Anonymous атаковали 1 млн web-страниц



Большинство атакованных сайтов являются израильскими доменами крупных компаний, но есть также международные домены. Долгое время не дававшие о себе знать активисты из Anonymous вернулись на киберпреступную арену, ознаменовав свое возвращение атакой на более 1 млн web-страниц на нескольких сотнях сайтов. Если бы не оперативные действия специалистов по безопасности, инцидент мог обойтись компаниям в миллионы долларов, пишет SafetyDetective. Первым о вредоносной кампании сообщил исследователь безопасности Ювал Адам (Yuval Adam). В рамках операции под названием #OpJerusalem злоумышленники осуществили дефейс страниц и заменили их обычное содержимое сообщением политического характера. Сообщение также содержало ссылку, после нажатия на которую на компьютер жертвы загружалось вымогательское ПО. Инцидент затронул многие израильские корпоративные сайты, в том числе Coca-Cola, Groupon, Toys R Us, McDonald’s и Fiverr. Хотя большинство из них представляют собой локальные домены в зоне .co.il (mcdonalds.co.il, cocacola.co.il и пр.), инцидент также затронул некоторые международные домены, такие как Fiverr.com, аудитория которого насчитывает порядка 40 млн пользователей в месяц. Атака на сотни сайтов стала возможной благодаря используемому на них уязвимому стороннему плагину от nagich.com. Злоумышленникам удалось заменить его вредоносным JavaScript-кодом с политическим сообщением и встроить вредоносную ссылку. Атакующие захватили контроль над записями DNS и сумели перенаправить трафик на свои серверы. К счастью, владельцы сайтов быстро устранили последствия атаки и удалили уязвимый плагин, избежав миллионных убытков. Хотя инцидент продлился всего час, он является ярким примером того, какую угрозу безопасности представляют сторонние незащищенные плагины. К большой удаче для владельцев атакованных сайтов, Anonymous решили ограничиться «малой кровью» и не ставили перед собой цель причинить экономический ущерб. Киберпреступники без четкой гражданской позиции могли воспользоваться уязвимостью для осуществления атак совсем другого плана.

ымогатели атакуют российский бизнес от имени Metro и “Магнита”



Неизвестные атаковали более 50 крупных российских компаний. Эксперты в области кибербезопасности зафиксировали массовую кибертаку, направленную на российские предприятия. Уникальность данной кампании заключается в использовании устройств из сферы “Интернета вещей”, в частности маршрутизаторов, для фишинговой рассылки и маскировка под известные бренды (“Ашан”, “Магнит”, “Славнефть”, “Дикси”, Metro Cash & Carry, Philip Morris, ГК “ПИК” и пр.). Это первая атака подобного рода, зафиксированная в РФ. По данным РБК, неизвестные атаковали более 50 крупных российских компаний. Атаки стартовали еще в ноябре 2018 года, основной их пик пришелся на февраль 2019 года. В рамках кампании злоумышленники рассылают фишинговые письма якобы от имени известных брендов – “Ашана”, “Магнита”, банков “Бинбанк”, “Открытие” и пр. “Естественно, все эти компании никакого отношения не имеют к рассылке”, - отмечают эксперты. С помощью фишинговых писем злоумышленники пытаются заразить инфраструктуру компаний шифровальщиком Shade/Troldesh, предназначенным для шифрования файлов на устройстве пользователя. За восстановление информации вымогатели требуют выкуп. Эксперты не раскрыли названия атакованных предприятий и размер нанесенного киберпреступниками ущерба. Особенность новой волны атак — использование “умных” устройств, например, маршрутизаторов, расположенных в странах Азии, Латинской Америки, Европы, в том числе и в России, отмечают специалисты “Ростелеком-Solar”. По их словам, отследить взломанное сетевое устройство значительно сложнее, чем сервер. К тому же, атаки с применением IoT-устройств менее трудозатратны и более безопасны для злоумышленников. Для фишинговых атак подойдет любое устройство, способное делать рассылку электронной почты, например, модемы, маршрутизаторы, сетевые хранилища, экосистемы “умных” домов и прочие гаджеты, отметили специалисты.

Китайские киберпреступники нацелились на Linux-серверы



Злоумышленники внедряют на скомпрометированные серверы криптомайнер Antd. Киберпреступная группировка Pacha Group, предположительно действующая из Китая, активно компрометируют Linux-серверы с целью внедрения вредоносного ПО для добычи криптовалюты. По данным экспертов Intezer, злоумышленники атакуют серверы не напрямую, а через приложения WordPress или PhpMyAdmin. Получив доступ к серверу, они внедряют вредонос Linux.GreedyAntd (Antd). Первые атаки были зафиксированы в сентябре 2018 года. По словам исследователей, исходный код вредоноса, используемого в кампании, имеет схожие черты с другой вредоносной программой - Linux.HelloBot. Предположительно, группировка Pacha Group параллельно тестируют два вида вредоносного ПО, но в своих операциях чаще использует Antd. Вредонос представляет собой модифицированную версию майнера XMRig, использующую прокси для сокрытия настроек и адресов криптовалютных кошельков. Antd имеет модульную структуру и может работать с несколькими управляющими серверами. Наличие широкой инфраструктуры с большим числом взаимосвязанных компонентов позволяет сохранить функциональность вредоноса в случае отключения каких-либо C&C-серверов. Кроме того, для устранения Antd с инфицированной системы потребуются значительные усилия, поскольку его поведение отличается от другого вредоносного ПО под Linux. К примеру, для сохранения присутствия на атакуемой системе вместо использования планировщика задач cronjob Antd добавляет службу Systemd, имитирующую официальный сервис mandb. Бэкдор Antd довольно сложно обнаружить, если не знать, что искать, отмечают исследователи.

Китайские кибершпионы пять лет атакуют оборонные предприятия



Китайцев интересуют военные технологии, которые позволили бы им модернизировать свой флот.
Специалисты ИБ-компании FireEye обнаружили кибершпионскую операцию, продолжающуюся в течение пяти лет. Операция проводится финансируемой правительством КНР хакерской группировкой APT40, а ее целью является укрепление военно-морской мощи Пекина. Злоумышленники взламывают сети предприятий оборонной промышленности и похищают секретные чертежи и другую информацию, которая может использоваться для модернизации военно-морских сил Китая и оказания влияния на выборы в иностранных государствах. Поначалу исследователи решили, что операция представляет собой две отдельные кампании, за которыми стоят группировки TEMP.Periscope и TEMP.Jumper. Тем не менее, как оказалось потом, обнаруженная ими кибершпионская операция – дело рук «государственных хакеров» из APT40. Как пояснили исследователи, с целью модернизировать свой флот китайцы похищают технологии у производителей оборонной техники. Чаще всего их жертвами становятся инженерные, транспортные и оборонные предприятия, в особенности занятые в сфере кораблестроения. С помощью APT40 китайское правительство также пытается повлиять на результаты выборов в разных странах с целью обеспечить себе плацдарм для выгодной торговли. Хакеры атакуют своих жертв с помощью целенаправленного фишинга (рассылают электронные письма с вредоносными вложениями). Кроме того, они создают вредоносные web-страницы со встроенным эксплоитом для заражения компьютеров бэкдором. Получив доступ к атакуемой системе, злоумышленники похищают учетные данные для доступа к остальным элементам корпоративной сети

«Пиратская матрешка» атакует пользователей The Pirate Bay



Специалисты ЛК сообщили о вредоносной кампании по распространению трояна PirateMatryoshka. Специалисты «Лаборатории Касперского» раскрыли подробности о вредоносной кампании, обнаруженной ими в начале текущего года. В ходе кампании злоумышленники распространяют через торрент-трекер The Pirate Bay вредоносное ПО под видом взломанных версий платных программ. Как сообщили исследователи, вредоносные раздачи исходили из десятков различных учетных записей, в том числе зарегистрированных довольно давно. Вместо обещанных программ аккаунты распространяли троян, детектируемый решениями «Лаборатории Касперского» как Trojan-Downloader.Win32. PirateMatryoshka. Основная логика вредоноса реализована с помощью инсталляторов SetupFactory.На первом этапе установщик расшифровывал еще один инсталлятор SetupFactory, отображающий фишинговую web-страницу. Эта страница запрашивала учетные данные пользователя для доступа к его аккаунту The Pirate Bay якобы с целью продолжения процесса. По словам исследователей, взломанные учетные записи затем использовались злоумышленниками для распространения вредоносного ПО. Основная задача PirateMatryoshka – установить на атакуемую систему целый ряд нежелательными программ, которые не только мешают комфортной работе с компьютером, но также расходуют ресурсы и «тормозят» систему.

