"Мир интернета"

[душман]

Обзор инцидентов безопасности за прошлую неделю

На прошлой неделе уже традиционно о себе дали знать «русские хакеры», часть «славы» также досталась хакерам из Украины, появились сообщения о новом вредоносном ПО и мошеннических схемах.

Предлагаем ознакомиться с кратким обзором инцидентов безопасности за период с 31 октября по 6 ноября 2016 года.
В канун Хэллоуина, 31 октября, хакерская группировка The Shadow Brokers сделала пользователям подарок и опубликовала список IP-адресов и доменов, предположительно взломанных Агентством национальной безопасности США. В список также попали интересовавшие АНБ российские домены. Как оказалось, спецслужба имела несанкционированный доступ к сайтам отечественных научных организаций и телекоммуникационных компаний.
Одним из самых громких событий прошедшей недели стала публикация украинскими хакерами из «Киберальянса» второй части электронной переписки, предположительно похищенной у помощника президента РФ Владислава Суркова. Объем дампа, названного хакерами SurkovLeaks (part 2), составляет 340 МБ. В него входят 336 полученных и 87 отправленных сообщений электронной почты pochta_mg @mail.ru.
Эксперты Microsoft зафиксировали маломасштабную фишинговую кампанию, проводимую хакерской группировкой Fancy Bear. Некоторые ИБ-эксперты связывают данную группировку,  также известную под названиями Strontium, Sednit, Sofacy, Pawn Storm, APT28 и Tsar Team, с российскими спецслужбами. По данным Microsoft, в ходе атак хакеры эксплуатировали две уязвимости нулевого дня - в плагине Adobe Flash и в ядре Windows.
Пока американские власти обвиняют Россию в кибератаках на Демократическую партию США, СМИ опубликовали информацию о намерении Вашингтона в случае необходимости применить кибероружие. Как сообщил американский телеканал NBC, хакеры из США проникли в системы российских электростанций, телекоммуникационные сети и даже в систему управления Кремля, подготовив плацдарм для будущих атак.
Не стихает волна новостей о печально известном ботнете Mirai. На этот раз неизвестные использовали сеть зараженных IoT-устройств в попытках отключить интернет в целой стране. Речь идет о небольшом африканском государстве Либерия, где доступ к Сети обеспечивается единственным подводным оптоволоконным кабелем.
Похоже, у Mirai появился конкурент. Исследователь безопасности Malware Must Die обнаружил новое вредоносное ПО в формате ELF, способное атаковать IoT-устройства, использующие протоколы Telnet и IRC. Linux/IRCTelnet может осуществлять DDoS-атаки на сети IPv4 и IPv6 (в том числе подменять IP-адреса для усложнения обнаружения источника атаки).
Команда специалистов из Научно-исследовательского института им. Х. Вайцмана (Израиль) и Университета Далхаузи (Канада) продемонстрировали новый метод атаки на IoT-устройства, в частности, на «умные» системы освещения. Эксперты создали червь, эксплуатирующий уязвимость в беспроводном протоколе связи ZigBee.
Исследователи компании Fortinet сообщили о банковском трояне для Android-устройств, маскирующемся под Flash Player. Вредонос способен похищать учетные данные из 94 различных банковских приложений и перехватывать SMS-сообщения, что позволяет ему успешно обходить механизм двухфакторной аутентификации.
На прошлой неделе также стало известно о нескольких мошеннических кампаниях. В ходе одной из них злоумышленники используют уязвимость двухлетней давности в Chrome, а в ходе другой - распространяют вредоносное ПО для macOS через рекламный сервис Google AdWords.

[душман]

Роскомнадзор внес Pornolab в реестр запрещенных сайтов

Роскомнадзор заблокировал сайт Pornolab.

Об этом сообщил сегодня пресс-секретарь ведомства Вадим Ампелонский."В конце прошлой неделе мы внесли Pornolab в реестр запрещенных сайтов, а вчера отправили на выгрузку операторам связи", - сказал он.Автозаводской районный суд города Тольятти в конце августа постановил "признать информацию, содержащуюся в информационно-коммуникационной сети интернет на сайте Pornolab, запрещенной к распространению на территории РФ", а также "включить интернет-страницу в Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, позволяющих индетифицировать сайты в сети интернет, содержащие информацию, распространение которой в РФ запрещено".

[душман]

Ресурс WikiLeaks подвергся масштабной DDoS-атаке

Официальный сайт организации WikiLeaks подвергся масштабной DDoS-атаке, из-за которой ресурс на некоторое время приостановил работу.

Инцидент произошел сразу после публикации очередной порции документов, похищенных в результате взлома компьютерной сети Демократической партии США.
Напомним, в начале октября основатель ресурса Джулиан Ассанж пообещал до 8 ноября нынешнего года опубликовать порядка 1 млн документов, связанных с правительствами трех стран и президентскими выборами в США.
Спустя несколько дней после данного заявления организация приступила к публикации переписки главы избирательного штаба Хиллари Клинтон Джона Подесты, а затем обнародовала часть корреспонденции текущего главы государства Барака Обамы.
В настоящее время неизвестно, кто стоит за DDoS-атакой на WikiLeaks. Специалисты организации проводят расследование инцидента. На момент публикации новости работа сайта уже была восстановлена.

[душман]

Обнаружен шифровальщик, «общающийся» со злоумышленниками через Telegram

«Лаборатория Касперского» обнаружила первую программу-шифровальщик, использующую мессенджер Telegram для взаимодействия с злоумышленниками.

