"Мир интернета"

[душман]

"ВКонтакте" вернула аудиозаписи пользователей

Пользователи социальной сети "ВКонтакте" сообщают, что аудиозаписи, исчезнувшие ранее из-за технического сбоя, восстановлены.

О проблемах в работе соцсети стало известно в четверг вечером. Жалобы поступали как на недоступность музыки на персональных страницах, так и на работу сайта в целом.Так, некоторые пользователи сообщали, что у них не отображаются видеоролики, кто-то жаловался на недоступность информации о том, кто из подписчиков сейчас находится онлайн.

[душман]

Reg.ru начал прием заявок на регистрацию доменов в зонах .SHOP, .SHOPPING и .GAMES

На сайте регистратора доменных имён Reg.ru стартовал приём заявок на регистрацию доменов .SHOP, .SHOPPING и .GAMES.

Об этом сообщили в Reg.ru.С ростом конкуренции в онлайн-торговле возникает необходимость в развитии инструментария для продвижения в Сети. Одним из основных рекламных и SEO-инструментов для многих владельцев бизнеса в интернете стало привлечение клиентов с помощью звучных и запоминающихся тематических доменов. На данный момент уже существуют такие универсальные онлайн-площадки для интернет-торговли, как .STORE, .SALE и .FORSALE.
Теперь к ним добавились ещё две доменные зоны: .SHOP и .SHOPPING. Домены в них могут быть интересны не только для онлайн, но и для оффлайн-магазинов, полагают в компании.
Приём предварительных заявок на регистрацию доменов в обеих зонах Reg.ru начал с 15 сентября 2016 г. С этого же дня можно сделать предзаказ и на домен в зоне .GAMES, предназначенной для сайтов разработчиков игр, игровых онлайн-площадок, а также для дистрибьютеров различных интеллектуальных и настольных игр.
Открытая регистрация в доменной зоне .SHOP начнётся 26 сентября (стоимость регистрации составляет 1997 р.), в зоне .SHOPPING — 28 сентября (1771р.), в .GAMES — 21 сентября (1265р.). Чтобы зарегистрировать понравившийся адрес в данных зонах, необходимо оставить заявку с указанием желаемого домена на сайте аккредитованного регистратора Reg.ru и оплатить годовую стоимость доменного имени.
«Слова .SHOP, .SHOPPING и .GAMES хорошо знакомы любому пользователю и потому более выигрышно смотрятся рядом с названием конкретного магазина или игровой онлайн-площадки, — считает генеральный директор Reg.ru Алексей Королюк. Индустрия интернет-торговли, как и игровая индустрия, из года в год показывает высокую экономическую эффективность и потенциал для роста, а значит, растёт и конкуренция в этих сферах.
В таких условиях выбор лаконичного запоминающегося доменного имени является очевидным конкурентным преимуществом».

[душман]

PornHub нашел способ обойти блокировку в России

PornHub предложил российским пользователям обойти блокировку Роскомнадзора.

Как сообщается на странице порносайта в Twitter, в зоне .ru появилось «зеркало» интернет-ресурса.15 сентября PornHub предложил Роскомнадзору доступ к премиальному аккаунту в обмен на отмену блокировки ресурса в России.Представители ведомства в ответ заявили, что «мы не на рынке, а демография — не товар».Позже пресс-секретарь Роскомнадзора Вадим Ампелонский рассказал, что восстановление доступа к PornHub возможно только после полной смены «репертуара» сайта.

[душман]

Новый Linux-троян помогает проводить DDoS-атаки

Аналитики компании «Доктор Веб» исследовали вредоносную программу, получившую название Linux.DDoS.93, предназначенную для проведения DDoS-атак (Distributed Denial of Service, распределенная атака, приводящая к отказу в обслуживании).

Троян создан вирусописателями для заражения устройств под управлением операционных систем семейства Linux. Предположительно эта вредоносная программа распространяется при помощи набора уязвимостей ShellShock в программе GNU Bash, сообщили в «Доктор Веб».
При запуске Linux.DDoS.93 пытается изменить содержимое ряда системных папок Linux, чтобы обеспечить собственную автозагрузку. Затем троян ищет на атакуемом компьютере другие экземпляры Linux.DDoS.93 и, если таковые нашлись, прекращает их работу.
Успешно запустившись в инфицированной системе, Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь, родительский процесс тоже следит за дочерним и перезапускает его при необходимости — так троян поддерживает свою непрерывную работу на зараженной машине.
Linux.DDoS.93 умеет выполнять следующие команды: обновить вредоносную программу; скачать и запустить указанный в команде файл; самоудалиться; начать атаку методом UDP flood на указанный порт; начать атаку методом UDP flood на случайный порт; начать атаку методом Spoofed UDP flood; начать атаку методом TCP flood; начать атаку методом TCP flood (в пакеты записываются случайные данные длиной 4096 байт); начать атаку методом HTTP flood с использованием GET-запросов; начать атаку методом HTTP flood с использованием POST-запросов; начать атаку методом HTTP flood с использованием HEAD-запросов; отправить на 255 случайных IP-адресов HTTP-запросы с указанными параметрами; завершить выполнение; отправить команду ping.
Когда троян получает команду начать DDoS-атаку или отправить случайные запросы, он сначала прекращает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным злоумышленниками методом. Сигнатура Linux.DDoS.93 добавлена в вирусные базы Dr.Web, отметили в «Доктор Веб».

[душман]

Вымогательское ПО Stampado шифрует файлы, уже зашифрованные другими вымогателями

Заражение компьютера вымогательским ПО – само по себе неприятное обстоятельство.

Утратив доступ к своим документам, пользователь чувствует себя бессильным и подавленным и вынужден заплатить выкуп. Тем не менее, все может стать еще хуже, если файлы зашифрованы не одним вымогателем, а сразу двумя. В таком случае жертве придется платить дважды.
Как правило, инфицировав систему, вымогатель сканирует ее на наличие файлов с определенными расширениями. Это значит, что он не трогает файлы, уже зашифрованные другим вымогателем (если, конечно, вредонос не шифрует сразу весь диск).
Исследователь компании Emsisoft Фабиан Восар обнаружил новую версию вымогательского ПО Stampado, способную шифровать уже зашифрованные файлы. В списке расширений, которые вредонос ищет, попав на компьютер, эксперт обнаружил расширения, добавляемые к файлам другими шифровальщиками.
То есть, если Stampado попадет на систему, где файлы уже были зашифрованы вымогательским ПО, для их восстановления жертве придется дважды платить выкуп.
Судя по образцу исходного кода Stampado, в настоящее время вредонос способен шифровать файлы с более 50 различных расширений, добавляемых другими троянами-вымогателями.  
Вымогательское ПО – вредоносное программное обеспечение, блокирующее доступ к компьютеру или хранящимся на системе файлам и требующее денежную выплату за его восстановление.

