Документ без названия
 Документ без названия

Новости

 

14.04.2017

WikiLeaks опубликовал новую порцию конфиденциальных документов ЦРУ

Сайт WikiLeaks опубликовал новую часть пакета секретных документов под названием Vault 7, принадлежащих Центральному разведывательному управлению (ЦРУ) США. Предыдущая часть, обозначенная как Grasshopper ("Кузнечик"), была обнародована 7 апреля. Сотрудники сайта сообщают, что новые публикации содержат шесть документов, полученных из хакерской программы HIVE ("Улей"). Она предназначена для передачи в ЦРУ информации, изъятой с интересуемого устройства, а также для получения команд, чтобы выполнять специфические задачи на этих устройствах, пишет ria.ru.

Отмечается, что разрабатывающие антивирусное ПО компании могли отследить действие этой вредоносной программы, но не могли понять, что она принадлежит ЦРУ.

WikiLeaks опубликовал первую часть пакета документов ЦРУ 7 марта, сообщалось, что эта публикация станет крупнейшей утечкой конфиденциальных бумаг разведывательного ведомства. Она включает более 8,7 тысячи документов и файлов, хранившихся в изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли.



Источник: anti-malware.ru

14.04.2017

Хакеры устроили крупнейший взлом в истории

Хакерская группировка OurMine взломала тысячи YouTube-аккаунтов, включая профили известных блогеров. На это в пятницу, 14 апреля,обратило внимание издание The Sydney Morning Herald.

Злоумышленники добавили к заголовкам роликов название своей группировки и оставили в описании послание, в котором объяснили, что «взлом связан с "проверкой безопасности"». В заявлении также содержится утверждение, что произошедшее является «крупнейшим взломом в истории YouTube».

В результате инцидента пострадала компания Studio71, которая представляет более 1,2 тысячи каналов на YouTube. Следы хакерского рейда до сих пор можно найти на каналах RomanAtwoodVlogs (более 12 миллионов подписчиков), JustKiddingNews (более 1,5 миллиона подписчиков) и Wranglerstar (более полумиллиона подписчиков), передает lenta.ru.

По словам одного из блогеров, YouTube уже озаботился защитой взломанных аккаунтов и утверждает, что хакеры не смогли украсть конфиденциальную информацию.


Группировка OurMine знаменита взломами аккаунтов знаменитостей. Члены группы каждый раз оставляют послание о том, что проводят проверку безопасности, и предлагают свои услуги по укреплению защиты за определенную сумму. В разное время OurMine атаковали аккаунты основателя Facebook Марка Цукерберга, главы Twitter Джека Дорси, руководителя Google Сундара Пичая и президента Yahoo! Мариссы Майер.



Источник: anti-malware.ru

14.04.2017

ЛК увеличила награду за обнаружение уязвимостей в своих решениях

 

«Лаборатория Касперского» объявила о продлении и расширении программы bug bounty, которая была запущена в августе 2016 года совместно с международной платформой HackerOne. Кроме того, компания увеличила до 5 тысяч долларов размер вознаграждения за найденные уязвимости, связанные с возможностью удаленного выполнения кода.

Цель программы bug bounty — привлечь независимых экспертов к поиску критических ошибок в продуктах компании. Первый этап программы оказался успешным: за полгода было обнаружено и исправлено не менее 20 ошибок в коде.

Первоначально в программе участвовали флагманские решения «Лаборатории Касперского» для домашних и корпоративных пользователей — последние версии Kaspersky Internet Security для Windows и Kaspersky Endpoint Security для бизнеса. Теперь к списку исследуемых продуктов добавлен Kaspersky Password Manager 8 — менеджер паролей для компьютеров и мобильных устройств.

"Безопасность клиентов для нас важнее всего. Поэтому мы очень серьезно относимся к работе независимых исследователей, которые проверяют наши решения, и постоянно совершенствуем свои технологии. Благодаря программе bug bounty за последние полгода мы существенно оптимизировали процесс повышения устойчивости продуктов «Лаборатории Касперского» к действиям хакеров. Поэтому ее продление было логичным шагом, — рассказал Никита Швецов, директор по исследованиям и разработке «Лаборатории Касперского». — Мы высоко ценим энтузиазм, который проявляют эксперты по всему миру при поиске уязвимостей в наших продуктах, и в знак признания важности их работы мы увеличили вознаграждение за найденные ошибки. Более того, мы расширили список решений, включив в него еще один важный продукт компании.

"Лаборатория Касперского" — отличный пример организации, которая во главу угла ставит максимальную безопасность на всех уровнях. Компания прекрасно осознает ответственность, которую несет перед клиентами — как частными пользователями, так и компаниями — и делает все, чтобы обнаруживать и устранять уязвимости до того, как ими воспользуются злоумышленники, — отметил Алекс Райс (Alex Rice), технический директор и сооснователь HackerOne. — Продлевая и расширяя программу bug bounty, «Лаборатория Касперского» показывает стремление как развивать глобальное сообщество IT-экспертов, так и поддерживать собственные лидерские позиции на рынке.


Источник: anti-malware.ru

11.11.2016

Более 1 000 000 пользователей загрузили Android-троянца из Google Play

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередного троянца. Эта вредоносная программа, добавленная в вирусную базу как Android.MulDrop.924, без ведома пользователей скачивает приложения и предлагает их установить. Кроме того, она показывает навязчивую рекламу.

Android.MulDrop.924 распространяется через каталог Google Play в виде приложения с именем «Multiple Accounts: 2 Accounts», которое скачали уже более 1 000 000 владельцев Android-смартфонов и планшетов. Программа позволяет одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве. Однако это внешне безобидное и даже полезное приложение скрывает троянский функционал, о котором разработчик забыл сообщить потенциальным жертвам. Компания «Доктор Веб» передала корпорации Google информацию о троянце, однако на момент публикации этой новости Android.MulDrop.924 все еще был доступен для загрузки, сообщает drweb.ru.

Эта троянская программа имеет необычную модульную архитектуру. Часть ее функционала расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов Android.MulDrop.924. При запуске троянец извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память.

Один из этих компонентов помимо безобидных функций содержит несколько рекламных плагинов, которые авторы Android.MulDrop.924 используют для получения прибыли. Среди них – троянский модуль Android.DownLoader.451.origin, без разрешения пользователя скачивающий игры и приложения и предлагающий установить их. Кроме того, он показывает навязчивую рекламу в панели уведомлений мобильного устройства.

Помимо каталога Google Play, Android.MulDrop.924 распространяется и через сайты–сборники ПО. Одна из модификаций троянца встроена в более раннюю версию приложения Multiple Accounts: 2 Accounts. Она подписана сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержит дополнительный троянский плагин Android.Triada.99, который скачивает эксплойты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать программы. Использование стороннего сертификата может говорить о том, что указанную версию Android.MulDrop.924 модифицировала и распространяет другая группа вирусописателей, не связанная с создателями оригинального приложения.

Источник: anti-malware.ru

11.11.2016

Сбербанк онлайн подвергся мощной DDoS-атаке

Сервис "Сбербанк онлайн" подвергся мощной DDoS-атаке, сообщили РИА Новости в пресс-службе крупнейшего российского банка. "Сбербанк информирует, что начиная со второй половины дня 10 ноября web-ресурс "Сбербанк онлайн" подвергся многократной мощной DDoS-атаке, которая длилась несколько часов.

Атака была успешно отражена системами защиты банка", — рассказали в пресс-службе.

В банке уточнили, что отмечались некоторые замедления в работе "Сбербанк онлайн", которые длились от нескольких секунд до минуты.

В среду источник РИА Новости сообщил, что ряд крупных российских банков подверглись DDoS-атакам. По данным "Лаборатории Касперского", хакеры атаковали веб-сайты как минимум пяти финансовых организаций из топ-10, одним из них стал Сбербанк, пишет ria.ru.

Глава Сбербанка Герман Греф заявил, что сила DDoS-атак, с которыми столкнулись российские компании в последние дни, в тысячу раз превосходит мощность предыдущих аналогичных акций.

 

Источник: anti-malware.ru

10.11.2016

Хакеры могут использовать Twitter, LinkedIn в iOS для совершения звонков

Приложения для iOS, среди которых Twitter, LinkedIn и возможно другие, не менее популярные, могут использоваться хакерами для совершения телефонных звонков на произвольные номера. Также, используя эту схему, злоумышленники могут и препятствовать совершению звонков пользователем.

Исследователь в области безопасности Коллин Муллинер (Collin Mulliner) утверждает, что эта уязвимость связана с тем, как некоторые iOS-приложения обрабатывают компонент WebView. WebView, по сути, является браузером, встроенным в мобильные приложения. Он часто используется для отображения веб-страниц внутри приложения без необходимости использования стороннего браузера.

По словам Муллинера, злоумышленник, которому удастся заманить пользователя на специально созданную веб-страницу сможет совершать звонки, используя уязвимое приложение. Вредоносная страница, в данном случае, должна перенаправить жертву на TEL URI, который инициирует вызов на указанный номер. Эта часть атаки включает в себя только одну строку HTML-кода, однако жертва может легко завершить вызов.

В 2008 году Муллинер сообщил Apple об аналогичной уязвимости в Safari, что позволило злоумышленникам не только инициировать телефонные звонки, но и мешать пользователям сбросить вызов путем замораживания графического интерфейса телефона в течение нескольких секунд. На тот момент, Apple исправили этот недостаток прошивкой iOS 3.0.

Эксперт утверждает, что ему удалось инициировать вызовы, используя приложения Twitter и LinkedIn, при этом ему удалось запретить условному пользователю отменить вызов. Он опубликовал видео, где демонстрируется эта атака для каждого из этих двух приложений.

«Трюк заключается в том, чтобы заставить iOS открыть второе приложение в то время, пока совершается вызов» - объясняет Муллинер - «В 2008 году я использовал SMS URL с очень длинным номером телефона, чтобы блокировать пользовательский интерфейс».

Исследователь считает, что помимо Twitter и LinkedIn, другие приложения могут быть тоже подвержены этой уязвимости. Однако те приложения, которые открывают ссылки в сторонних браузерах, например, Safari и Chrome, не затронуты.

Источник: anti-malware.ru

26.08.2016

Число атак китайских хакеров на российский ВПК выросло в 2,5 раза

Число хакерских атак из Китая на российские объекты в сфере обороны, ядерной энергетики и авиации увеличилось за первые семь месяцев 2016 года более чем в два с половиной раза – почти до двухсот, рассказал агентству Блумберг эксперт "Лаборатории Касперского" Александр Гостев.

За весь 2015 год были зафиксированы только 72 атаки, отметил специалист. Коллеги российского эксперта из калифорнийской компании Proofpoint также отмечают рост интереса китайских киберпреступников к России, передает агентство.

По оценкам "Лаборатории Касперского", китайские программы, используемые против России, включают более 50 семейств троянских вирусов, жертвами которых в 2016 году стали 35 компаний и ведомств. Гостев сообщил, что среди них семь оборонных предприятий, специализирующихся на производстве ракет, радаров и навигационных технологий, пять министерств, четыре авиационные компании и две организации из сферы ядерной энергетики, пишет ria.ru.

При этом эксперт полагает, что число нападений может быть намного выше, поскольку только десять процентов корпоративных клиентов "Касперского" делятся данными о хакерских атаках.

"Практически все объекты российского ВПК так или иначе за последние годы становились объектами атак со стороны китайских группировок" и "очевидно" теряли информацию, добавил Гостев.

По словам специалиста, в экспертной среде считают, что кибератаки либо спонсируются, либо одобряются государственными органами Китая, а в некоторых случаях к ним причастны военные хакеры. Гостев отметил при этом огромный объем похищенной информации, которую затем могут анализировать сотни специалистов.

"Они работают как пылесос, скачивая все без разбора. Потом кто-то анализирует похищенные данные", — считает Гостев.

По его мнению, атаки на Россию усилились после того, как лидеры Китая и США подписали в сентябре 2015 года соглашение, пообещав не заниматься экономическим шпионажем. Между тем, Москва и Пекин еще в мае 2015-го подписали документ об информационной безопасности, обязавшись не атаковать друг друга.