В настоящее время зловред атакует российских пользователей — программа шифрует текстовые и графические файлы, а затем требует выкуп в размере 5 тыс.р, сообщили в «Лаборатории Касперского».
Найденный шифровальщик по сути является ботом Telegram — его создатели заранее получили от серверов мессенджера уникальный токен, идентифицирующий бота, и поместили его в тело зловреда. Этот прием позволяет вредоносной программе использовать публичный API (интерфейс программирования приложений) Telegram и поддерживать таким образом связь с злоумышленниками.
К примеру, шифровальщик извещает киберпреступников о факте заражения компьютера посредством отправки сообщения в чат с заданным номером.
Что касается непосредственно шифрования, то зловред использует один из простейших алгоритмов. В зависимости от настройки программа может добавлять зашифрованным файлам расширение .Xcri, либо вообще не менять название файла.
«Если вы стали жертвой этого шифровальщика, мы убедительно просим вас не платить злоумышленникам. Можно обратиться в нашу службу поддержки, и мы поможем расшифровать файлы, — рассказал Фёдор Синицын, старший антивирусный аналитик «Лаборатории Касперского».
Мы видим, что угроза, исходящая от шифровальщиков, растет крайне быстрыми темпами. Именно поэтому мы делаем все возможное, чтобы помочь пользователям справиться с этой бедой: выкладываем в публичный доступ утилиты для расшифровки, включаем в наши защитные решения новые функции, позволяющие распознавать шифровальщиков по их поведению, даем пользователям возможность создавать и обновлять резервные копии файлов».
Все продукты «Лаборатории Касперского» детектируют шифровальщика, использующего протокол Telegram, как Trojan-Ransom.Win32.Telecrypt.

[душман]

Сбербанк отразил серию DDoS-атак из десятков стран

Сбербанк в минувший вторник отразил серию мощных DDoS-атак, организованных из нескольких десятков стран, сообщили в пресс-службе кредитной организации.

"8 ноября онлайн ресурсы Сбербанка подверглись мощным DDoS-атакам. Атаки организованы с ботнетов, включающих десятки тысяч машин, территориально распределенных по нескольким десяткам стран", - сказали в пресс-службе Сбербанка, подчеркнув, что в течение всего дня мощность атаки возрастала.
"Первая атака была зафиксирована утром, следующая атака вечером уже состояла из нескольких этапов, каждый их которых был вдвое сильней предыдущего. При этом, системы защиты банка отработали надежно. Атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка. Сбоев в работе сервиса для клиентов банка не было", - подчеркнул представитель банка.
Ранее глава Сбербанка Герман Греф отмечал, что объем ущерба от кибератак в мире к 2020 году удвоится как минимум до $1 трлн.
В прошлом году Сбербанк утвердил концепцию кибербезопасности. Всего в 2015 году банк инвестировал в собственные системы информационной безопасности свыше 1,5 млрд рублей. Сейчас завершен первый этап создания центра управления инцидентами информационной безопасности (SOC) Сбербанка, второй планируется завершить к концу 2016 года.

[душман]

Adobe выпустила обновление безопасности для Flash Player

Во вторник, 8 ноября, компания Adobe выпустила новую версию Flash Player, в которой исправлены уязвимости, обнаруженные с момента выхода предыдущего обновления.

Производитель только опубликовал ссылку на скачивание Adobe Flash Player 23.0.0.207, а список внесенных изменений пока неизвестен.
Adobe синхронизировала свой цикл выпуска патчей с выходом бюллетеней безопасности Microsoft. Поскольку сегодня у Microsoft плановый «вторник исправлений», логично предположить, что новая версия Flash Player исправляет проблемы с безопасностью, и пользователи должны установить ее как можно скорее.
Google и Microsoft также разошлют патч для плеера по своим каналам доставки обновлений, поскольку Flash Player используется в браузерах Google Chrome и Microsoft Edge. Когда бы ни вышла новая версия, компании обязаны доставить обновление своим пользователям.
В настоящее время пользователи могут вручную загрузить и установить Adobe Flash Player 23.0.0.207. Те, кто не желает возиться с установкой новой версии, могут подождать несколько часов, пока Microsoft не доставит ее через Windows Update.

[душман]

Microsoft устранила 2 0day-уязвимости в Windows

В рамках планового «вторника исправлений» компания Microsoft представила 14 бюллетеней безопасности, устраняющих в общей сложности 68 уязвимостей в Windows, Office, Edge, Internet Explorer и SQL Server, в том числе 2 уязвимости нулевого дня в Windows.

Шесть бюллетеней получили статус критических, остальные восемь классифицированы как важные.Бюллетень MS16-135 устраняет многочисленные уязвимости в Windows, наиболее опасные из которых позволяют атакующему повысить привилегии при помощи специально сформированного приложения и получить контроль над системой. В числе прочих Microsoft устранила уязвимость CVE-2016-7255, активно эксплуатируемую хакерской группировкой, известной как Fancy Bear, APT 28 или Strontium. Информация о данной проблеме была обнародована Google спустя всего 10 дней после того, как о ней стало известно Microsoft.Бюллетень MS16-132 устраняет проблемы в Microsoft Windows, позволяющие удаленно выполнить код. В том числе компания исправила 0day-уязвимость CVE-2016-7256 в драйвере формата Windows OpenType Font (OTF). Уязвимость может быть проэксплуатирована путем внедрения на сайты или в документы специально сформированных шрифтов OpenType. Успешная эксплуатация проблемы позволяет атакующему получить полный контроль над целевой системой.Бюллетени MS16-142, MS16-129 и MS16-133 устраняют критические уязвимости в браузерах Internet Explorer и Edge, а также в Microsoft Office. Наиболее опасные уязвимости позволяют злоумышленнику выполнить произвольный код при просмотре специально сформированной страницы в браузерах Internet Explorer или Microsoft Edge. В случае с Microsoft Office атакующий может выполнить произвольный код в контексте текущего пользователя, если жертва откроет специально сформированный документ Office.Бюллетень MS16-136 исправляет уязвимости в Microsoft SQL Server, позволяющие атакующему повысить привилегии на системе.

[душман]

Более 1 млн пользователей загрузили трояна из Google Play

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередного трояна.