Хакеры из Ирана атаковали 200 компаний по всему миру – Microsoft



Киберпреступники причинили суммарный ущерб в размере сотен миллионов долларов, утверждают в корпорации. Более 200 компаний по всему миру подверглись за прошедшие два года атакам группы хакеров, предположительно связанной с правительством Ирана. Об этом говорится в исследовании корпорации Microsoft, опубликованного в среду, 6 марта. Отмечается, что жертвами преступников стали большей частью нефтегазовые компании, машиностроительные предприятия, а также занимающиеся международным бизнесом концерны в таких странах, как Германия, Саудовская Аравия, Великобритания, Индия и США. По данным корпорации Microsoft, суммарный ущерб от действий хакеров достиг сотен миллионов долларов. По оценке специалистов корпорации, за атаками стоит хакерская группировка Holmium, имеющая связи с правительством Ирана. Кроме того, отдельные взломы выполняла по поручению Holmium другая хакерская группировка – APT33, утверждается в исследовании. По мнению некоторых экспертов по безопасности, Тегеран в настоящий момент стремится нарастить потенциал для кибератак из-за усиливающегося санкционного давления на Иран со стороны США. Ранее СМИ сообщили, что связанные с Китаем хакеры осуществляют кибератаки на университеты в США, Канаде и странах Юго-Восточной Азии в рамках похищения исследований в области военно-морских технологий.

Кибератака вызвала отключение электроснабжения в Венесуэле



Венесуэльские власти считают инцидент диверсией, осуществленной в рамах энергетической войны против республики. Мощная кибератака стала причиной проблем с электроснабжением в столице и двадцати штатах Венесуэлы. В частности без электричества оказались несколько линий метро в Каракасе и международный аэропорт имени Симона Боливара в городе Майкетия. Авария произошла на гидроэлектростанции «Эль-Гури» в штате Боливар в четверг, 7 марта, сообщает «РИА Новости». По словам президента Венесуэлы Николаса Мадуро, причиной аварии послужила кибератака. В субботу, 9 марта, на один из энергетических объектов республики была совершена еще одна кибератака, помешавшая полностью восстановить электроснабжение (к настоящему времени электроснабжение восстановлено лишь на 70%). В результате инцидента на подстанции «Сидор» неподалеку от города Сьюдад-Боливар разгорелся пожар. 9 марта был отключен свет в муниципалитете Чакао в Каракасе, где расположено несколько иностранных дипломатических представительств, а также дорогие гостиницы и множество объектов индустрии развлечений. Сотовая связь и интернет работают с серьезными перебоями. В Национальной корпорации по электроэнергии Corpoelec инцидент считают диверсией, осуществленной в рамах энергетической войны против Венесуэлы. Как отметил министр связи и информации Венесуэлы Хорхе Родригес, госсекретарь США Майк Помпео и сенатор Марко Рубио слишком быстро отреагировали на происшествие в социальных сетях, будто знали о нем заранее.

Иранских кибершпионов заподозрили в краже внутренних документов Citrix



Пока компании не удалось выяснить, какие именно документы оказались в руках киберпреступников. Американский производитель программного обеспечения Citrix сообщил о хакерской атаке, в ходе которой злоумышленникам удалось получить доступ к внутренней сети компании и выкрасть деловые документы. Согласно краткому заявлению, об утечке Citrix стало известно от сотрудников ФБР 6 марта нынешнего года. По данным ФБР, для проникновения в сеть злоумышленники предположительно использовали тактику под названием «password spraying» (обнаружение и использование ненадежных паролей). По словам руководителя отдела по информационной безопасности компании Стена Блэка (Stan Black), атакующие смогли похитить бизенс-документацию Citrix, однако пока компании не удалось выяснить, какие именно документы оказались в руках киберпреступников. На данный момент нет свидетельств, что злоумышленники модифицировали программное обеспечение Citrix или другие продукты. Расследование инцидента продолжается. Согласно информации специалистов ИБ-компании Resecurity, за взломом Citrix стоит иранская киберпреступная группа Iridium, ранее атаковавшая австралийский и британский парламенты. По их утверждению, используя техники обхода двухфакторной аутентификации, в декабре 2018 года группировка скомпрометировала сеть компании и похитила примерно 6 ТБ данных. Представители Citrix отказались комментировать заявления Resecurity.

Хитроумная фишинговая кампания нацелена на пользователей iOS-устройств



Злоумышленникам удалось мастерски воссоздать типичное «поведение» iOS. Исследователь безопасности Антуан Весан Жебара (Antoine Vincent Jebara) предупредил о новой фишинговой кампании против пользователей iOS-устройств. В прошлом месяце Жебара рассказал об аналогичной кампании, в ходе которой злоумышленники столь мастерски подделывали страницу авторизации Facebook, что на удочку попадались даже самые бдительные пользователи. Мошенникам удалось создать реалистичную копию окна браузера в Javascript и обманом заставить пользователей вводить свои учетные данные в форму авторизации OAuth. По словам исследователя, новая кампания нацелена на владельцев iOS-устройств, но с легкостью может быть адаптирована под Android. Созданная злоумышленниками страница запрашивает учетные данные для входа в Facebook, якобы для того, чтобы с их помощью авторизоваться на сайте, выглядящем, как Airbnb (но это может быть и любой другой сайт, предупреждает исследователь). После того, как пользователь нажал на кнопку «Login with Facebook», ОС требует подтверждения действия. Далее браузер Safari открывает новую вкладку и запрашивает учетные данные Facebook. Вся процедура вполне могла бы сойти за легитимную, однако все вышеописанные действия – чистой воды мошенничество. Запрос на подтверждение действия от ОС на самом деле является поддельным и представляет собой изображение внутри HTML-документа, выглядящее, как настоящий запрос от iOS. Открытие новой страницы в Safari – тоже подделка. На самом деле это видеозапись открытия страницы, воспроизводящаяся сразу после нажатия жертвой кнопки «Подтвердить». Подделкой также является открывшаяся страница Facebook, отображающаяся поверх текущей страницы. С момента, когда пользователь попал на вредоносный сайт, ему предлагается совершить целый ряд таких знакомых и безобидных на первый взгляд действий, и все это для того, чтобы в итоге заставить его безоговорочно «выдать» свои учетные данные.

Киберпреступники атакуют интернет-магазины на базе WordPress



Атаки представляют собой тот редкий случай, когда заурядная XSS-уязвимость используется в серьезных взломах. Злоумышленники атакуют интернет-магазины на базе WordPress с помощью бэкдора, которым они заражают сайты через уязвимость в плагине Abandoned Cart Lite for WooCommerce. Согласно данным официального репозитория плагинов WordPress, в настоящее время Abandoned Cart Lite for WooCommerce установлен более чем на 20 тыс. сайтов. Атаки представляют собой тот редкий случай, когда заурядная и в большинстве случаев безобидная XSS-уязвимость может использоваться для осуществления серьезных взломов. Как правило, межсайтовый скриптинг редко используется в серьезных атаках, но в случае с Abandoned Cart Lite for WooCommerce все обстоит именно так. С помощью плагина Abandoned Cart Lite for WooCommerce администраторы сайтов могут просматривать содержимое заброшенных корзин и узнавать, какие товары пользователи добавили в них перед тем, как покинуть сайт. Плагин позволяет составлять перечни потенциально популярных товаров, которыми магазину лучше запастись на будущее. Доступ к перечням есть только у администраторов и привилегированных пользователей. Как сообщает специалист компании Defiant Майки Винстра (Mikey Veenstra), с помощью автоматизации злоумышленники создают на сайтах с уязвимым плагином корзины, содержащие товары с видоизмененными названиям. В одно из полей корзины они добавляют код эксплоита, а затем покидают сайт, для того чтобы код сохранился в его базе данных. Когда администратор просматривает перечень оставленных корзин и доходит до корзины с эксплоитом, выполняется вредоносный код. По словам Винстры, за последние несколько недель было зафиксировано несколько попыток атак с использованием вышеописанного способа. Злоумышленники применяли эксплоит, загружавший файл JavaScript с адреса bit.ly. В свою очередь, этот файл пытался внедрить на сайт два отдельных бэкдора. Первый бэкдор создает на атакуемом сайте новую учетную запись администратора. Второй же использует весьма редкую технику. Вредонос составляет список всех загруженных на сайт плагинов и ищет первый, который был отключен администратором. Злоумышленники не включают его, а заменяют содержимое его главного файла вредоносным скриптом, играющим роль бэкдора для обеспечения доступа к сайту в будущем.

