"Мир интернета"

[душман]

Турецкие хакеры взломали сайт Экономбанка

Группа турецких хакеров, известная в Сети как WKPF, взломала и осуществила дефейс официального сайта саратовского «Экономбанка».

На главной странице ресурса злоумышленники разместили сообщение с текстом: «Мы турецкие хакеры! Худший кошмар для русских». Предположительно, группировка состоит из четырех человек, выступающих под псевдонимами Whiteweasel, Krypton, the The PahtRoN и Fresh.
Как рассказал один из представителей группировки журналистам интернет-ресурса HackRead, хакерам удалось похитить внушительную базу данных клиентов банка. По словам злоумышленников база включает миллионы записей, в том числе банковскую информацию, данные удостоверений личности и водительских прав.
На просьбу репортеров предоставить подтверждающие скриншоты хакеры не отреагировали.
Напомним, в минувшее воскресенье, 17 января, турецкая группировка Bortecine Siber Tim осуществила дефейс официального сайта посольства РФ в Израиле. Перед этим злоумышленники взломали учетную запись министра связи и массовых коммуникаций России Николая Никифорова в Instagram.

[душман]

Хакеры похитили средства со счетов Русского Международного Банка

Злоумышленники продолжают атаковать российские кредитные организации.

Вслед за саратовским «Экономбанком» в четверг, 21 января, жертвой хакеров стал Русский Международный Банк. В результате инцидента руководство финорганизации обратилось к Центробанку с просьбой отключить ее от системы электронных платежей Банка России (БЭСП).
Как сообщает портал Банки.ру со ссылкой на президента кредитной организации Григория Афанасьева, преступники произвели несколько тысяч списаний денежных средств с корреспондентских счетов банка в адрес примерно 60 других финорганизаций. Затем деньги были перечислены физическим лицам. Размер похищенной суммы не уточняется.
«Когда мы получили первую выписку из ЦБ в 10 часов утра, то увидели нехарактерную активность по нашим счетам. Мы обратились к руководству Центрального банка с просьбой заблокировать наш корсчет и отключить нас от БЭСП. То есть отключение банка от системы электронных платежей было произведено по нашей инициативе», - сообщил Афанасьев.
Русский Международный Банк попросил ЦБ проводить платежи через электронные носители. По словам главы кредитной организации, все операции, в том числе межбанковские и через Московскую биржу, будут исполнены через корсчета в других банках. Операции по пластиковым картам проводятся в обычном режиме. В настоящее время правоохранительные органы проводят расследование инцидента.
Напомним, на текущей неделе турецкие хакеры атаковали официальный сайт «Экономбанка».

[душман]

Число доменов в мире превысило 311 млн

Ассоциация CENTR, объединяющая европейские регистратуры национальных доменов, представила данные своего отчета за четвертый квартал 2015 г.

Согласно документу, по состоянию на 31 декабря 2015 г. в мире было зарегистрировано 311,5 млн доменов. 158,7 млн из них приходятся на долю так называемых «старых» доменов, где безусловным лидером остается домен .COM. Соответственно, 140,1 млн — доля национальных доменных зон, 10,9 млн имен зарегистрированы в новых общих доменах верхнего уровня и еще 1,6 млн — это число интернационализированных доменов в национальных зонах, сообщили в «Координационном центре национального домена сети интернет».
Как отмечается, лидерами роста среди национальных европейских доменов в четвертом квартале прошлого года стали домены Эстонии .EE и Черногории .ME, прибавившие за последние 3 месяца прошлого года 21% и 19% соответственно. На третьем месте оказался национальный домен Армении .AM — 18% роста. Среди «старых» доменов .COM показал уровень роста в 3,2%, лидером же стал домен .BIZ — 11,1%.
Наиболее внушительные показатели роста достигнуты в новых доменах, что, по словам представителей «Координационного центра», легко объясняется именно их «молодостью». Так, в лидирующих по числу регистраций среди новых доменных зон доменах .XYZ и .TOP рост составил 77%.

[душман]

Новый вариант червя TheMoon атакует посетителей сайтов знакомств

Посетители по крайней мере пяти сайтов знакомств подверглись атаке, в ходе которой злоумышленники распространяют вариант червя TheMoon.

Вредонос инфицирует маршрутизатор, после чего зараженное устройство становится частью ботнета, сообщают эксперты компании Damballa. Как удалось выяснить специалистам, владельцем всех пяти ресурсов является один и тот же человек.
О черве TheMoon стало известно в феврале 2014 года. Вредоносное ПО проникает сквозь защиту путем эксплуатации уязвимостей в протоколе HNAP (Home Network Administration Protocol). Главной особенностью червя является его способность самостоятельно распространяться.
По всей вероятности, злоумышленники заманивают жертв при помощи проверенных методов: фишинга, набора эксплоитов или вредоносной рекламы. На каждом вредоносном сайте инфицирование проходит в два этапа. Заражение начинается с вредоносного «плавающего фрейма», внедренного в web-страницу.
На первом этапе фрейм вызывает различные URL-ссылки с целью определить, использует ли маршрутизатор протокол HNAP. Затем фрейм выясняет наличие IP-адресов 192.168.0.1 и 192.168.1.1 для управления маршрутизатором и в качестве шлюзов.
На втором этапе фрейм загружает вторую URL-ссылку и самого червя. Жертвы атаки не могут использовать некоторые входящие порты маршрутизатора, а через исходящие порты осуществляется инфицирование других устройств.
На момент обнаружения оригинальной версии TheMoon исследователи не смогли определить наличие связи с каким-либо C&C-сервером, хотя в исходном коде вредоноса присутствовал соответствующий функционал. По состоянию на конец 2015 года C&C-инфраструктура также не была выявлена. Как считают эксперты Damballa, разрастающийся ботнет находится на ранней стадии или проходит тестирование.

