Хакеры и кибермошенники, Новости Опции

[hook]

ПФР предупреждает о рассылке писем с вирусами

20 августа 2015

В последнее время участились случаи массовой рассылки писем с почтовых адресов, якобы принадлежащих Пенсионному фонду, в которых содержится просьба ознакомиться с новой формой отчетности РСВ-1. Однако в приложении к письму содержится вирус, способный нанести вред компьютеру.
Пенсионный фонд предупреждает – администрация сайта pfrf.ru не занимается рассылкой писем, содержащих вложения, поэтому просим внимательнее относиться к получаемой корреспонденции и не поддаваться на уловки мошенников, использующих методы социальной инженерии для внедрения вредоносного программного обеспечения на компьютеры пользователей.

Пример подобного письма «от Пенсионного фонда».

[hook]

Хакеры взломали 220 тыс. учетных записей в iCloud с помощью джейлбрейк-твиков



Преступники активно используют бэкдоры в неофициальных приложениях для доступа к данным учетных записей Apple ID.
По данным экспертов компании WooYun, специализирующейся на online-безопасности, неизвестные скомпрометировали 220 тыс. учетных записей в Apple iCloud при помощи вредоносного программного обеспечения, замаскированного под джейлбрейк-твик. Компания Apple уже проинформирована об инциденте, сообщает интернет-портал iDownloadBlog со ссылкой на отчет WooYun.
В документе не указывается конкретная информация о разработчиках вредоносного ПО или названия твиков, но утверждается, что злоумышленники активно используют бэкдоры в неофициальных приложениях для получения доступа к данным учетных записей Apple ID. В свою очередь, эта информация позволяет им получить доступ к персональным данным пользователей, в том числе к контактам, электронной почте, фотографиям и пр.
Судя по всему, данная атака затрагивает только китайских пользователей. Как утверждает пользователь Reddit, именующий себя ZippyDan, многие реализаторы гаджетов в Поднебесной продают iPhone и другие iOS-устройства уже взломанными с инсталлированными на них пиратскими приложениями. Также не исключено, что на часть этих девайсов устанавливаются вредоносные твики.
Специалисты рекомендуют владельцам iOS-устройств с джейлбрейком не устанавливать твики из ненадежных репозиториев и активировать двухфакторную аутентификацию, позволяющую повысить безопасность данных, содержащихся на гаджетах.

securitylab.ru

Яблочники! Проверьте свои учетные записи на iCloud.... может чего стырили у вас, а вы ни ухом, ни рылом.....

Сообщение отредактировал hook - 27.08.2015 - 13:59

[hook]

Хакеры продают новый вариант банковского трояна Zeus за $500

Вредонос позволяет осуществлять денежные переводы непосредственно с инфицированного устройства.
Разработанный на базе исходного кода вредоноса Zeus, новый банковский троян под названием Sphinx можно приобрести на подпольном рынке за $500. По словам вирусописателей, Sphinx полностью работает через Tor, устойчив к синкхолингу, не боится черных списков, а также сканирующих Zeus инструментов. Разработчики Sphinx заявляют, что пользователям не обязательно иметь «пуленепробиваемый» хостинг для того, чтобы управлять ботнетом, пишет Security Week.
В список возможностей нового банковского трояна входят форма захвата и web-инъекции для браузеров Internet Explorer, Firefox и Tor, клавиатурный шпион, перехватчик сертификатов, а также FTP и POP3. Sphinx создан для работы с Windows Vista и Windows 7 с активированным контролем учетных записей (User Account Control). Вредонос способен работать с учетной записью с низкими привилегиями, включая гостевую учетную запись.
Благодаря возможностям Backconnect VNC трояна злоумышленники могут осуществлять денежные переводы непосредственно с инфицированного устройства. Данная функция также позволяет деактивировать инструменты безопасности, установленные на компьютере жертвы.
Sphinx может быть использован для хищения цифровых сертификатов, которые в дальнейшем позволяют подписать вредоносное ПО, а также для осуществления web-инъекций с целью изменения содержания интернет-страницы для того, чтобы обмануть пользователя и получить его персональные данные.
Для C&C коммуникаций Sphinx использует белый список процессов для того, чтобы обойти брандмауэры, отметила ИБ-консультант Бев Робб (Bev Robb).

securitylab.ru

[Мэри]

31 августа. INTERFAX.RU - Белый дом намерен рассмотреть вопрос о введении санкций против китайских компаний и отдельных лиц, которые, по мнению администрации, замешаны в хакерских атаках на американские учреждения с целью похищения торговых секретов, сообщила газета The Washington Post.