[душман]

С 29 сентября прекратится распространение Adobe Flash Player

С 29 сентября 2016 года компания Abode уберет ссылки на скачивание своего продукта Adobe Flash Player с официального сайта.

Компания решилась на этот шаг после многочисленных новостей о прекращении поддержки Flash и работы над ним.
В предупреждении сообщается, что возможность скачивания программы для лицензионного распространения прекратится. Однако для обычных пользователей возможность скачать Adobe Flash Player сохранится.
Flash Player уже несколько лет не отвечает требованиям безопасности и ряду других показателей. Поэтому компания еще в прошлом году призвала разработчиков перейти на более современные веб-стандарты.
Согласно исследованию "Global Media Format 2016" от Encoding.com, основанному на данных более 3 тысяч ведущих массмедиа-компаний, сайты массово отказываются от технологии Adobe Flash. Если в 2014 году на её долю приходилось 21% видео в вебе и на мобильных устройствах, то в 2015 году этот показать стал еще ниже. Исследователи пришли к выводу, что Adobe Flash исчезнет в ближайшие два года.
В июле 2016 года компания Mozilla приняла решение о блокировке Flash в Firefox начиная с августа этого же года. Отказ от Flash является частью стратегии Mozilla по отказу от плагинов в пользу стандартизованных для современного Web технологий. По словам разработчиков браузера, благодаря отказу от Flash со стороны Web-мастеров, удалось существенно снизить число "падений" браузера из-за неправильной работы плагина Flash.

[душман]

Обзор безопасности за прошлую неделю

Прошедшая неделя ознаменовалась рядом громких утечек данных и сообщениями о новом вредоносном ПО для различных платформ, включая считающуюся безопасной ОС Linux.

Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 12 по 18 сентября 2016 года.
Большой резонанс на прошлой неделе вызвал скандал с утечкой данных Всемирного антидопингового агентства (WADA). Называющие себя Fancy Bears хакеры опубликовали в открытом доступе документы, подтверждающие употребление допинга американскими спортсменами. В WADA уверены, что ответственность за инцидент лежит на русских хакерах (ранее гендиректор организации Оливье Ниггли заявлял, что «русские хакеры» ежедневно атакуют сайт WADA).
По мнению президента агентства Крейга Риди, правительство РФ вряд ли имеет отношение к атакам, однако осуществившие их лица «связаны с Россией».
Во вторник, 13 сентября, группировка «Анонимный интернационал», также известная как «Шалтай-Болтай», опубликовала содержимое электронных ящиков сотрудников холдинга News Media (Lifenews, Life). Хакеры распространяют похищенные данные через файлообменник, но обещают самые интересные материалы опубликовать «у себя».
В этот же день хакер Guccifer 2.0 через посредника выступил на конференции по кибербезопасности The Future of Cyber Security Europe 2016 в Лондоне, где представил очередную порцию документов, похищенных у Демократической партии США. По словам хакера, он осуществил атаку, эксплуатируя уязвимости в используемом Демпартией ПО NGP VAN.
Как бы то ни было, некоторые эксперты не верят в существование Guccifer 2.0. По их мнению, за атакой стоят русские группировки Fancy Bear и Cozy Bear, предположительно создавшие сайт DCLeaks. Как стало известно на прошлой неделе, данный ресурс опубликовал переписку бывшего госсекретаря США Колина Пауэлла. Политик подтвердил подлинность документов и заявил, что они были похищены в результате хакерской атаки.
Секретная служба США предупредила о новом способе похищения данных банковских карт, получившем название «перископический скимминг» (periscope skimming). Злоумышленники используют специальное устройство из двух модулей, один из которых подключается непосредственно к внутренней печатной плате банкомата и выполняет роль своеобразного перископа.
Много внимания на прошлой неделе привлек обнаруженный на Android-смартфоне Xiaomi Mi4 загадочный бэкдор, позволяющий производителю устанавливать на устройство любые приложения без ведома пользователя. Предустановленная программа AnalyticsCore.apk неизвестного назначения работает в фоновом режиме 24 часа в сутки 7 дней в неделю и восстанавливается после попыток ее удалить.
Эксперты компании «Доктор Веб» сообщили о новом Linux-трояне, предназначенном для осуществления DDoS-атак. Как полагают исследователи, Linux.DDoS.93 (по классификации «Доктор Веб») распространяется через уязвимости ShellShock в GNU Bash.
Исследователи из Palo Alto раскрыли подробности о трояне DualToy для компьютеров, работающих под управлением Windows. Вредонос способен незаметно загружать мобильные приложения на любые iOS- и Android-устройства, подключенные к зараженной системе с помощью USB-кабеля.
Не обошлось на прошлой неделе без сообщений о новых образцах вымогательского ПО. Исследователи «Лаборатории Касперского» опубликовали подробный анализ вымогателя RAA, полностью написанного на языке JavaScript. Вредонос не только шифрует файлы на компьютере жертвы и требует выкуп, но также похищает сохраненные в браузере учетные данные.
ИБ-эксперт Якуб Крустек обнаружил новую версию вымогательского ПО NoobCrypt. Вредонос интересен тем, что использует общий ключ шифрования для всех жертв, поэтому совершенно бесполезен. Ключи для каждого варианта шифровальщика: NoobCrypt 1 (сумма выкупа $299) - ZdZ8EcvP95ki6NWR2j, NoobCrypt 2 ($100) - ZdZ8EcvP95ki6NWR2j, NoobCrypt 3 ($50) – lsakhBVLIKAHg.  
Исследователь компании Emsisoft Фабиан Восар сообщил о новой версии вымогательского ПО Stampado, способной шифровать уже зашифрованные файлы. В списке расширений, которые вредонос ищет, попав на компьютер, эксперт обнаружил расширения, добавляемые к файлам другими шифровальщиками. То есть, если Stampado попадет на систему, где файлы уже были зашифрованы вымогательским ПО, для их восстановления жертве придется дважды платить выкуп.

[душман]

Бесплатный VPN теперь доступен в браузере Opera для компьютеров

Бесплатный VPN стал доступен в браузере Opera для компьютеров.