В Новокузнецке задержан администратор крупного ботнета



Задержанный предлагал киберпреступным группировкам услуги по модели «киберпреступление – как – услуга». Сотрудники МВД совместно с экспертами компании Group-IB задержали в Новокузнецке администратора крупной ботсети, включающей не менее 50 тыс. инфицированных компьютеров пользователей в РФ и в других странах. Задержанный предлагал киберпреступным группировкам услуги по модели «киберпреступление – как – услуга» (cybercrime as-a-service). На арендованных серверах преступник разворачивал и обслуживал административные панели троянов, а также занимался кражей учетных данных пользователей почтовых клиентов и браузеров для дальнейшей их продажи на подпольных форумах. Сейчас следствие устанавливает связь задержанного с какой-либо киберпреступной группой. Расследование началось после заражения порядка 1 тыс. компьютеров в РФ и за рубежом весной 2018 года. Устройства были инфицированы трояном Pony Formgrabber. Ботнет, существовавший с осени 2017 года по август 2018 года, собирал с зараженных компьютеров персональные и учетные данные. В ходе обысков на компьютере задержанного были выявлены десятки панелей вредоносных программ для оперирования ботсетями, которыми он управлял последние три месяца. Мужчина признал свою вину. По его словам, ему неизвестно, кому продавал данные. Задержанному предъявлено обвинение по ч. 1 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ).

КНДР заподозрили в атаке на китайских чиновников



В ходе атак злоумышленники распространяли вымогательское ПО Gandcrab. Государственные ведомства в Китае подверглись атакам с использованием вымогательского ПО GandCrab. Программа-вымогатель распространялась по электронной почте, сообщается в пресс-релизе властей. Вредоносные письма включали прикрепленный архив, содержавший версию Gandcrab 5.2. После запуска на системе вредонос начинает шифровать данные на жестком диске и предлагает жертве установить защищенный браузер Tor, через который пользователь должен зайти на сайт для оплаты выкупа в криптовалюте.Согласно сообщению, атаки начались 11 марта нынешнего года. Пока масштаб вредоносной кампании выяснить не удалось. Также неизвестно, кто является организатором атак. Исходя из некоторых признаков, чиновники считают, что к атакам может быть причастна киберпреступная группировка из Северной Кореи. В середине февраля стало известно о кампании по распространению Gandcrab, нацеленной на фирмы, предоставляющие услуги удаленной IT-поддержки. С помощью старой уязвимости в плагине Kaseya, который используют многие подобные компании, злоумышленники взламывали сети провайдеров и заражали системы их клиентов вымогателем Gandcrab.

Мошенники используют крушение Boeing в Эфиопии для распространения вредоносного ПО



Киберпреступники рассылают письма, якобы содержащие список компаний, чьи самолеты в скором времени потерпят крушение. Спамеры стараются не упустить ни единой возможности воспользоваться ажиотажем вокруг громких событий с целью привлечь внимание интернет-пользователей. Последние несколько дней одними из самых обсуждаемых событий в мире являются теракт в Новой Зеландии и крушение самолета Boeing 737 Max в Эфиопии. Кибермошенники не преминули воспользоваться всеобщим вниманием к этим событиям и развернули новую вредоносную кампанию. Согласно сообщению специалистов из 360 Threat Intelligence Center, злоумышленники используют крушение самолета для распространения вредоносного ПО. Мошенники рассылают спам с предположительно взломанной электронной почты @IsgecPresses (info@isgec.com) и помечают его хэштегом #Boeing. В теме писем, как правило, указано: «Fwd: Airlines plane crash Boeing 737 Max 8». Вредоносные письма замаскированы под пресс-релиз от частного аналитика, якобы обнаружившего некие документы в даркнете. В этих документах будто-бы указан список авиакомпаний, чьи самолеты в ближайшем будущем ждет такое же крушение. Письма содержат вложение в виде файла JAR (MP4_142019.jar), играющего роль дроппера вредоносного ПО Houdini H-WORM. Когда жертва его открывает, файл сразу же выполняется на системе компонентом JAVA. Изначально исследователи полагали, что файл устанавливал только Houdini H-WORM, однако это оказалось не так. Как сообщили специалисты из Racco42, он также устанавливает на компьютер жертвы инфостилер Adwind. Министерство внутренней безопасности США также предупредило пользователей соблюдать осторожность в связи с возможным использованием спамерами теракта в Новой Зеландии.

Киберпреступники вооружились протоколом IMAP для ускорения брутфорс-атак



IMAP является самым популярным устаревшим протоколом, используемым в кибератаках на учетные записи в облачных сервисах. В ходе шестимесячного наблюдения за крупнейшими арендаторами облачных сервисов специалисты компании Proofpoint обнаружили масштабные кибератаки с использованием устаревших протоколов. С их помощью, а также с помощью утекших массивов учетных данных злоумышленники повышали скорость и эффективность брутфорса. Согласно отчету , за полгода 72% арендаторов подверглись как минимум одной кибератаке, у 40% есть хотя бы одна скомпрометированная учетная запись, более 2% активных учетных записей пользователей подвергались кибератакам, а 15 из каждых 10 тыс. активных учетных записей пользователей были успешно взломаны. Самым популярным устаревшим протоколом, которым пользуются злоумышленники, является IMAP, позволяющий обходить механизм двухфакторной аутентификации. Благодаря ему учетные записи не блокируются после превышения лимита на количество попыток введения пароля, а брутфорс-атаки выглядят просто как неудачные попытки авторизации. По данным Proofpoint, порядка 60% арендаторов, использующих Microsoft Office 365 и G Suite, подверглись атакам с использованием IMAP, и 25% от этих атак увенчались успехом. Их пик пришелся на период с сентября 2018-го по февраль 2019 года. Как правило, злоумышленников интересовали учетные записи высокопоставленных лиц, например, генеральных директоров компаний и их помощников. В качестве платформы для атак киберпреступники используют тысячи взломанных сетевых устройств по всему миру, в частности маршрутизаторы и серверы. Чаще всего источником атак с использованием IMAP становился Китай, сообщают исследователи (53% от всех успешных атак). Тем не менее, исследователи подчеркивают, что источник кибератаки необязательно свидетельствует о принадлежности атакующих к этой стране

Киберпреступник взломал систему оповещения о торнадо в Техасе за день до шторма



Властям пригородов Далласа пришлось отключить 30 сирен, внезапно включившихся посреди ночи. Неизвестный взломал системы экстренного оповещения о торнадо в двух городах Северного Техаса (США) и включил посреди ночи сирены. Власти городов были вынуждены отключить системы – всего за день до надвигавшегося сильного шторма и возможного торнадо. Инцидент произошел в пригородах Далласа Десото и Ланкастере. Как сообщает ZDNet, 12 мая между 2:30 и 4:00 по местному времени неизвестный включил городские сирены оповещения – десять сирен в Десото и двадцать в Ланкастере. Разбуженные среди ночи местные жители начали подготовку к торнадо. Согласно сообщению CBS Dallas, в ходе расследования версия о неисправности систем экстренного оповещения была исключена. По мнению правоохранителей, сирены были включены намеренно кем-то, кто взломал системы. «Саботаж общественных систем экстренного оповещения – это больше, чем вандализм. Это уголовное преступление, и ответственные за него лица будут арестованы и понесут наказание», – заявили правоохранители. Плохие погодные условия, в том числе шторм и, возможно, торнадо, ожидались на территории Северного Техаса всю прошлую неделю. На следующий день после вынужденного отключения сирен Десото и Ланкастер накрыла гроза, которая в этой местности может вызывать торнадо. К счастью, торнадо удалось избежать, в противном случае оповестить о нем жителей с помощью сирен было бы нельзя.