» Кликните сюда для просмотра оффтоп текста.. «

Издание ссылается на неназванного официального представителя, который заявил, что таким образом Вашингтон "подаст Пекину сигнал, что администрация намерена ответить на экономический шпионаж, а также подаст сигнал частному сектору (США - ИФ), что администрация на его стороне; этот сигнал будет звучать так: "Хватит, Китай, хватит!".

Соединенные Штаты в последнее время все чаще обвиняют китайскую сторону в хакерских атаках на сайты американских компаний и госучреждений. Китай последовательно отвергает эти обвинения, подчеркивая, что и сам является объектом хакеров, и призывая к международному сотрудничеству для предотвращения хакерской деятельности.

Наблюдатели отмечают, что вопрос о кибербезопасности станет, скорее всего, одной из тем обсуждения между американской и китайской делегациями в ходе сентябрьского визита в США председателя КНР Си Цзиньпина.

[hook]

ИБ-эксперт близко подобрался к хакерам из Rocket Kitten и стал жертвой фишинговой атаки



Эксперт из ClearSky стал жертвой фишинговой кампании, за которой стоит группировка Rocket Kitten. Причиной послужил проводимый исследователем мониторинг активности хакеров, предположительно работающих по заказу правительства Ирана. Похоже на то, что он слишком близко подобрался к злоумышленникам, из-за чего и подвергся фишинговой атаке.
Группировка Rocket Kitten специализируется на политическом шпионаже, а в число ее жертв входят дипломаты, журналисты, правозащитники, оборонные организации и пр. По данным Trend Micro, большинство атак хакеров нацелены на страны Среднего Востока, и лишь 5% из них приходятся на Европу.
Исследователю из ClearSky удалось выдать себя за человека, который может заинтересовать Rocket Kitten. Сначала хакеры попытались связаться с ним через поддельную четную запись в Facebook. Не добившись успеха, злоумышленники осуществили фишинговую атаку на одну из своих предыдущих жертв, использовав в качестве отправителя имя исследователя (эксперт ранее работал с этой жертвой). Существуют две возможности – либо Rocket Kitten знала, что находится под наблюдением, либо в руках хакеров оказалась переписка между исследователем и жертвой.
Исследователи проанализировали шаблоны, которых придерживается Rocket Kitten в своей деятельности, и определили ключевые особенности. Как правило, хакеры используют для фишинговых атак поддельные учетные записи в Google Drive и Gmail, выдавая себя за общественного деятеля или личность, интересующую хакеров (например, за израильских инженеров). Для подтверждения подлинности аккаунта злоумышленники используют похищенные документы. Также для того, чтобы непосредственно связаться с жертвой, Rocket Kitten отправляют ей личные сообщения в Facebook.
По данным экспертов, в последнее время увеличилось количество атак на отдельных лиц, а не на организации. В общей сложности ClearSky определили 550 жертв Rocket Kitten.

securitylab.ru

[hook]

Lizard Squad «отомстили» правоохранителям за арест пользователей Lizard Stresser

Во вторник, 1 сентября, официальный сайт Национального агентства по борьбе с преступностью Великобритании (National Crime Agency, NCA) подвергся DDoS-атаке. Предположительно, инцидент является своего рода актом мести за арест шестерых пользователей, подозреваемых NCA в использовании инструмента Lizard Stresser, применяемого хакерской группировкой Lizard Squad.
Похоже на то, что ресурс агентства стал жертвой злополучного инструмента. Так, утром 1 сентября на странице Lizard Squad в Twitter было опубликовано изображение ящерицы с надписью «stressed out».