Об этом сообщили в Opera.«Сделав наш браузерный VPN бесплатным в использовании, мы надеемся, что VPN станет незаменимой функцией для пользователей», — отметил Кристиан Колондра, старший вице-президент браузера Opera для компьютеров.
По словам представителей компании, браузерный VPN создает безопасное соединение с одним из пяти серверов Opera, расположенных по всему миру. VPN позволяет выбрать местоположение в Сети, повышая уровень приватности и защищенности онлайн и обеспечивая более легкий доступ к контенту.
Пользователи также могут разрешить браузеру Opera выбрать оптимальное расположение сервера на основе ряда факторов, таких как скорость сети, время ожидания, местоположение и емкость сервера. В данном режиме автоматического определения оптимальной локации сервера пользователь сможет работать в интернете через VPN с максимально доступной скоростью, указали в Opera.
Функция браузерного VPN, основанная на технологии SurfEasy, дочерней компании Opera, использует зашифрованное по стандарту AES (с 256-битным ключом) соединение с выбранной виртуальной локацией и не ведет лог-файлов, то есть ни Opera, ни SurfEasy не хранит никакой информации об истории браузинга пользователей, пояснили в компании.
«Мы знаем, что люди озабочены проблемой защищенности персональных данных онлайн, и что спрос на VPN растет. Однако, существуют две основные проблемы, препятствующие более активному использованию данного сервиса: VPN слишком сложны в использовании, и они требуют ежемесячной подписки. Opera решила обе проблемы, представив бесплатный и простой сервис прямо в браузере», — добавил Кристиан Колондра.

[душман]

Трояны Android.Xiny научились внедряться в системные процессы

Вирусные аналитики компании «Доктор Веб» обнаружили новые версии троянов семейства Android.Xiny, которые предназначены для незаметной загрузки и удаления программ.

Теперь эти трояны могут внедряться в процессы системных приложений и загружать в атакуемые программы различные вредоносные плагины, сообщили в «Доктор Веб».
Трояны семейства Android.Xiny известны с марта 2015 г. Вирусописатели активно распространяют их через различные сайты — сборники ПО для мобильных устройств и даже через официальные каталоги приложений, такие как Google Play.
Попадая на Android-смартфоны и планшеты, трояны Android.Xiny пытаются получить root-доступ, чтобы незаметно загружать и устанавливать различное ПО. Кроме того, они могут показывать надоедливую рекламу. Одной из особенностей этих вредоносных приложений является впервые использованный механизм защиты от удаления. Он основан на том, что троянским apk-файлам присваивается атрибут «неизменяемый» (immutable). Однако злоумышленники продолжили оптимизировать троянов Xiny и добавили в них возможность внедряться (выполнять инжект) в процессы системных программ, чтобы запускать от их имени различные вредоносные плагины, рассказали в «Доктор Веб».
Один из таких обновленных троянов, исследованный вирусными аналитиками «Доктор Веб», получил имя Android.Xiny.60. Он устанавливается в системный каталог мобильных устройств другими представителями семейства Android.Xiny. После запуска Android.Xiny.60 извлекает из своих файловых ресурсов несколько вспомогательных троянских компонентов и копирует их в системные каталоги: /system/xbin/igpi; /system/lib/igpld.so; /system/lib/igpfix.so; /system/framework/igpi.jar.
Далее при помощи модуля igpi (добавлен в вирусную базу Dr.Web как Android.Xiny.61) троян выполняет инжект библиотеки igpld.so (детектируется Dr.Web как Android.Xiny.62) в процессы системных приложений Google Play (com.android.vending) и сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent). Кроме того, внедрение этого вредоносного модуля может выполняться и в системный процесс zygote, однако в текущей версии трояна эта функция не используется, отметили в компании.
При заражении процесса zygote Android.Xiny.62 начинает отслеживать запуск новых приложений. В результате, если троян обнаруживает вновь запущенный процесс, он внедряет в него вредоносный модуль igpi.jar (Android.Xiny.60). Этот же модуль внедряется и после заражения процессов системных приложений Google Play и сервисы Google Play.
Основная задача модуля igpi.jar — загрузка заданных злоумышленниками вредоносных плагинов и их запуск в контексте зараженных программ. Он отслеживает состояние мобильного устройства и при наступлении определенных системных событий (например, включение или выключение экрана, изменение состояния подключения к сети, подключение или отключение зарядного устройства и ряд других) соединяется с управляющим сервером, куда отправляет следующую информацию об инфицированном смартфоне или планшете: IMEI-идентификатор; IMSI-идентификатор; MAC-адрес сетевого адаптера; версию ОС; название модели мобильного устройства; язык системы; имя программного пакета, внутри процесса которого работает троян.
В ответ Android.Xiny.60 может загрузить и запустить вредоносные плагины, которые после скачивания будут работать как часть того или иного атакованного приложения. Вирусные аналитики пока не зафиксировали распространение таких вредоносных модулей, однако если злоумышленники их создадут, Android.Xiny.60 будет способен атаковать пользователей многих программ. Например, если троян внедрится в процесс Google Play, он сможет загрузить в него модуль для установки ПО. Если будет заражен процесс какого-либо мессенджера, Android.Xiny.60 получит возможность перехватывать и отправлять сообщения. А если троян внедрится в процесс банковской программы, после запуска необходимого плагина он сможет красть конфиденциальные данные (логины, пароли, номера кредитных карт и т.п.) и даже незаметно переводить деньги на счета злоумышленников, указали в «Доктор Веб».
Специалисты компании продолжают отслеживать активность троянов семейства Android.Xiny. Для защиты мобильных устройств от заражения в «Доктор Веб» рекомендуют установить антивирусные продукты Dr.Web для Android, которые детектируют все известные модификации этих вредоносных программ.

[душман]

Китай может получить контроль над интернетом

Функции по управлению интернетом могут перейти от США к Китаю с 1 октября.

В этот день истекает контракт между министерством торговли США и Интернет-корпорацией по присвоению имен доменов и номеров (ICANN). После этого контроль над регулятором перейдет к Международному союзу электросвязи (International Telecommunications Union, ITU) при ООН, в руководство которого входят представители Китая.
По сообщениям СМИ, ITU с подачи китайской стороны уже пытался составить собственные правила регулирования интернета, предполагающие, в том числе, введение глобального налога на контент. Был также организован ряд международных мероприятий для IT-компаний, на которых продвигались идеи усиления контроля над интернетом. Деятельность Китая в союзе наблюдатели оценивают как попытки получить управление мировой сетью в той же степени, в которой регулируется интернет на территории Поднебесной.
Между тем, в России также предпринимаются попытки независимо от международных регуляторов взять внутренние ресурсы под надзор. В августе стало известно, что контроль над Координационным центром, управляющим доменами .ru и .рф, может перейти государству. При этом в случае национализации центра не исключается вероятность возникновения конфликтов с корпорацией ICANN, управляющей международными доменами. Эксперты также опасаются дестабилизации в российской доменной индустрии.

[душман]

Уязвимость в Mozilla Firefox позволяет удаленно устанавливать вредоносное ПО

Разработчики Tor Project сообщили о серьезной уязвимости в браузере Mozilla Firefox.