Эта вредоносная программа, добавленная в вирусную базу как Android.MulDrop.924, без ведома пользователей скачивает приложения и предлагает их установить. Кроме того, она показывает навязчивую рекламу, сообщили сегодня в «Доктор Веб».
Android.MulDrop.924 распространяется через каталог Google Play в виде приложения с именем Multiple Accounts: 2 Accounts, которое, по данным компании, скачали уже более 1 млн владельцев Android-смартфонов и планшетов. Программа позволяет одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве.
Однако это внешне безобидное и даже полезное приложение скрывает троянский функционал, о котором разработчик забыл сообщить потенциальным жертвам. «Доктор Веб» передала корпорации Google информацию о трояне, однако на момент публикации этой новости Android.MulDrop.924 все еще был доступен для загрузки.
По мнению специалистов компании, троянская программа имеет необычную модульную архитектуру. Часть ее функционала расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов Android.MulDrop.924. При запуске троян извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память.
Один из этих компонентов, помимо безобидных функций, содержит несколько рекламных плагинов, которые авторы Android.MulDrop.924 используют для получения прибыли. Среди них — троянский модуль Android.DownLoader.451.origin, без разрешения пользователя скачивающий игры и приложения и предлагающий установить их. Кроме того, он показывает навязчивую рекламу в панели уведомлений мобильного устройства.
Помимо каталога Google Play, Android.MulDrop.924 распространяется и через сайты-сборники ПО. Одна из модификаций трояна встроена в более раннюю версию приложения Multiple Accounts: 2 Accounts. Она подписана сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержит дополнительный троянский плагин Android.Triada.99, который скачивает эксплойты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать программы.
Использование стороннего сертификата может говорить о том, что указанную версию Android.MulDrop.924 модифицировала и распространяет другая группа вирусописателей, не связанная с создателями оригинального приложения, полагают в «Доктор Веб».
Все известные версии трояна Android.MulDrop.924 и его вредоносных компонентов детектируются антивирусными продуктами Dr.Web для Android.

[душман]

"Сбербанк онлайн" подвергся кибератаке

Сбербанк продолжает оставаться объектом хакерских атак, 10 ноября WEB-ресурс "Сбербанк онлайн" подвергся многократной мощной DDOS-атаке.

Об этом сообщили в пресс-службе Сбербанка.
"Сбербанк информирует, что, начиная со второй половины дня 10 ноября, WEB-ресурс "Сбербанк онлайн" подвергся многократной мощной DDOS-атаке, которая длилась несколько часов", - отметили в банке.
В пресс-службе подчеркнули, что атака была успешно отражена системами защиты. "Отмечались некоторые замедления от нескольких секунд до минуты в предоставлении данного сервиса. Отказов в предоставлении сервисов системами банка не фиксировались", - сообщили в банке.
Сбербанк в минувший вторник отразил серию мощных DDОS- атак, организованных из нескольких десятков стран. Как писала газета "Ведомости", похожей атаке подверглись также "Альфа-банк", "Банк Москвы" (ныне структура ВТБ), "Росбанк", а также Московская биржа.

[душман]

Microsoft уже традиционно выпустила неустанавливаемое обновление

Похоже, ни одно кумулятивное обновление для Microsoft Windows 10 не может обойтись без проблем с инсталляцией.

Как сообщает Softpedia, спустя всего несколько часов после выхода KB3200970 стали появляться сообщения о трудностях с установкой апдейта.
Кумулятивные обновления очень важны для пользователей Windows, однако в последнее время они стали настоящей головной болью. По словам некоторых пользователей, подобно предыдущим обновлениям, по непонятным причинам процесс установки KB3200970 прерывается, возвращаются прежние настройки и система перезагружается.
Затем пользователям снова предлагается установить обновление, и все повторяется снова. Разорвать «заколдованный круг» можно, либо успешно установив, либо спрятав апдейт.
Согласно сообщениям некоторых пользователей, пытаясь инсталлировать обновление, Windows Update попадает в своеобразную петлю. Нагрузка на центральный процессор существенно возрастает, что приводит к замедлению работы всей системы. В некоторых случаях процесс загрузки обновления внезапно «зависает» и завершить его невозможно.

[душман]

Российские правообладатели нашли новый способ борьбы с пиратскими сайтами

Правообладатели стали жаловаться в Федеральную налоговую службу (ФНС) на рекламу онлайн-казино, размещенную на пиратских сайтах.

Такая реклама законодательно запрещена и если информация о размещении подтверждается, веб-ресурс с нелицензионным контентом подвергается блокировке.
Таким способом уже пользуется ассоциация «Интернет-видео». Ее руководитель Алексей Бырдин рассказал, что таким образом они уже добились блокировки lostfilmonline.ru, zerx.co и hdrezka.me. По его словам, получив жалобу, Роскомнадзор уведомляет сайт, что реклама казино незаконна.
Если сайт не убирает такую рекламу, ведомство требует блокировки от хостера. Если и этого не происходит, сайт заносится в черный список и блокируется в России. В случае, если пиратский сайт удаляет рекламу казино, то ему все равно наносится удар, так он лишается поддержки в виде рекламных доходов, считает Бырдин.
Глава Ассоциации защиты авторских прав в интернете (АЗАПИ) Максим Рябыко рассказал, что по подсчетам возглавляемой им организации на половине пиратских сайтов есть реклама казино. По его словам, главные плюсы этого метода борьбы с пиратсвом — скорость и доступность. Также такой способ не требует оплачивать пошлину, которая составляет от 6 до 12 тыс. руб.
Реклама онлайн-казино регулируется ФЗ «Об азартных играх» и ФЗ «О лотереях». Правоприменительную практику в отношении нелегальных онлайн-казино осуществляет ФНС. Это ведомство в течение 30 дней рассматривает обращения гражданина или организации, связанные с размещением в сети запрещенной информации.

[душман]

Жертвами Android-трояна GM Bot стали клиенты более 50 банков по всему миру

Специалисты Avast Software, разработчика средств защиты информации для домашних и корпоративных пользователей, выявили более 50 банков, под чьи приложения маскируются аналоги банковского трояна GM Bot для Android.