Источник: anti-malware.ru

26.08.2016

В Москве потенциально опасна каждая пятая публичная сеть Wi-Fi

«Лаборатория Касперского» выяснила, что в Москве небезопасна почти каждая пятая общественная точка доступа Wi-Fi (18%). Такие данные были получены в результате анализа примерно 7 тысяч городских сетей Wi-Fi, расположенных в историческом центре, одном из спальных районов и некоторых популярных местах — крупном торговом центре, сетевой кофейне, пятизвездочном отеле, на вокзале и в других точках транспортной инфраструктуры города.

Выяснилось, что полностью открытыми и незащищенными являются 16% столичных точек доступа к Интернету. Это делает их потенциально крайне опасными, поскольку киберпреступники с легкостью могут получить доступ к данным, передаваемым по этим сетям. В еще 2% Wi-Fi-точек используют устаревший и неэффективный с точки зрения информационной безопасности протокол Wired Equivalent Privacy (WEP), взломать который злоумышленник без труда сможет всего за несколько минут. Более современные и надежные способы шифрования WPA и WPA2 представлены в остальных исследуемых точках доступа.

Кроме того, эксперты сравнили данные по Москве с показателями по всей стране, полученными из облачной инфраструктуры Kaspersky Security Network, и пришли к выводу, что московская тенденция в целом совпадает с общероссийской. В целом же Россия по соотношению количества открытых и зашифрованных общественных сетей Wi-Fi выглядит лучше многих стран мира. Однако есть ряд государств, где ситуация с шифрованием публичных сетей лучше. Так, в Германии самый современный и безопасный протокол шифрования WPA2 используется в 83% сетей, в то время как в России только в 76%.

«Даже в случае использования зашифрованного соединения, целиком полагаться лишь на эту меру защиты все же не стоит. Существует несколько сценариев, при которых даже надежно зашифрованный сетевой трафик может быть скомпрометирован. Это и фальшивые точки доступа с именами, похожими на настоящие, и скомпрометированные роутеры, передающие трафик атакующим уже без шифрования. Так что в любом случае есть смысл позаботиться о своей безопасности самостоятельно», — заключает автор эксперимента, антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Для защиты своих действий при использовании общественного Wi-Fi «Лаборатория Касперского» рекомендует соблюдать ряд правил. Так, не стоит безоговорочно доверять сетям, для входа в которые не нужны пароли. Очень важно в целях безопасности не вводить логины и пароли от аккаунтов в соцсетях или почте, а также не совершать электронные платежи. Кроме того, можно включить в настройках устройства пункт «Всегда использовать безопасное соединение» (HTTPS). Если есть возможность, стоит использовать подключение через виртуальную частную сеть (VPN). Трафик в такой сети маршрутизируется по защищенному туннелю в зашифрованном виде. Обязательно стоит использовать специализированные комплексные средства антивирусной защиты.

Источник: anti-malware.ru

25.08.2016

С поддоменов Mail.ru похищены данные 25 млн аккаунтов

Представители агрегатора утечек LeakedSource опубликовали на сайте новую порцию данных. На этот раз от утечки пострадали в основном пользователи различных игр Mail.ru, а также пользователи ряда ММОРПГ сайтов. Большая часть паролей была защищена только посредством MD5, так что их взлом не представляет проблемы. Сообщается, что ответственность за атаки на скомпрометированные ресурсы лежит на двух неназванных хакерах, а сами атаки имели место в июле-августе 2016 года. В основном взлому подверглись различные форумы. Согласно данным LeakedSource, злоумышленники эксплуатировали уязвимость к SQL-инъекциям в устаревшей версии платформы vBulletin.

База данных агрегатора утечек пополнилась следующими данными:

  • cfire.mail.ru, пострадали аккаунты 12 881 787 пользователей;
  • parapa.mail.ru (сама игра), пострадали 5 029 530 пользователей;
  • parapa.mail.ru (форумы), пострадали 3 986 234 пользователей;
  • tanks.mail.ru пострадали 3 236 254 пользователей.

В руки хакеров попали имена пользователей, email-адреса, зашифрованные пароли и даты рождения. В некоторых случаях также удалось узнать IP-адреса пользователей и телефонные номера.

Представители LeakedSource сообщают, что расшифровали уже большую часть паролей от утекших аккаунтов Mail.ru (MD5 в наши дни нельзя считать надежной защитой), и соответственная информация была добавлена в базу, пишет xakep.ru.

Представители пресс-службы Mail.ru Group прокомментировали ситуацию следующим образом:

«Пароли, о которых идет речь в сообщении LeakedSource, давно не актуальны. Это старые пароли от форумов игровых проектов, которые компания приобретала в разные годы. Все форумы и игры Mail.Ru Group уже давно переведены на единую безопасную систему авторизации. К почтовым аккаунтам и другим сервисам компании эти пароли вообще никогда не имели никакого отношения».

Кроме того, представители LeakedSource предупредили об утечках данных с десяти других сайтов, от которых суммарно пострадали еще 2,3 млн пользователей. В основном это сайты различных ММОРПГ (Age of Conan, Anarchy online, The secret world), которые удалось взломать опять же благодаря уязвимостям в устаревшем ПО. Список ресурсов и количество пострадавших пользователей можно увидеть ниже.

  • expertlaw.com – 190 938 пользователей;
  • ageofconan.com – 433 662 пользователя;
  • anarchy-online.com – 75 514 пользователя;
  • freeadvice.com – 487 584 пользователя;
  • gamesforum.com – 109 135 пользователей;
  • longestjourney.com – 11 951 пользователь;
  • ppcgeeks.com – 490 004 пользователя;
  • thesecretworld.com (EN) – 227 956 пользователей;
  • thesecretworld.com (FR) – 143 935 пользователей;
  • thesecretworld.com (DE) – 144 604 пользователя.

Так как взлом паролей из полученных дампов уже близится к завершению, исследователи традиционно представили на сайте рейтинг самых распространенных и слабых паролей для *.mail.ru. Худшую двадцатку можно увидеть ниже.

Место Пароль Частота использования
1 123456789 263 347
2 12345678 201 977
3 123456 89 756
4 1234567890 89 497
5 qwertyuiop 32 584
6 123123123 31 268
7 11111111 30 827
8 1q2w3e4r5t 30 087
9 1q2w3e4r 27 399
10 987654321 23 387
11 qazwsxedc 20 748
12 qweasdzxc 19 039
13 1234qwer 18 434
14 12344321 17 488
15 111111 16 372
16 88888888 14 651
17 1qaz2wsx 14 487
18 1234554321 14 262
19 qwertyui 14 187
20 123123 13 892

 


Источник: anti-malware.ru

12.05.2016

Уязвимость нулевого дня в Windows помогла ограбить десятки компаний

В апреле 2016 года исследователи компании Proofpoint первыми обнаружили нового на тот момент шифровальщика CryptXXX. Теперь специалисты компании заметили появление CryptXXX 2.006, которому более не страшны инструменты для дешифровки файлов. Спустя две недели после того как CryptXXX впервые попал «на радары» исследователей, эксперты «Лаборатории Касперского» представили обновленную версию своей утилиты RannohDecryptor, предназначенной для расшифровки файлов после заражения вымогателями Rannoh, AutoIt, Fury, Crybola и Cryakl. После обновления инструмент также научился восстанавливать файлы, зашифрованные CryptXXX, пишет xakep.ru. Однако угрозы в наши дни эволюционируют очень быстро, а авторы вредоносов регулярно выпускают обновленные версии своих «продуктов». Исследователи Proofpoint сообщили, что автор CryptXXX уже представил версию 2.006, с которой утилита «Лаборатории Касперского» не справляется.

Более того, если раньше пострадавшие от CryptXXX пользователи по-прежнему имели доступ к своему компьютеру и могли выходить с него в сеть (не было доступа только к зашифрованным файлам), новая версия такой «роскоши» более не предлагает. CryptXXX 2.006 блокирует машину жертвы полностью, как в старые добрые времена блокировщиков экранов, — пользователь не сможет продвинуться дальше вымогательского сообщения. Для оплаты выкупа также придется воспользоваться другим компьютером.

По данным Proofpoint, криптовымогатель по-прежнему распространяется в основном посредством вредоносной рекламы, эксплоит кита Angler или малвари Bedep. Хуже того, исследователи отмечают, что семейства малвари CryptXXX/Cerber понемногу вытесняют с лидирующих позиций шифровальщики Teslacrypt/Locky. Если малварь сохранит такие темпы распространения, очень скоро семейство CryptXXX станет шифровальщиком номер один.

Источник: anti-malware.ru

12.05.2016

Android-троянец атакует клиентов десятков банков по всему миру

В настоящее время существуют сотни различных представителей банковских троянцев для ОС Android, и один из них – Android.SmsSpy.88.origin, известный еще с 2014 года. Несмотря на свой возраст эта вредоносная программа нисколько не утратила актуальности, поскольку вирусописатели усовершенствовали ее функционал, сделав банкера более опасным и добавив функции троянца-вымогателя. Банковские троянцы, заражающие мобильные устройства под управлением ОС Android, представляют собой одну из главных угроз для пользователей, поскольку способны украсть все деньги со счетов своих жертв. О «высотах», которых сумел достичь Android.SmsSpy.88.origin, мы расскажем в этом материале.

Первые версии вредоносной программы Android.SmsSpy.88.origin, об одной из которых компания «Доктор Веб» впервые сообщила в апреле 2014 года, были довольно примитивными. Изначально злоумышленники использовали этого троянца для перехвата СМС-сообщений с одноразовыми банковскими паролями, а также для незаметной отправки СМС и выполнения телефонных звонков. Позднее вирусописатели несколько усовершенствовали возможности Android.SmsSpy.88.origin, добавив в него функционал для кражи информации о кредитных картах. В частности, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных российских банков троянец показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам, пишет news.drweb.ru.