Проблема позволяет атакующим, получившим в свое распоряжение валидный цифровой TLS-сертификат для сайта addons.mozilla.org, имитировать серверы Mozilla и удаленно устанавливать вредоносное ПО посредством доставки вредоносного обновления для расширения NoScript.
Проэксплуатировав проблему, злоумышленник может организовать скрытую RCE-атаку на пользователей Tor на различных платформах, включая Windows, Linux, и OS X. По словам разработчика Георга Коппена, получить доступ к такому сертификату непростая задача, однако это вполне по силам спецслужбам.
Как подсчитал независимый исследователь под псевдонимом Movrcx, подобная атака обойдется в порядка $100 тыс. Для эксплуатации уязвимости могут использоваться и другие слабые места в Firefox, к примеру, возможность подписывать цифровой подписью расширения на основе полностью автоматического процесса.
Процесс атаки может состоять из следующих этапов:разработка вредоносного расширения с нужным для злоумышленника кодом и его подпись у Mozilla;генерация фальшивого цифрового сертификата для addons.mozilla.org, который может пройти проверку любого СА из хранилища Firefox;организация MitM-атаки на трафик, проходящий между addons.mozilla.org и системой жертвы при обновлении NoScript;
доставка жертве вредоносного обновления вместо легитимного.Уязвимость уже устранена в версии Tor 6.0.5. Исправленный стабильный релиз Mozilla Firefox будет доступен 20 сентября нынешнего года.

[душман]

Yahoo! стала жертвой самой масштабной хакерской атаки в истории

Yahoo! 22 сентября 2016 г. сообщила о краже с серверов данных из аккаунтов не менее 500 млн пользователей.

Хакерская атака, о которой идет речь, была совершена еще в 2014 г.Как отмечает Reuters, это беспрецедентная по масштабам атака, объем украденных данных в три раза превышает объемы, украденные с серверов других электронных компаний, например у eBay. Компания считает, что за кражей стоят "поддерживаемые государством силы".
Хакеры могли получить информацию об электронной почте, номерах телефонов, датах рождения пользователей Yahoo!. В компании полагают, что взломщикам не удалось получить данные о платежных картах и банковских счетах, поскольку они в системе не хранятся. Всех пользователей Yahoo! предлагает поменять пароли, если они не делали этого с 2014 г., но не настаивает на этом.
Yahoo! обнаружила этот взлом только недавно, после того, как в августе получила информацию о другой атаке. Проверяемая информация не подтвердилась, зато вскрылась атака 2014 г., рассказал Reuters информированный источник.
Известный криптолог Брюс Шнайер, комментируя случившееся, отметил, что пока неясно, какие могут быть последствия для пользователей Yahoo!, и не установлены личности хакеров, взломавших сервера, но назвал кражу данных самой масштабной в истории.
Атака была обнаружена в непростой период для компании, которая в июле согласилась продать интернет-подразделение оператору Verizon Communications за $4,83 млрд. По мнению аналитика SunTrust Robinson Humphrey Роберта Пека, скорее всего, информация о взломе не заставит Verizon отказаться от сделки, но покупатель может попросить скидку на $100 млн или $200 млн. Размер скидки будет зависеть от того, сколько пользователей откажутся от услуг Yahoo!.
Юрист K&L Gates Стивен Капони считает, что условия сделки и принятая практика позволяют покупателю отказаться от нее, если цена актива значительно снизится, но такие случаи довольно редки. "Если изменения будут существенными, у Verizon будет возможность начать переговоры об изменении условий сделки или вовсе от нее отказаться. Оценить изменение ценности актива можно будет по тому, какая именно информация была украдена", - сказал он.
Verizon заявил, что получил некоторую информацию об атаке два дня назад и оценит ее в свете собственных интересов.

[душман]

DDoS-атака на несколько дней замедлила транзакции Ethereum

В четверг, 22 сентября, сеть Ethereum стала жертвой DDoS-атаки.

Неизвестный злоумышленник проэксплуатировал недавно обнаруженную уязвимость в Go (реализация протокола Ethereum), сильно замедлив все транзакции. Атакующий осуществлял множественные транзакции, из-за чего до подтверждения самой первой из них обрабатывающие серверы отправили по сети Ethereum 50 тыс. дополнительных запросов.
Ethereum предупредила пользователей об уязвимости 18 сентября текущего года. На следующий день было выпущено исправление, однако злоумышленник все равно смог успешно осуществить атаку.
Уязвимость, позволяющая вызвать отказ в обслуживании, затрагивает атрибут EXTCODESIZE, используемый в каждой транзакции с валютой Ether. С помощью данного атрибута атакующий может запросить дополнительную проверку в отношении базы данных Ethereum. Как обнаружили администраторы Ethereum, кто-то наводнил сеть дополнительными бесполезными запросами, что и привело к замедлению подтверждения транзакций. Поскольку все Ethereum -транзакции  анонимные, вычислить злоумышленника не представляется возможным.

[душман]

Хакеры обнародовали очередную порцию документов о принимающих допинг спортсменах

Участники хакерской группировки Fancy Bears опубликовали пятую часть документов, похищенных в результате взлома компьютерной системы Всемирного антидопингового агентства (WADA).

Хакерам удалось извлечь из базы данных организации сертификаты на терапевтическое применение допинга. Первую часть документов хакеры выложили в открытый доступ 13 сентября, вторую - два дня спустя, 15 сентября.
В этот раз в опубликованном списке содержатся имена 41 спортсмена из Австралии, Хорватии, Канады, Дании, Германии, Великобритании, Японии, Сербии, Южной Африки, Швейцарии, Швеции и США. В частности, в перечне фигурируют призеры Олимпиады в Рио-де-Жанейро 2016 года велогонщик Фабиан Канчеллара, обладательница золотой медали в парусном спорте британка Саския Кларк, а также австралийские пловчихи Кейт Кэмбелл и Мэдисон Уилсон.
Кроме того, в списке присутствует имя сербского баскетболиста Милоша Теодосича, выступающего за клуб ЦСКА.
Согласно документам, чаще всего среди разрешенных для приема спорсменами препаратов встречаются преднизолон, формотерол, сальбутамол, амфетамин.
Напомним, в середине сентября президент WADA Крейг Риди заявил, что не верит в причастность правительства РФ к осуществленным на организацию хакерским атакам.

[душман]

Microsoft выпустила патч для патча, но он по-прежнему не работает

Microsoft выпустила обновление KB3193494 для Windows 10, призванное исправить проблемы с установкой предыдущего патча KB3189866, однако с его установкой, оказывается, также не все гладко.

13 сентября нынешнего года Microsoft выпустила обновление KB3189866, однако вскоре пользователи стали сообщать о внезапном прекращении процесса инсталляции патча на 45% или 95%. Проблема оказалась повсеместной, поэтому компании пришлось срочно выпускать новое обновление. Обновление KB3193494 содержит те же улучшения, что и KB3189866, но должно работать уже без проблем.
Как бы то ни было, новый апдейт не решил проблему, и некоторые пользователи по-прежнему испытывают трудности с его установкой. Как и раньше, процесс инсталляции внезапно останавливается без всякой видимой причины. Более того, пользователи, которым все-таки удалось установить обновление, столкнулись с другими проблемами.
«После установки KB3193494 мои сетевые драйверы стали недоступными. После удаления обновления все вернулось в норму. Если KB3193494 установить снова, проблема возвращается», - сообщил один из пользователей форума на сайте Microsoft. Насколько распространена данная проблема, не известно.