Среди жертв вредоносного ПО оказались клиенты мобильных приложений Citi Bank, ING, Bank of America и других крупных банков в США, Канаде, Австралии и странах Европы, сообщили в Avast.
GM Bot, также известный как Acecard, SlemBunk и Bankosy, обманом выманивает у пользователей банковские данные посредством отображения поддельных страниц авторизации, внешне не отличимых от настоящих. Затем вредоносная программа перехватывает SMS с кодом подтверждения в рамках двухфакторной аутентификации, предоставляя злоумышленникам неограниченный доступ к банковским счетам.
За последние три месяца пользователи мобильных приложений Avast столкнулись с GM Bot более 200 тыс. раз.
По информации Avast, впервые GM Bot появился в 2014 г. на серых форумах, а в конце декабря 2015 г. один из пользователей выложил исходный код вредоносного трояна в открытый доступ. Сегодня практически любой пользователь может распространять вредоносную программу и кастомизировать ее. После утечки кода эксперты по безопасности зафиксировали значительный рост числа аналогов GM Bot.
В целом GM Bot — это вредоносная программа, которая выглядит как безобидное приложение для Android, часто маскируется под плагины типа Flash или контент для взрослых. В основном распространяется через сторонние магазины приложений, у которых нет такой строгой проверки безопасности, как у App Store или Google Play. После загрузки трояна иконка приложения исчезает с домашнего экрана, но это не значит, что вредоносная программа исчезла с устройства.
Троян в основном ориентирован на банковские приложения. При открытии мобильного банка вредоносная программа подгружает поддельную страницу для ввода логина и пароля, и если предоставить приложению права администратора, злоумышленники смогут контролировать все, что происходит на инфицированном устройстве, и нанести серьезный ущерб его владельцу, пояснили в Avast.

[душман]

Мошенники рассылают вредоносные письма якобы от имени ПФР

Управление Пенсионного фонда России в Вахитовском районе Казани предупредило граждан об участившихся случаях массовой рассылки фишинговых писем якобы от имени ПФР.

Как сообщает издание «Комсомольская правда», письма содержат ссылку, на первый взгляд напоминающую легитимную ссылку на сайт ведомства. Тем не менее, когда пользователь нажимает на нее, на систему устанавливается вредоносное ПО.
По словам представителей Пенсионного фонда, ведомство не занимается рассылкой электронных писем с вложениями. При возникновении каких-либо вопросов стоит обращаться в клиентскую службу ПФР. Всю необходимую информацию также можно получить в личном кабинете на сайте Пенсионного фонда.
Напомним, в прошлом месяце троян-шифровальщик лишил зарплаты казанских полицейских. Вредонос попал на компьютер главного бухгалтера Казанского линейного управления МВД России по Республике Татарстан после открытия фишингового письма, замаскированного под счет от компании «Ростелеком».

[душман]

«Лаборатория Касперского» обвинила Microsoft в монополизме

Федеральная антимонопольная служба РФ начала расследование в отношении компании Microsoft в связи с жалобой российского производителя антивирусных решений «Лаборатория Касперского» о нарушении антимонопольного законодательства России.

Дело возбуждено по подозрению в злоупотреблении доминирующим положением (ч.1 ст.10 Закона о защите конкуренции).
Основой для обращения в надзорную службу послужило изменение политики Microsoft относительно сроков адаптации совместимости антивирусного ПО сторонних разработчиков с операционной системой Windows 10. Ранее этот срок составлял 2 месяца, но сейчас компания сократила его до 6 календарных дней.
Если сторонние программные решения не успевают адаптироваться к Windows 10, запускается собственный антивирус Microsoft - Windows Defender.
«Мы считаем, что Microsoft использовал свое доминирующее положение на рынке операционных систем, создав конкурентные преимущества для своего продукта. Компания навязывает пользователю Defender, который не выгоден с точки зрения защиты компьютера против кибератак. Компания также создает препятствия для доступа на рынок и ущемляет интересы независимых разработчиков секюрити-продуктов», - подчеркнул глава ЛК Евгений Касперский.
Помимо заявления в ФАС России, «Лаборатория Касперского» также отправила обращение в антимонопольные органы ЕС.

[душман]

Совершен «крупнейший взлом в истории человечества»

Хакеры взломали свыше 412 млн учетных записей пользователей развлекательной сети «для взрослых» FriendFinder Networks.

По данным ресурса Leakedsource.com, компрометации подверглись данные 339,774,493 пользователей сайта для супружеских измен и обмена партнерами Adult Friend Finder, 62,668, 630 учетных записей сервиса видео-чатов Cams.com, 7,176, 877 аккаунтов пользователей журнала Penthouse и более 2,5 млн учетных записей пользователей Stripshow.com и iCams.com.
Все похищенные базы данных содержат логины, адреса электронной почты и пароли, зашифрованные при помощи слабого алгоритма SHA1. Как сообщается, сотрудникам LeakedSource уже удалось взломать более 99% паролей. Как выяснилось при анализе, более 15 млн электронных адресов имели формат [email protected]@deleted1.com, позволяющий предположить, что Adult Friend Finder сохранял данные даже после удаления учетной записи пользователем.
По информации издания CSO, сайты были взломаны в середине октября нынешнего года. Примерно в то же время исследователь под псевдонимом 1x0123, так же известный как Revolver, сообщил о выявлении уязвимости типа LFI (Local File Inclusion) в модуле серверов ресурса AdultFriendFinder. Согласно заявлению компании, данная уязвимость уже устранена.
Представители FriendFinder Networks пока не предоставили официальные комментарии относительно утечки данных, уже второй за последние два года. Напомним, в мае 2015 года злоумышленники взломали ресурс Adult Friend Finder. Тогда утечка данных коснулась порядка 4 млн пользователей сайта знакомств.

[душман]

Обзор инцидентов безопасности за прошлую неделю

 