[душман]

Электрическая сеть Израиля подверглась масштабной кибератаке

Электрическая сеть Израиля подверглась серьезной хакерской атаке. Об этом во вторник, 26 января, заявил министр энергетики Израиля Юваль Штайниц.

По словам Штайница, после обнаружения вредоносного ПО власти отключили большой сегмент внутренней сети энергокомпаний. На компьютеры было установлено необходимое антивирусное ПО. В настоящее время ситуация находится под контролем.
Об атаке стало известно в понедельник, 25 января, когда из-за морозов в Иерусалиме наблюдалось рекордное потребление электроэнергии. По словам Штайница, энергокомпании Израиля еще никогда не сталкивались с настолько серьезной угрозой. Для возобновления контроля над ситуацией властям пришлось отключить несколько сегментов энергосети. Подробности об атаке в настоящее время не разглашаются.
Напомним, в декабре 2015 года похожий инцидент произошел в Украине. Хакеры осуществили кибератаку на одну из энергокомпаний, приведя к отключению электричества у порядка 80 тысяч украинцев. В ходе атаки использовалось вредоносное ПО BlackEnergy.

[душман]

В браузере Apple Safari произошел глобальный сбой

Пользователи со всего мира пожаловались на проблемы в браузере Apple Safari, сообщает The Verge.

При попытке ввести слово для поиска в адресную строку программа как на мобильной iOS, так и на десктопной OS X перестает работать и закрывается.
Первые жалобы появились 27 января. На форуме Reddit можно найти сотни комментариев юзеров, столкнувшихся с подобной проблемой. Однако, как уточняет портал, багу подвержены не все пользователи Safari.
По словам iOS-разработчика Стивена Трутона-Смита, неисправность связана с функцией, которая предлагает слова для поиска. Она установлена по умолчанию. Если отключить эту опцию в настройках, то проблема устраняется. Также помогает включение режима скрытной связи. Пока Apple не прокомментировала неполадки.
Последняя неисправность в софте Apple была обнаружена в ноябре и затронула пользователей Mac. Ошибка была вызвана просроченным сертификатом безопасности, который использовался компанией для верификации приложений. Для устранения бага некоторым пользователям пришлось переустановить программное обеспечение с App Store.

[душман]

В Mozilla Firefox исправлено 17 опасных уязвимостей

Компания Mozilla выпустила обновленную версию браузера Mozilla Firefox 44, где было устранено 17 уязвимостей.

Наиболее опасные ошибки позволяли скомпрометировать систему, осуществить спуфинг-атаку и перехватить данные в ходе атаки «человек посередине».
В новой версии браузера было устранено четыре уязвимости, позволяющие скомпрометировать систему. Две ошибки (CVE-2016-1930 и CVE-2016-1931) позволяли выполнить произвольный код, когда пользователь запускал специально сформированный контент. Еще одна уязвимость (CVE-2016-1932) позволяла скомпрометировать систему при запуске специально сформированной GIF-анимации. Последняя ошибка существовала из-за ошибки переполнения буфера в функции BufferSubData и позволяла выполнить произвольный код при обработке WebGL-контента.
Несколько уязвимостей существовали из-за некорректной обработки файлов cookie. К примеру, вставив вертикальный разделитель в одно из значений файла, удаленный злоумышленник мог вызвать ошибку обработки и раскрыть данные жертвы. Уязвимость получила идентификатор CVE-2016-1937.
Ряд ошибок позволял осуществить спуфинг-атаку через адресную строку браузера. Данные уязвимости в основном затрагивают версию Firefox для Android. Лишь одна ошибка (CVE-2016-1943) актуальна для версии браузера для настольных платформ.
Отдельно стоит отметить уязвимость CVE-2016-1948. Ошибка существует из-за использования незашифрованного протокола HTTP для загрузки тем оформления браузера. Удаленный злоумышленник с возможностью осуществления атаки «человек посередине» может перехватить содержимое пакетов и изменить данные.

[душман]

СБУ изъяла серверы у IT-компании в связи с расследованием деятельности хакеров

Служба безопасности Украины (СБУ) изъяла серверное оборудование с техплощадки украинского провайдера «Адамант» в рамках пресечения деятельности международной хакерской группировки.

На минувших выходных сотрудники ведомства проводили обыски и вели постоянное наблюдение за киевским офисом интернет-компании.
Как сообщила пресс-секретарь СБУ Елена Гитлянская на странице в Facebook, один из участников группировки разместил серверное оборудование на технической площадке «Адаманта». Указанный фигурант дела является гражданином Украины и в настоящее время находится в международном розыске. Злоумышленники использовали серверы для хищения средств со счетов зарубежных финансовых учреждений, распространяли вредоносное ПО и осуществляли прочую незаконную деятельность.
«Для проведения экспертного исследования, документирования преступления и выполнения ходатайства иностранных правоохранительных органов об оказании правовой помощи в уголовном судопроизводстве серверное оборудование изъято с технической площадки провайдера. Продолжаются следственные действия», - отметила Гитлянская.
Как заявил накануне президент группы компаний «Адамант», вице-президент комиссии Украинского союза промышленников и предпринимателей (УСПП) по вопросам науки и информационных технологий Иван Петухов, 19 января текущего года двадцать сотрудников СБУ вместе с бойцами спецподразделения «Альфа» прибыли в киевский офис компании. По словам службы охраны провайдера, сотрудники ведомства попытались провести быстрый штурм, опечатать офис и вынести все серверы.
Как заявил Петухов в интервью изданию Internet.UA, обыск проводился с нарушением уголовно-процессуального кодекса Украины.
СБУ действовала исключительно в правовом поле, поэтому ведомству непонятны обвинения руководства компании в адрес Службы, в свою очередь подчеркнула Гитлянская.

[душман]

Найден нецензурный домен для перехода на сайт Минкульта

Пользователи сети нашли нецензурный домен в зоне .рф, перенаправляющий посетителей на сайт Минкультуры.