[душман]

Российских хакеров подозревают в кибератаках на 85 крупных компаний

Хакеров из России подозревают в совершении серии кибератак в отношении по меньшей мере 85 компаний и корпораций.

Атаки осуществляются с целью хищения учетных данных клиентов. По данным ресурса Epoch Times, в числе пострадавших оказались Amazon, American Airlines, AT&T, Best Buy, Wells Fargo, DropBox, Dunking Donuts, Ebay, GoDaddy, Uber, Match.com, McDonald’s, Office Depot, PayPal, Pizza Hut, Steam, Apple Pay и другие.
Как отмечает издание со ссылкой на частную компанию, специализирующуюся на обеспечении безопасности в интернете, информация об атакующих пока является неполной. По всей видимости, они обычные киберпреступники, не связанные с правительством. Известно, что в ходе кибератак хакеры использовали российские серверы и общались в чатах на русском языке, координируя свои действия.
Как отметил исследователь Эд Александер, злоумышленники, в частности, осуществляли атаки на платежную систему Apple Pay с целью хищения номеров кредитных карт и личной информации пользователей сервиса, включая персональные вопросы, используемые для восстановления пароля. В ходе атак на игровой сервис Steam злоумышленники похищали адреса электронной почты и пароли, которые затем использовались для взлома учетных записей сервиса.
По сведениям Александера, в рамках кампании киберпреступники применяли модифицированные версии инструмента Sentry MBA, разработанные для конкретных целевых компаний. Хакеры использовали инструмент для обхода механизмов защиты, уникальных для каждого атакуемого сайта.

[душман]

Сайт Брайана Кребса восстановил работу после одной из мощнейших за всю историю DDoS-атак

Сайт известного журналиста Брайана Кребса, специализирующегося на сфере киберпреступлений, восстановил работу после мощнейшей за всю историю DDoS-атаки.

Атака продолжалась две недели, и в пиковые моменты ее мощность достигала рекордных 620 Гб/с.  Мусорный трафик хлынул на сайт Кребса вскоре после публикации в начале сентября материала о деятельности крупнейшего в интернете сервиса по осуществлению заказных DDoS-атак vDOS, которым управляли два израильских подростка. Итай Хури и Ярден Бидани были арестованы предположительно за причастность к атакам на Пентагон, однако 9 сентября вышли под залог. В этот же день началась атака на сайт журналиста.В первые часы атака не отличалась большой мощностью, но спустя 10 дней достигла 620 Гб/с. По словам Кребса, в какой-то момент мощность возросла до 665 Гб/с.Злоумышленники использовали SYN-, GET-, ACK-, POST- и GRE-флуд без применения техник отражения или усиления. Как сообщил журналист, атака была осуществлена с помощью ботнета из устройств «Интернета вещей».Компания Akamai решила оказать Кребсу помощь и предложила ему бесплатный хостинг. До тех пор, пока мощность атаки не превышала 128 Гб/с, ей удавалось без проблем справляться с мусорным трафиком. Через два дня после пикового всплеска Akamai отразила атаку, однако у нее возникли технические проблемы, затронувшие платных клиентов, поэтому компании пришлось отказать Кребсу в предоставлении хостинга.Журналист понимал, что его интернет-провайдеру не справиться с таким объемом трафика и добровольно отключил сайт. Ресурс оставался недоступным в течение трех дней, пока свою помощь не предложил Project Shield – инициатива Google по предоставлению бесплатной защиты от DDoS-атак. С момента запуска в феврале текущего года проект казался не более чем маркетинговым ходом, однако в случае с Кребсом он доказал свою состоятельность.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя запомнилась крупнейшими за всю историю DDoS-атаками, взломом нового iPhone 7 и электрокара Tesla Model S, появлением новых образцов Android-трояна Xiny, способных внедряться в системные процессы, и многим другим.

Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 19 по 25 сентября 2016 года.
Большой резонанс на прошлой неделе вызвали крупнейшие за всю историю DDoS-атаки. Жертвой одной из них стал сайт журналиста Брайана Кребса KrebsOnSecurity. Атака длилась две недели, а ее мощность достигала 665 Гб/с. Предположительно, инцидент стал актом мести журналисту за публикацию материалов о деятельности крупнейшего в Сети сервиса по осуществлению заказных DDoS-атак vDOS.
Приблизительно в то же время поток мусорного трафика обрушился на европейского хостинг-провайдера OVH. Общая мощность атаки на две цели одновременно достигла почти 1 Тб/с. По мнению Кребса, атаки на KrebsOnSecurity и OVH связаны между собой.
На прошлой неделе DDoS-атака на Ethereum стала причиной замедления транзакций с валютой Ether. Неизвестный проэксплуатировал недавно обнаруженную уязвимость в Go – реализации протокола Ethereum.   
Не обошлось на прошлой неделе и без сообщений об утечках данных. Как стало известно, киберпреступники похитили конфиденциальную информацию около 500 млн пользователей почтового сервиса Yahoo!. В руки злоумышленников попали записи, включающие имена, адреса электронной почты, номера телефонов, даты рождения и хеши паролей. Как утверждают представители компании, утечка данных произошла в конце 2014 года.
Армянские хакеры из группировки Monte Melkonian Cyber Army опубликовали массив данных, принадлежащих 1200 азербайджанским офицерам. Утекший архив содержит идентификационные номера, адреса проживания, телефонные номера и другую персональную информацию. Взлом был приурочен к 25-й годовщине независимости Республики Армения, отмечавшейся 21 сентября.
22 сентября группировка «Анонимный интернационал» опубликовала личную переписку генерального директора холдинга News Media Арама Габрелянова. По словам хакеров, они выложили в открытый доступ SMS-сообщения Габрелянова и переписку в WhatsApp.
Участники хакерской группировки Fancy Bears опубликовали очередную порцию документов, похищенных в результате взлома компьютерной системы Всемирного антидопингового агентства (WADA). Злоумышленникам удалось извлечь из базы данных организации сертификаты на терапевтическое применение допинга. На этот раз в опубликованном списке содержатся имена 41 спортсмена из Австралии, Хорватии, Канады, Дании, Германии, Великобритании, Японии, Сербии, Южной Африки, Швейцарии, Швеции и США.
Ошибка в настройках DNS-сервера КНДР позволила любому желающему узнать подробности о северокорейском сегменте интернета. Как оказалось, в национальной доменной зоне Северной Кореи зарегистрировано только 28 сайтов, причем некоторые из них являются клонами западных ресурсов.
Компания «Доктор Веб» сообщила о новых версиях троянов семейства Android.Xiny. Изначально вредоносное ПО, впервые обнаруженное в марте прошлого года, предназначалось для незаметной загрузки и удаления приложений. Тем не менее, теперь оно способно также внедряться в процессы системных программ и загружать в них вредоносные плагины.
Еще один банковский троян для Android-устройств обнаружили исследователи «Лаборатории Касперского». Tordow способен перехватывать, отправлять и удалять SMS-сообщения; записывать, перенаправлять, совершать и блокировать звонки; проверять баланс счета; менять C&C-сервер; загружать и запускать файлы; устанавливать и удалять приложения; отображать нужные злоумышленникам интернет-страницы; генерировать и оправлять на управляющий сервер список с файлами, содержащимися на устройстве; перезагружать смартфон, а также загружать эксплоиты, позволяющие повысить привилегии.
Эксперты американской ИБ-компании InfoArmor обнаружили киберпреступную сеть RAUM, используемую вирусописателями для автоматизации процесса распространения вредоносного ПО. Управляет сетью предположительно восточноевропейская группировка, называющая себя Black Team.  По данным исследователей, RAUM позволяет внедрять вредоносную полезную нагрузку в популярные торрент-файлы и тем самым автоматизировать процесс ее распространения.
Исследователи из Keen Security Lab (подразделение китайского интернет-гиганта Tencent) продемонстрировали атаку на электромобили Tesla Model S. Проэксплуатировав неизвестную ранее уязвимость в программном обеспечении машин, эксперты смогли активировать тормоза, открыть двери и сложить зеркала, находясь на расстоянии 20 км от автомобилей.
19-летний итальянский исследователь безопасности Люка Тодеско заявил об успешном взломе iOS 10 на iPhone 7. По его словам, на поиск и эксплуатацию ранее неизвестных уязвимостей у него ушло 24 часа. В настоящее время Тодеско не планирует публиковать подробности о джейлбрейке.