Внимание всего мира на прошлой неделе было приковано к президентским выборам в США. В связи с данным событием жертвами хакеров стали как американские, так и российские организации.
В день выборов, 8 ноября, ряд крупнейших российских банков подверглись DDoS-атакам. Жертвами злоумышленников стали «Московская биржа», «Банк Москвы», «Росбанк» и «Альфа-Банк». По словам владельца сервиса по осуществлению заказных атак vimproducts, атаки были совершены по заказу клиентов, обеспокоенных вмешательством России в выборы президента США. 8 и 10 ноября также были зафиксированы атаки на «Сбербанк».
Спустя всего несколько часов с момента оглашения результатов выборов американского президента киберпреступники атаковали десятки сотрудников университетов, исследовательских институтов, неправительственных организаций и даже представителей правительства США. Ответственность за инциденты предположительно лежит на хакерской группировке Cozy Bear (APT29),обвиняемой во взломе серверов Национального комитета Демократической партии США.
После публикации очередной порции документов, похищенных в результате взлома Демпартии США, масштабной DDoS-атаке подвергся ресурс WikiLeaks, обещавший до 8 ноября обнародовать 1 млн документов.
Принадлежащий крупнейшей в Великобритании сети розничной торговли Tesco банк Tesco Bank стал жертвой хакерской атаки. Злоумышленники похитили средства с 20 тыс. счетов клиентов финансовой организации. В ходе атаки хакеры использовали вредоносное ПО Retefe, способное похищать учетные данные.
На прошлой неделе не обошлось без сообщения о новом трояне для Android-устройств. Эксперты «Лаборатории Касперского» обнаружили вредоносное ПО Svpeng, распространяющееся через рекламный сервис Google AdSense. За два месяца жертвами трояна стали примерно 318 тысяч пользователей из России и СНГ.
Команда специалистов из Научно-исследовательского института им. Х. Вайцмана (Израиль) и Университета Далхаузи (Канада) продемонстрировала атаку на устройства из сферы «Интернета вещей» (IoT), в частности, на «умные» системы освещения. В качестве платформы для распространения разработанного ими червя эксперты использовали популярные лампы Philips Hue.

[душман]

«Доктор Веб» обнаружил ботнет, атакующий российские банки

Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков — Росбанк и Росэксимбанк.

Для этого злоумышленники используют трояна BackDoor.IRC.Medusa.1, сообщили в «Доктор Веб».BackDoor.IRC.Medusa.1 — вредоносная программа, относящаяся к категории IRC-ботов. Так называют троянов, которые способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив. Основное предназначение BackDoor.IRC.Medusa.1 заключается в выполнении атак на отказ в обслуживании (DDoS-атак).
Вирусные аналитики «Доктор Веб» предполагают, что именно эта вредоносная программа использовалась в ходе массированных атак на Сбербанк России, о которых сообщалось в последнее время.
BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы. На иллюстрации ниже представлено опубликованное вирусописателями руководство оператора бот-сети, созданной с использованием трояна BackDoor.IRC.Medusa.1, которое содержит перечень поддерживаемых трояном команд.
По данным компании, в настоящее время киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах. Создатели трояна утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20-25 тыс. запросов в секунду с пиковым значением в 30 тыс. В качестве доказательства они приводят график тестовой атаки на http-сервер NGNIX.
На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 г. злоумышленники неоднократно атаковали веб-сайты rosbank.ru (Росбанк), eximbank.ru (Росэксимбанк), а также fr.livraison.lu и en.livraison.lu (сеть ресторанов Livraison) и korytov-photographer.ru (частный веб-сайт).
Сигнатура BackDoor.IRC.Medusa.1 добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации.

[душман]

«Лаборатория Касперского» зафиксировала увеличение числа зловредов в почтовых вложениях

«Лаборатория Касперского» зафиксировала максимальное за последние два года количество спам-сообщений, содержащих вредоносные вложения.

В третьем квартале 2016 г. защитные решения компании отразили свыше 73 млн попыток атак пользователей через вредоносные вложения в письмах, а это не только на 37% больше, чем в предыдущем квартале, но и выше любого показателя с начала 2014 г., сообщили в «Лаборатории Касперского».
Как выяснили эксперты, в большинстве случаев подобные вложения содержали троянские программы, которые загружали в зараженную систему шифровальщиков.
Что касается России, то в третьем квартале она заняла четвертую строчку в рейтинге стран, ставших мишенями вредоносного спама — на ее долю пришлось около 6% нежелательных сообщений с опасными вложениями. В первую же тройку попали Германия (13%), Япония (9%) и Китай (8%).
Всего доля спама в мировом почтовом трафике в конце лета — начале осени составила 59%, то есть шесть из десяти писем, получаемых среднестатистическим пользователем, были нежелательными. В Рунете этот показатель оказался даже немного выше — 62%.
Среди спам-рассылок в третьем квартале часто встречались письма с предложениями бесплатно протестировать какой-нибудь товар, который впоследствии можно оставить себе в постоянное пользование. В основном спамеры предлагали дорогую бытовую технику и электронные устройства, в частности, только что появившийся на рынке iPhone нового поколения.
Товар для тестирования авторы рассылок обещали прислать по почте и под этим предлогом выманивали у пользователей их личные данные, а также просили оплатить небольшие почтовые расходы. Гарантия получения оригинального товара надлежащего качества, да и какого-либо товара вообще, при этом полностью отсутствует, подчеркнули в «Лаборатория Касперского».
Помимо увеличения количества спам-сообщений, компания также зафиксировала рост доли фишинговых атак. В третьем квартале решения компании предотвратили более 37 млн попыток перехода на фишинговые сайты, и это примерно на 5 млн больше, чем в предыдущем квартале, подчеркнули в «Лаборатории Касперского». Главной целью злоумышленников были финансовые организации, в первую очередь, банки — на эту категорию пришлось более четверти (27%) всех атак.
«Тон большинства обнаруженных нами вредоносных спам-писем был нейтральным. Пользователя побуждали открыть вредоносное вложение, маскируя его под счета от различных организаций, квитанции, билеты, сканы документов, голосовые сообщения, уведомления от магазинов и так далее. Некоторые сообщения не содержали текста вообще. Все это соответствует тенденции спама последних лет: пользователя все реже пытаются удивить или запугать, чтобы мотивировать его пройти по вредоносной ссылке или открыть вложение.
Наоборот, спамеры стараются сделать содержимое письма обыденным, не отличающимся от прочей личной корреспонденции, — рассказала Дарья Лосева, руководитель отдела контентных аналитиков «Лаборатории Касперского».
Видимо, расчет делается на то, что значительная часть пользователей освоила азы безопасности в интернете и может отличить реальную угрозу от фальшивой, поэтому вредоносные вложения маскируются под самые нейтральные вещи».

[душман]

Киберполицейские Украины закрыли популярный сайт с пиратским контентом

Сотрудники Департамента киберполиции Национальной полиции Украины изъяли оборудование у владельцев пиратского онлайн-кинотеатра FS, в которую входили сайты FS.TO, BRB.TO, FS.UA и CXZ.TO.