Название домена служит отсылкой к известному анекдоту про звонок в прачечную. В нем человек, ошибшийся номером, спрашивает: «Это прачечная?», а в ответ слышит нецензурную брань, рифмующуюся со словом «прачечная», и уточнение, что его соединили с министерством культуры.
Согласно данным сервиса WHOIS, неизвестный приобрел шуточный домен в декабре 2015 года и установил автоматическое перенаправление на сайт Минкульта. Хостингом домена занимается дата-центр, расположенный в Праге.
Это уже не первый случай обнаружения в сети шуточных доменов, по которым можно перейти на сайт министерства. По данным РИА Новости, в 2014 году неизвестные зарегистрировали сайт «этопрачечная.рф», также отсылающий к анекдоту про ошибочный телефонный звонок. Представитель министерства тогда поблагодарил авторов шутки за привлечение внимания людей к культуре.
В июне 2015 года доменное имя сайта о видеоиграх, кино и высоких технологиях Games-TV.ru оказалось под контролем так называемых «православных киберсквоттеров». При попытке войти на сайт, посетителей автоматически перенаправляло на сайт rpc.ru. Этот домен не принадлежит Русской православной церкви и контролируется неизвестным лицом.

[душман]

Эксперты сообщили о новой тактике распространения трояна Black Energy

Хакерская группировка, стоящая за Black Energy, сменила тактику и начала распространять данный троян через письма с вредоносным вложением в виде документа Microsoft Word.

Специалисты глобального исследовательского центра «Лаборатории Касперского» (GReAT) обнаружили вредоносный документ Word, распространявшийся в рамках текущей атаки на критические объекты Украины.
Предположительно, русскоязычная группировка Black Energy является организатором кибератак на энергетические компании Украины, осуществленные в декабре прошлого года. По мнению экспертов, в данном случае целью злоумышленников являлся популярный украинский телеканал «СТБ».
С середины 2015 года Black Energy в основном распространялся через документы Microsoft Excel и PowerPoint. Теперь злоумышленники решили опробовать новый вектор атаки. Как показал анализ, при открытии вредоносного Word-документа на экране отображается рекомендация включить макросы. Следование данной подсказке приведет к запуску скрипта, инициирующего загрузку Black Energy.
Согласно отчету компании SentinelOne, атаки Black Energy – работа инсайдеров. По данным специалистов, вариант Black Energy 3 эксплуатирует уязвимость в Office 2013, позволяющую удаленно выполнить произвольный код. Данная проблема была устранена некоторое время назад. Атака будет успешной только в случае, если на целевом компьютере установлена неисправленная версия ПО или сотрудник преднамеренно (или случайно) откроет инфицированный Excel-документ.
По мнению экспертов, данная модификация трояна уже присутствует на системах промышленного управления по всей Украине. В дальнейшем вредоносное ПО может использоваться для осуществления атак на объекты критической инфраструктуры, системы управления транспортом и организации здравоохранения.

[душман]

Число уязвимостей в Windows выросло в четыре раза

Международная антивирусная компания Eset представила ежегодный отчет о кибератаках на программные продукты Microsoft Windows.

Как сообщили в Eset, эксперты отмечают четырехкратный рост числа уязвимостей в различных компонентах пользовательского режима ОС Windows в 2015 г. Эти уязвимости могут быть использованы для удаленного исполнения вредоносного кода на зараженном ПК или для получения атакующими максимальных привилегий в системе.
Второй год подряд большинство уязвимостей программных продуктов Microsoft приходится на Internet Explorer — 231 в 2015 г. Тем не менее, их число незначительно снизилось в сравнении с 2014 г. (243). Закрытые уязвимости браузера могли использоваться злоумышленниками для скрытой установки вредоносного ПО на зараженные устройства.
В новом браузере Microsoft Edge, представленном в 2015 г., в отчетный период закрыто 27 уязвимостей. Продукт использует усиленные настройки безопасности, которые по умолчанию выключены в Internet Explorer 11.
Некоторые уязвимости программных продуктов Microsoft эксплуатировались в атаках. В частности, уязвимость диспетчера монтирования дисков CVE-2015-1769 позволяла запускать произвольный код с USB-носителя с максимальными привилегиями. Она напоминает уязвимость, которая ранее использовалась для распространения червя Stuxnet, отметили в Eset.
Уязвимость системного драйвера http.sys CVE-2015-1635 позволяла удаленно исполнить код, проводить DDoS-атаки или вызвать критическую системную ошибку Windows (BSoD).
В целом в 2015 г. Microsoft закрыла 571 уязвимость в своих продуктах, что на треть больше, чем в 2014 г.

[душман]

Oracle исправила восемь уязвимостей в Java

Компания Oracle выпустила исправление безопасности для Java, устраняющее восемь уязвимостей в популярном ПО.

Большинство ошибок могли быть проэксплуатированы удаленно.Подробная информация о методах эксплуатации обнаруженных уязвимостей недоступна – специалисты Oracle опубликовали лишь краткие сведения об ошибках. Судя по имеющимся данным, как минимум три уязвимости (CVE-2015-8126, CVE-2016-0483 и CVE-2016-0494) позволяли скомпрометировать систему. Проблемы существовали из-за ошибок в компонентах 2D и AWT.
Остальные уязвимости позволяли обойти ограничения безопасности и раскрыть важные данные, а также осуществить DoS-атаку. Две из пяти ошибок достаточно сложны в эксплуатации – для успешного осуществления атаки злоумышленнику необходимо выполнить определенные условия.
Уязвимости затрагивают Java SE 6u105, 7u91, 8u66 и предыдущие версии. Ошибки устранены в последнем исправлении безопасности.
Пользователям рекомендуется как можно скорее установить обновление. Поскольку на компьютере может остаться параллельно установленная устаревшая версия Java, разработчики также советуют проверить список установленных программ.
Напомним, 19 января нынешнего года Oracle выпустила ежеквартальный бюллетень безопасности. В продуктах компании было исправлено 238 уязвимостей.