Злоумышленники атакуют криптовалютные компании в Израиле



В ходе операции используется обновленная версия трояна для удаленного доступа Cardinal. Специалисты исследовательского подразделения Unit 42 компании Palo Alto Networks сообщили о новой вредоносной операции по взлому организаций в сфере криптовалютных операций и финансовых технологий. Целью злоумышленников является сбор учетных данных и другой конфиденциальной информации. Для похищения данных киберпреступники используют обновленную версию трояна для удаленного доступа Cardinal. Вредонос используется с 2015 года, но ИБ-сообщество узнало о нем только в 2017 году. Несмотря на то, что Cardinal уже известен специалистам по кибербезопасности, злоумышленники продолжают использовать его для похищения данных пользователей Windows. Как и предыдущий вариант трояна, новая версия распространяется с помощью фишинговых писем и вредоносных документов. Судя по указанным в полезной нагрузке данным, в новой кампании используется версия Cardinal 1.7.2. По состоянию на 2017 год актуальной версией являлась 1.4, а значит, киберпреступники регулярно обновляют свой троян. В частности, в обновленной версии используются новые техники для обфускации кода. К примеру, для сокрытия образца, изначально написанного на .NET и внедренного в файл .BMP, используется стеганография. Cardinal собирает пароли и логины, делает скриншоты и записывает нажатия клавиш на клавиатуре. Троян также способен загружать новые исполняемые файлы, обновлять себя и менять настройки зараженного компьютера. Когда нужные данные собраны, вредонос деинсталлирует сам себя и удаляет файлы cookie браузера. Новая вредоносная операция направлена на израильские компании, в основном специализирующиеся на разработке ПО для криптовалютного трейдинга и Forex. Свидетельств успешности этих атак в настоящее время зафиксировано не было. Кто стоит за вредоносной кампанией, неизвестно.

Крупный производитель алюминия Norsk Hydro стал жертвой кибератаки



Из-за кибератаки часть рабочих процессов на производстве переведены в ручной режим, некоторые другие процессы – приостановлены. Один из крупнейших мировых производителей алюминия, компания Norsk Hydro, подверглась хакерской атаке, которая повлекла за собой сбой в работе производственных объектов. Атака началась вечером в понедельник, 18 марта, и усилилась ночью. Кибератака затронула работу компании в разных странах, в том числе в Норвегии, Катаре и Бразилии. Часть рабочих процессов на производстве были переведены в ручной режим, некоторые другие процессы – приостановлены. В настоящее время компания принимает меры для нейтрализации атаки, однако пока затрудняется назвать ее точные масштабы. О том, кто может быть причастен к хакерской атаке, не сообщается. Сейчас производитель в сотрудничестве с Национальной службой безопасности Норвегии ведет расследование инцидента. В декабре минувшего года от кибератаки пострадала итальянская нефтегазовая компания Saipem. Как сообщили представители предприятия, в ходе нападения использовалась новая версия червя Shamoon (он же DistTrack), получившего известность после масштабной кибератаки на нефтяную компанию Saudi Aramco в 2012 году. Как стало известно позже, компания подверглась атакам с использованием вымогательского ПО LockerGoga. По словам представителей компании, атака не поставила под угрозу безопасность сотрудников.

Киберпреступники скооперировались для распространения банковских троянов



Специалисты заметили новую тенденцию на киберпреступной сцене. На сегодняшний день банковские трояны считаются одной из основных угроз для пользователей и организаций. Только в 2018 году специалисты зафиксировали порядка 900 тыс. атак с использованием данного вида вредоносного ПО. Zeus, Redaman, BackSwap, Emotet, Gozi и Ramnit – только некоторые из наиболее «знаменитых» семейств. До недавнего времени между организаторами вредоносных кампаний велась конкурентная борьба, однако эксперты команды IBM X-Force заметили новую тенденцию – киберпреступные группировки начали объединять усилия для распространения банковских троянов. Одним из примеров такого сотрудничества являются трояны Trickbot и IcedID, наряду с Gozi и Ramnit вошедшие в число наиболее активных в 2018 году. Trickbot, автором которого предположительно является русскоязычная группировка, в основном использовался в атаках на банки и финансовые организации, однако в минувшем году его операторы расширили поле деятельности, включив в список атакуемых объектов различные сайты электронной коммерции и криптовалютные биржи. По словам исследователей, в мае 2018 года Trickbot начал загружать троян IcedID, ранее распространявшийся с помощью трояна Emotet. Спустя три месяца IcedID претерпел некоторые изменения и функционально стал напоминать Trickbot. В частности, разработчики модифицировали бинарный файл, уменьшив его в размерах, и добавили возможность загружать плагины по требованию. Хотя вирусописатели иногда заимствуют наработки друг у друга, в данном случае изменения не случайны и указывают на сотрудничество между группировками, отметили исследователи. Троян Gozi – еще один ключевой игрок на киберпреступной сцене. Первые версии вредоноса были обнаружены еще в 2007 году, а утечка его исходного кода в 2010 году привела к появлению различных троянов, активных по сей день. На сегодняшний день существуют две основные версии вредоноса - Gozi v.2 и Gozi v.3. Первая в основном используется в атаках на крупные финансовые компании, а вторая – на банки в Австралии и Новой Зеландии. По данным специалистов, операторы Gozi сотрудничают с операторами вредоносного ПО URLZone. В рамках прошлогодней кампании последний загружал трояны Cutwail и Gozi, использовавшиеся для формирования ботнета, создания бэкдоров и кражи информации. Операторы трояна Ramnit также не брезгуют сотрудничеством с другими группировками. Ramnit активен с 2010 года и изначально представлял собой червь для заражения ПК, сетей и съемных накопителей, однако со временем эволюционировал в модульный банковский троян, который сейчас распространяется с помощью наборов эксплоитов Angler и RIG. В 2015 году правоохранительные органы отключили ботнет Ramnit, однако спустя три года троян вернулся на киберпреступную сцену, причем с «партнером» - вредоносным ПО Ngioweb, действующим в качестве прокси-сервиса. В ходе вредоносной кампании всего за два месяца троянами оказались заражены порядка 100 тыс. устройств. По мнению экспертов, целью кратковременного сотрудничества между операторами вредоносов являлось создание ботнета по размеру аналогичного печально известному Gameover Zeus.

Группировка Carbanak вернулась с новыми инструментами атак



Несмотря на аресты, оставшиеся участники Carbanak по-прежнему активны и продолжают совершенствовать свои инструменты и методы атак. Печально известная группировка Carbanak (она же Fin7) возобновила деятельность и добавила в свой арсенал абсолютно новое вредоносное ПО и инструменты администрирования. В августе минувшего года американские правоохранители арестовали троих высокопоставленных участников группировки, действовавших под прикрытием на первый взгляд легитимной компании Combi Security. Однако, несмотря на аресты, оставшиеся участники Carbanak по-прежнему сохраняют активность и продолжают совершенствовать свои инструменты и методы атак. Для заражения систем вредоносным ПО группировка использует один из наиболее распространенных методов – фишинг. Согласно отчету компании Flashpoint, описывающему подробности недавних кампаний Carbanak, одно из фишинговых писем содержало ранее нигде не встречавшееся вредоносное ПО, получившее название SQLRat. Троян способен загружать и исполнять SQL скрипты на зараженных системах. Троян не оставляет артефакты, как обычное вредоносное ПО, поэтому отследить и проанализировать его довольно сложно. Скрипт подключается к контролируемой Carbanak базе данных Microsoft и исполняет контент различных таблиц, в том числе записывает на диск загрузчик Tinymet Meterpreter. Бэкдор DNSbot- еще один новый вредонос, появившийся в активе Carbanak. Он использует DNS-трафик для передачи команд и данных с инфицированной системы. Программа также может переключаться между зашифрованными каналами (включая HTTPS и SSL). Также группировка обзавелась новой написанной на PHP панелью управления скриптами под названием Astra, используемой для отправки вредоносного кода на скомпрометированные компьютеры.

Группировка MageCart атаковала online-магазины компаний My Pillow и Amerisleep



Злоумышленники похищали данные платежных карт во время online-транзакций. ИБ-исследователи из компании RiskIQ обнаружили две новые атаки группировки MageCart, направленные на интернет-магазины компаний My Pillow и Amerisleep, продающих постельное белье и кровати. Злоумышленники действовали по привычному сценарию, внедряя скиммер – вредоносный Javascript-код – на страницы сайтов и похищали данные платежных карт во время осуществления покупателями online-транзакций. Вся украденная информация отправлялась на сервер, контролируемый преступниками. MageCart – термин, объединяющий по меньшей мере 10 киберпреступных группировок, занимающихся хищением данных платежных карт клиентов сайтов электронной коммерции. К слову, ранее одной из группировок, а точнее, Group 12, удалось скомпрометировать около 277 сайтов электронной коммерции, заразив библиотеку Javascript, используемую французской маркетинговой компанией Adverline. Как и в предыдущих случаях, группировка MageCart внедряла на сайты online-магазинов компаний скиммеры, похищая данные платежных карт покупателей. Злоумышленники взломали сайт компании My Pillow в октябре минувшего года и запустили домен с похожим названием и установленным SSL-сертификатом, выданным центром сертификации Let’s Encrypt. Последний раз скиммер был активен 19 ноября 2018 года, сообщают исследователи. Компания Amerisleep в 2017 году уже становилась жертвой группировок MageCart, однако в декабре прошедшего года и январе нынешнего года вновь подверглась атакам. В последнем случае вредоносный код был внедрен только на странице, где осуществляется оплата, а не на каждой странице сайта. Хотя на сегодняшний день домен отключен, вредоносный код до сих пор находится на страницах сайта. Все попытки связаться с компанией через службу поддержки или напрямую через электронную почту остались безуспешными, сообщают исследователи. Они также рекомендуют посетителям интернет-магазинов регулярно проверять свои платежные карты и банковские счета на наличие подозрительной активности.