«Сайт NCA – привлекательная цель для атак, это суровая правда жизни. DDoS является примитивной формой атак, не требующей никаких навыков. Это не брешь в безопасности и никак не затрагивает наши оперативные возможности. В худшем случае атака доставила неудобства пользователям нашего сайта», – заявил пресс-секретарь агентства.
Напомним, что на прошлой неделе сотрудники NCA арестовали шестерых человек по подозрению в использовании вредоносного инструмента Lizard Stresser, способного выводить из строя сайты на несколько часов.
На момент публикации новости сайт NCA функционировал в обычном режиме

securitylab.ru

[Мэри]

Гражданин Латвии Денис Чаловский признал в американском суде свою вину в создании и распространении компьютерного вируса Gozi, поразившего более миллиона компьютеров по всему миру, сообщает ТАСС.

Представители обвинения утверждали, что с помощью вируса злоумышленникам удалось похитить нt менее 50 миллионов долларов. Чаловский пошел на сделку со следствием для смягчения наказания и признался в сговоре с целью проникновения в компьютерные системы. Ему грозит до десяти лет тюремного заключения. Приговор, предположительно, будет вынесен в декабре.

Хакер был задержан в ходе спецоперации в Риге в декабре 2012 года. На рижанина указал его предполагаемый сообщник, 25-летний россиянин Никита Кузьмин. После ареста в США в 2010 году он пошел на сделку и выдал Дениса Чаловского и гражданина Румынии Михая Паунеску. Сам Чаловский отрицал как обвинения в создании вируса, так и факт знакомства с Кузьминым. 6 августа 2013 года правительство Латвии согласилось выдать его США
полит.ру

[hook]

Южноамериканские злоумышленники атакуют российских пользователей



Злоумышленники распространяют дроппер, инфицирующий компьютеры жертв вымогательским ПО.
Как сообщает компания ESET в своем блоге, латиноамериканские злоумышленники нацелились на российских пользователей, заражая их компьютеры вымогательским ПО. Вредонос, распространяющийся с помощью PIF-файлов, шифрует все документы на компьютере жертвы и требует у нее выкуп.
Файлы с расширением PIF хранят техническую информацию о DOS-приложениях в среде Windows, например, о свойствах окна, объеме доступной памяти и так далее. В ранних версиях Windows этот формат был достаточно популярен, но устарел после перехода на архитектуру Windows NT.
Поскольку PIF-файлы могут содержать в себе исполняемые скрипты, они являются популярным выбором среди киберпреступников. При запуске такого файла вредоносные действия будут выполняться в автоматическом режиме.
Латиноамериканские злоумышленники в настоящее время проводят вредоносную кампанию, в рамках которой россиянам рассылаются PIF-файлы под видом документов Word. В них содержаться дропперы, которые незамедлительно после запуска связываются с C&C-сервером и загружают на ПК жертвы вымогательское ПО. Оно, в свою очередь, шифрует документы пользователей и требует у них выкуп.

securitylab.ru

Будьте осторожны!

[hook]

Российские хакеры из Pawn Storm используют троян Carberp



Кибершпионы позаимствовали исходный код банковского вредоносного ПО шестилетней давности.
По данным компании F-Secure, группа российских хакеров Pawn Storm, также известная как APT28, которая атакует военные и правительственные организации, взяла на вооружение старый банковский троян Carberp, тем самым еще более размыв грань между киберпреступностью и кибершпионажем.
Главным инструментом этой группировки является вредоносное ПО Sednit или Sofacy, и не совсем понятно, зачем ей заимствовать код программы шестилетней давности. Возможно, использование Carberp стало наиболее быстрым решением для обхода детектирования, или собственные инструменты хакеров были обнаружены и внесены в базы данных. Также не исключено, что утекший в Сеть в 2013 году код Carberp оказался более производительным по сравнению с ПО, созданным самой группировкой. Кроме того, использование уже готового кода обходится намного дешевле, чем создание нового с нуля.
Исследователи F-Secure сравнили недавно зафиксированную активность Pawn Storm с деятельностью группировки, стоящей за вредоносным ПО Carbanak, которое также базируется на коде Carberp. В результате эксперты пришли к выводу, что старый банковский троян по-прежнему «жив и брыкается».
Образ действия Pawn Storm очень сложный и сочетает в себе несколько хитроумных техник распространения вредоносного ПО – использование искусных фишинговых писем со вложенными вредоносными документами Microsoft Office, web-сайтов, содержащих эксплоиты для уязвимостей нулевого дня, поддельных страницы авторизации Outlook Web Access и мошеннических расширений браузера.
По данным F-Secure, загрузчик Sofacy, который играет роль полезной нагрузки для эксплоитов Pawn Storm, в последние несколько месяцев базируется на исходном коде Carberp. Он представляет собой небольшой DLL-файл, задача которого – соединение с C&C-сервером и загрузка дополнительных компонентов.