[душман]

Спамеры активно воруют IP-адреса в сетях IPv4

Специалисты некоммерческой организации SpamHaus, специализирующейся на противодействии распространению спама и вредоносного ПО, предупредили о росте активности спамеров, заинтересованных в присвоении неиспользуемых IP-адресов в сетях на основе протокола IPv4.

В большинстве случаев злоумышленники изобретают различные методы «присвоения» неиспользуемых блоков адресов IPv4. По данным некоммерческой организации ARIN (American Registry for Internet Numbers - Американский реестр интернет-адресов), чаще всего для этой цели мошенники регистрируют фиктивные компании или повторно регистрируют старые доменные имена.
В блоге SpamHaus приведен случай такого мошенничества. По информации организации, одному из спамеров удалось присвоить IPv4-адреса, принадлежащие легитимной компании, используя контактную информацию лица (умершего за несколько лет до инцидента), на которое было зарегистрировано доменное имя предприятия. Похищенные адреса злоумышленник в дальнейшем использовал в спам-кампаниях.
Довольно часто спамеры «присваивают» адресные пространства, не используемые в течение длительного периода времени. Преступники практически во всеуслышание «объявляют» всему интернету, что данные адреса находятся во владении принадлежащего им хостинг-сервиса, и в случае отсутствия каких-либо возражений получают полный контроль над диапазоном IP-адресов.

[душман]

Хакер впервые получил срок за помощь «Исламскому государству»

В США приговорен к 20 годам тюрьмы хакер из Косово Ардит Ферези, обвиненный в пособничестве запрещенной в России террористической группировке «Исламское государство».

Об этом сообщается на сайте министерства юстиции США.Ферези был задержан в Малайзии в октябре 2015 года по подозрению во взломе одной из американских компаний, в результате чего им были получены данные об 1,3 тысяч гражданских и военных лиц.
Эти люди были включены в расстрельные списки террористов. В июне подсудимый признал свою вину.По американским законам, максимальный срок за подобные преступления составляет 35 лет.
Ферези вычислили по IP-адресу, который он засветил в результате атаки. Кроме того, со своего личного аккаунта он публиковал экстремистские посты в соцсетях.

[душман]

Азербайджанские хакеры взломали учетные записи армян в Facebook

Кибервойна между армянскими и азербайджанскими хакерами продолжается.

После публикации армянской группировкой Monte Melkonian Cyber Army информации предположительно о 1200 азербайджанских офицерах, ее противники не заставили себя долго ждать. Спустя несколько дней азербайджанская группировка, называющая себя «Anonymous 13», нанесла ответный удар.
По словам хакеров, им удалось взломать 10 тыс. принадлежащих армянам учетных записей в Facebook. 10 тыс. – это 40% от всех пользователей соцсети в Армении, утверждают Anonymous 13. Злоумышленники опубликовали часть похищенной информации (пароли, электронные адреса и номера телефонов) в открытом доступе и заявили о намерении похитить данные кредитных карт.
Напомним, в начале текущего месяца азербайджанская хакерская группировка Anti-Armenia Team заявила об успешном взломе сервера Министерства обороны Республики Армения. Злоумышленники похитили и опубликовали паспортные данные въехавших в страну иностранных граждан.

[душман]

Россиянин не подозревал об использовании его серверов для кибератак на США

Владелец российской компании King Servers Владимир Фоменко не подозревал, что принадлежащие ему сданные в аренду серверы использовались для кибератак на избирательные системы США.

Об этом сообщают источники в правоохранительных органах Алтайского края. Как ранее заявили американские специалисты по кибербезопасности, King Servers являлась владельцем шести из восьми IP-адресов, обнародованных ФБР в связи с расследованием инцидента.
Данный факт приводился в качестве одной из причин, указывающих на связь кибератак с Россией.
По словам источника, чаще всего King Servers арендует серверы на анонимной основе. Так произошло и в данном случае. Фоменко готов предоставить IP-адреса, интернет-протоколы и другие сведения, однако пока сотрудники спецслужб США не обращались к нему по данному поводу.

[душман]

Хакеры используют новую технику распространения Dridex для обхода спам-фильтров

По данным независимого исследователя безопасности MalwareTech, операторы банковского трояна Dridex экспериментируют с новыми техниками распространения вредоноса.

Эксперт зафиксировал волну спама, источником которого являлись легитимные, но скомпрометированные злоумышленниками web-сайты.
В данной кампании киберпреступники применяли два новых способа доставки Dridex. Если раньше троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то теперь для рассылки спама злоумышленники используют скомпрометированные серверы. Переход на новую технику распространения Dridex отнимет у ИБ-экспертов некоторое время на обнаружение кампании и соответствующую маркировку спама.
Вторая техника – непосредственно спам-письма. Вредоносные сообщения содержат зашифрованный документ в формате rtf и ключ для дешифровки. Благодаря шифрованию спам эффективно обходит фильтры, так как большинство автоматизированных систем, сканирующих вложения на наличие вредоносного кода, не способны расшифровывать документы.
Когда пользователь с помощью ключа открывает файл, появляется сообщение о необходимости активировать макросы, которые затем загружают Dridex Loader, также отличающийся от используемого в предыдущих кампаниях. Загрузчик запускает интерфейс командной строки и до начала вредоносной активности 250 раз проверяет на доступность один из бесплатных DNS-серверов Google.