Это привело к прекращению деятельности веб-ресурсов.Как сообщает издание «Контракты.UA», полиция Украины возбудила уголовное производство в отношении FS.TO после обращения ряда правообладателей, в том числе Американской ассоциации кинокомпаний (Motion Picture Association of America).Полиция установила причастность 19 человек,  которые создали и занимались наполнением, администрированием и поддержанием деятельности ресурсов FS. Сотрудники правопорядка Украины провели обыски в офисных помещениях, дата-центрах и домах фигурантов уголовного производства.По данным сервиса Similar Web, FS.TO занимал 28 место в списке самых популярных сайтов Украины.

[душман]

Apple ID — под прицелом мошенников

Компания Eset предупредила о росте активности мошенников, которые специализируются на взломах Apple ID.

Как сообщили в Eset, мошенники рассылают SMS от лица Apple. В сообщениях говорится, что срок действия учетной записи Apple ID истекает, либо что аккаунт временно заблокирован в целях безопасности.
Реже используется текст о находке потерянного iPhone. В любом случае пользователю предлагают перейти по ссылке и ввести логин и пароль от Apple ID, чтобы восстановить доступ к аккаунту.
Поддельная страница ввода Apple ID копирует дизайн настоящей, но распознать подделку можно по URL в адресной строке браузера. На некоторых фишинговых сайтах жертве предлагается не только авторизоваться, но и ввести другую личную информацию, включая данные банковской карты.
Первоначально специалисты Eset обнаружили фишинговые сайты на английском языке. Но сегодня мошенники адаптируют контент и для других аудиторий — есть образцы на китайском и испанском.
В Eset советуют получателям фишинговых SMS игнорировать сообщение и не отвечать злоумышленникам. По возможности стоит пожаловаться на спам оператору сотовой связи. Для защиты аккаунтов, включая Apple ID, рекомендуется подключить двухфакторную аутентификацию.

[душман]

МТС продала 300 тыс. доменных имен

Самой успешной новой доменной зоной российских компаний оказался .gdn (Geo Domain Network), доставшийся группе компаний МТС от поглощенного в 2015 году телематического оператора НИС ГЛОНАСС.

С начала 2016 года в этой зоне было куплено более 300 тыс. адресов, что практически соответствует темпам развития зоны .ru. Эксперты отмечают, что из-за слишком низкой цены домены могут приобретаться для рассылки спама.
О том, что МТС успешно торгует доменами, следует из статистического отчета компании GreenSec GmbH. Домен .gdn был делегирован (включен) в феврале 2015 года. Регистрировать в нем адреса все желающие смогли начать в марте 2016 года. Всего в этой зоне было зарегистрировано порядка 303 тыс. адресов. Максимальная стоимость домена — 600 рублей. Основной регистратор — Alpnames (принадлежит гибралтарской компании AlpNames Limited), он продал порядка 277 тыс. адресов.
Такой объем объясняется тем, что Alpnames продает домены по 50 рублей на первый год, а вот продление стоит уже 600 рублей за год. Основными покупателями доменов являются иностранцы, так как крупнейшие российские регистраторы, такие как Reg.ru и RuCenter, не продают адреса в этих доменных зонах.
В мировом рейтинге доменная зона .gdn заняла 14-е место c 303 тыс.; 93-е место с 22,7 тыс. доменов у зоны .moscow, 103-е место с 19,3 тыс. адресов у домена .москва; 146-е место с 12,7 тыс. доменов у зоны .рус. Для сравнения: с начала года в зоне .ru было зарегистрировано 307,5 тыс. доменов (всего их 5,4 млн), в зоне ".рф" — 45,4 тыс. (всего 908 тыс.) и .su — 0,6 тыс. доменов (всего 119 тыс.).
Доменный инвестор и владелец доменной парковки Domain Parking Павел Гросс-Днепров отметил, что такое количество доменов — это очень хороший результат продаж.
Если у них домены на протяжении долгого времени продавались по 0,6 цента, как указано на сайте регистратора Alpnames, то основными покупателями могут стать те, кто недобросовестно использует домены, например для распространения спама, вирусных ботов и так далее, — говорит Гросс-Днепров. Дешевые домены для таких пользователей в самый раз. Не похожи эти домены на те, которые нужны бизнесу.
Я понимаю .auto или .doctor, но непонятно для чего пригодятся .gdn.Глава доменного регистратора Домены.рус и владелец доменной зоны ".рус" Сергей Шариков отметил, что российским регистраторам эта зона неинтересна, и предположил, что адреса покупают спамеры.
Им нужны домены, но платить за них много они не хотят, потому они ищут самые дешевые. Домен им нужен не более чем на год, — отметил Шариков.
Официальный представитель МТС Дмитрий Солодовников рассказал, что принадлежащий им домен "надежно защищен аппаратно-программными средствами от активности зловредов".
Тем не менее опасное содержимое на сайтах, располагающихся на домене .gdn, антивирусные эксперты находили.
Мы встречали в этой доменной зоне вредоносные домены, в частности домены, содержащие эксплойты (вирусы) и участвующие в drive-by атаках (то есть закачивающие вирусы на компьютер пользователя без его ведома), — заявили в "Лаборатории Касперского".
В 2011 году международная некоммерческая организация ICANN (занимается регулированием адресного пространства Сети) приняла решение увеличить количество доменов в интернете и запустила программу New gTLD (новых доменных имен верхнего уровня). В традиционных зонах — .com, .net, .ru и пр. — осталось не так много незанятых коротких и осмысленных названий. ICANN открыла прием заявок от организаций, желающих стать администраторами новых доменов. Стоимость заявки — около $185 тыс. В итоге ICANN получила 1,9 тыс. заявок на 1,4 тыс. доменов.

[душман]

В Firefox 50 исправлены 2 критические уязвимости

Компания Mozilla представила обновление Firefox 50, устраняющее серию уязвимостей, в том числе 2 критические и 12 опасных.