Хакеры из Израиля помогали Саудовской Аравии следить за активистами и журналистами. Они же выследили наркобарона Эль Чапо



Газета The New York Times опубликовала расследование о хакерских компаниях, помогающих правительствам разных стран следить за гражданами — как за преступниками, так и за гражданскими активистами. Одна из таких компаний — израильская NSO Group — по информации издания, выполняла для Саудовской Аравии заказы по слежке за активистами и журналистами, критически настроенными к Эр-Рияду. Заказы компании давал бывший советник наследного принца Саудовской Аравии Сауд аль-Кахтани, которого подозревают в причастности к убийству журналиста Джамаля Хашогджи. По сведениям NYT, аль-Кахтани обратился к израильским хакерам в конце 2017 года. В переписке с сотрудниками компании он отмечал, что собирается использовать инструменты NSO Group для слежки в Турции, Катаре, Франции и Великобритании. О том, что компания NSO Group может быть причастна к убийству Джамаля Хашогджи, стало известно в конце 2018 года. Тогда саудовский активист и друг журналиста Омар Абдул-Азиз, живущий в Канаде, подал на NSO Group в суд. Он считает, что компания взломала его телефон, чтобы выйти на Хашогджи. В NSO Group все обвинения отвергали. Компанию NSO Group в 2008 году основали израильтяне Шалев Хулио и Омри Лави. В 2011 году они выпустили программу Pegasus — инструмент для слежки за мобильными телефонами, основанный на технологиях израильской разведки. Эта программа позволяет получить доступ к многочисленным данным, в том числе звонкам, сообщениям, электронным письмам, местоположению владельца телефона и любой информации, передаваемой через Facebook, WhatsApp и Skype. В NSO Group говорят, что разработка позволяет правительственным службам бороться с терроризмом и преступностью. Как отмечает NYT, компания может продать свое шпионское программное обеспечение определенной стране, если получит соответствующее разрешение от правительства Израиля. Сотрудники NSO Group выполняют заказы для десятков стран мира. Первым клиентом, использующим Pegasus, стало правительство Мексики, которое, по данным издания, заплатило 15 миллионов долларов за само оборудование и программное обеспечение и еще 77 миллионов долларов — непосредственно за слежку за широким кругом людей. Источники NYT говорят, что Мексика использовала эту технологию для борьбы с наркокартелями. В частности, по словам мексиканских чиновников, благодаря Pegasus удалось поймать наркобарона Хоакина Гусмана по прозвищу Эль Чапо («Коротышка»). При этом, отмечает газета, в число объектов слежки в Мексике входили люди, которых ни в чем не обвиняли. В 2016 году компанию NSO Group также подозревали в том, что она следила за арабским правозащитником Ахмедом Мансуром по заказу правительства Объединенных Арабских Эмиратов. В 2018 году правозащитная организация Amnesty International сообщала, что NSO Group следит за ее сотрудниками.

Атаковавший Norsk Hydro вредонос также атаковал две химические компании в США



До атаки на Norsk Hydro жертвами вымогательского ПО LockerGoga стали две американские компании. От вымогательского ПО LockerGoga, использовавшегося в недавней атаке на крупного производителя алюминия Norsk Hydro, также пострадали две американские химические компании. Как сообщает Motherboard, 12 марта нынешнего года производители смол, силиконов и других материалов Hexion и Momentive подверглись кибератаке с использованием вымогательского ПО. Согласно внутреннему электронному письму, подписанному генеральным директором Momentive Джеком Боссом (Jack Boss), инцидент вызвал «глобальный сбой в работе IT-систем», в результате чего компании пришлось обратиться за помощью к вооруженным спецподразделениям SWAT. Судя по уведомлению с требованием выкупа, Hexion и Momentive стали жертвами вымогателя LockerGoga. В день атаки на некоторых Windows-ПК в обеих компаниях появился синий экран с сообщением об ошибке, а все файлы оказались зашифрованными. Согласно подписанному Боссом письму, все данные на атакованных системах, очевидно, были уничтожены, и компания заказала сотни новых компьютеров. По состоянию на 14 марта интернет-подключение так и не было восстановлено. В опубликованном в пятницу, 15 марта, пресс-релизе Hexion сообщается, что компания работает над восстановлением операций «в ответ на недавний инцидент безопасности в сети». Кибератаки на Hexion и Momentive свидетельствуют о том, что операторы LockerGoga намного активнее, чем считается. До недавнего времени были известны только две жертвы этого сравнительно нового вымогателя – французская инженерная консалтинговая компания Altran, атакованная LockerGoga в январе нынешнего года, и норвежский алюминиевый гигант Norsk Hydro, вынужденнвй свернуть свои операции на этой неделе. По словам представителей «Лаборатории Касперского», им известен еще ряд случаев атак с использованием LockerGoga по всему миру.

Минобороны Испании подверглось кибератаке



Злоумышленники пытались получить доступ к секретным данным военной промышленности. Неизвестные киберпреступники внедрили вредоносное ПО во внутреннюю сеть министерства обороны Испании с целью хищения секретной информации о высокотехнологичных военных разработках. Об этом во вторник, 26 марта, сообщило испанское издание El País. По данным издания, инфицирование произошло через вредоносную рассылку, а сама вредоносная программы была обнаружена в начале марта нынешнего года. Как отмечается, вредонос присутствовал в сети, используемой более чем 50 тыс. пользователей, несколько месяцев. Хотя атакованная сеть не содержит секретную информацию, собеседники издания обеспокоены тем, что злоумышленники могли проникнуть в другие сети в охоте за ценными данными. В настоящее время расследование хакерской атаки продолжается. Пока власти не смогли идентифицировать организаторов атаки, однако, по их мнению, ее техническая сл

Злоумышленники взломали криптовалютную биржу DragonEx



В настоящее время сведений об атаке очень мало, но DragonEx обещает возместить своим клиентам все убытки. Администрация криптовалютной биржи DragonEx сообщила на своем Telegram-канале о кибератаке, в результате которой неизвестные похитили денежные средства со счетов как пользователей, так и самой биржи. Согласно сообщению, часть похищенных денег удалось вернуть, и в настоящее время DragonEx работает над возвращением оставшихся средств. Администрация биржи уведомила об инциденте правоохранительные органы нескольких стран, в том числе Эстонии, Таиланда, Сингапура и пр. и активно содействует следствию. В связи с кибератакой все сервисы платформы временно закрыты, а точная сумма похищенных средств будет оглашена к концу недели. Независимо от дальнейшего развития событий, DragonEx возьмет всю ответственность за инцидент на себя. В настоящее время об атаке известно очень мало. По существу, кроме сообщения на Telegram-канале биржи, об инциденте больше нигде не сообщается. DragonEx – сингапурская криптовалютная биржа, обслуживающая преимущественно клиентов в Китае. Хотя платформа работает в Сингапуре, сайт доступен только на китайском языке, без английской версии. У биржи есть собственные токены, покупать и продавать которые можно только на DragonEx. Будучи новым проектом, платформа поддерживает лишь несколько альткойнов и менее популярных токенов. Капитализация биржи на CoinMarketCap составляет $187 796 581. Хотя DragonEx ориентирована преимущественно на внутренний рынок, проект стремительно развивается.