[душман]

Перенаправляющий на сайт Минкульта нецензурный домен внесут в стоп-лист

Координационный центр национального домена сети интернет (КЦ) внесет в стоп-лист нецензурный домен, который перенаправляет посетителей на сайт Минкультуры.

Как сообщила руководитель информационной службы центра Ольга Александрова-Мясина, его название нарушает правила регистрации доменов в зоне .рф.
«Стоп-лист поддерживается Координационным центром, и в него вносятся обозначения, которые не допускаются к регистрации в качестве доменных имен, — слова непристойного содержания, призывы антигуманного характера, оскорбляющие человеческое достоинство либо религиозные чувства, и так далее», — пояснила представитель организации.
После внесения недобросовестных названий в специальный список их повторная регистрация станет невозможной. До этого нецензурный домен, перенаправляющий на сайт министерства культуры, не значился в стоп-листе. Представитель центра также добавила, что КЦ не занимается аннулированием доменов — это делает обслуживающий его регистратор.
29 января пользователи в сети обнаружили нецензурный домен, перенаправляющий посетителей на официальный сайт ведомства. Его название служит отсылкой к известному анекдоту про звонок в прачечную. В нем человек, ошибшийся номером, спрашивает: «Это прачечная?», а в ответ слышит нецензурную брань, рифмующуюся со словом «прачечная», и уточнение, что его соединили с министерством культуры.
Согласно данным сервиса WHOIS, неизвестный приобрел шуточный домен в декабре 2015 года и установил автоматическое перенаправление на сайт Минкульта. Хостингом домена занимается дата-центр, расположенный в Праге.

[душман]

Десятки игр в Google Play инфицированы Android-трояном Xiny

Исследователи компании «Доктор Веб» обнаружили в каталоге магазина приложений Google Play десятки игр, инфицированных трояном Xiny.

Основным предназначением данного вредоноса является загрузка, установка и запуск программ по команде злоумышленников. Также Xiny способен показывать навязчивую рекламу.
Как отмечают эксперты, троян содержится в более чем 60 играх, размещенных от имени различных разработчиков, в том числе Conexagon Studio, Fun Color Games, BILLAPPS и пр. Компания Google уже уведомлена об инциденте.
Главная опасность трояна заключается в способности загружать и динамически запускать произвольные apk-файлы по команде злоумышленников. Специалисты отмечают довольно интересный способ реализации данной функции.
С целью маскировки вирусописатели прячут вредоносное ПО в специально созданных изображениях, фактически применяя метод стеганографии. В отличие от криптографии, когда исходная информация шифруется, а сам по себе факт шифрования может вызвать подозрение, стеганография позволяет скрывать те или иные данные незаметно.
Получив от C&C-сервера нужное изображение, троян при помощи специального алгоритма извлекает и выполняет apk-файл.
Xiny передает на сервер злоумышленников данные об IMEI-идентификаторе и MAC-адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти и пр.
В числе других функций вредоноса присутствует возможность загружать и предлагать владельцу инфицированного устройства установить различное ПО. При наличии доступа с правами суперпользователя на системе Xiny может инсталлировать и удалять приложения без ведома владельца гаджета.Также вредонос способен показывать всевозможную навязчивую рекламу.

[душман]

Сайт американского профсоюза сотрудников полиции подвергся взлому

Неизвестные злоумышленники взломали ресурсы крупнейшего в США профсоюза сотрудников правоохранительных органов «Братский орден полицейских» (Fraternal Order of Police, FOP) и разместили в Сети базу данных организации.

Об этом сообщается на сайте исследователя безопасности Томаса Уайта, также известного как CthulhuSec.
В открытом доступе оказались несколько сотен полицейских контрактов и тысячи сообщений с закрытого форума для сотрудников правоохранительных органов. Хакеры также похитили резервные копии форума и основного сайта FOP. Общий размер информации составляет порядка 2,5 гигабайт.
По словам CthulhuSec, ИБ-специалист получил данные от анонимного источника. Утекшие файлы не содержат компрометирующей полицейских информации.
В настоящее время сайт FOP отключен для проведения технического обслуживания. По словам президента профсоюза Чака Кантербери, ФБР расследует инцидент.
CthulhuSec предложил сотрудникам правоохранительных органов «цивилизованно обсудить сложившуюся ситуацию». В распоряжении эксперта якобы находится 18 терабайт конфиденциальной информации. Если специалист будет задержан, данные будут немедленно опубликованы в открытом доступе.

[душман]

Группировка Anonsec взломала внутренние сети NASA

Хакеры из группировки Anonsec взломали внутренние сети американского космического агентства NASA и похитили 250 ГБ данных о сотрудниках, полетах и миссиях организации.

Злоумышленники также предположительно получили контроль над одним из дронов агентства.Похищенные данные включают имена, номера телефонов и адреса электронной почты 2414 сотрудников NASA, а также информацию о более чем 2 тысячах полетов.
Хакеры также получили доступ к 600 видеозаписям агентства.Подробную информацию о взломе злоумышленники разместили на сайте Pastebin. Участники группировки предположительно приобрели данные для доступа к одному из компьютеров агентства. В руках взломщиков оказались логин и пароль от пользовательской учетной записи.
Некоторые из компьютеров NASA работали под управлением устаревших версий Debian, подверженных нескольким уязвимостям. Взломщики смогли получить доступ к уязвимым ПК и просканировали сеть на предмет учетных записей с логином и паролем «root». Меньше чем за секунду злоумышленники смогли войти в одну из записей и создать сетевую карту IT-инфраструктуры NASA.
Используя полученные данные, участники группировки получили доступ к нескольким исследовательским центрам космического агентства, включая Исследовательский центр имени Джона Гленна, Центр космических полетов Годдарда и Летно-исследовательский центр имени Армстронга.
Злоумышленники также якобы перехватили управление дроном NASA Global Hawk, использующегося для проведения исследований на высоте и длительных полетов. На момент предположительного взлома беспилотник летел над Атлантическим океаном.