Примечательно, что все ранние модификации троянца атаковали только пользователей из России и ряда стран СНГ, при этом распространялся Android.SmsSpy.88.origin благодаря СМС-спаму. В частности, потенциальным жертвам могли приходить сообщения, в которых предлагалось перейти по указанной ссылке и ознакомиться с ответом на размещенное в Интернете объявление. В действительности же эти ссылки вели на мошеннические веб-сайты, при посещении которых на Android-устройства загружалось вредоносное приложение, замаскированное под безобидную программу.  Позднее число атак с использованием этого банкера значительно сократилось, однако с конца 2015 года вирусные аналитики «Доктор Веб» начали фиксировать распространение новых, более функциональных версий троянца, которые в отличие от ранних модификаций предназначались для заражения Android-смартфонов и планшетов уже по всему миру. Как и прежде, это вредоносное приложение попадает на мобильные устройства под видом безобидных программ, например, проигрывателя Adobe Flash Player. После запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к правам администратора мобильного устройства, чтобы в дальнейшем затруднить свое удаление из зараженной системы. Далее троянец подключается к сети и поддерживает соединение в активном состоянии, используя для этого Wi-Fi или канал передачи данных мобильного оператора. Таким образом вредоносное приложение пытается обеспечить постоянную связь с управляющим сервером, чтобы избежать каких-либо перебоев в работе. Затем банкер формирует для зараженного устройства уникальный идентификатор, который вместе с другой технической информацией передается на сервер злоумышленников, где происходит регистрация инфицированного смартфона или планшета. Основная задача новых модификаций Android.SmsSpy.88.origin осталась неизменной: троянец пытается похитить логины и пароли от учетных записей мобильного банкинга и передает их киберпреступникам, а также может незаметно украсть деньги со счетов пользователей. Для этого банкер отслеживает запуск приложений типа «банк-клиент», список которых хранится в конфигурационном файле. Число контролируемых приложений в различных модификациях троянца может незначительно различаться, однако общее их количество, которое установили вирусные аналитики «Доктор Веб», на данный момент приближается к 100. После того как владелец устройства запускает одно из атакуемых приложений, Android.SmsSpy.88.origin при помощи компонента WebView показывает поверх его окна фишинговую форму ввода аутентификационных данных для доступа к учетной записи мобильного банкинга. Как только пользователь предоставляет троянцу нужную информацию, она незаметно передается злоумышленникам, и те получают полный контроль над всеми счетами жертвы. Одна из главных особенностей Android.SmsSpy.88.origin заключается в том, что с использованием этого троянца киберпреступники могут атаковать клиентов фактически любого банка. Для этого им необходимо лишь создать новый шаблон мошеннической формы аутентификации и отдать вредоносному приложению команду на обновление конфигурационного файла, в котором будет указано название банковского клиентского ПО соответствующей кредитной организации. Помимо кражи логинов и паролей для доступа к банковским учетным записям новая версия троянца по-прежнему пытается похитить у пользователей информацию и об их кредитных картах. Для этого Android.SmsSpy.88.origin отслеживает запуск целого ряда популярных приложений, а также некоторых системных программ, и после того как это ПО начинает работу, показывает поверх его окна фишинговую форму настроек платежного сервиса Google Play. Однако троянец способен выполнять и другие вредоносные действия. В частности, по команде киберпреступников Android.SmsSpy.88.origin может перехватывать и отсылать СМС- и MMS-сообщения, отправлять USSD-запросы, рассылать СМС по всем номерам из телефонной книги, передавать на сервер все имеющиеся сообщения, установить пароль на разблокировку экрана или заблокировать экран специально сформированным окном. Так, получив команду на блокировку, троянец загружает с управляющего сервера заранее подготовленный шаблон окна с текстом, в котором жертву обвиняют в незаконном хранении и распространении порнографии и требуют в качестве штрафа оплатить подарочную карту музыкального сервиса iTunes. Таким образом, Android.SmsSpy.88.origin несет в себе не только возможности банковского троянца и реализует шпионские функции, но также может использоваться злоумышленниками и в качестве троянца-вымогателя, давая вирусописателям шанс получить больше незаконной прибыли. Ко всему прочему обновленный Android.SmsSpy.88.origin обладает и функцией самозащиты: вредоносное приложение пытается помешать работе целого ряда антивирусных программ и сервисных утилит, не позволяя им запуститься. С начала 2016 года специалисты компании «Доктор Веб» получили доступ к более чем 50 бот-сетям, которые состояли из мобильных устройств, зараженных различными модификациями Android.SmsSpy.88.origin. В результате проведенного исследования вирусные аналитики установили, что киберпреступники атаковали пользователей более 200 стран, а общее подтвержденное число инфицированных устройств достигло почти 40 000. Наибольшее число устройств, зараженных троянцем, пришлось на Турцию (18,29%), Индию (8,81%), Испанию (6,90%), Австралию (6,87%), Германию (5,77%), Францию (3,34%), США (2,95%), Филиппины (2,70%), Индонезию (2,22%), Италию (1,99%), ЮАР (1,59%), Великобританию (1,53%), Пакистан (1,51%), Польшу (1,1%), Иран (0,98%), Саудовскую Аравию (0,96%), Китай (0,92%), а также Бангладеш (0,85%).

 

При этом наибольшее число мобильных устройств, зараженных Android.SmsSpy.88.origin, работало на ОС Android версии 4.4 (35,71%), 5.1 (14,46%), 5.0 (14,10%), 4.2 (13,00%) и 4.1 (9,88%).

 

 

Обширная география распространения Android.SmsSpy.88.origin объясняется тем, что создавшие троянца вирусописатели рекламируют его на различных подпольных хакерских форумах, продавая как коммерческий продукт. При этом в комплекте с самой вредоносной программой злоумышленники – покупатели незаконной услуги получают и серверную часть вместе с панелью администрирования, при помощи которой могут управлять зараженными устройствами.

Источник: anti-malware.ru

12.05.2016

Уязвимость нулевого дня в Windows помогла ограбить десятки компаний

Фирма FireEye, специализирующаяся на компьютерной безопасности, обнаружила хорошо подготовленную преступную группу, которая первой применила уязвимость нулевого дня в Windows. Злоумышленники успели атаковать более ста компаний в США и Канаде — в основном, магазины, гостиницы и рестораны. По данным Fireeye, на первом этапе потенциальные жертвы подвергались атаке методами прицельного фишинга. Они получали заражённый документ Word, устанавливающий PUNCHBABY — вредоносную программу, позволяющую злоумышленникам взаимодействовать с компьютером жертвы и другими машинами в её локальной сети. Кроме того, они применяли троян под названием PUNCHTRACK, поражающий кассовые аппараты и крадущий данные банковских карт. Чтобы избежать обнаружения, вредоносная программа не оставляет следов на жёстком диске. Каждую ночь её перезапускает хорошо скрытый загрузчик, пишет xakep.ru. В некоторых мартовских атаках, которые наблюдали специалисты FireEye, для распространения вредоносного софта использовалась неизвестная ранее уязвимость в Windows, позволяющая повысить права локального пользователя. Компания Microsoft присвоила уязвимости индекс CVE-2016-0167. Первые атаки, эксплуатирующие эту уязвимость, удалось зафиксировать 8 марта. 12 апреля дыра была устранена при помощи бюллетеня по безопасности MS16-039, а на этой неделе Microsoft распространила обновление, которое дополнительно усиливает защиту Windows от атак подобного рода. В FireEye следят за атаками с применением PUNCHBABY и PUNCHTRACK около года и полагают, что все они — дело рук единственной преступной группы. Специалисты отмечают размах и скорость, с которой действуют злоумышленники. Теперь у них есть уязвимости нулевого дня и ресурсы для подбора жертв прицельного фишинга. Это может свидетельствовать о том, что речь идёт об опытных и опасных преступниках.

Источник: anti-malware.ru

17.03.2016

Специалисты зафиксировали масштабную кампанию по распространению вредоноcной рекламы

Эксперты компаний Trend Micro, Trustwave и Malwarebytes забили тревогу практически одновременно. Вредоносная реклама добралась сразу до ряда крупных сайтов, в числе которых портал Microsoft MSN и сайты New York Times, BBC, AOL, Comcast Xfinity, NFL, Realtor, Weather Network, The Hill и Newsweek.

Главный ИБ-исследователь Malwarebytes Джером Сегура (Jérôme Segura) пишет, что вредоносная кампания начиналась с малого, но уже в минувшее воскресенье достигла своего пика. Перед этой масштабной атакой исследователи наблюдали затишье в сфере вредоносной рекламы, длившееся пару недель.

«Первые пару дней, пока кампания еще не набрала обороты, мы наблюдали распространение эксплоит кита RIG, но к воскресенью атака значительно расширилась, и [злоумышленники] перешли на использование Angler», — пишет Сегура.

Trend Micro, в свою очередь, заметили данную проблему в минувший понедельник, 14 марта. Специалисты сообщают, что эксплоит кит распространяет вариацию бэкдора Bedep, который тянет за собой троян TROJ_AVRECON, пишет xakep.ru.

 

Эксперты Trustwave отмечают, что в некоторых отдельных случаях Angler распространяет не Bedep, а шифровальщик TeslaCrypt, хотя Bedep все же превалирует.

Вредоносная реклама распространяется сразу четырьмя рекламными платформами: Google, AOL, Rubicon и AppNexus.

 

Активность вредоносных рекламных серверов в последние дни

 

Чтобы не стать очередной жертвой такой вредоносной кампании, эксперты рекомендуют регулярно устанавливать обновления, удалить Silverlight, а также перевести такие плагины, как Flash в режим click-to-play.

Источник: anti-malware.ru

17.03.2016

Исследователи сумели взломать управляющий сервер шифровальщика Radamant

Автору шифровальщика Radamant определенно не везет. В декабре минувшего года эксперт Emsisoft Фабиан Восар (Fabian Wosar) уже взломал шифрование вымогателя и представил бесплатный инструмент для восстановления информации, чем вызвал гнев злоумышленника.

Теперь исследовали компании InfoArmor и вовсе сумели взломать командный сервер малвари, заставив его инициировать процесс расшифровки данных, хотя жертвы не заплатили выкуп.

Впервые шифровальщик Radamant был замечен в декабре 2015 года. Существуют две версии Radamant: v1 изменяет расширение файлов на .RDM, а v2 на .RRK. Хотя на форуме Bleeping Computer сообщают также о версии, переименовывающей файлы в .RDD.

После того как Восар успешно взломал шифрование обеих версий и разозлил автора малвари, тот исправил вторую версию, в январе 2016 года представив вариант, названный radamantv2.1_emisoft_bleeped. Эта вариация тоже изменяет расширение файлов на .RKK, но автор вредоноса сменил метод шифрования, так что инструмент Восара работает против него уже далеко не всегда, сообщает xakep.ru.

Специалисты InfoArmor, в отличие от Восара, не стали трогать шифрование. Они выяснили, что справиться с шифровальщиком можно при помощи SQL-инъекции. Radamant шифрует каждый файл уникальным ключом AES-256, а затем шифрует его с использованием мастер ключа RSA-2048, который внедряется в хедер каждого файла. Данный мастер ключ отправляется на контрольный сервер малвари, где хранится в MySQL базе. Как только жертва выплатила выкуп, оператор вредоноса отсылает ей мастер ключ RSA и инструмент для расшифровки данных. Для удобства управления «бизнесом», оператор Radamant использует доступную извне панель управления.

 

До и после. Исследователи изменили «статус оплаты» жертвы

 

Эксперты InfoArmor обнаружили, что коммуникации между контрольной панелью и БД позволяют осуществить SQL-инъекцию. Воспользовавшись этим методом, можно изменить статус выплаты выкупа, заставив управляющий сервер поверить, что жертва уже заплатила, и автоматически выслать ей инструмент для расшифровки информации. Также исследователи отмечают, что используя все ту же банальную SQL-инъекцию, можно извлечь из БД злоумышленника вообще всю содержащуюся там информацию. InfoArmor также стало известно, что автор Radamant ведет работу над новой малварью — KimChenIn Coin Kit, которая ворует криптовалюту из Bitcoin Core, LiteCoin Core, Dash Core, NameCoin Core и Electrum-BTC/LTC/Dash.

Источник: anti-malware.ru

16.03.2016

Yahoo исправила серьезную уязвимость

Компания Yahoo исправила уязвимость в своем почтовом сервисе. Проблему обнаружил  сотрудник компании Vulnerability Lab Лоренс Эмер (Lawrence Amer), он заметил, что используя классическую версию почтового UI можно с легкостью подменить имя отправителя.

Пару лет назад, когда Марисса Майер заступила на пост руководителя компании, сервис Yahoo Mail претерпел существенные изменения. В частности, был серьезно переработан веб-интерфейс почты. Чтобы не шокировать пользователей радикальными переменами, новый интерфейс довольно долго сосуществовал со старой версий, а затем Yahoo представила так называемый Basic UI, который еще называют классическим. Это версия гораздо «легче» обычной, она куда менее перегружена JavaScript, сообщает xakep.ru.

Лоренс Эмер пишет, что модуль compose message («написать сообщение») в классической версии веб-интерфейса был уязвим перед простейшим POST/GET методом атак. По сути, любой желающий мог переключиться на Basic UI, открыть страницу в любом браузере, включить инструменты разработчика и отредактировать параметр [from address ‘send name ‘], вписав туда что угодно, к примеру, Yahoo Security. В итоге получатель письма увидит именно это имя в поле «от». Самое очевидное применение такой уязвимости – рассылка фишинговых писем, выглядящих весьма правдоподобно.

Уязвимость была обнаружена еще в октябре 2015 года. На исправление проблемы у Yahoo и Эмера, который помогал специалистам компании, ушло почти полгода – полностью баг устранили только 29 февраля 2016 года. Ниже можно увидеть proof-of-concept видео, снятое исследователем.

Источник: anti-malware.ru

15.12.2015

Новая критическая уязвимость в Joomla использована для совершения массовой атаки

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируетсязлоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление и провести полный аудит своих систем. По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновентия, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления, сообщает opennet.ru. Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.