Microsoft через суд «отвоевала» сотню доменов группировки APT35



Как правило, подобные судебные ордеры используются для борьбы с сайтами, незаконно использующими чужие товарные знаки. Компания Microsoft тайно вела активную борьбу с финансируемой Ираном кибершпионской группировкой APT35, также известной как Phosphorus, Charming Kitten и Ajax Security Team. Об этом сообщается в судебных документах, с которых в среду, 27 марта, был снят гриф секретности. Согласно документам, суд разрешил Microsoft получить контроль над 99 доменами, принадлежавшими APT35 и использовавшимися группировкой для фишинговых атак на организации в США и по всему миру. Злоумышленники зарегистрировали доменные имена с использованием известных торговых марок, в том числе Microsoft и Yahoo. Среди «конфискованных» доменов оказались outlook-verify.net, yahoo-verify.net, verification-live.com, myaccount-services.net и пр. С их помощью преступники выманивали у жертв логины и пароли – очень старый, но чрезвычайно эффективный метод похищения учетных данных. Регистраторы доменных имен оказали содействие Microsoft и передали компании контроль над доменами сразу же после получения ею соответствующего ордера. Как правило, компаниям нужны такие судебные ордера для получения контроля над доменами, незаконно использующими их товарные знаки. Однако в данном случае Microsoft использовала ордер в рамках борьбы с финансируемой государством кибершпионской группировкой. Microsoft и раньше использовала предписания суда для закрытия сайтов, принадлежащих APT-группам. К примеру, летом 2017 года компания захватила контроль над 70 доменами APT28 (она же Fancy Bear). Использование судебных ордеров для закрытия вредоносных доменов – практика далеко не новая. Тем не менее, до недавнего времени к ней прибегали только правоохранительные органы для отключения C&C-серверов ботнетов.

Хакер взломал Microsoft и Nintendo и официальный сайт S. T. A. L. K. E. R. 2



Британский хакер взломал серверы Microsoft и Nintendo, но отделался испугом и отложенным тюремным сроком. Хотя, согласно обеим корпорациям, нанес им ущерб в три с лишним миллиона долларов. 24-летний Заммис Кларк в январе 2017-го проник на серверы «микромягких», спер примерно 43 тысячи файлов, открыл доступ к серверам другим хакерам да еще напустил туда вирусов. Его затем поймали, арестовали, но отпустили и даже не запретили пользоваться компьютером. После чего он весной прошлого года взломал внутренние серверы Nintendo, где украл 2365 имен пользователей и паролей. Тут уж британская фемида не стерпела, и парень угодил под суд. Где получил 15 месяцев тюрьмы с отсрочкой приговора на 18 месяцев. Столь мягкое наказание стало следствием того, что хакер оказался аутистом, и тюремное заключение принесло бы ему «неисчислимые страдания».

Мошенники заставляют пользователей кликать на рекламу с помощью нового трюка



Новый трюк используется киберпреступниками в течение нескольких последних месяцев. Из всех киберпреступных групп наибольшей креативностью отличаются мошенники, занимающиеся вредоносной рекламой. Из-за скорости, с которой разработчики браузеров приспосабливаются к появляющимся угрозам, им приходится регулярно придумывать что-то новенькое. Как сообщают специалисты ИБ-компании Malwarebytes, наблюдающие за развитием киберпреступных группировок и их кампаний, в течение последних нескольких месяцев мошенники взяли на вооружение новый способ обмана пользователей. Трюк заключается в том, чтобы заставить посетителя сайта, отображающего вредоносную рекламу, кликнуть на всплывающий баннер. Как и у большинства вплывающих окон, в верхнем правом углу баннера отображается кнопка для закрытия. Тем не менее, когда пользователь хочет закрыть рекламу и наводит курсор на крестик, в самый последний момент окно увеличивается, и курсор оказывается не на крестике, а на баннере. В результате вместо того, чтобы нажать на кнопку «Закрыть», пользователь кликает на рекламу. Как пояснил эксперт Malwarebytes Жером Сегура (Jérôme Segura), мошенники используют динамически присоединенный к странице CSS-код, который следит за курсором мыши и реагирует, когда тот оказывается над кнопкой «Закрыть». Здесь очень важно рассчитать время, чтобы жертва успела кликнуть до того, как появится расширенный рекламный баннер. Новый трюк активно использует одна из двух группировок, эксплуатирующих уязвимости нулевого дня в плагинах WordPress. Киберпреступники внедрили во взломанные сайты код для перехвата небольшой части трафика, который затем перенаправляется через различные вредоносные ресурсы – поддельные сайты техподдержки, мошенническую рекламу, интернет-магазины со встроенными скиммерами и пр. Поскольку трюк с увеличением окна предполагает использование CSS-кода, его можно заблокировать с помощью обычного блокировщика рекламы. Однако блокировщик и так предотвратит загрузку рекламы внутри всплывающего окна, поэтому трюк не может сработать в принципе.

Иран атаковал национальную структуру Британии



Атаковавшие британский парламент киберпреступники также атаковали национальную инфраструктуру. Великобритания обвинила Иран в кибератаках на «ключевые элементы национальной инфраструктуры». Большая часть пострадавших – частные компании, в том числе банки. Как сообщает Sky News, 23 декабря 2018 года, как раз перед католическим Рождеством, Почтовая служба и несколько органов местного самоуправления подверглись кибератакам. Национальный центр кибербезопасности (National Cyber Security Centre), подтвердил журналистам, что ему известно об инцидентах, имевших место в конце прошлого декабря и затронувших ряд британских организаций. В настоящее время ведомство расследует кибератаки и предпринимает соответствующие меры безопасности. Киберпреступникам удалось похитить персональные данные тысяч сотрудников, в том числе адрес электронной почты и номер телефона директора Почтовой службы Полы Веннелс (Paula Vennells). По данным Sky News, в общей сложности злоумышленники похитили 10 204 записи с личной информацией сотрудников, в том числе их электронные адреса, номера телефонов и сведения о занимаемой должности. Как установили аналитики из Калифорнии, за этими атаками, а также за атаками на парламент Великобритании стоит Корпус стражей исламской революции. Ранее SecurityLab сообщал о попытках Корпуса стражей исламской революции взломать израильские системы предупреждения о ракетном нападении. Корпус стражей исламской революции – созданное в 1979 году иранское элитное военно-политическое формирование. Принимало активное участие в ирано-иракской войне и в создании организации «Хезболла». Официально является частью вооруженных сил Ирана.

APT-группа OceanLotus использует стеганографию для загрузки бэкдоров



Группировка усовершенствовала методы и теперь использует новые загрузчики для внедрения бэкдоров Denes и Remy на скомпрометированные системы. Специалисты компании Cylance опубликовали доклад с новыми подробностями о деятельности вьетнамской киберпреступной группировки OceanLotus, также известной как APT32 и Cobalt Kitty. Объектами атак группы являются иностранные компании по всему миру, предполагается, что OceanLotus может быть причастна к утечке данных клиентов подразделений Toyota и Lexus, о которой сообщалось несколько дней назад.Согласно отчету, группировка усовершенствовала свои методы и теперь использует новые загрузчики для внедрения бэкдоров Denes и Remy на скомпрометированные системы. OceanLotus применяет собственный механизм стеганографии, скрывая вредоносную нагрузку в изображениях в формате PNG с целью минимизировать риск детектирования защитными инструментами. Загрузчики обладают разной структурой, но применяют одинаковый метод извлечения вредоносов: оба используют DLL-библиотеки и реализацию алгоритма AES128 для дешифрования полезной нагрузки. Хотя в настоящее время загрузчики применяются для загрузки бэкдоров, они могут быть с легкостью модифицированы для внедрения других видов вредоносного ПО. Для усложнения анализа вредоносов DLL-библиотеки, в том числе используемые для связи с C&C-сервером, обфусцированы и содержат огромное количество «мусорного» кода. Помимо стеганографии, в арсенале группировки появились новые эксплоиты, ловушки и самораспаковывающиеся архивы. В частности, OceanLotus активно использует эксплоиты для уязвимости в Microsoft Office (CVE-2017-11882), находящиеся в открытом доступе и модифицированные для фишинговых атак.

