории Касперского».
В апреле-июне спамеры активно эксплуатировали в мошеннических и рекламных письмах чемпионат по футболу и Олимпиаду, а также политические темы, в частности, предстоящие выборы в США и имена известных политиков. Так, например, в спаме часто мелькало имя Дональда Трампа, одного из главных претендентов на президентское кресло США. Мошенники рекламировали уникальную методику онлайн-заработка от американского политика, которая якобы обогатит всякого, кто захочет узнать подробности и кликнуть по ссылке из письма.
Ссылки вели на подставные сайты, оформленные в стиле крупных информационных каналов и новостных сетей, где пользователям предлагалось зарегистрироваться и оставить свои личные данные. В результате такой схемы авторы спам-рассылок становились обладателями большого массива персональной информации.
Кроме того, в прошедшем квартале атакам мошенников подверглись пользователи социальной сети Facebook. Злоумышленники отмечали потенциальных жертв на провокационном видео, для просмотра которого требовалось перейти на фальшивую страницу, замаскированную под YouTube, и установить специальное расширение для браузера. Данное расширение на самом деле было вредоносным, так как с его помощью мошенники могли читать все данные в браузере, в том числе введенные пароли, логины, данные банковских карт и другую персональную информацию, и получали возможность полностью контролировать страницу жертвы в Facebook и публиковать от ее лица любой контент.
Всего во втором квартале доля спама в общемировом почтовом трафике составила 57%, а в российском — 62%. Эти показатели практически не изменились по сравнению с началом года, отметили в «Лаборатории Касперского».
«Спамеры регулярно используют горячие новости и спекулируют на известных людях. Пользователям нужно знать об этом и оставаться бдительными, чтобы не попасться на удочку мошенников, — предупреждает Дарья Лосева, спам-аналитик «Лаборатории Касперского». Из-за роста количества вредоносного спама по-прежнему актуальной остается угроза получения зловреда через вложение в письме, замаскированное, например, под скан важного документа или уведомление от налоговой службы. Чтобы избежать заражения, нужно учитывать этот риск при открытии вложений».
«Лаборатория Касперского» рекомендует осторожно вести себя в Сети, не переходить по подозрительным ссылкам и не разрешать установку плагинов из сомнительных источников, а также не отключать компоненты «Анти-фишинг» и «Анти-спам» в защитных решениях.

[душман]

Trojan.Mutabaha.1 устанавливает поддельный Chrome

Вирусные аналитики компании «Доктор Веб» исследовали нового трояна — Trojan.Mutabaha.1.

Он устанавливает на компьютер жертвы поддельную версию браузера Google Chrome, которая подменяет рекламу в просматриваемых веб-страницах, сообщили сегодня в «Доктор Веб».
Ключевая особенность Trojan.Mutabaha.1 — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Информация об этой технологии обхода UAC была впервые опубликована в одном из интернет-блогов 15 августа, и спустя всего лишь три дня в вирусную лабораторию «Доктор Веб» поступил первый образец эксплуатирующего именно этот способ трояна, который и получил название Trojan.Mutabaha.1. Указанная технология заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями.Троян содержит характерную строку, включающую имя проекта: F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb.
В первую очередь, на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера, пояснили в компании.
Этот браузер имеет собственное имя — Outfire — и представляет собой специальную сборку Google Chrome. В процессе установки он регистрируется в реестре Windows, а также запускает несколько системных служб и создает задачи в «Планировщике заданий», чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome — модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, потенциальная жертва может и не заметить подмены.
Напоследок Trojan.Mutabaha.1 проверяет наличие в системе других версий браузеров, аналогичных своей собственной, генерируя их имена с помощью комбинации значений из двух списков-словарей. Всего таких вариантов насчитывается 56. Обнаружив другую версию браузера, Trojan.Mutabaha.1 сравнивает его имя с собственным (чтобы случайно не удалить самого себя), а потом при помощи системных команд останавливает процессы этого браузера, удаляет его записи из «Планировщика заданий» Windows и вносит соответствующие изменения в системный реестр.
Установленный таким способом в системе поддельный браузер при запуске демонстрирует стартовую страницу, изменить которую в его настройках невозможно. Кроме того, он содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых пользователем веб-страницах. Помимо этого, браузер Outfire использует по умолчанию собственную службу поиска в интернете, но ее при желании можно изменить в настройках приложения.
Антивирус Dr.Web детектирует и удаляет Trojan.Mutabaha.1, поэтому троян не представляет опасности для пользователей продуктов «Доктор Веб», подчеркнули в компании.