[душман]

Пиратскую библиотеку «Либрусек» удалят из Сети

Домен популярной online-библиотеки «Либрусек» (lib.rus.ec) будет выключен.

Решение о разделегировании домена rus.ec, частью которого является lib.rus.ec, вынес Эквадорский институт интеллектуальной собственности по заявлению Ассоциации защиты авторских прав в интернете (АЗАПИ).
По словам главы ассоциации Максима Рябыко, в настоящее время проводятся формальные процедуры, которые будут завершены в течение трех месяцев. До конца года домен будет разделегирован.
Сейчас правоохранительные органы ведут расследование деятельности сайта «Либрусек». Нынешним летом следственный отдел ОВД Якиманка возбудил уголовное дело по ч.3 ст. 146 УК РФ (нарушение авторских и смежных прав).
Следователи изучают возможные связи между библиотекой «Либрусек», сайтом «Аймобилко» и компанией «Универсальные книжные технологии». Правоохранители уже изъяли у хостинг-провайдера ООО «Теленэт» все серверы, находящиеся во владении компании «Универсальные книжные технологии».
Сайты «Либрусек» и «Аймобилко» перестали работать после изъятия серверов.
Напомним, 8 августа нынешнего года Мосгорсуд вынес постановление о блокировке доступа к ресурсу «Либрусек» на постоянной основе.

[душман]

Эксперты пресекли работу ботнета GozNym

Специалисты Cisco Talos остановили работу одного из ботнетов, организованных гибридным банковским трояном GozNym, сочетающим функционал двух известных вредоносов Gozi и Nymaim.

В настоящее время команда принимает меры по пресечению деятельности остальных ботнетов GozNym.Экспертам удалось остановить работу ботнета, взломав алгоритм генерации доменных имен (DGA), используемый трояном для связи с постоянно меняющимися C&C-серверами злоумышленников. По данным Cisco Talos, ботнет включает по меньшей мере 23 062 инфицированных хостов, большинство из которых расположены в Германии, США, Польше, Канаде и Великобритании.Исследователи зафиксировали несколько целевых фишинговых кампаний по распространению вредоносного ПО GozNym. В ходе атак злоумышленники рассылали вредоносные документы Microsoft Word, содержащие загрузчик, который загружал и выполнял вредоносный код.В апреле нынешнего года троян GozNym был замечен в ряде кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу. Спустя несколько месяцев специалисты buguroo Threat Intelligence Labs зафиксировали новый виток атак с использованием GozNym, нацеленных на банки и финансовые сервисы в Испании, Польше, Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии.

[душман]

«Лаборатория Касперского» запатентовала технологию для борьбы с финансовым онлайн-мошенничеством

«Лаборатория Касперского» получила в США патент на технологию для борьбы с финансовыми киберпреступлениями.

Новый метод предназначен для распознавания атак «человек в браузере». Их суть заключается во внедрении в браузер вредоносного кода, который позволяет в режиме реального времени собирать всю информацию, вводимую пользователем на посещаемых сайтах, сообщили в «Лаборатории Касперского».
Злоумышленники часто проводят такие атаки на банковские страницы, чтобы украсть логины и пароли либо подменить номер банковского счета в момент денежного перевода. Вредоносный код в случае таких вторжений используется для того, чтобы отследить, когда пользователь зайдет на нужную страницу, и незаметно для него изменить ряд ее параметров (в первую очередь, поле ввода) для совершения мошеннических действий.
«Лаборатория Касперского» разработала ловушку для атак такого типа — страницу, похожую на банковскую благодаря фрагментам HTML-кода, специфического для веб-страниц банков и платежных систем. Эта технология уже включена в решение Kaspersky Fraud Prevention, предназначенное для банков, и встраивается в браузер при его развертывании. Метод позволяет сотрудникам финансовой организации узнать, заражено ли устройство клиента.
Если пользователь заходит на страницу банка с устройства, на котором есть вредоносное ПО, новая технология покажет зловреду в том числе и поддельную страницу. Вредоносное ПО примет ее за реальную банковскую и попытается внести изменения, а продукт «Лаборатории Касперского» сразу же зафиксирует и пресечет эти попытки, пояснили в компании.
«Многие семейства банковских троянов продолжают активно использовать атаки типа “человек в браузере”, поэтому мы постоянно оптимизируем технологии защиты онлайн-банкинга от актуальных угроз. Новый метод помогает банку определять, заражено ли устройство пользователя, тем самым позволяя своевременно заблокировать подозрительную транзакцию и защитить деньги клиентов», — отметил Денис Горчаков, руководитель группы анализа онлайн-мошенничества «Лаборатории Касперского».
По данным компании, всего «Лаборатория Касперского» уже получила 450 патентов в России, США, Китае и Европе. Еще более 320 патентных заявок в настоящий момент находятся на рассмотрении в патентных службах разных стран.

[душман]

«Лаборатория Касперского» поможет жертвам шифровальщика Polyglot вернуть доступ к файлам

Пользователи, пострадавшие от программы-шифровальщика Polyglot, теперь могут вернуть доступ к файлам благодаря бесплатному инструменту дешифровки RannohDecryptor, который выпустила «Лаборатория Касперского».