____________________________________

CrowdStrike: Взломом спутников занимаются российские правительственные хакеры



Используемое хакерами из Turla ПО разработано кремлевской группой специалистов Venomous Bear.
В четверг, 10 сентября, портал SecurityLab сообщал о новом отчете «Лаборатории Касперского», в котором идет речь о группе высококвалифицированных хакеров Turla, взламывающих спутники и использующих их в качестве командно-контрольных механизмов. ЛК не указывает национальную принадлежность злоумышленников и не уточняет, кто стал жертвой их атак, однако другие ИБ-эксперты уверены, что Turla состоит из русскоговорящих хакеров, работающих по заказу правительства РФ.
Как сообщает The Washington Post, основатель американской компании CrowdStrike Дмитрий Альперович (Dmitri Alperovitch) уверен, что используемое Turla программное обеспечение разработано связанной с Кремлем группой хорошо обученных специалистов, которую в CrowdStrike называют Venomous Bear («Злобный медведь»).
По словам Альперовича, Turla специализируется на атаках на дипломатические и военные цели в США, Европе, странах Среднего Востока и Центральной Азии. Цель хакеров – политическая и стратегическая разведка. Тем не менее, эксперт считает, что Turla не является группировкой, ответственной за атаки на Государственный департамент США, Белый дом и Пентагон, осуществленные в нынешнем году. По словам Альперовича, за этими инцидентами стоит другая группировка – Cozy Bear («Уютный медведь»).

__________________________________

Хакеры из Turla используют спутники в качестве командно-контрольных механизмов



Группировка применяет метод взлома спутниковых каналов стандарта DVB-S.
Одной из главных проблем, с которыми сталкиваются киберпреступные группировки – арест, изъятие и выведение из строя правоохранителями их доменов и C&C-серверов. Более того, домены и серверы могут использоваться для определения физического местонахождения преступников.
Некоторые наиболее умелые хакеры или те, кто использует коммерческие инструменты для осуществления кибератак, нашли решение этой проблемы. Как сообщает «Лаборатория Касперского», для сокрытия своей активности злоумышленники стали использовать спутниковые каналы. Исследователи обнаружили три отдельные группировки, применяющие этот способ. Наиболее интересной из них является Turla, которая более восьми лет занимается кибершпионажем.
Turla отличается от остальных группировок не только сложностью применяемых инструментов, таких как руткит Uroboros и механизмы для обхода физической изоляции (воздушных зазоров) через многоступенчатые сети прокси-серверов внутри локальных сетей, но также использованием командно-контрольного механизма, базирующегося на спутниках. С одной стороны, это существенно усложняет задачу для правоохранителей по идентификации атакующих, однако с другой – представляет определенный риск для хакеров. Использование спутников является отличным решением проблемы арестов серверов, однако скорость спутникового интернета очень низкая и нестабильная.
По словам экспертов, им не сразу удалось понять, каким образом злоумышленники используют спутники – легально арендуют коммерческие спутниковые каналы или компрометируют операторов связи. Арендовать канал не так-то дешево – стоимость канала со скоростью 1 Мбит/с в обоих направлениях составляет до $7000 в неделю. Что касается Turla, то группировка использует метод взлома спутниковых каналов стандарта DVB-S, принадлежащих провайдерам из стран Ближнего Востока и Африки.

securitylab.ru

[hook]