Кибергруппировка FIN6 пополнила арсенал вымогателями LockerGoga и Ryuk



Распространение вымогателей может быть делом рук отдельных участников группировки, ищущих дополнительный способ заработка. Киберпреступная группировка FIN6, известная своими атаками на PoS-терминалы, расширила сферу деятельности, включив в арсенал вымогательское ПО LockerGoga и Ryuk. Изменения в поведении группировки заметили специалисты компании FireEye, расследовавшие несколько не связанных друг с другом атак с использованием данных вредоносов. В ходе анализа они заметили ряд признаков, указывающих на причастность FIN6. Атаки начались в июле 2018 года, в это же время число атак на PoS-терминалы, осуществляемых группировкой, значительно сократилось. Эксперты не раскрыли названия пострадавших компаний, но уточнили, что речь идет об ущербе в десятки миллионов долларов. Учитывая различия в тактике между новыми атаками и предыдущей деятельностью FIN6, распространение программ-вымогателей может быть делом рук отдельных участников группировки, ищущих дополнительный способ заработка, полагают исследователи. Проникнув в сеть жертвы, злоумышленники «разведывают обстановку» с помощью различных средств: краденных учетных данных, инструмента Cobalt Strike, ПО Metasploit, AdFind и 7-Zip. Продвижение по сети осуществляется через протокол удаленного подключения RDP. После установки соединения атакующие используют две техники: первая предполагает применение PowerShell для выполнения зашифрованных команд, внедрения Cobalt Strike на скомпрометированную систему и загрузку вредоносного ПО. Вторая заключается в создании рандомных сервисов Windows для исполнения команд PowerShell и загрузки дополнительных вредоносных модулей с управляющего сервера. С помощью архиватора 7-Zip похищенные данные запаковываются и затем отправляются на С&C-сервер.

Киберпреступники использовали Pastebin для распространения RAT



С целью избежать обнаружения группировка Gaza Cybergang Group1 хранила свой троян на Pastebin. Киберпреступная группировка, уступающая своим собратьям в финансировании и технологиях, ухитрилась запустить политически мотивированную операцию, жертвами которой стали 240 человек в 39 странах. Речь идет о подразделении группировки Gaza Cybergang, известном как Gaza Cybergang Group1 (другое название MoleRATs). Как сообщает «Лаборатория Касперского», в Gaza Cybergang входят киберпреступники, разговаривающие на арабском языке и преследующие политические мотивы. Сфера их интересов – страны Среднего Востока (в особенности палестинская территория) и Северной Африки. Gaza Cybergang состоит из трех подразделений – кроме Gaza Cybergang Group1 в нее входят Gaza Cybergang Group2 и Gaza Cybergang Group3. Первая из трех группировок финансируется меньше остальных и использует очень простые техники. Как правило, для заражения компьютеров трояном для удаленного доступа (или несколькими) она использует Pastebin. Яркий пример – операция SneakyPastes. В ходе операции злоумышленники использовали фишинг и делили атаку на несколько связанных между собой этапов. Для того чтобы избежать обнаружения и продлить срок действия C&C-сервера, Gaza Cybergang Group1 хранила свое вредоносное ПО в публичных сервисах Pastebin, Mailimg, Github, dev-point.co, a.pomf.cat и upload.cat. Эксперты ЛК обнаружили несколько закладок, использовавших PowerShell, VBS, JS и .NET для получения персистентности на зараженной системе. Вредоносным ПО, загружаемым на завершающем этапе атаки, является троян для удаленного доступа (RAT). Вредонос собирает документы в форматах PDF, DOC, DOCX, XLS и XLSX, компрессирует их, шифрует и отправляет на C&C-сервер. Операция началась в конце 2018-го и продолжалась в начале 2019 года. Чаще всего жертвами SneakyPastes становились посольства, государственные и образовательные учреждения, СМИ, журналисты, активисты, политические партии и отдельные политики, организации здравоохранения и банки. В настоящее время операция завершена, а часть ее инфраструктуры отключена общими усилиями ЛК и правоохранительных органов.

Участник русскоговорящей кибергруппировки приговорен к 6 годам тюрьмы



«Русским хакером» оказался житель Великобритании, заработавший сотни тысяч на вымогательстве. В Великобритании был вынесен приговор участнику русскоговорящей киберпреступной группировки, заразившей сотни миллионов компьютеров по всему миру вымогательским ПО. Как сообщает Национальное агентство по борьбе с преступностью Великобритании, 24-летний житель графства Эссекс Зайн Квайзер (Zain Qaiser), известный в Сети как K!NG, является участником киберпреступной группировки, зарабатывавшей на вымогательстве. По данным следствия, один только Зайн заработал как минимум 700 тыс. фунтов стерлингов, и эта сумма может быть еще выше. В группировке Квайзер отвечал за покупку рекламного трафика на порнографических сайтах. На оплаченной рекламной площади злоумышленники размещали вредоносную рекламу. Когда пользователь кликал на баннер, он сразу же перенаправлялся на другой сайт, содержащий высокотехнологичное вредоносное ПО, в том числе набор эксплоитов Angler. Если система жертвы содержала хотя бы одну уязвимость, на нее сразу же загружалась вредоносная программа. По данным «Лаборатории Касперского», авторами набора эксплоитов являются участники русскоговорящей киберпреступной группировки Lurk. Национальное агентство по борьбе с преступностью Великобритании не уточняет название группировки, однако сообщает, что Квайзер был сообщником создателя Angler. Одной из вредоносных программ, загружаемых эксплоитами на систему жертвы, являлась Reveton. Вредонос блокировал браузер и отображал уведомление якобы от правоохранительных органов о том, что пользователь нарушил закон и должен заплатить штраф (от 300 до 1000 фунтов стерлингов). Напомним , ранее SecurityLab сообщал об аресте сотрудника компании Microsoft, оказавшегося оператором Reveton. Квайзер начал работать на киберпреступную группировку в 2012 году. В 2014 году он был арестован в первый раз, и в 2017-м ему были предъявлены обвинения. Киберпреступник признал свою вину по 11 пунктам обвинения, в том числе в шантаже, мошенничестве, отмывании денег и незаконном использовании компьютера и в декабре прошлого года был взят под стражу в Суде Короны в Кингстоне. Суд назначил Квайзеру наказание в виде лишения свободы на срок шесть лет и пять месяцев

Злоумышленники атаковали Matrix.org



Атака стала возможной благодаря уязвимостям в устаревшей версии Jenkins. Некоммерческая организация Matrix.org стала жертвой кибератаки, вынудившей ее перестроить всю производственную инфраструктуру и уведомить пользователей об утечке данных. Matrix.org является разработчиком открытого стандарта коммуникации в режиме реального времени по IP для обмена текстовыми сообщениями и файлами, а также для осуществления голосовых и видео-звонков. В списке использующих стандарт платформ числятся Riot, WeeChat, Nheko, Quaternion и пр. В четверг, 11 апреля, представители организации сообщили, что неизвестным злоумышленникам удалось получить доступ к ее серверам. Преступники получили доступ к производственной базе данных, с помощью которой они потенциально могли похитить незашифрованные данные сообщений, хеши паролей и токены авторизации. Из-за кибератаки Matrix.org в течение нескольких часов не могла восстановить работу и была вынуждена поднимать производственную инфраструктуру с нуля. Инцидент затронул сайты, базы данных, медиа-репозитории и т.д., однако серверы Modular.im, исходные коды и пакеты в результате атаки не пострадали. Кибератака стала возможной благодаря уязвимостям в производственной инфраструктуре, а именно – в устаревшей версии сервера Jenkins. С помощью уязвимостей CVE-2019-1003000, CVE-2019-1003001 и CVE-2019-1003002 злоумышленники похитили внутренние SSH-ключи и с их помощью получили доступ к производственной инфраструктуре. Исследователь безопасности JaikeySarraf уведомил Matrix.org об уязвимостях 9 апреля. На следующий день специалисты организации локализовали их и определили полный масштаб атаки. 10 апреля проблемный сервер Jenkins был удален, и злоумышленники лишились доступа к инфраструктуре. Через 24 часа Matrix.org отключила свой главный сервер и начала перестраивать инфраструктуру заново. Все пользователи Matrix.org были «выброшены» из своих учетных записей, и организация попросила их сменить пароли.