Критические проблемы (CVE-2016-5290 и CVE-2016-5289) вызваны серией ошибок памяти и могут быть проэксплуатированы с целью выполнения произвольного кода, отмечается в предупреждении компании.
Критической также была признана уязвимость переполнения буфера (CVE-2016-5296) в библиотеке Cairo. Ошибка существует из-за некорректной обработки SVG-контента и может вызвать отказ в обслуживании.
В числе прочих компания исправила проблему (CVE-2016-9075), позволяющую вредоносному расширению повысить привилегии и установить дополнительное расширение без согласия пользователя. Также была устранена уязвимость (CVE-2016-9064), проэксплуатировав которую злоумышленник мог осуществить атаку «человек посередине», обойти систему защиты Firefox и установить вредоносное обновление.
Кроме того, разработчики исправили ряд проблем, которые могли привести к отказам в обслуживании.

[душман]

Хакеры взломали сайт Канадских вооруженных сил

Как сообщают канадские СМИ со ссылкой на представителей Министерства национальной обороны Канады, неизвестные взломали один из сайтов Канадских вооруженных сил.

Речь идет о рекрутинговом ресурсе www.forces.ca, отдельном от главного сайта forces.gc.ca и занимающемся вербованием новобранцев.
Первые сообщения о недоступности сайта стали появляться во второй половине дня 17 ноября. При попытке зайти на англоязычную версию ресурса пользователи перенаправлялись на портал правительства КНР. Работа сайта была восстановлена, однако на момент написания новости www.forces.ca был недоступен.
По словам представителей Министерства национальной обороны Канады, пока еще рано говорить о том, кто стоит за атакой и какими мотивами руководствовались злоумышленники. Произошла ли утечка персональных данных служащих Канадских вооруженных сил, пока неизвестно. Как сообщил министр обороны Ральф Гудэйл, любой взлом компьютерных систем представляет угрозу хранящейся на них информации, однако в настоящий момент еще рано говорить об утечке.

[душман]

Взломана база данных крупнейшего британского сотового оператора

Крупнейший оператор сотовой связи в Великобритании Three UK сообщил о несанкционированном проникновении в базу данных клиентов, которые могли получить новые телефоны по программе обмена.

Предположительно, в результате хакерской атаки могли быть украдены персональные данные порядка 6 млн клиентов.Согласно заявлению представителей компании, скомпрометированная информация включает имена, номера телефонов, адреса и даты рождения. Получить доступ к данным о платежах, банковских счетах или номерах кредитных карт хакерам не удалось.
По сведениям Three UK, злоумышленники смогли проникнуть в клиентскую базу данных при помощи логина и пароля одного из сотрудников компании.
Британские правоохранители уже задержали троих подозреваемых в хищении базы данных. Ими оказались уроженцы графства Кент и города Манчестера в возрасте от 30 до 50 лет.
Напомним, в июне прошлого года исследователь Джозеф Редферн сообщил о связанной с конфиденциальностью персональных данных проблеме на сайте Three UK, которая могла стать причиной рассекречивания имен и электронных адресов пользователей в ходе online-опросов.

[душман]

Зафиксирована новая волна атак с использованием «клона» CryptoLocker

Исследователи Microsoft обнаружили новую волну спам-писем, распространяющих загрузчик вымогательского ПО PClock (детектируется продуктами Microsoft как WinPlock).

Вредонос является «клоном» известного шифровальщика CryptoLocker, а его активность была впервые зафиксирована в январе прошлого года.
ИБ-эксперт Фабиан Восар разработал декриптор для зашифрованных PClock файлов, но в мае 2015 года авторы вымогателя выпустили новую версию. С тех пор число атак с использованием PClock пошло на убыль, однако недавно эксперты обнаружили новую волну спам-писем, распространяющих вредонос.
Злоумышленники маскируют вредоносные письма под факсимильные сообщения. В теме письма указано «PLEASE READ YOUR FAX T6931» («Пожалуйста, прочтите ваш факс»). Несмотря на весьма непримечательный заголовок, вложенный в письмо документ под названием «Criminal case against you» («Уголовное дело против вас») не оставляет пользователей равнодушными.
RAR-архив содержит WSF-файл, после выполнения которого функция JScript инициирует ряд операций. В частности, загружается дроппер Crimace, в свою очередь загружающий на компьютер жертвы PClock.

[душман]

Обзор инцидентов безопасности за прошлую неделю

Прошедшая неделя запомнилась масштабной утечкой данных пользователей сайта «для взрослых», бэкдором в Android-устройствах, уязвимостью в iOS, позволяющей обойти экран блокировки, и пр. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 13 по 20 ноября 2016 года.
В начале прошлой недели хакеры взломали свыше 412 млн учетных записей пользователей развлекательной сети FriendFinder Networks. В частности, хакеры скомпрометировали данные 339 774 493 посетителей сайта для супружеских измен и обмена партнерами Adult Friend Finder, 62 668 630 учетных записей сервиса видео-чатов Cams.com, 7 176 877 аккаунтов пользователей журнала Penthouse и более 2,5 млн учетных записей пользователей Stripshow.com и iCams.com.
Жертвой утечки данных также могли стать порядка 6 млн клиентов крупнейшего в Великобритании оператора сотовой связи Three UK. Скомпрометированная информация включает имена, номера телефонов, адреса и даты рождения. Получить доступ к данным о платежах, банковских счетах или номерах кредитных карт хакерам не удалось.
На прошлой неделе дал о себе знать хакер, известный под псевдонимом Kapustkiy. Последними жертвами хакера стали Виргинский и Висконсинский университеты. Kapustkiy взломал по два поддомена каждого университета и выложил данные на Pastebin. Кроме того, хакер скомпрометировал посольство Индии в Нью-Йорке и опубликовал похищенную информацию в открытом доступе. На днях Kapustkiy также взломал сайт правительства Италии и похитил базу данных, содержащую информацию 45 тыс. пользователей.
От рук неизвестных хакеров пострадал рекрутинговый сайт Канадских вооруженных сил. При попытке зайти на англоязычную версию ресурса пользователи перенаправлялись на портал правительства КНР. Произошла ли утечка данных служащих Канадских вооруженных сил, пока неизвестно.
Хакерская группировка OurMine, позиционирующая себя как ИБ-компанию, второй раз за полгода атаковала учетную запись Марка Цукерберга на сайте Pinterest. Злоумышленники изменили описание профиля пользователя, опубликовав сообщение: «Не беспокойтесь, мы просто тестируем вашу безопасность» и ссылку на свой сайт.
Большой резонанс на прошлой неделе получило сообщение о наличии бэкдора в недорогих китайских Android-смартфонах. Бэкдор активно собирает и передает на сервер в Китае такую информацию, как текстовые сообщения, списки контактов, история звонков с телефонными номерами, а также идентификаторы IMSI и IMEI. Проблема затрагивает модели дешевых Android-устройств торговой марки BLU Products, поставляемых с прошивкой производства китайской компании Shanghai AdUps Technologies.
Помимо Android-смартфонов, «отличились» и iPhone. Как оказалось, уязвимость в iOS позволяет с помощью Siri просматривать фотографии и читать сообщения в обход экрана блокировки. Проблема затрагивает iOS 8 и более поздние версии, в том числе 10.2 beta 3.
Эксперты компании «Доктор Веб» сообщили о двух троянах, атакующих российские компании. По словам исследователей, BackDoor.IRC.Medusa.1 использовался в недавних DDoS-атаках на ряд российских банков. Второй троян, BackDoor.Crane.1, применялся злоумышленниками для похищения конфиденциальной информации, принадлежащей отечественным производителям грузоподъемных кранов.