Источник: anti-malware.ru

15.12.2015

Взломан популярный Wordpress-хостинг WP Engine

В минувшие выходные стало известно, что 9 декабря 2015 года популярный хостинг WP Engine подвергся взлому. Администрация сервиса уведомила клиентов об атаке и обнулила все пароли. Подробностей об инциденте пока немного, так как представители WP Engine не торопятся обнародовать детали происшедшего, ограничиваясь формулировкой «проводится расследование при поддержке правоохранительных органов». Администрация хостинг-провайдера уверяет, что данные клиентов в ходе атаки не пострадали, и хакерам не удалось похитить ничего ценного. Однако WP Engine обнулил пароли от пользовательских аккаунтов и разослал клиентам сообщение, с просьбой немедленно обновить прочие данные, пишет xakep.ru. Пользователям рекомендуют сменить все пароли вообще. То есть: пароли от портала WP Engine, пароли от БД WordPress (позднее сообщение обновилось, теперь компания утверждает, что сброс паролей от БД не нужен, так как WP Engine осуществят его сами), SFTP, пароль от аккаунта администратора WordPress, пароли от защищенных установок.
«Мы приносим извинения за неудобства, которые мог вызывать данный инцидент. Мы рассматриваем этот случай, как возможность пересмотреть и улучшить нашу безопасность», — гласит официальное сообщение компании.
WordPress-хостинг WP Engine был основан в 2010 году. На данный момент сервис насчитывает более 40 000 клиентов из 133 стран мира, включая компании SoundCloud, Yelp, AMD и Network Rail. За пять лет работы компания сумела привлечь более $41 млн инвестиций.

Источник: anti-malware.ru

10.12.2015

Trend Micro зафиксировала резкий рост числа кибератак на PoS-терминалы в третьем квартале 2015 года

В третьем квартале 2015 года было зафиксировано заметное увеличение вредоносной активности в отрасли торговли, связанное с атаками на PoS-терминалы.  Такой вывод содержится в отчете по информационной  безопасности “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”, представленном Trend Micro. Самой прибыльной и привлекательной мишенью для киберпреступников в этом квартале оказался сегмент малого и среднего бизнеса. Это обусловлено, прежде всего, тем, что базы данных в таких компаниях находятся под минимальной защитой или совсем не защищены. Кроме того, компании не стремятся следовать стандартам для операций по банковским картам с чипом, разработанным совместными усилиями Europay, MasterCard и Visa (EMV), а технологии платежей нового поколения, такие как бесконтактные RFID-метки, электронные кошельки (Apple Pay или Android Pay) и новая архитектура системы приема электронных платежей, внедряются достаточно медленно. Аналитики TrendMicroотмечают, что в этом квартале для заражения PoS-терминалов хакеры перешли от использования целенаправленных атак к тактике массового заражения. Для этого они применили такие «старые» техники, как спам, вредоносные макросы, наборы эксплойтов и ботнеты. В результате действий злоумышленников количество зараженных терминалов оплаты выросло на 66% по сравнению со вторым кварталом, при этом больше всего пострадал сегмент малого и среднего бизнеса. «Инструменты заражения PoS-терминалов, нацеленные на средний и малый бизнес, не новы, поэтому настоящим открытием  текущего квартала стало то, что киберпреступники перешли от использования целенаправленных атак к традиционным инструментам массового заражения, таким как спам, ботнеты и наборы эксплойтов, — говорит Нумаан Хук (Numaan Huq), Senior Threat Researcher Trend Micro. — Неизменным остается только то, что покупатели, совершая покупки с помощью платежных карт, находятся под угрозой. Массовое заражение – довольно рискованная стратегия, поскольку вредоносное программное обеспечение может быть оперативно обнаружено и нейтрализовано, но, вместе с тем, для хакеров – это возможность найти новых жертв. Если данные этих жертв попадут в руки преступников, то это позволит в будущем проводить в отношении них и их контактов более целенаправленные атаки». 

Источник: anti-malware.ru

01.10.2015

В TrueCrypt обнаружены критические уязвимости

Хотя аудит кода проекта TrueCrypt успешно завершился весной 2015 года, а криптографы-аудиторы отчитались, что уязвимостей и багов в коде нет, кое-что, оказывается, все-таки укрылось от их взглядов. Участник Google Project Zero Джеймс Форшоу (James Forshaw) обнаружил в популярном некогда криптографическом ПО сразу две критические уязвимости. Напомню, что разработка TrueCrypt была прекращена в 2014 году, когда неизвестный автор программы сообщил, что у TrueCrypt имеются некие неразрешимые проблемы с безопасностью и его использование крайне не рекомендуется. Теперь проблем стало еще больше, пишет xakep.ru. Форшоу обнаружил два бага (CVE-2015-7358, CVE-2015-7359), оба актуальны для систем семейства Windows. Оба позволяют осуществить эскалацию привилегий, в итоге получив в системе полные права администратора и доступ ко всем данным пользователя, включая зашифрованные. Более детальных данных о проблеме Форшоу пока не раскрывает, давая возможность авторам форков выпустить патчи. К примеру, разработчики VeraCrypt уязвимости уже исправили, выпустив версию 1.15.  Относительно закончившегося весной этого года аудита проекта, Форшоу высказался достаточно аккуратно. «Хотя найденные мой баги и не являются бэкдорами, очевидно их все-таки не заметили, во время проведения аудита», — пишет Форшоу в твиттере, намекая, что аудиторы искали в коде программы умышленно оставленные там бэкдоры, и могли не обратить внимания на ошибки.

Источник: anti-malware.ru

30.09.2015

Продемонстрирована DDoS-атака на основе JavaScript

Два года назад на конференции Black Hat исследователи Иеремия Гроссман (Jeremiah Grossman) и Мэтт Йохансен (Matt Johansen) из WhiteHat Security объяснили, как хакеры теоретически могут использовать сеть онлайн-рекламы для распространения вредоносных JS-скриптов эффективно и быстро. В зависимости от того, сколько денег хочет потратить злоумышленник, он может сделать практически все, от атак побочной загрузкой и отправления поискового движка до DDoS-атак. «В случае DDoS-атаки менее чем за $10 мы можем очень быстро убить один сервер Apache и продержать его таким долгое время, — рассказывал Гроссман Threatpost в 2013 году. — Я не знаю, сколько бы нам стоила атака, будь там хорошая DDoS-защита, но определенно не $100. Это значит, что кто угодно без DDoS-защиты уязвим перед 10-долларовой атакой, которая может положить его сервис». Тактика использования JavaScript для поражения цели медленно смещается из теории в практику, учитывая исследование Great Cannon, проведенное в этом году Citizen Lab, а также JavaScript-атаку против 8chan, которую проводили через вредоносные файлы изображений, размещенные на Imgur. В пятницу CloudFlare описала объемную атаку против неназванного клиента, которая, как предполагается, могла быть проведена с использованием мобильной рекламной сети. Исследователь Марек Майковский (Marek Majkowski) сообщил, что flood-атака достигла уровня 275 тыс. HTTP-запросов в секунду, приблизившись к 1,2 млрд запросов в час, в течение четырехчасового периода, передает uinc.ru.

Большая часть запросов пришла с мобильных браузеров, расположенных в Китае. «Нет способа узнать наверняка, почему так много мобильных устройств посещало атакуемую страницу, но наиболее вероятным вектором распределения кажется рекламная сеть, — написал Майковский. — Вполне вероятно, что пользователями были загружены рекламные баннеры, содержащие вредоносный JavaScript. [Эти] рекламные модули, скорее всего, были показаны в виде iframe в мобильных приложениях или в мобильных браузерах, когда люди просто листали Интернет». Майковский заявил, что это не относится к типу атак с внедрением пакетов. Вместо этого, скорее всего, мобильные браузеры пользователей получили iframe с рекламными баннерами, запрошенными из мобильной рекламной сети. Сети перенаправляют запросы к вредоносным сторонним сайтам, которые выиграли соревнование за слот. Пользователь получает страницу, содержащую вредоносный JavaScript, который отправляет flood- или XHR-запросы в адрес атакуемого веб-сайта. «Кажется, самая большая трудность не в создании JavaScript, а в эффективном распространении его. Поскольку эффективный способ распространения имеет решающее значение для генерирования больших объемов, но до сих пор я не видел значительных объемов, сгенерированных браузерами, — сказал Майковский. — Атаки вроде этой формируют новый тренд. Они представляют собой большую опасность: защита от такого типа атаки для операторов небольших веб-сайтов может представлять проблему».

Источник: anti-malware.ru

30.09.2015

Анонсировано российское решение для защиты мобильных рабочих мест

На состоявшейся пресс-конференции компании ИнфоТеКС, «МобилитиЛаб» (ГК АйТи) и НИИ СОКБ представили журналистам WorksPad PROTECTED – совместное комплексное решение для создания защищенных корпоративных мобильных рабочих мест. В основу WorksPad PROTECTED вошли продукты отечественных компаний-лидеров рынка корпоративной мобильности, что обеспечивает его полную импортонезависимость и делает потенциально интересным для государственных и бизнес-заказчиков, которым необходимо обеспечить надежность и безопасность мобильной работы своих сотрудников.
WorksPad PROTECTED позволяет быстро и легко организовать защищенные мобильные места для любого количества сотрудников, а также обеспечивает безопасную передачу данных, защищенный доступ к корпоративным ресурсам и ведение конфиденциальных переговоров. В состав WorksPad PROTECTED входят три взаимодополняющих продукта от «МобилитиЛаб», ИнфоТеКС и НИИ СОКБ:

  • интегрированное рабочее место WorksPad
  • защищенная доверенная среда передачи информации ViPNet с использованием публичных и выделенных каналов связи
  • система MDM-класса SafePhone для управления мобильным устройством и защиты информации, обрабатываемой и хранящейся на нём.


Изначальная ориентация на российского заказчика, а также высокие компетенции участников консорциума позволили создать по-настоящему инновационное решение, не имеющее аналогов на отечественном рынке. WorksPad PROTECTED, помимо ощутимого синергетического эффекта, даст заказчику реальную экономию, которая в зависимости от масштабов и сложности проекта может составить до 20% по сравнению с рыночными ценами компонентов, приобретаемых по отдельности. «Рынок корпоративной мобильности в последние 3-4 года переживает бурный рост, – отметил генеральный директор «МобилитиЛаб» Сергей Орлик. – Вместе с тем потребительская мобильная среда и облачные сервисы наиболее уязвимы для атак злоумышленников, что вызывает серьезную озабоченность уже и на государственном уровне. В этом контексте объединение трех отечественных программных продуктов в одно комплексное решение наиболее полно отвечает актуальным запросам  российских заказчиков в государственном и коммерческом секторах». Появление WorksPad PROTECTED было продиктовано реальными потребностями рынка. В настоящий момент запущено несколько пилотных проектов, подробности о которых будут анонсированы позднее. «МобилитиЛаб», ИнфоТеКСа и НИИ СОКБ собираются продвигать решение как в рамках совместной стратегии, так и по отдельности. Внедрение будет осуществляться системными интеграторами, являющихся партнерами трех разработчиков WorksPad PROTECTED.

Источник: anti-malware.ru

23.06.2015

С 1 января 2016 года закупку импортного софта нужно будет обосновывать

Дума приняла в третьем чтении законопроект о преференциях для отечественного софта, внесенный ее комитетом по информполитике во главе с Леонидом Левиным. С 1 января 2016 г. госзаказчик должен будет объяснить свой выбор в пользу иностранного софта, если в специально созданном реестре отечественного программного обеспечения будут российские аналоги. Ограничение коснется только государственных органов.

При внесении документа в Госдуму кроме закупок госведомств он ограничивал еще и закупки госкорпораций. Но в финальную версию закона это требование не вошло. По словам исполнительного директора ассоциации «Отечественный софт» Евгении Василенко, участвовавшей в подготовке законопроекта, Госдума сейчас обсуждает более общий документ о преференциях при закупках для заказчиков из госкорпораций, пишет vedomosti.ru.

Дополнение к закону разработало Минкомсвязи: ведомство выложило на портал общественного обсуждения доработанный проект постановления правительства, запрещающий госзакупки иностранного софта с тремя исключениями. Первое – если в реестре нет программ нужного класса. Второе – программы есть, но не подходят по техническим характеристикам (госзаказчик должен объяснить, по каким именно).