[душман]

Правообладатели вознамерились лишить RuTracker.org домена

Правообладатели намерены добиваться блокировки домена RuTracker.org, так как возможность заходить на сайт торрент-трекера у россиян сохранилась даже после его блокировки властями страны.

Об этом рассказал гендиректор Национальной федерации музыкальной индустрии Леонид Агронов.
По его словам, юристы выбирают способ, как это наиболее удобно сделать. «Например, через суд. Выбираем, где дешевле, где быстрее и так далее», — рассказал Агронов.
«Мы увидели, что блокировки работают, хотя и не на 100 процентов. У нас есть информация, что блокировки снимают от 50 до 70 процентов посетителей. Преступная деятельность продолжается», — сказал он, заявив, что не исключает и уголовного преследования владельцев ресурса.
В пресс-службе RuTracker.org заявили, что не видят поводов для разделегирования домена, он зарегистрирован в соответствии с правилами регистратора, информация о владельцах домена прошла проверку и подтверждение.
Вице-президент ICANN Михаил Якушев рассказал, что правовых возможностей блокировать домены у этой организации нет.
«ICANN может лишь "предупредить" соответствующего регистратора (регистратуру) о нарушениях и в крайнем случае лишить их аккредитации. Такое редко (в отношении регистраторов), но происходит, я, правда, ни разу не слышал, чтобы это было связано с вопросами авторских прав», — пояснил он.
Решение о вечной блокировке RuTracker.org вступило в силу 22 января. Ресурс не стал обжаловать вердикт, который был вынесен 4 декабря по иску, поданному «Эксмо» и «СБА Продакшн». Правообладатели жаловались на незаконное распространение книг Виктора Пелевина и композиций рэпера Гуфа.

[душман]

Роскомнадзор подготовит законопроект о блокировке «зеркал» сайтов

Роскомнадзор совместно с Мосгорсудом разработают законопроект, позволяющий приравнять «зеркала» пиратских сайтов к заблокированным ресурсам.

Как сообщает издание «Известия», после вступления документа в силу правообладатели смогут эффективнее блокировать ресурсы, размещающие нелегальный контент - заблокированные в России сайты часто переезжают на другие web-адреса, и правообладателям приходится повторно обращаться в суд.
По словам официального представителя Роскомнадзора Вадима Ампелонского, сообщество правообладателей действительно разрабатывает определение понятия «зеркала» пиратского ресурса. Ведомство направит предложение в один из органов власти, обладающий правом законодательной инициативы.
Как отметил президент кинокомпании «Амедиа» Александр Акопов, определение «зеркала» поможет судам быстрее разбираться с пиратскими ресурсами, меняющими домен после блокировки. По текущей юридической процедуре правообладателям приходится повторно подавать иски и проходить все судебные тяжбы.
Некоторые правообладатели уже пытались бороться с «зеркалами» пиратских сайтов. По словам главы ассоциации «Интернет-видео» Алексея Бырдина, при рассмотрении данных исков судья не смог заблокировать копии ресурсов, поскольку в российском правовом поле понятие «зеркало», «клон» или «копия» сайта не определено.

[душман]

Злоумышленники маскируют письмо-приманку с трояном Bayrob под сообщение от Amazon

Международная антивирусная компания Eset предупредила о росте активности троянской программы Win32/Bayrob.

Как сообщили в Eset, распространение Bayrob осуществляется классическим для этого вида ПО способом — в электронной рассылке.
Письмо-приманка замаскировано под официальное сообщение сервиса Amazon. В приложении к письму содержится ZIP-архив с исполняемым файлом. После запуска вредоносная программа выводит на экран сообщение об ошибке, чтобы убедить пользователя в ее безопасности. На самом деле Bayrob уже действует и используется атакующими в качестве бэкдора.
Как рассказали в Eset, основная цель операторов Bayrob — сбор данных для получения финансовой выгоды: сведений о банковских картах, паролей и логинов от онлайн-банкинга. Чтобы получить эту информацию, троян обращается к удаленному серверу, загружает другие вредоносные программы, запускает исполняемые файлы и отправляет собранные данные злоумышленникам.
Для контакта с удаленным сервером Bayrob генерирует различные URL-адреса, помимо используемого. Один из URL, обнаруженных специалистами Eset, зарегистрирован японским представительством Amazon. Вероятно, атакующие управляют зараженными ПК при помощи сервера, входящего в состав инфраструктуры Amazon Web Services. Это не означает, что скомпрометирована вся инфраструктура Amazon — сервер мог быть арендован официально третьими лицами, полагают в компании.
По данным Eset, первые модификации Bayrob обнаружены еще в 2007 г. С конца 2015 г. троян активно используется в атаках на пользователей стран Европы, Южной Африки, Австралии и Новой Зеландии. В январе большинство заражений приходилось на Испанию, Австрию, Германию и Италию.
Специалисты Eset обнаружили несколько образцов писем с вредоносными приложениями, написанных на разных языках. Вероятно, злоумышленники регулярно перенацеливают кампанию на пользователей из новых, еще не охваченных кибератакой стран.
Эксперты Eset рекомендуют игнорировать подозрительные письма от неизвестных отправителей. Антивирусные продукты Eset NOD32 детектируют новую вредоносную программу как Win32/ Bayrob.

[душман]

16-летний хакер похищал деньги с банковских карт пользователей «ВКонтакте»

Сотрудники управления Следственного комитета по Гродненской области (Беларусь) задержали 16-летнего жителя города Столина Брестской области, подозреваемого в хищении средств с банковских карт пользователей соцсети «ВКонтакте».