[душман]

Сбербанк сможет отключать зарубежные домены

Дочернее предприятие Сбербанка ООО «Безопасная информационная зона» (ООО «Бизон») сможет блокировать международные (.com, .net, .org, .biz, .name) и страновые (.us, .de, .cz, .dk и т.д.) домены если выяснится, что через определенные сайты осуществляется кража финансовых средств, паролей и иной персональной информации пользователей.

«Бизон» и ряд международных организаций, имеющих возможность оперативно блокировать интернет-адреса, уже проводят подготовку к подписанию соответствующих соглашений. Об этом сообщают «Известия» со ссылкой на руководителя компании «Бизон» Дмитрия Самарцева.
По его словам, крупные финорганизации чаще могут договориться с местными регистраторами о блокировке доменов, использующихся для различной незаконной деятельности. К примеру, в октябре нынешнего года «Бизон» подписал с Координационным центром национального домена сети интернет (администратор доменных зон .ru и .рф.) договор, предоставляющий организации статус «компетентной».
Данный статус позволяет организации отправлять всем аккредитованным регистраторам просьбу выключить домен, если сайт используется для фишинга или распространения вирусов.
Дмитрий Самарцев также посетовал на невозможность подписать тысячи документов с каждым администратором доменной зоны. По его словам, в случае, если администратор зоны отказывается от сотрудничества и не имеет намерения разделегировать домен, компания начинает работать с международной некоммерческой организацией ICANN, хотя процесс может занимать от месяца до года.
В «Бизоне» не уточнили названия организаций, с которыми планируется подписать соглашения.
ICANN - Корпорация по управлению доменными именами и IP-адресами, которая регулирует вопросы, связанные с доменными именами, IP-адресами и прочими аспектами функционирования всего интернета.

[душман]

Роскомнадзор обнаружил сайты, саботирующие работу Деда Мороза

Роскомнадзор предупредил о сайтах, устраивающих «саботаж всей работе Деда Мороза».

По данным регулятора, в Сети функционируют 55 сайтов, выкладывающих в открытый доступ персональную информацию детей, пишущих письма сказочному персонажу.
На сайтах без согласия родителей или других законных представителей детей публикуются имена и фамилии, домашние адреса и возраст, и получить доступ к столь конфиденциальной информации может любой желающий.
Как сообщает Роскомнадзор, домены зарегистрированы не только в Российской Федерации, но также в Панаме, Австралии и США.
Согласно заявлению на официальной странице Роскомнадзора в соцсети «ВКонтакте», по всем выявленным фактам нарушений будут приняты соответствующие меры реагирования, включая обращение в суд.
Напомним, в сентябре текущего года Роскомнадзор провел встречу с представителями норвежской компании Opera Software. Стороны обсуждали возможность реализации в браузере функции фильтрации контента и блокировки доступа к сайтам, запрещенным в России.

[душман]

ЦБ РФ предупредил об угрозе усиления кибератак на российские банки

Банк России предупредил о возможном усилении хакерских атак на банки РФ в декабре нынешнего года.

Сообщает на пресс-служба регулятора. Как отмечается в заявлении Центробанка, в преддверии праздников число хакерских атак с целью хищения средств имеет тенденцию увеличиваться. В этой связи существует вероятность усиления различного рода атак (включая информационные рассылки, публикации негативного и провокационного характера в социальных сетях, DDoS-атаки, рассылки вредоносного ПО и пр.) в течение декабря 2016 года.Напомним, в начале ноября текущего года Банк России зафиксировал волну DDoS-атак на ряд крупных банков, в том числе Сбербанк, Альфа-банк, Банк Москвы (структура ВТБ). Предположительно, в случае атак на Сбербанк злоумышленники использовали ботнеты из десятков тысяч инфицированных устройств, находящихся в ряде стран мира.Ранее Центробанк России совместно со Следственным комитетом, ФСБ и МВД разработал для банков инструкцию, регламентирующую порядок сбора доказательств при расследовании инцидентов, связанных с хищением средств, и атак на серверы финансовых учреждений.

[душман]

ESET поможет жертвам вымогателя Crysis

ESET объявил о выпуске бесплатной программы для восстановления файлов, зашифрованных трояном-шифратором Crysis.

Утилиту можно скачать на сайте компании.Как рассказали в компании, специалисты ESET отметили рост активности Crysis в мае 2016 г., после закрытия проекта его основного «конкурента» – TeslaCrypt.14 ноября 2016 г. на сайте BleepingComputer.com были опубликованы мастер-ключи для расшифровки Crysis. Тем не менее, позднейшие версии Crysis могут использовать другие ключи, пока не поддающиеся расшифровке.Для профилактики заражения шифраторами ESET рекомендует игнорировать спам-рассылки и защитить компьютер современным антивирусным ПО.В новом поколении антивирусных продуктов ESET NOD32 реализована новая функция «Защита от программ-вымогателей».