И третье – если сведения о таком софте или закупке составляют гостайну. Закон даст постановлению полномочия вести реестр и классифицировать софт: оба документа смогут существовать параллельно.

Часто заказчики предпочитают импортный софт российскому по привычке, а не из-за лучших характеристик, говорит Василенко из «Отечественного софта». Закупку привычных импортных технологий проще согласовать с руководством ведомств, продолжает эксперт. Зачастую заказчикам неизвестны российские аналоги, что Василенко и директор по продажам в России и СНГ компании Parallels Сергей Члек объясняют несопоставимо большими маркетинговыми бюджетами иностранных вендоров.

Сильнее всего новый закон ударит по производителям не критичного для бизнеса софта, уверен вице-президент IT-кластера «Сколково» и бывший гендиректор «SAP СНГ» Игорь Богачев. В пример он приводит офисные пакеты от Microsoft, вместо которых госорганы смогут закупать российские аналоги. А вот уже внедренные программные продукты от Oracle и SAP заменить будет сложно и при их развитии госзаказчики будут обосновывать невозможность закупки альтернативных решений, уверен Богачев. Около 20 крупных иностранных вендоров поставляют свои IT-продукты госсектору, но больше половины закупок в сегменте приходится на Microsoft, Oracle и SAP – их ежегодные продажи в госсекторе измеряются сотнями миллионов долларов, считает председатель Лиги независимых IT-экспертов Сергей Карелов. Если новый закон будет исполняться, три вендора могут потерять от 10 до 30% своих ежегодных продаж в госсекторе, подсчитывает Карелов.

В выигрыше же, по мнению гендиректора группы компаний InfoWatch Натальи Касперской, окажется около 1000 российских разработчиков, среди которых она называет 1С, Dr. Web, Entensys, «Лабораторию Касперского», InfoWatch, «Аскон». Схожий список и у Сергея Калина из «Открытых технологий». Отечественным разработчикам помогает не столько закон, сколько сама дискуссия об импортозамещении, считает гендиректор компании «1С-Битрикс» Сергей Рыжиков. Еще год назад госклиенты редко рассматривали продукты «1С-Битрикса», предпочитая западные аналоги, а теперь «1С-Битрикс» даже открыл отдел по работе с такими клиентами, объясняет он.

По данным Ассоциации электронных торговых площадок (АЭТП), анализирующей закупки, в 2014 г. госорганы закупили IT-решений Microsoft, IBM, Oracle, SAP и Cisco на сумму 1,18 млрд руб. Это на 34% меньше IT-закупок 2013 г., составивших 1,8 млрд руб. Закупки госкорпораций существенно больше: в 2014 г. они приобрели продукции этих IT-вендоров на 17,6 млрд руб., что на 53% больше показателя 2013 г., когда закупки составили 11,5 млрд руб., знают аналитики АЭТП. Но при госзакупках редко прописываются конкретные марки оборудования: чаще всего указаны характеристики. Реальные закупки импорта могут быть примерно в 4 раза больше сумм, предоставленных АЭТП, знают собеседники «Ведомостей» в двух крупных системных интеграторах.

Представители Microsoft отказались от комментариев. Представители SAP, IBM, Oracle на запрос «Ведомостей» не ответили.

Источник: anti-malware.ru

23.06.2015

Армия США заплатила миллионы долларов, чтобы не переходить на Windows 10

Военно-морские силы США заключили с Microsoft годовой контракт на сумму $9,1 млн в июне 2015 г. для того, чтобы продолжить получать обновления безопасности для Windows XP, Office 2003, Exchange 2003 и Windows Server 2003. В общей сложности армия США может заплатить $30,8 млн, чтобы получать обновления этих продуктов до 2017 г., сообщает IDG News Service

Контракт был заключен между Microsoft и Центром управления системами воздушных и морских войск (Space and Naval Warfare Systems Command — SPAWAR), отвечающим за техническое оснащение и коммуникации, пишет cnews.ru.

Поддержка продуктов Windows XP, Office 2003 и Exchange 2003 уже прекращена. Выпуск патчей для Windows Server 2003 корпорация Microsoft прекратит 14 июля 2015 г. Миграцию с Windows XP ВМС США начали в 2013 г., однако не успел завершить этот процесс. Сейчас в них используется около 100 тыс. ПК с Windows XP, которые необходимо обслуживать.

«ВМС пользуются старым программным обеспечением, зависящим от версии Windows. Пока мы его используем, обслуживание ПК необходимо для поддержания эффективного рабочего процесса», — прокомментировал представитель SPAWAR Стивен Девис (Steven Davis).

Девис не уточнил детали контракта, сославшись на правила неразглашения информации. Но, согласно открытым разделам документов Microsoft, в рамках контракта корпорация должна будет предоставлять обновления для оборудования, установленного на морских судах и наземных станциях. Указанные системы подключены к военной сети NIPRnet для обмена несекретной информацией и SIPRnet для обмена секретными данными.

«Без сохранения поддержки мы не сможем устранять уязвимости, которые могут быть обнаружены в этом программном обеспечении. В результате системы ВМС могут оказаться открытыми для вторжения извне. Это может привести к утечке данных и проблемах в работе сети, что, в свою очередь, не позволит подготовить наши сети к операциям».

В 2014 г. правительство Великобритании заключило с Microsoft контракт на сумму $9,1 млн для обслуживания около 20 тыс. ПК под управлением Windows XP. Аналогичный контракт для властей Нидерландов обошелся в $6,8-8 млн.

В феврале 2015 г. стало известно о планах Microsoft вдвое увеличить стоимость поддержки ПК с Windows XP — c $200 до $400 в расчете на одну лицензию в год. Поддержка Windows XP, вышедшей в 2001 г., окончилась 8 апреля 2014 г.

Согласно Net Applications, доля Windows XP в мире на сегодняшний день составляет 14,6%. Эта операционная система занимает второе место по популярности, уступая Windows 7 (57,8%) и обгоняя Windows 8.1 (12,9%).

Источник: anti-malware.ru

19.06.2015

97% людей не способны распознать опасные электронные письма

Intel Security публикует результаты своего теста проверки знаний пользователей и их умения распознавать электронные письма, отправленные мошенниками с целью получения доступа к логинам, паролям и другим конфиденциальным данным. В исследовании приняли участие около 19 000 человек из 144 стран. Им было предложено изучить 10 сообщений, специально подготовленных Intel Security. Некоторые образцы содержали угрозы кражи информации, т.е. фишинговые атаки. Только 3% из всех опрошенных смогли точно определить, можно ли доверять тому или иному посланию, тогда как 80% респондентов посчитали безопасным как минимум одно из писем с угрозой. Киберпреступники рассылают фишинговые электронные письма для того, чтобы получатели перешли по содержащимся в письмах ссылкам на сайты, созданные с целью похищения персональных данных пользователей. Мошенники обманом заставляют людей указывать свои имена и фамилии, адреса, пароли и/или информацию о кредитных картах на фальшивых ресурсах, которые выглядят так, как будто принадлежат реальным компаниям. В отдельных случаях даже переход по ссылке в письме приводит к автоматической загрузке вредоносных программ на устройство пользователя. Так злоумышленники могут легко похитить информацию без ведома жертвы.

В рамках исследования Intel Security лучше всех с заданием справилась группа респондентов в возрасте от 35-ти до 44-х лет. В среднем они ответили правильно на 68% вопросов. Самые большие трудности с выявлением фишинговых писем в почте испытывают женщины младше 18 и старше 55 лет, они смогли определить лишь 6 из 10 писем. Мужчины лучше женщин защищают себя от хакеров (67% точности в определении вредоносных сообщений против 63%).

Из 144 стран, принявших участие в опросе, лучше всего киберугрозы в электронной почте увидели жители Франции, Швеции, Венгрии, Нидерландов и Испании (они дали более 70% правильных ответов). Российские пользователи смогли точно определить наличие или отсутствие фишинга в 62,5% случаев.  

Оказалось, что участники тестирования чаще всего неправильно определяли безопасные письма. И именно те, в которых была просьба «забрать свои призы». Люди часто ассоциируют бесплатные призы со спамом, это, видимо, и стало причиной того, что респонденты неправильно определили статус писем. «В реальности же электронные послания, содержащие угрозу кражи информации, часто выглядят так, как будто они действительно отправлены с настоящих сайтов, – рассказывает Гари Дэвис (Gary Davis), главный специалист по вопросам безопасности Intel Security. – Необходимо крайне внимательно изучать такие письма и обращать внимание на грамматические ошибки, а также на плохое качество изображений».

Дэвис дает следующие рекомендации, которые позволят избежать опасности:

Что нам необходимо делать:

  • Регулярно обновляйте антивирус и браузер.
  • Наведите курсор на ссылку, чтобы посмотреть, куда она ведет.
  • Проверьте письмо на предмет наличия следующих признаков: неправильно написанные слова, неправильные URL-домены, низкое качество графики и неизвестные отправители.
  • Вместо перехода по ссылке в письме необходимо посетить сайт компании, отправившей письмо, чтобы убедиться в достоверности информации.

Что нельзя делать:

  • Не нажимайте на ссылки в письмах, полученных из неизвестных или подозрительных источников.
  • Не отправляйте подозрительно выглядящее письмо друзьям или членам семьи.
  • Не загружайте контент, который ваш браузер или антивирус считает подозрительным.
  • Не оставляйте на сайте личную информацию.

Источник: anti-malware.ru

17.03.2015

Индийские чиновники торговали секретами

Заместитель министра и сотрудник министерства финансов Индии арестованы по подозрению в краже конфиденциальной информации, сообщается на сайте Центрального бюро расследований (ЦБР). По версии следствия, чиновники передали группе лиц секретные сведения относительно инвестиционных планов иностранных корпораций в Индии. Посредником выступил консультант одной из компаний в г. Мумбаи. Сами документы передавались по электронной почте либо курьерской доставкой.

В ходе обысков, проведенных ЦБР в Мумбаи и Дели, в офисе консультанта найдены 60 млн Шри-Ланкийских рупий наличными (около 500 тыс. долларов США). Также найдены копии конфиденциальных документов, передает infowatch.ru.

Через два дня после публикации официального пресс-релиза на портале indianexpress.com появилась информация, что один из участников скандала с утечкой документов мог работать в компании PricewaterhouseCoopers (PwC). Об этом заявил представитель ЦБР. По его словам, связь сотрудника PwC и индийских чиновников, арестованных ранее по делу о хищении секретной информации, выяснилась в ходе допросов.

Источник: anti-malware.ru

16.03.2015

По итогам 2014 года США лидируют в рассылке нежелательной корреспонденции

В 2014 году доля спама в мировом почтовом трафике, по данным «Лаборатории Касперского», снизилась и составила 66,8%, что почти на три процентных пункта меньше, чем в 2013 году. Среди стран-источников спама по-прежнему лидируют США (16,7%), за которыми с существенным отрывом следует Россия (6%).

Американские пользователи также чаще остальных сталкивались с вредоносными вложениями в нежелательной корреспонденции, а в России зарегистрировано наибольшее количество срабатываний системы «Антифишинг». В прошлом году злоумышленники ожидаемо эксплуатировали громкие события: смерть знаменитостей, военные действия и международные спортивные мероприятия – к примеру, в связи с чемпионатом мира по футболу был зарегистрирован всплеск фишинга и спам-рассылок в Бразилии. Распространение получил ряд трюков для обхода фильтров: размещение рекламного текста в письме в графическом виде или вставка фрагментов художественных произведений и статей Википедии в конец письма – все это повышает правдоподобность сообщения для систем детектирования. Также в 2014 году спамеры стали чаще предлагать услуги по доставке рекламы посредством SMS и популярных мессенджеров (WhatsApp, Viber и прочие). Заказчиков подобных услуг ищут с помощью традиционных почтовых спам-рассылок, и количество такой рекламы тоже растет. Среди вредоносных вложений чаще всего встречалась фишинговая html-страница с формой для ввода конфиденциальных данных, которые затем направлялись злоумышленникам. На втором месте – червь Bagle, собирающий почтовые контакты жертвы и далее рассылающий себя по ним, а за ним – троянец Redirector, перенаправляющий пользователя на мошеннический сайт. При этом наибольшая доля срабатываний почтового антивируса зарегистрирована в США (9,8%), за которыми следуют Великобритания (9,6%) и Германия (9,2%).