Троян, атакующий в том числе российских пользователей и известный как MarsJoke, распространяется в спам-письмах, которые содержат вредоносный исполняемый файл, упакованный в RAR-архив. Внедрившись в систему, Polyglot никак не меняет файлы пользователя внешне, но при этом блокирует к ним доступ, сообщили в «Лаборатории Касперского».
После окончания шифрования троян меняет заставку рабочего стола, а затем выводит окно с требованиями выкупа, который назначается в биткойнах. Если оплата не производится в срок, указанный злоумышленниками, троян оставляет файлы зашифрованными и самоудаляется с зараженного устройства.
По словам экспертов компании, новый шифровальщик очень похож на давно известный CTB-Locker, несмотря на то, что общего кода в двух троянах не обнаружилось. Polyglot повторяет CTB-Locker буквально во всем: практически идентичны окна графических интерфейсов, последовательность действий, требуемых от пострадавшего для получения ключа, страница оплаты, обои рабочего стола и другие элементы.
Эксперты «Лаборатории Касперского» изучили новый зловред и обнаружили, что, в отличие от CTB-Locker, он использует весьма нестойкий алгоритм генерации ключа. Благодаря этому стало возможным быстро подобрать ключ методом перебора и создать инструмент, помогающий жертвам зловреда восстановить зашифрованные файлы.
«Чтобы предотвратить заражение устройства программой-шифровальщиком, необходимо использовать защитные решения, включающие современные технологии. Как показал анализ трояна Polyglot, пользователям может повезти, если атаковавший зловред содержит ошибки или если при его написании был использован не устойчивый к взлому алгоритм. В таком случае есть шансы на быстрое и безболезненное возвращение доступа к файлам. Но не стоит полагаться только на удачу.
Этот случай является скорее исключением, чем правилом, поэтому мы рекомендуем всем пользователям заблаговременно позаботиться о защите от программ-шифровальщиков», — пояснил Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского».
Все решения «Лаборатории Касперского» детектируют новый зловред как Trojan-Ransom.Win32.Polyglot или PDM:Trojan.Win32.Generic.
С некоторыми другими программами-шифровальщиками пользователям помогает бороться инициатива No More Ransom, реализованная «Лабораторией Касперского» совместно с Европолом, полицией Нидерландов и Intel Security. Проект представляет собой веб-портал www.nomoreransom.org, где можно получить бесплатные инструменты для восстановления данных, «обработанных» наиболее распространенными видами таких зловредов, а также больше узнать о них и исходящих от них угрозах, отметили в компании.

[душман]

Опубликован исходный код трояна Mirai

В ближайшее время следует ожидать появления большого числа новых ботнетов, состоящих из устройств «Интернета вещей» (IoT), поскольку авторы трояна Mirai опубликовали его исходный код в открытом доступе.

Как сообщает журналист Брайан Кребс, ботсеть из инфицированных Mirai IoT-устройств использовалась для осуществления одной из мощнейших за всю историю DDoS-атак.
Исходный код трояна был опубликован на англоязычном хакерском форуме Hackforums в пятницу, 30 сентября, пользователем под псевдонимом Anna-senpai. По его словам, причиной публикации исходника Mirai послужил рост интереса к нему со стороны экспертов безопасности.
«Когда я только начинал в сфере DDoS, я не планировал долго этим заниматься. Я уже подзаработал денег. К тому же, слишком много внимания сейчас приковано к IoT, поэтому пришло время завязать. Сегодня у меня для вас есть потрясающий релиз. С Mirai у меня было максимум 380 тыс. ботов только по telnet.
Правда, после DDoS-атаки на Кребса интернет-провайдеры стали постепенно все закрывать и подчищать, поэтому сейчас максимальное число ботов достигает 300 тыс. и продолжает снижаться», - заявил Anna-senpai.
О Mirai стало известно в начале прошлого месяца. Вредонос является преемником другого DDoS-трояна, известного как Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor и Torlus.

[душман]

Хакеры выложили шестую часть документов из базы данных WADA

Хакерская группировка Fancy Bears опубликовала на своем сайте очередную порцию документов об употреблении допинга "по терапевтическим показаниям", полученных в результате взлома баз данных Всемирного антидопингового агентства (WADA), сообщает Р-Спорт.  

В шестой части публикации документов упомянуты, в частности, двукратные олимпийские чемпионы австралийская пловчиха Эмили Сибом, которая принимала преднизолон и британский триатлет Алистер Браунли — он употреблял ацетазоламид. Кроме того, в списке значатся спортсмены из США, Японии, Бразилии, Канады, Колумбии, Германии, Франции, Новой Зеландии, Швеции, Венесуэлы и ЮАР.
Хакеры из Fancy Bears уже пять раз публиковали документы из взломанных баз данных WADA, согласно которым многие титулованные спортсмены, в том числе олимпийские чемпионы, принимали допинг под прикрытием агентства в терапевтических целях. Агентство позволяло ряду известных атлетов, среди которых теннисисты Рафаэль Надаль, Серена и Винус Уильямс, гимнастка Симона Байлз, велогонщики Крис Фрум и Брэдли Уиггинс, баскетболисты Милош Теодосич и Елена Делле-Донн, применять запрещенные препараты и даже наркотические вещества.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Похоже, киберпреступники устали от взломов, утечек и DDoS-атак и решили отдохнуть, так как в отличие от позапрошлой, прошлая неделя не отличилась никакими особенно резонансными инцидентами безопасности.

Тем не менее, предлагаем ознакомиться с главными событиями в мире ИБ за период с 26 сентября по 2 октября 2016 года.
Совсем без утечек информации на прошлой неделе все же не обошлось. Спустя несколько дней после публикации армянской группировкой Monte Melkonian Cyber Army данных 1200 азербайджанских офицеров азербайджанские хакеры «Anonymous 13» заявили об успешном взломе 10 тыс. учетных записей в Facebook, принадлежащих армянам.
По данным информагентства Reuters, ФБР начало расследование зафиксированных в прошлом месяце попыток взлома мобильных телефонов ряда членов Демократической партии США. По мнению правоохранителей, за атаками стоят хакеры, спонсируемые правительством РФ.
Исследователи Cisco Talos сообщили о возрождении ботнета Tofsee, известного с 2013 года. Согласно данным экспертов, злоумышленники стали активно использовать подконтрольные боты для рассылки спама, содержащего вредоносные вложения.
В то время как Tofsee получил второе дыхание, один из ботнетов GozNym прекратил свое существование благодаря все тем же специалистам из Cisco Talos. В настоящее время команда принимает меры по пресечению деятельности оставшихся ботсетей. По данным Cisco Talos, ботнет состоял по меньшей мере из 23 062 инфицированных хостов, большинство из которых расположены в Германии, США, Польше, Канаде и Великобритании.
Пользователь под псевдонимом Anna-senpai опубликовал в открытом доступе исходный код вредоносного ПО Mirai. Как известно, ботнет, состоящий из инфицированных трояном IoT-устройств, использовался для осуществления одной из мощнейших DDoS-атак за всю историю. По словам Anna-senpai, причиной публикации исходного кода является возросший интерес к вредоносу со стороны исследователей безопасности.
По данным независимого ИБ-эксперта MalwareTech, операторы банковского трояна Dridex экспериментируют с новыми техниками распространения вредоноса. Если раньше Dridex распространялся с помощью ботнета из взломанных компьютеров Necurs, то теперь для рассылки спама киберпреступники используют скомпрометированные серверы.
На прошлой неделе в очередной раз о себе заявила APT-группа Fancy Bear, также известная как APT28, Sednit, Pawn Storm, Strontium и Sofacy. Как сообщили специалисты компании Palo Alto Networks, хакеры начали использовать новый троян для Mac OS X под названием Komplex. В настоящее время известно о существовании трех версий вредоноса. Две из них предназначены для архитектур x86 и x64, а третья - универсальна.
Komplex используется в атаках на предприятия и отдельных лиц, связанных с аэрокосмической индустрией.