Очередная компьютерная система Пентагона подверглась кибератаке



Неизвестные взломали IT-инфраструктуру одного из ресторанных двориков Пентагона.
Подвергавшийся нескольким кибератакам за последние месяцы Пентагон вновь стал жертвой хакерской атаки. На этот раз злоумышленники взломали компьютерную сеть местного ресторанного дворика и похитили платежные данные неуточненного числа сотрудников. Об этом в четверг, 10 сентября, заявил официальный спикер Министерства обороны США, подполковник Том Кроссон (Tom Crosson).
Как сообщается в заметке Службы охраны Пентагона, примерно с 31 августа по 6 сентября в службу поступили многочисленные заявления о мошенничестве с платежными картами, принадлежащими персоналу ведомства. Отмечается, что вредоносная активность на картах жертв начиналась незамедлительно после оплаты еды в ресторанном дворике Пентагона. Правительство США уведомило работников, использующих платежные карты, об инциденте.
Кроссон не уточнил количество пострадавших сотрудников и не разгласил подробности о кибератаке. Неизвестно, кто именно и с какой целью осуществил взлом одной из правительственных столовых.
Напомним, что в последние несколько месяцев правительство США стало жертвой сразу нескольких кибератак. В апреле нынешнего года взлому подверглось Управление кадровой службы США (Office of Personnel Management), несколько месяцев спустя неизвестные атаковали незасекреченную компьютерную систему Белого дома и почтовую систему Пентагона. В осуществлении атак подозреваются китайские и российские хакеры.

___________________________________


Киберпреступники осуществляют DDoS-атаки на жертв с целью выкупа



Новая группировка DD4BC осуществляет DDoS-атаки на финансовые организации, требуя у жертв выкуп.
Как следует из отчета компании Akamai, с апреля нынешнего года начала действовать новая киберпреступная группировка, осуществляющая DDoS-атаки на жертв и шантажируя их. Группа, известная как DD4BC, за обозреваемый период осуществила как минимум 114 DDoS-атак со средней мощностью в 13,34 Гбит/с.
Киберпреступники шантажировали крупные финансовые организации и прочие предприятия, угрожая осуществить DDoS-атаку, которая вывела бы из строя их сети. Главной целью группировки становились финансовые учреждения, банки и кредитные союзы, online-сервисы обмена валют и компании по обработке платежей. В одном случае был произведен UDP-флуд мощностью в 56,2 Гбит/с. Для того чтобы прекратить атаку, жертва должна была отправить киберпреступникам от 25 до 50 биткоинов (порядка $6000 - $12000 на момент написания статьи).
Akamai опубликовала образцы писем, в которых группировка требовала перевода денежных средств на их кошельки Bitcoin.
«Ваш сайт будет находиться под атакой, пока вы не заплатите 25 биткоинов, – сообщалось в одном из писем. – Учтите, что вам будет нелегко отразить нашу атаку – мощность нашего UDP-флуда составляет 400-500 Гб/с. Можете даже не пытаться».
Киберпреступники обещали прекратить атаку, как только жертва пойдет на их условия и заплатит выкуп.

___________________________________



Хакеры похитили данные 10 млн клиентов страховой компании Excellus



Похищенная информация включает в себя номера социального страхования и платежные данные.
По данным CNET, неизвестные злоумышленники вторглись в сеть страховой компании Excellus BlueCross BlueShield и получили доступ к персональным данным ее клиентов. Об этом представители пострадавшей компании сообщили в среду, 9 сентября. Всего от взлома пострадали данные 10,5 млн человек.
Скомпрометированная информация включает в себя номера социального страхования и платежные данные. В качестве компенсации страховая компания предложит пострадавшим бесплатные услуги кредитного мониторинга и защиты от имперсонации. Над расследованием инцидента работает ФБР США.
В 2015 году произошло уже как минимум 3 крупномасштабных взлома страховых компаний и медицинских центров. В январе хакеры взломали внутренние сети Anthem, похитив данные 80 млн клиентов корпорации. Полгода спустя злоумышленники атаковали сеть Медицинских центров Калифорнийского университета Лос-Анджелеса (UCLA), раскрыв информацию о 4,5 млн пациентов. Также примерно в то же время сотрудник Медицинского центра Монтефьоре в Нью-Йорке, США, помог неизвестным киберпреступникам похитить данные 12 тысяч больных.
Эксперты предупреждают, что хищение медицинских данных стало более прибыльным делом для хакеров, чем кража платежной информации. Проблема стала настолько серьезной, что правоохранительные органы предупредили все компании, работающие в области здравоохранения, о повышенном риске взлома их сетей.
Похищенная информация может использоваться в различных преступных целях – например, для финансового или мошенничества.

securitylab.ru