Распределение фишинговых атак по странам, 2014 год

 

В рейтинге наиболее часто атакуемых фишерами стран лидирует Россия (17,28%) – за год ее доля увеличилась на 6 пунктов. При этом лидер прошлого года, США (7,2%), потерял почти 24 пункта и сместился на второе место. В 42,6% таких атак мошенники прикрывались именами интернет-порталов, что отличается от ситуации в 2013-м году, когда чаще всего использовались названия социальных сетей.

«Доля спама в почте продолжает снижаться, но это не повод терять бдительность. Мы наблюдаем тенденцию уменьшения традиционных рекламных писем на фоне увеличения доли опасного мошеннического и вредоносного спама. Полагаем, что в этом году станет еще больше хорошо подделанных писем и сообщений, в которых злоумышленники будут пробовать применить новые трюки. Чтобы не попасться на них, рекомендуем установить надежное защитное решение класса Internet Security, которое оградит ваш почтовый ящик от нежелательной корреспонденции», – советует Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

Источник: anti-malware.ru

14.03.2015

В Oracle Linux выявлены серьёзные проблемы в реализации UEFI Secure Boot

Компания Oracle объявила о реализации в выпуске дистрибутива Oracle Linux 7.1 возможности верификации процесса загрузки на системах с UEFI Secure Boot. Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, активно занимающийся обеспечением загрузки Linux на системах с UEFI, выступилс критикой поддержки UEFI Secure Boot в Oracle Linux и указал на серьёзные проблемы с безопасностью, позволяющие выполнить произвольный код, незаверенный цифровой подписью.

Механизм UEFI Secure Boot позволяет гарантировать использование на этапе загрузки системы только оригинальных компонентов, заверенных цифровой подписью. В RHEL и Oracle Linux, при использовании UEFI Secure Boot, обеспечивается проверка загрузчика, ядра, загружаемых ядром драйверов и модулей ядра. Для обеспечения защиты от выполнения непроверенных компонентов, при загрузке с верификацией в ядре необходимо отключить ряд возможностей, таких как вызов kexec и интерфейсы, позволяющие вносить изменения в память ядра из пространства пользователя. В частности, kexec предоставляет возможность загрузки нового ядра из уже запущенного ядра Linux, что может быть использовано для обхода UEFI Secure Boot путём замены проверенного ядра на другое ядро, не снабжённое цифровой подписью, сообщает opennet.ru. Как известно, в Oracle Linux кроме клона ядра из состава RHEL также поставляется собственный вариант ядра Unbreakable Enterprise Kernel, поддерживаемый силами Oracle. Проблема состоит в том, что цифровые подписи для обоих ядер созданы с использование одного ключа. Если в клоне ядра RHEL при загрузке в UEFI Secure Boot производится отключение опасных компонентов ядра, то в ядре Unbreakable Enterprise Kernel остаётся активен kexec, что сводит на нет всю цепочку доверия. Даже при использовании ядра RHEL в Oracle Linux, атакующий имеет возможность загрузить имеющее корректную цифровую подпись ядро Unbreakable Enterprise Kernel, а затем через kexec запустить модифицированный вариант ядра с бэкдором. Интересно также то, что ключ для создания цифровой подписи для Oracle Linux назван "oracle301", при том, что число 301 выбрано так как ключ в RHEL тоже оканчивается на 301, но без учёта того, что 301 не имеет принципиального значения и является лишь порядковым номером сгенерированного в Red Hat ключа. 

Источник: anti-malware.ru

15.01.2015

Эксперты ESET обнаружили первый саморазмножающийся шифратор

Эксперты международной антивирусной компании ESET обнаружили новую разновидность трояна-шифратора с уникальным механизмом заражения файлов – Win32/Virlock. Как и другие известные шифраторы, Win32/Virlock блокирует рабочий стол инфицированного компьютера, шифрует файлы и выводит на экран требование выкупа.

Но в дополнение к «традиционному» функционалу Win32/Virlock способен также заражатьфайлы как полиморфный вирус, встраивая в них свой код.

Win32/Virlock специализируется на заражении файлов наиболее распространенных форматов: .exe, .doc, .xls, .zip, .rar, .pdf, .ppt, .mp3, .png, .gif, .jpg и др. Virlock компрометирует файлы как на сетевых дисках, так и на съемных носителях.

При заражении файла, не являющегося исполняемым, Win32/Virlock использует специальную схему. Вместо обычного для данного типа вредоносного ПО побайтного шифрования он преобразует файл в исполняемый. Для этого Virlock создает новый файл с зашифрованным содержимым документа и своим кодом, удаляет оригинальный файл и перезаписывает новый с тем же именем, но с расширением .exe.

Запуск инфицированного файла сопровождается созданием двух новых, осуществляющих дальнейшее заражение системы. Полиморфизм Win32/Virlock гарантирует уникальность тела вредоносной программы в каждом «обработанном» файле.

Часть кода Win32/Virlock отвечает за отображение экрана блокировки и самозащиту, в том числе завершение процессов «Диспетчера задач». Сообщение в окне блокировки содержит требование о выкупе в размере 250 долларов в биткоин-эквиваленте. Анализ транзакций, проведенных по указанному счету Bitcoin, показал, что некоторые жертвы уже заплатили злоумышленникам.

Интересно, что код вредоносной программы способен выполнять некоторую локализацию экрана блокировки. Для этого используется соединение с google.com и определение перенаправления на локальный домен (например, google.ru, google.co.uk и др.). В некоторых странах на экране блокировки отображается государственный флаг, стоимость биткоина и курс национальной валюты.

Специалисты ESET зафиксировали несколько модификаций Win32/Virlock, что указывает на его активное развитие злоумышленниками. При этом код Win32/Virlock свидетельствует о высоком уровне технической подготовки авторов программы.

Источник anti-malware.ru

14.01.2015

Только 5% россиян думает о защите своих денег в Сети

Российские пользователи крайне беспечны: только 5% из них считают, что хорошее защитное решение должно содержать технологии для обеспечения безопасности финансовых транзакций онлайн. Об этом свидетельствуют данные исследования, проведенного «Лабораторией Касперского» совместно с независимой аналитической компанией B2B International летом 2014 года.

При этом операции в системах интернет-банкинга сегодня совершают порядка 56% российских пользователей, а 58% россиян регулярно оплачивают свои покупки в Сети. Более того, 18% опрошенных отметили, что используют для операций с деньгами мобильные устройства. 

Однако несмотря на свои реальные привычки и потребности значительная часть российских пользователей (34%) по-прежнему отдает предпочтение дешевым или вовсе бесплатным антивирусам. Вместе с тем результаты специального опроса пользователей бесплатного антивирусного ПО, инициированного «Лабораторией Касперского» в России, говорят о том, что стремление сэкономить на защите нередко может обернуться разного рода неприятностями: от взлома аккаунта в социальной сети до реальной кражи денег с банковской карты.

Так, около 90% респондентов, пользовавшихся на момент опроса бесплатными защитными продуктами на своих компьютерах, сообщили, что сталкивались с заражением своих компьютеров. При этом больше половины (54%) пользователей столкнулись с подобными угрозами в течение последних 12 месяцев.

Последствия таких заражений часто несут прямую угрозу сохранности информации в компьютерах пользователей, конфиденциальности их переписки, а иногда влекут и прямые финансовые потери. Так, более половины респондентов сообщили, что сталкивались с ситуацией, когда вирус блокировал работу компьютера и требовал оплату для снятия блокировки. Более 30% пользователей признались, что злоумышленники взламывали их аккаунты в социальных сетях, более четверти столкнулось с рассылкой спама и вирусов от их имени. Кроме того, чуть более 25% опрошенных отметили, что для них киберинциденты окончились утратой ценных файлов, хранившихся на компьютере.

«Киберзлоумышленники во всех своих действиях преследуют одну цель – заполучить деньги пользователей напрямую или опосредованно через доступ к любым персональным данным человека, – рассказывает Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского». – Больше всего рискуют люди, пренебрегающие защитными решениями или использующие бесплатные программы, а в России таких сегодня довольно много. Дело в том, что базы данных большинства бесплатных версий не успевают обновляться так же быстро, как растет число и разнообразие киберугроз. А сами эти решения не всегда умеют распознавать неизвестные вредоносные программы по их поведению. Кроме того, специальные функции защиты финансовых операций в Сети содержатся только в платных продуктах, и без них проводить какие бы то ни было денежные операции онлайн сегодня крайне рискованно. В связи с этим при выборе защиты лучше всего, конечно же, руководствоваться качеством работы решения, а не только его стоимостью».  

Источник anti-malware.ru

12.01.2015

В компьютерах Apple обнаружена уязвимость нового типа

Специалист по информационной безопасностиТраммель Хадсон(Trammell Hudson) из американской компании Two Sigma Investments написал первый буткит для Mac. Буткит — это вредоносная программа, которая модифицирует загрузочный сектор накопителя в компьютере, позволяя обойти любую защиту от несанкционированного доступа на низком уровне.

Хадсон обнаружил, что при перезагрузке Mac в режиме восстановления система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на этом устройстве находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность и, если проверка прошла успешно, исполняет.

Эксперт нашел уязвимость в методе проверки подлинности и научился обманывать систему, заставляя ее запускать произвольный код. Затем он написал непосредственно сам буткит, который меняет стандартную прошивку Mac, отвечающую за запуск операционной системы при включении или перезагрузке компьютера, сообщает safe.cnews.ru.

Установить буткит Thunderstrike — так его назвал автор — удаленно не получится, необходим физический контакт с машиной, так как взлом осуществляется с помощью периферийного интерфейса. Зато хакеру предоставляются широкие возможности, говорит эксперт.

Для Thunderstrike не являются помехой ни парольная защита, ни шифрование данных на диске, так как взлом происходит до того, как они вступают в силу. Кроме того, так как вредоносный код записывается в загрузочный сектор диска, его никак нельзя обнаружить.

По словам Хадсона, найденная им уязвимость открывает широкие возможности спецслужбам, которые могли бы устанавливать «жучки» в компьютеры до их отправки за рубеж. В частности, этим промышляло АНБ,перехватывая и оснащая лазейкамироутеры Cisco, направляемые иностранным заказчикам. Прелесть такого «жучка» в том, что пользователь никогда не сможет узнать о его существовании и как-либо удалить его стандартными методами. Если он отформатирует диск компьютера или переустановит операционную систему, буткит из загрузочного сектора никуда не денется.

«Записываемая в загрузочный сектор прошивка проверяется только однажды, в момент записи. Позже никто и никогда ее больше не проверяет, потому что в этом нет нужды», — добавил эксперт.

Хадсон сообщил, что он уже уведомил Apple о найденной уязвимости. Компания уже выпустила патчи для Mac Mini и iMac Retina. Ожидается, что для других моделей обновления выйдут в ближайшее время.

Ранее, в 2012 г. на конференции Red Hat был продемонстирован похожий метод взлома технологии шифрования FileVault, которую Apple использует в своих компьютерах. В отличие от Thunderstrike, авторы эксплойта не перезаписывали загрузочный сектор. Тем не менее, для взлома Mac они использовали тот же интерфейс — Thunderbolt. Он применяется в компьютерах Apple начиная с 2011 г.

Источник anti-malware.ru

14.10.2014

Хакеры угрожают обнародовать 7 млн паролей аккаунтов Dropbox

Неизвестные украли около 7 млн логин-данных пользователей облачного сервиса Dropbox. Хакеры заявили, что готовы опубликовать информацию, если им заплатят в виртуальной валюте Bitcoin. Размер выкупа и актуальность паролей пока не определены.