Как установило следствие, в период с сентября 2015 года по январь 2016 года подросток взламывал чужие учетные записи, менял пароли и получал доступ к страницам. Затем хакер вступал в переписку с друзьями пользователей и просил указать реквизиты их платежных карт. Просьбы мотивировались невозможностью использования собственной карты по причине истечения срока действия или блокировки. Некоторые пользователи выполняли требуемое, не проверив, с кем общаются.
Получив реквизиты банковских карт, преступник осуществлял покупки в интернете или переводил средства на подконтрольные счета. В среднем у каждого пользователя похищалось от 1 до 2 млн белорусских рублей.
В настоящее время правоохранительные органы проводят исследование компьютерной техники задержанного и потерпевших. Следователи изъяли приобретенные несовершеннолетним преступником материальные ценности и предпринимают меры для обеспечения возмещения причиненного ущерба.

[душман]

Злоумышленники распространяют троян Kasidet через макросы Microsoft Office

С недавних пор злоумышленники возродили интерес к макросам Microsoft Office, активно используемым для распространения банковских троянов, а в последнее время и вредоноса BlackEnergy.

По информации исследователей из американской компании zScaler, данную технику применяют операторы трояна Kasidet, также известного как Neutrino.
Вредоносные макросы Office распространяются в виде вложений в фишинговые письма. По наблюдениям zScaler, за последние две недели активность вредоносной спам-кампании значительно возросла. Помимо Kasidet, тот же VBA-дроппер загружает банковский троян Dridex.
Вредонос Kasidet известен с 2013 года и до недавнего времени использовался для осуществления DDoS-атак. Предположительно, в сентябре прошлого года авторы вредоносного ПО добавили функции хищения данных.
По сравнению с более ранними версиями Kasidet, обнаруженный исследователями вариант обладает более широкими возможностями. Вредонос способен похищать конфиденциальную информацию как из браузеров (перехватом API), так и из памяти PoS-систем. Помимо прочего, Kasidet собирает сведения о названии и версии системы, наличии антивируса и т.д. Все похищенные данные вредонос отправляет на C&C-серверы из списка, содержащегося в коде в виде зашифрованных URL.
Совместная загрузка Kasidet и Dridex вовсе не указывает на взаимосвязь между двумя кампаниями. «Вредоносные документы Malicious Office - популярные у вирусописателей векторы доставки полезной нагрузки. Авторы Dridex используют данную технику уже больше года. Было интересно обнаружить кампанию с применением похожих методов для распространения Kasidet», - отметили исследователи.

[душман]

Android-трояны научились внедряться в системные процессы

В феврале 2016 г. специалисты компании «Доктор Веб» выявили целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей.

Об этом сообщили в «Доктор Веб».Этот набор состоит из трех действующих совместно троянов, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно. Первый из них загружается с помощью библиотеки liblokih.so, детектируемой «Антивирусом Dr.Web для Android» под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов трояном Android.Loki.3 — в результате Android.Loki.1.origin получает возможность действовать в системе с привилегиями пользователя system. Android.Loki.1.origin представляет собой службу, обладающую широким набором функций: например, троян может скачать из официального каталога Google Play любое приложение с помощью специальной ссылки, содержащей указание на учетную запись той или иной партнерской программы, благодаря чему злоумышленники получают возможность извлекать доход.
Среди других возможностей Android.Loki.1.origin в «Доктор Веб» отметили следующие: установка и удаление приложений; включение и отключение приложений, а также их компонентов; остановка процессов; демонстрация уведомлений; регистрация приложений как Accessibility Service (службы, отслеживающей нажатия на экран устройства); обновление своих компонентов, а также загрузка плагинов по команде с управляющего сервера.
Вторая вредоносная программа из обнаруженного аналитиками «Доктор Веб» комплекта — Android.Loki.2.origin — предназначена для установки на зараженное устройство различных приложений по команде с управляющего сервера, а также для демонстрации рекламы. Однако обладает этот троян и шпионскими функциями — при запуске он собирает и отправляет злоумышленникам следующую информацию: IMEI инфицированного устройства; IMSI инфицированного устройства; mac-адрес инфицированного устройства; идентификатор MCC (Mobile Country Code) — мобильный код страны; идентификатор MNC (Mobile Network Code) — код мобильной сети; версия ОС на инфицированном устройстве; значение разрешения экрана; данные об оперативной памяти (общий объем и свободный объем); версия ядра ОС; данные о модели устройства; данные о производителе устройства; версия прошивки; серийный номер устройства.
После отправки этой информации на управляющий сервер троян получает в ответ конфигурационный файл, содержащий необходимые для его работы данные. Через определенные промежутки времени Android.Loki.2.origin обращается к управляющему серверу для получения заданий и во время каждого сеанса связи дополнительно передает злоумышленникам следующие данные: версия конфигурационного файла; версия сервиса, реализованного трояном Android.Loki.1.origin; язык операционной системы; страна, указанная в настройках операционной системы; информация о пользовательской учетной записи в сервисах Google.
В ответ Android.Loki.2.origin получает задание либо на установку того или иного приложения (они в том числе могут загружаться из каталога Google Play), либо на отображение рекламы. Нажатие на демонстрируемые трояном уведомления может привести либо к переходу на определенный сайт, либо к установке приложения. Также по команде киберпреступников Android.Loki.2.origin отсылает на управляющий сервер следующие сведения: список установленных приложений; история браузера; список контактов пользователя; история звонков; текущее местоположение устройства.
Наконец, Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root), которые поступают от других троянов семейства Android.Loki. Фактически, Android.Loki.3 играет роль сервера для выполнения шелл-скриптов: киберпреступники передают трояну путь к сценарию, который следует выполнить, и Android.Loki.3 запускает этот скрипт.
Поскольку трояны семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа, при обнаружении на устройстве любой из таких вредоносных программ оптимальный способ ликвидировать последствия заражения — перепрошивка устройства с использованием оригинального образа ОС. Перед выполнением этой процедуры рекомендуется сделать резервную копию всей хранящейся на инфицированном смартфоне или планшете важной информации, а неопытным пользователям следует доверить эту манипуляцию специалисту, советуют в «Доктор Веб».

[душман]

Ботнет Dridex стал распространять антивирус вместо вредоносного ПО

Анонимный исследователь безопасности взломал один из сегментов ботнета Dridex.