13 октября на Pastebin выложили в Сеть список 400 электронных ящиков и паролей. Заявлено, что эти данные получили в результате масштабного проникновения в системы Dropbox. Хакеры написали, что это лишь часть украденных сведений. Киберпреступники пообещали выкладывать новую информацию до тех пор, пока за неё будут платить в Bitcoin. Чем большей будет сумма, тем больше данных опубликуют.

Неизвестно, как мошенники получили доступ к логин-данным и аутентичны ли они. Вместе с тем, хакеры заявили, что завладели информацией о почти 7 млн аккаунтов и пригрозили опубликовать фотографии, ролики и другие файлы из них. Представители компании Dropbox опровергли взлом систем платформы и сказали, что пароли украли у пользователей других сервисов.

«Dropbox не взломали. Эти логины и пароли, к сожалению, украли из других сервисов и пытались использовать их для входа в записи Dropbox. Мы обнаружили, что большинство опубликованных паролей давно устарели», – заявили в Dropbox.

Несмотря на это заявление, компании пришлось перезагрузить пароли для аккаунтов, которые опубликовали на Pastebin. Вне зависимости от утверждений хакеров, пользователям облачной платформы рекомендуется изменить пароли, пока специалисты не определят масштаб проблемы.

Источник anti-malware.ru

13.10.2014

В течение суток Oracle устранит рекордное число «дыр» в своих продуктах

Корпорация Oracle во вторник, 14 октября, выпустит патчи для устранения 155 критических уязвимостей в 44 своих продуктах, причем большинство из них будут касаться платформы Java. До этого Oracle в последний раз выпускала аналогичные критические обновления в июле 2014 г., следующий выпуск запланирован на январь 2015 г. Для сравнения, в июле было устранено 113 уязвимостей.

Как отмечает ZDNet, в этот раз Oracle выпускает патчи для необычно большого числа уязвимостей по сравнению с предыдущими обновлениями. При этом 22 из 25 уязвимостей в Java SE, которые будут устранены в этом обновлении, позволяют злоумышленникам дистанционно получить контроль над компьютером жертвы без взлома его учетной записи.

Обновление затрагивает не только Java SE, но также Java SE Embedded для встраиваемых систем, JavaFX и виртуальную машину JRockit. Согласно шкале Common Vulnerability Scoring System (CVSS), некоторые из устраняемых уязвимостей несут максимально возможный рейтинг опасности.

Около трех десятков устраняемых уязвимостей (32) содержатся в продуктах семейства Oracle Database Server, и по крайней мере одна из них несет рейтинг опасности 9 из 10.

Еще 17 уязвимостей содержатся в продуктах семейства Oracle Fusion Middleware и 4 — в Oracle Retail Applications (в обоих случаях рейтинг опасности 7,5 из 10). Другие 15 содержатся в Oracle Sun Systems Product Suite (7,8 из 10)

Между тем, Oracle — не единственная крупная ИТ-компания, которая запланировала выпуск крупного обновления на вторник. Бюллетени в этот же день также опубликуют Microsoft и Adobe Systems, но их размер будет меньше. Например, Microsoft планирует устранить лишь 9 уязвимостей, 3 из которых предназначены для Internet Explorer и, согласно градации Microsoft, носят критический характер. Добавим, что одно из последних обновлений Microsoft для Windows оказалось бракованным и вызвало критическую ошибку в системе. 

Источник anti-malware.ru

13.10.2014

Каждый пятый россиянин сталкивается с кражей аккаунта в соцсетях

Согласно результатам опроса, проведенного «Лабораторией Касперского» совместно с компанией B2B International, общение в социальных сетях — одно из наиболее популярных занятий российских пользователей в Интернете. Не меньший интерес они представляют и для злоумышленников – за последний год 19% опрошенных россиян столкнулись с кражей собственных аккаунтов.

Как показало исследование, лишь небольшое число пользователей соцсетей понимают связанные с ними риски – 85% респондентов не знают или не верят в то, что они могут представлять интерес для злоумышленников. В результате многие пренебрегают осторожностью. Например, подключившись к публичной сети Wi-Fi, 26% россиян авторизуются в социальных сетях, а еще 41% опрошенных хранит на своих устройствах логины и пароли от почтовых и социальных аккаунтов. Кроме того, каждый пятый респондент признался, что сообщает о себе слишком много информации в социальных сетях.

Беспечное поведение пользователей приводит к печальным последствиям. Злоумышленники часто просматривают социальные сети в поисках неосторожно оставленной пользователем информации: адреса электронной почты, который можно использовать для мошеннических схем, подсказок, которые помогут подобрать пароль, местоположения пользователя в данный момент и многого другого. В свою очередь, доступ к чужому аккаунту может дать киберпреступнику еще больше возможностей. Рассылка вредоносных ссылок и файлов по друзьям, а также кража персональных данных для продажи на черном рынке – лишь некоторые из них.

Статистика подтверждает, что интерес злоумышленников к социальным сетям не угасает. По данным Kaspersky Security Network, за 2013 год продукты «Лаборатории Касперского» заблокировали более 600 миллионов попыток посетить фишинговую страницу, и более 35% из этих сайтов имитировали социальные сети. Более того, согласно данным B2B International, 35% пользователей в России сталкивались с подозрительными сообщениями, предлагавшими перейти по неизвестной ссылке или скачать потенциально опасный файл, а 10% получали электронные письма якобы от имени социальной сети с попыткой узнать их учетные данные.

«Мы всегда советуем придумывать надежные пароли и проявлять бдительность в отношении перехода по ссылкам в социальных сетях. Однако очень часто теряется одна важная рекомендация. Нужно также следить за информацией, которой вы публикуете в сети, – ее можно использовать в таргетированных атаках против вас. Советуем разделить друзей и знакомых на группы, для каждой из которой выставить соответствующие настройки приватности, чтобы сообщать что-то личное только тем, кому вы доверяете. Это оградит вас от трюков социальной инженерии, а об остальном позаботится наше защитное решение Kaspersky Internet Security, с какого бы устройства вы ни заходили в Сеть», – говорит Денис Макрушин, технологический эксперт «Лаборатории Касперского».

Источник anti-malware.ru

26.08.2014

Уязвимость может заставить iPhone звонить на платные номера

Специалисты по безопасности обнаружили в iOS критическую уязвимость, которая позволяет злоумышленникам зарабатывать деньги, заставляя iPhone звонить на платные номера. Чтобы попасться на крючок, владельцу гаджета достаточно просто перейти по вредоносной ссылке.

При использовании Safari владелец iPhone может быть спокоен - браузер будет спрашивать каждый раз перед совершением звонка. Однако, если вредоносная ссылка придет, к примеру, в WhatsApp, в приложение "Вконтакте", в письме Gmail или по iMessage, смартфон пр нажатии на нее сразу же начнет звонок на платный номер, сообщает hitech.vesti.ru.

Для инициации начала вызова злоумышленникам достаточно создать веб-страницу со специальным java-скриптом.

Уязвимость распространяется на большинство популярных приложений, включая клиент Google+, Gmail и FaceTime. Эксперты компании также выложили ссылку, при переходе по которой iPhone начинает совершать звонок.

Уязвимость была обнаружена сотрудником компании AirTame Андреем Некулаэси. В Apple на сообщение о новой уязвимости пока что не отреагировали. Остается надеяться, что брешь в безопасности будет заделана в следующей версии iOS.

Источник anti-malware.ru

22.08.2014

Американцы научились взламывать мобильный Gmail с 92% вероятностью

Команда американских программистов разработала метод, который позволил с 92% вероятностью взламывать мобильные приложения, включая Gmail. Для проведения атаки владелец устройства должен предварительно поставить на телефон вредоносную программу.

Специалисты обнаружили уязвимость, которая присутствует в ОС Android, Windows и iOS. Брешь можно эксплуатировать для получения личных данных у ничего не подозревающих жертв. Исследователи протестировали метод и обнаружили, что он эффективен на 82-92% в 6 из 7 популярных приложений. В список программ входят Gmail, CHASE Bank и H&R Block. Единственным «непробиваемым» софтом оказалось приложение Amazon.

«Всегда считалось, что программы не могут мешать друг другу. Мы доказали, что это не так. Одно приложение способно серьезно навредить другим и привести к плачевным последствиям для пользователя», – заявил профессор Калифорнийского университета в Риверсайде.

Для проведения атаки владелец устройства должен скачать вредоносный софт. После установки исследователи смогли использовать новый сторонний канал для получения доступа к статистике общей памяти без ведома владельца. Специалисты показали, что при поддержке других сторонних каналов можно довольно точно отслеживать активность программ жертвы.

Команда выступит с докладом о данной уязвимости на симпозиуме по проблемам компьютерной безопасности, который проводит ассоциация USENIX.

Источник anti-malware.ru

22.08.2014

Facebook платит $500 за каждый баг в Oculus Rift

Компания Facebook готова выплачивать пользователям от $500 за каждую обнаруженную ошибку, связанную со шлемом виртуальной реальности Oculus Rift. Это небольшая цена, учитывая, сколько Facebook заплатила за покупку компании, занимавшейся системами виртуальной реальности.

В рамках программы владельцы Oculus Rift могут оповещать о проблемах Facebook и получить компенсацию за наблюдательность. Сотрудники компании утверждают, что максимальной суммы вознаграждения не существует. Каждая выплата зависит от серьезности найденной ошибки. Безопасность – одна из самых серьезных проблем Oculus Rift.

Большинство брешей связано с вебсайтом Oculus и системой сообщений, которой пользуются разработчики, а не с самим продуктом. Конечно, существует вероятность того, то погрешностей станет больше в железе и инструментах для создания софта, который совместим со шлемом виртуальной реальности.

Facebook заплатила $2 млрд за покупку прав на Oculus Rift . В прошлом году корпорация заплатила $1,5 млрд пользователям, которые нашли баги в её социальной сети. В настоящий момент Oculus Rift предоставляется разработчикам. Потребительская версия устройства должна появиться до конца 2015 года.

Источник anti-malware.ru

19.03.2014

АНБ разработало систему для прослушки телефонов за пределами США

Агентство национальной безопасности (АНБ) США разработало техническую систему слежения, позволяющую записывать и потом при желании прослушивать абсолютно все телефонные разговоры отдельно взятой страны. Об этом сообщила 18 марта в своей электронной версии газета The Washington Post.

Ссылаясь на "людей, обладающих непосредственными знаниями" об этой программе АНБ, которое занимается радиоэлектронной разведкой, а также документы, полученные от бывшего сотрудника данного ведомства Эдварда Сноудена, издание уточнило, что означенная программа перехвата телефонных бесед целого государства впервые начала действовать в 2009 году, сообщает cybersecurity.ru.

Ее функция, позволяющая записывать и затем воспроизводить такие разговоры, работает с 2011 года. Весь колоссальный массив данных в виде аудиофайлов, который представляют собой перехваченные беседы по телефону абонентов какой-то конкретной страны, компьютеры АНБ способны хранить в течение месяца, подчеркнула газета. Соответственно, за это время спецслужбы США могут при желании получать доступ к любому такому перехваченному разговору в полном виде.

Против какой именно страны в 2009-2011 годы США впервые стали применять эту программу, не поясняется. Цитируя документы Сноудена, который предал гласности сведения о масштабных программах электронной слежки АНБ, TWP пишет только, что к 2013 году США рассчитывали начать использовать систему перехвата телефонных разговоров и против других интересующих их государств. Бюджетные документы разведки США свидетельствуют о том, что программу перехвата телефонных бесед АНБ намеревалось распространить к октябрю минувшего года в общей сложности на шесть стран, отметила The Washington Post.

Источник anti-malware.ru

19.03.2014

На PHDays IV покажут, как взломать Gmail и шпионить через телевизор

Громкие разоблачения и скандалы, связанные со взломом электронной почты влиятельных пользователей, всегда сопровождаются спорами о подлинности попавшей в сеть переписки. До сих пор считалось, что корректная подпись DKIM однозначно указывает на автора корреспонденции.

Но стоит ли на сто процентов доверять этому механизму аутентификации? Об уязвимостях в сервисах Google, Яндекс и Mail.Ru, о небезопасности телевизоров и недостатках устройств на базе ARM расскажут 21 и 22 мая в Москве, на международном форуме по практической безопасности Positive Hack Days IV.