Как сообщает издание The Register, теперь вместо вредоносного ПО ботнет распространяет бесплатный антивирус Avira Antivirus.
Несмотря на изъятие C&C-серверов и арест создателей, Dridex продолжает существовать. Ботнет распространяется через спам-сообщения или документы Word с вредоносными макросами. При установке Dridex загружает на инфицированные ПК кейлоггеры и прочие виды вредоносов.
Как заявил эксперт Avira Мориц Кролл, после взлома ботнет начал распространять антивирус вместо вредоносного ПО. На оставшиеся C&C-серверы Dridex был загружен оригинальный web-инсталлятор Avira.
Представители Avira не знают, кто мог взломать C&C-серверы ботнета. Вероятно, киберпреступники пытаются запутать ИБ-компании, специально распространяя антивирусное ПО через C&C-серверы. По мнению специалистов, нынешнюю атаку на Dridex осуществил анонимный ИБ-эксперт.

[душман]

Злоумышленники осуществляют атаки на американские организации с помощью трояна Т9000

Исследователи Palo Alto Networks обнаружили вредоносное ПО, предназначенное для хищения данных с компьютеров жертв.

Как сообщается в блоге компании, вредонос T9000 в настоящее время используется для осуществления атак против американских организаций.
T9000 – обновленный вариант вредоносного ПО T5000, принадлежащего к семейству Plat1. Данный вид вредоносов использовался в 2014 году для осуществления атак на американские организации. Как и T5000, T9000 распространяется с помощью инфицированных файлов RTF.
Вредонос устанавливается в несколько этапов, обходя большинство продуктов для защиты от вирусов. На первой стадии T9000 обнаруживает установленные антивирусы и изменяет собственный механизм инсталляции для избежания обнаружения. В коде вредоноса были найдены проверки на наличие антивирусов Sophos, INCAInternet, «Доктор Веб», Baidu, Comodo, TrustPort, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и 360.
Во время второго этапа установки T9000 загружает вредоносную библиотеку и вновь проверяет, установлены ли на компьютере антивирусные продукты. В зависимости от результатов проверки используется один из трех специальных механизмов для запуска третьей стадии.
На окончательной, четвертой стадии установки Т9000 передает на C&C-сервер информацию об имени пользователя и версии ОС, а также загружает на компьютер вредоносные модули, предназначенные для хищения данных.
Первый модуль регулярно делает снимки экрана и похищает информацию. Если жертва использует Skype, вредонос отправляет запрос на доступ к приложению от имени explorer.exe. Поскольку запрос отсылается от имени легитимного системного процесса, пользователь обычно принимает запрос и позволяет T9000 получить доступ к программе. Вредонос записывает и отправляет на C&C-сервер всю полученную и переданную корреспонденцию.
Второй модуль под названием FlashDiskThief позволяет T9000 похищать файлы, передаваемые с помощью флеш-накопителей. Главной целью вредоноса являются документы с расширением .doc, .docx, .ppt, .pptx, .xls и .xlsx.
Третий плагин записывает все изменения в файловой системе, включая перемещения, копирования, удаления и переименовывания файлов. По мнению исследователей, модуль позволяет злоумышленникам подробно изучить действия жертвы.

[душман]

Петербургский хакер получил шесть лет колонии строго режима за похищение 2,5 млн руб.

Смольнинский районный суд Санкт-Петербурга вынес приговор в отношении руководителя хакерской группировки, мошенническим путем «заработавшей» 2,5 млн руб.

Роман Михайлов признан виновным в совершении преступлений, предусмотренных статьями УК РФ «Руководство структурным подразделением, входящим в состав преступного сообщества» и «Мошенничество в сфере компьютерной информации, совершенное организованной группой», сообщает издание «Телеграф».
По данным следствия, злоумышленник руководил структурным подразделением преступного сообщества, действовавшего на территории Санкт-Петербурга, Москвы и области, Уфы и Республики Башкортостан. Группировка разработала схему хищения денежных средств у компаний, занимающихся оформлением электронных железнодорожных билетов.
С помощью фишинговых писем злоумышленники инфицировали корпоративные сети вредоносным ПО, предоставлявшим им полный доступ к логинам и паролям кассиров. Используя похищенные учетные данные, хакеры оформляли билеты, а затем сдавали их за наличные.  
Согласно постановлению Смольнинского районного суда, Михайлов получил наказание в виде шести лет лишения свободы в колонии строго режима.

[душман]

Троян Remtasu максируется под софт для взлома Facebook-аккаунтов

Компания Eset объявила о росте активности трояна Win32/Remtasu.

Вирусная лаборатория компании обнаружила ряд модификаций вредоносной программы, которые используются злоумышленниками для кражи персональных данных пользователей, сообщили сегодня в Eset.
В 2016 г. аналитики Eset зафиксировали новую волну распространения Remtasu, замаскированного под «программу для кражи паролей от Facebook». Желающие воспользоваться софтом для взлома чужих аккаунтов загружали вредоносные файлы с фишинговых или скомпрометированных ресурсов и запускали их исполнение.
Ранее Remtasu распространялся стандартным для этого семейства вредоносного ПО способом — в электронных письмах, отправляемых от лица известных компаний. Письма-приманки содержали фальшивые файлы Microsoft Office, замаскированные под счета-фактуры и другие служебные документы.
Вредоносное приложение Remtasu использует для сжатия содержимого упаковщик UPX. Возможности исполняемого файла можно изучить после распаковки, рассказали в компании. Вредоносный файл обращается к функциям для работы с буфером обмена в скомпрометированной системе. Remtasu может сохранять в отдельный файл содержимое буфера обмена и информацию о нажатии пользователем клавиш, а затем отправлять эти данные на удаленный сервер.
В первые недели 2016 г. аналитики Eset зафиксировали активность 24 различных модификаций Remtasu. Наибольшая активность трояна наблюдается в странах Латинской Америки, а также Турции и Таиланде.
Eset рекомендует пользователям не переходить по подозрительным ссылкам и игнорировать сообщения от непроверенных отправителей. Антивирусные продукты Eset NOD32 детектируют модификации Win32/Remtasu.