Безопасные протоколы небезопасно используются

Суммарная аудитория сервисов Google, Яндекса и Mail.Ru приближается к миллиарду пользователей, к анализу их защищенности привлекаются сотни экспертов со всего мира, однако от уязвимостей никто не застрахован. Один из ярчайших представитель российской «старой школы», основатель securityvulns.ru и разработчик прокси-сервера 3proxy Владимир Дубровин (известный под ником 3APA3A) расскажет об ошибках использования протоколов, обеспечивающих приватность, целостность и шифрование данных, — как о хорошо известных (в случае SSL/TLS и Onion Routing), так и о совсем свежих. На десерт Владимир представит новые векторы атак, направленных на получение и подмену информации в различных сервисах, в том числе в электронной почте.

Smart TV — умный шпион в вашем доме

Телевизор был создан, чтобы сделать нашу жизнь полнее, но никто не подозревал, что наследники приемников «КВН-49», в линзу которых наливалась дистиллированная вода, обернутся компьютерами с собственной операционной системой, камерой, микрофоном, браузером и приложениями. Надо ли говорить, что еще одну дверь в нашу приватную жизнь тут же принялись ломать киберпреступники?..

Донато Ферранте (Donato Ferrante) и Луиджи Аурьемма (Luigi Auriemma), основатели компании ReVuln и известные охотники за уязвимостями в SCADA-системах и многопользовательских играх, расскажут о слабых местах технологии Smart TV, вызывающих интерес злоумышленников, и продемонстрируют уязвимости, обнаруженные в телевизорах со Smart TV разных производителей.

Эксплуатация уязвимостей ARM на примере Android

Вооружившись ноутбуками, участники мастер-класса Асема Джакхара (Aseem Jakhar) с головой окунутся в проблемы защищенности ARM. Исследователь компании Payatu Technologies и один из основателей конференции Nullcon проведет слушателей по всем кругам ада низкоуровнего программирования: начиная от ассемблирования в архитектуре ARM, через написание шелл-кода, мимо переполнения буфера и обратной разработки — до внедрения кода.

Акцент на практических моментах позволит всем желающим освоиться с ассемблированием в ARM и узнать, какие процессы задействованы в эксплуатации уязвимостей Linux-систем на базе ARM. Выбор платформы Android в качестве полигона для экспериментов даст возможность получить представление о принципах разработки и защитных механизмах в самой популярной мобильной ОС.

Как подслушать человека на другом конце земного шара

В последнее время в интернете и даже в эфире телеканалов появляются записи телефонных переговоров, явно полученные без ведома абонентов. Многие из нас получали также очень странные SMS — а потом огромные счета за услуги мобильной связи.

Сергей Пузанков — эксперт Positive Technologies, специализирующийся на информационной безопасности мобильных сетей, рассмотрит возможности злоумышленника, получившего доступ к святая святых телеком-операторов — к системе сигнализации SS7. Он расскажет об алгоритмах проведения атак, направленных на раскрытие конфиденциальных данных абонента и его географического местоположения, на изменение набора подключенных услуг, перенаправление вызовов, несанкционированное «вклинивание» третьей стороны в канал голосовой связи. Все атаки реализуются с помощью документированных сигнальных сообщений. В докладе будут также описаны способы проактивной защиты от подобных атак и методы расследования инцидентов, связанных с уязвимостями сигнальной сети.

Молох в роли следователя

Тысячи лет назад в честь древнего бога Молоха совершались человеческие жертвоприношения. В случае с открытой высокомасштабируемой системой захвата пакетов Moloch все не так кровожадно (хотя злоумышленники могут с этим и не согласиться). Система служит в качестве инструмента расследования случаев компрометации, поскольку способна захватывать трафик в режиме реального времени. Moloch также используется для поиска и взаимодействия с крупными PCAP-репозиториями в целях проведения исследований (трафик вредоносных программ, трафик эксплойта или сканирования). API системы Moloch облегчает интеграцию с системой SEIM и другими инструментами, что позволяет ускорить анализ.

Энди Уик (Andy Wick) и Оуэн Миллер (Eoin Miller) — участники группы CERT корпорации AOL. Участники их hands-on lab смогут установить экземпляры Moloch на собственных виртуальных машинах и узнают, как AOL использует Moloch совместно с другими системами обнаружения вторжений (Suricata, Snort), встраивая функцию оповещения в консоли и SEIM (Sguil, ArcSight), чтобы защитить своих сотрудников, пользователей и интернет в целом. Исследователи также продемонстрируют, как Moloch захватывает трафик сети соревнования PHDays CTF, и подробно разберут все инциденты.

Защита промышленных и инфраструктурных объектов в Европе

События последних лет, начиная с терактов 11 сентября и заканчивая WikiLeaks и Stuxnet, заставили правительства разных стран начать разработку национальных стратегий кибербезопасности для защиты жизненно важных инфраструктур.

Игнасио Паредес — руководитель научно-исследовательского отдела испанского Центра промышленной кибербезопасности — уверен, что сотни тысяч производственных инфраструктур в Европе находятся под угрозой. Он представит доклад о стремительной конвергенции промышленных и корпоративных систем, о связанных с этим процессом рисках и срочных контрмерах, которые необходимо предпринять в целях безопасности европейских государств.

И снова о безопасности WordPress

Пятая часть (19%) всех сайтов в мире работает на WordPress, поэтому неудивительно, что безопасность этой системы управления контентом имеет огромное значение. Однако несмотря на открытый исходный код и регулярную помощь исследователей в области защиты информации, в данной CMS по-прежнему находят серьезные баги и уязвимости.

Бельгиец Том Ван Гутем (Tom Van Goethem), аспирант Лёвенского католического университета, на PHDays IV расскажет о том, как неожиданное поведение MySQL вызывает уязвимость PHP Object Injection в ядре WordPress, и продемонстрирует сценарии использования этой ошибки безопасности.

Источник anti-malware.ru

18.03.2014

В России назначен новый куратор персональных данных

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) сообщила о назначении Антонины Приезжевой на должность замглавы ведомства по вопросам защиты персональных данных.

На работу в Роскомнадзор Приезжева пришла в 2012 г. Осенью 2013 г. она возглавила отдел правового и методического обеспечения Управления по защите персональных данных ведомства. До Роскомнадзора Приезжева четыре года работала в правовом управлении Росприроднадзора, а еще раньше – в Федеральной налоговой службе.

Роскомнадзор занимается регистрацией операторов персональных данных, а также следит за соблюдением законодательства в данной сфере. В том числе ведомство борется с незаконным распространением компакт-дисков с персональными данными граждан и размещением соответствующей информации в интернете, включая зарубежные веб-сайты, пишет cnews.ru.

В настоящее время Минкомсвязи разработало новую методику наложения штрафов за нарушения в данной области, предполагающую дифференциацию размеров штрафов в зависимости от размера нанесенного ущерба. Кроме того, Минкомсвязи предлагает позволить Роскомнадзору самостоятельно заводить дела об административных правонарушениях и доводить их до суда (сейчас этим занимается прокуратура).

Предшественник Антонины Приезжевой -Роман Шередин - недавно покинул ведомство. Теперь он является замглавы другого подотчетного Минкомсвязи ведомства - Россвязи. При этом Шередин также отвечал за ИТ-инфраструктуру ведомства, включая реестр сайтов, доступ к которым должен быть запрещен с территории России.

В Роскомнадзоре сообщили, что в компетенцию Приезжевой ИТ-функции входить не будут. В новой структуре ведомства ИТ-департамент ведомства подчинен другим лицам, кому конкретно - не уточняется.

Источник anti-malware.ru

03.02.2014

Похищены данные 800 тыс. абонентов Orange

16 января 2014 года хакеры взломали сайт крупного оператора сотовой связи Orange. Взломщики получили доступ к отделу My Account вебсайта orange.fr. Согласно PC INpact, хакеры украли имена, электронные адреса, почтовые адреса, номера телефонов и другие данные абонентов популярной европейской сотовой сети.

Представители Orange утверждают, что была украдена информация меньше чем 3% общей абонентской базы оператора. Количество взломанных учетных записей достигает практически 800 тыс. Вскоре после обнаружения атаки компания закрыла страницу My Accounts. О краже персональных данных пострадавших оповестили совсем недавно.

Технический директор компании Лорен Бенатар (Laurent Benatar) подчеркнула, что хакеры не получили даже те пароли, которые были зашифрованы. Киберпреступники могли украсть некоторые данные о финансовых делах абонентов. По словам Бенатар, банковские счета и прочая финансовая информация хранится оператором в разделенном формате, так что даже если хакер украдет один из этих фрагментов, он не сможет восстановить весь файл. Полная информация хранится на отдельных серверах, до которых не добрались взломщики.

23 и 24 января текущего года Orange предупреждала клиентов о фишинговых электронных письмах. В то время сотовый оператор ничего не говорил о кибератаке.

Источник anti-malware.ru

31.01.2014

Каждую секунду жертвами хакеров становятся 12 человек

Жертвами киберпреступников каждую секунду становятся 12 человек, сказал начальник Бюро специальных технических мероприятий МВД России Алексей Мошков, передает РАПСИ. По данным полиции, эта цифра растет.

«Согласно оценкам экспертов, каждую секунду жертвами киберпреступности в мире становятся 12 человек, и это количество с каждым годом растет», – сказал он, выступая с докладом на форуме информационной безопасности. По словам Мошкова, основной мотив киберпреступников – деньги. Очень редко преступления совершаются с целью хулиганства, сообщает Bfm.ru.

В прошлом году сотрудники Управления «К», сообщил Мошков, предотвратили хищение около миллиарда рублей с банковских счетов граждан. «Злоумышленники успели получить персональные данные нескольких десятков тысяч клиентов российских банков», – сказал он.

Также начальник бюро заявил, что владельцы планшетных компьютеров и мобильных телефонов для обеспечения безопасности редко используют антивирусы.

Источник anti-malware.ru

31.01.2014

Сайты российских СМИ подверглись DDoS-атакам

Вчера на сайт газеты «Ведомости» была произведена DDoS-атака, объемы трафика в которой достигли 1,2 Гбит/сек. Пик ее пришелся на полночь с 28 на 29 января, когда на сайт начали поступать обращения от ботнета, состоящего из шести тысяч ботов, преимущественно с российскими IP-адресами. Затем характер атаки на сайт «Ведомостей» изменился: DNS-сервера издания подверглись нападению, в результате которого они прекратили работать.

То есть все обращения к доменному имени vedomosti.ru перестали доходить до web-сервера. DNS-сервера отвечают за перенаправление запросов по доменным именам на сервера по IP-адресам. Доменные имена были придуманы для удобства людей, машины же общаются по цифровым IP-адресам.

Благодаря технологиям Qrator.net, специалистам «Ведомостей» удалось нейтрализовать атаку и обеспечить доступность сайта. Специалисты Qrator перенаправили трафик на свою сеть фильтрации, а также предоставили издательскому дому свои DNS-сервера. К сожалению, обновление записей о DNS-серверах в сети занимает несколько часов, в это время сайт мог быть недоступен для некоторых пользователей.

Qrator рекомендует тем, кто опасается оказаться под DDoS-атакой, позаботиться о резервных DNS-серверах заранее, чтобы не возникало подобного простоя в работе. В портфолио Qrator имеется соответствующая услуга – QratorDNS Beta (находится в режиме тестирования).

В ту же ночь с 28 на 29 января DDoS-атака обрушилась и на интернет-издание Roem.ru, а чуть ранее – на SiliconRus.com и сайт телеканала «Дождь». Ситуацию удалось взять под контроль во всех случаях также благодаря сети фильтрации трафика Qrator.net.

Александр Лямин, генеральный директор Qrator, комментирует: «Атака на сайт «Ведомостей» определенно производится силами профессионалов и может быть отнесена к категории сложности выше среднего. Остальные атаки относятся к среднему уровню по объему сгенерированного злоумышленниками трафика. Ложные запросы к сайтам во всех случаях поступали преимущественно с российских IP-адресов».

Источник anti-malware.ru

 
 Документ без названия