[душман]

Хакеры обнародовали личные данные 20 тысяч агентов ФБР

Хакерская группа, представленная в Twitter как DotGovs, 8 февраля опубликовала контактные данные 20 тысяч сотрудников американского Федерального бюро расследований и девяти тысяч сотрудников министерства нацбезопасности США.

Об этом сообщает Motherboard.В обнародованных файлах содержатся имена, должностные инструкции, телефонные номера и адреса электронной почты сотрудников ведомств. Взломщики утверждают, что получили доступ к личной информации работников министерства нацбезопасности, взломав базу данных ведомства.
Запись в микроблоге сопровождает хештег #FreePalestine. Ранее под ником DotGovs публиковались призывы к США разорвать отношения с Израилем.
Таким образом, хакеры выполнили обещание, которое дали Motherboard 7 февраля. В тот день в редакцию издания поступило анонимное уведомление о намерении обнародовать эти данные.
Факт взлома расследуют в министерстве юстиции. Его представитель Петр Карр заявил, что похищение частных данных имело место, но пока «ничто не сигнализирует о том, что произошла кража важной личной информации».

[душман]

Сайт «Роскомсвободы» пригрозили заблокировать в России

Сайт проекта «Роскомсвобода» может быть заблокирован на территории России.

Об этом рассказал в среду, 10 февраля, руководитель проекта Артем Козлюк.По его словам, администрацию сайта уведомили о его внесении в единый реестр запрещенных интернет-ресурсов. Причиной послужило решение Анапского суда, в апреле 2015 года признавшего незаконной размещенную на портале информацию об анонимайзерах и способах обхода блокировок в интернете.
Теперь администрация сайта либо должна самостоятельно удалить противоправную информацию, либо Роскомнадзор направит адрес ресурса на блокировку провайдерам. «У нас есть еще несколько дней, чтобы разобраться в ситуации. Мы свяжемся с Роскомнадзором и, надеюсь, найдем компромисс», — отметил Козлюк.
Получить оперативный комментарий у Роскомнадзора не удалось.
В конце января 2016 года пресс-секретарь ведомства Вадим Ампелонский заявил, что использование инструментов обхода блокировок не нарушает российское законодательство. «Способы обхода блокировок существуют. Пользоваться ими не противозаконно. В то же время мы относимся спокойно к тому, что пользователи используют VPN, прокси-серверы, анонимайзеры и так далее», — подчеркнул он.
Проект «Роскомсвобода» выступает за саморегуляцию интернет-отрасли и оказывает помощь заблокированным ресурсам. Он также отслеживает блокировки сайтов с помощью специального сервиса.

[душман]

Новый троян подменяет содержимое сайтов российских банков

Специалисты «Доктор Веб» исследовали троянскую программу Trojan.Proxy2.102.

Как сообщили в компании «Доктор Веб», троян предназначен для кражи денег с банковских счетов и использует для этого достаточно простой метод.Запустившись на атакуемом устройстве, вредонос устанавливает в системе корневой цифровой сертификат и изменяет настройки соединения с интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.С этого момента любые обращения браузера к веб-страницам системы интернет-банкинга нескольких российских кредитных организаций осуществляются через прокси-сервер киберпреступников. С его помощью в страницы систем «банк-клиент» при открытии на инфицированном компьютере встраивается постороннее содержимое, позволяющее злоумышленникам похищать деньги с банковских счетов жертвы.
В настоящий момент в «Доктор Веб» установили, что Trojan.Proxy2.102 способен подменять содержимое следующих банковских интернет-ресурсов: online.sberbank.ru, online.vtb24.ru и online.rsb.ru. Поскольку троян предварительно устанавливает на зараженном компьютере поддельный цифровой сертификат, с использованием которого подписывает соответствующие веб-страницы, пользователь вряд ли сможет вовремя заметить подмену, считают в компании.
После успешной установки троян отправляет сообщение об этом событии на управляющий сервер. Поскольку он никак не регистрирует себя в автозагрузке, после выполнения своих вредоносных действий зловред переходит в бесконечный спящий режим.
По утверждению представителей «Доктор Веб», «Антивирус Dr.Web» успешно обнаруживает и удаляет вредоносную программу Trojan.Proxy2.102, поэтому она не представляет опасности для пользователей продуктов компании.

[душман]

Роскомнадзор прогнозирует легализацию контента «ВКонтакте» в течение полутора лет

Глава Роскомнадзора Александр Жаров предсказал полную легализацию контента «ВКонтакте» в течение ближайших полутора лет.

Как сообщил чиновник в интервью «Российской газете» в четверг, 11 февраля, уже вскоре соцсеть станет абсолютно легальным сайтом в плане размещения пиратского контента.
В настоящее время «ВКонтакте» включена в «Отчет 301» Торгового представительства США (US Trade Representative Special 301 Report) как пиратский ресурс. Данный документ включает информацию о странах, не обеспечивающих адекватную и полную защиту интеллектуальной собственности.
По словам Жарова, Роскомнадзор активно работает над исключением «ВКонтакте» из списка ресурсов-нарушителей авторских прав. Владельцы соцсети сотрудничают с платформой дистрибуции легального контента Pladform, легализуют трафик музыки и фильмов. Кроме того, ведутся переговоры с отечественными и зарубежными правообладателями.
Главным вопросом для пользователей «ВКонтакте» остается проблема стоимости легального контента. По словам Жарова, российские легальные ресурсы долго жили в условиях неравной конкуренции с «пиратами» и теперь пытаются вернуть свои вложения. Тем не менее, стоимость контента должна быть адекватна возможностям потребителей.
Многие ресурсы понимают данную проблему и задумываются об удешевлении стоимости легального контента.