Передовое шпионское ПО TajMahal в течение пяти лет оставалось незамеченным



Вредонос содержит более 80 модулей – почти рекордное количество для шпионского ПО. Исследователи «Лаборатории Касперского» раскрыли подробности о высокотехнологичном шпионском ПО, остававшемся незамеченным в течение пяти лет. APT-фреймворк TajMahal представляет собой модульный инструментарий, который не только поддерживает множество плагинов для шпионажа, но также использует ранее неизвестные и до конца непонятные техники. Специалисты ЛК обнаружили TajMahal (происхождение названия не объясняется) осенью прошлого года, когда киберпреступники использовали его для атаки неназванной дипломатической организации в одной из стран Центральной Азии. Как показал анализ вредоносного кода, стоящая за ним группировка активна по крайней мере с 2014 года. Фреймворк состоит из двух пакетов – Tokyo и Yokohama, включающих в себя более 80 вредоносных модулей. По словам исследователей, такое количество плагинов является почти рекордным для APT-инструментария. Среди модулей есть бэкдоры, загрузчики, инструменты для оркестровки, средства для подключения к C&C-серверам, инструменты для аудиозаписи, кейлоггеры, инструменты для записи экрана и видео с web-камер, плагины для похищения документов и ключей шифрования и даже эксклюзивное решение для индексации файлов на инфицированном компьютере. Как именно TajMahal попадает на атакуемую систему, исследователям пока выяснить не удалось. Однако они смогли установить, что сначала на компьютер загружается пакет Tokyo, загружающий ПО второго этапа Yokohama. В настоящее время выявлена только одна жертва вредоноса, однако, по мнению экспертов ЛК, их может быть больше. Помимо обычных функций, характерных для шпионского ПО, TajMahal также вооружен рядом уникальных возможностей. К примеру, оператор вредоноса может запрашивать файл, хранящийся на USB-накопителе, который ранее был подключен к компьютеру. При следующем подключении этого USB-накопителя к зараженной системе TajMahal похитит запрошенный файл.

Инструменты и данные APT34 утекли в Сеть



В Telegram обнаружен канал с опубликованными исходными кодами инструментов иранской хакерской группировки. В известной киберпреступной группировке APT34 (другие названия Oilrig и HelixKitten ) произошла утечка данных сродни утечке секретных хакерских инструментов Агентства национальной безопасности США в 2017 году. С марта нынешнего года некто Lab Dookhtegan публикует на канале в Telegram исходные коды вредоносных инструментов из арсенала APT34 – группировки, связываемой ИБ-экспертами с правительством Ирана. Хотя инструментам APT34 далеко до эксплоитов и программ АНБ, они все равно очень опасны.

На Telegram-канале уже опубликованы шесть инструментов:

- Glimpse (более новая версия PowerShell-трояна BondUpdater (в классификации Palo Alto Networks));

- PoisonFrog (более старая версия BondUpdater);

- HyperShell (web-оболочка TwoFace (в классификации Palo Alto Networks));

- HighShell (еще одна web-оболочка);

- Fox Panel (набор инструментов для фишинга);

- Webmask (инструмент для DNS туннелирования, применявшийся в ходе вредоносной кампании DNSpionage ).

Помимо инструментов для взлома, Lab Dookhtegan также выкладывает данные, похищенные у жертв группировки. В основном это логины и пароли, полученные через фишинговые страницы. В некоторых случаях также указана информация о внутренних серверах и IP-адреса. Данные принадлежат 66 сотрудникам государственных и частных организаций в странах Среднего Востока (большая часть), Африки и Европы. Среди жертв APT34, чьи данные оказались опубликованы на канале в Telegram, значатся национальная авиакомпания ОАЭ Etihad Airways и энергетическая компания Emirates National Oil. Lab Dookhtegan также опубликовал сведения о прошлых операциях APT34, в частности списки IP-адресов и доменов, где группировка хранила свои инструменты. Кроме того, он выложил массив данных служащих Министерства информации и национальной безопасности Ирана, включая имена, номера телефонов и фотографии служащих министерства, участвовавших в операциях APT34. В некоторых случаях также указаны электронные адреса, сведения о роли в операциях и страницы в соцсетях.

Остановивший WannaCry исследователь признался в создании вредоносного ПО



Маркус Хатчинс признал свою вину в создании и распространении банковских троянов. Исследователь безопасности, два года назад остановивший волну атак WannaCry, признал свою вину в создании и распространении вредоносного ПО. Британец Маркус Хатчинс (Marcus Hutchins), использующий псевдоним MalwareTech, больше всего известен тем, что в 2017 году остановил распространение вымогательской программы WannaCry, заражавшей компьютеры по всему миру с ужасающей скоростью. Сферой деятельности Хатчинса является кибербезопасность – исследователь регулярно публикует информацию о новых угрозах и руководства по анализу вредоносного ПО. Хатчинс был арестован 2 августа 2017 года в аэропорту Лас-Вегаса, откуда возвращался домой с посвященных кибербезопасности конференций Black Hat и DEF CON. В пятницу, 19 апреля, он признал свою вину по первым двум из десяти пунктов обвинения, предъявленных ему в США. В частности, британец сознался в создании банковских троянов UPAS-Kit и Kronos и распространении их с помощью сообщника, известного как Vinny или VinnyK. Согласно судебным документам, Хатчинс был вовлечен в киберпреступную деятельность в 2012-2015 годах. По каждому из двух пунктов обвинения максимальным наказанием является лишение свободы сроком на пять лет, штраф в размере $250 тыс., один год условно и $100 специального налогового сбора. В общей сложности по двум пунктам обвинения исследователю грозит десять лет тюрьмы и $500 тыс. штрафа. Согласно условиям досудебной сделки со следствием, остальные восемь пунктов обвинения будут сняты в ходе судебного заседания. По словам самого Хатчинса, он глубоко сожалеет о своем киберпреступном прошлом и готов понести наказание. «Когда я подрос (Хатчинс родился в 1994 году – ред.), то стал использовать навыки, которыми я несколько лет назад злоупотреблял, в конструктивных целях. Я и впредь намерен посвятить свое время защите людей от вредоносных атак», – сообщил исследователь. Дата вынесения приговора пока не назначена. Тем не менее, суд вполне может засчитать срок, уже проведенный Хатчинсом в предварительном заключении. Кроме того, исследователь может похвастаться большой армией сочувствующих, которые даже готовы собрать нужную сумму для выплаты штрафа.

Русскоговорящие киберпреступники атакуют европейские посольства



Киберпреступники предположительно имеют отношение к кардерскому сообществу. Русскоговорящие киберпреступники атаковали ряд европейских посольств в Италии, Либерии, Кении и других странах, разослав чиновникам фишинговые письма якобы от Госдепартамента США. Как сообщают исследователи из Check Point, вредоносные письма содержали документы Microsoft Excel с заголовком «Military Financing Program» («Программа финансирования военного сектора») и пометкой «Совершенно секретно». После активации содержащихся в документе вредоносных макросов из документа извлекались два файла. В частности, на атакуемую систему загружалась вредоносная библиотека TeamViewer DLL (TV.DLL). На то, что злоумышленники могут разговаривать на русском языке, указывают случайно оставленные ими кириллические символы и даже целые документы на русском. Тем не менее, они вряд ли преследуют политические мотивы и не являются «правительственными хакерами», считают в Check Point. Жертвы киберпреступников разбросаны по всему миру и проживают в разных геополитических зонах. Среди них есть служащие налоговых органов, и именно они представляют интерес для злоумышленников, полагают исследователи. Специалистам даже удалось отследить одного из киберпреступников. Им оказался некто EvaPiks, зарегистрированный на нескольких хакерских и кардерских форумах. EvaPiks публиковал инструкции по осуществлению описанных выше кибератак и давал консультации. Учитывая причастность злоумышленников к кардерскому сообществу, исследователи предположили, что они ищут финансовую выгоду.

Житель Украины взламывал учетные записи в соцсетях на заказ



Молодой человек предлагал свои услуги на закрытых хакерских форумах. Сотрудники Киевского управления Департамента киберполиции Украины задержали 24-летнего киевлянина, по заказу взламывавшего учетные записи пользователей в социальных сетях. Согласно сообщению Киберполиции, молодой человек предлагал свои услуги на закрытых хакерских форумах, в том числе организацию кражи идентификаторов доступа к страницам в соцсетях, электронных почтовых ящиков и пр. Плату за свои услуги злоумышленник устанавливал в зависимости от сложности работы. Как сообщается, подозреваемый создавал фишинговые страницы, имитирующие формы регистрации в соцсетях. Далее жертвам рассылались электронные письма, содержащие ссылку на данные ресурсы, с просьбой подтвердить регистрацию и ввести пароль. После перехода жертвы по ссылке преступник получал учетные данные пользователей, которые затем передавал заказчикам. Сколько молодому человеку удалось таким образом заработать, в Киберполиции не сообщили. Кроме прочего, задержанный продавал на закрытых форумах вредоносное ПО, предназначенное для хищения информации, в частности, сохраненных в браузерах логинов, паролей и данных платежных карт. В ходе обыска по месту жительства злоумышленника правоохранители изъяли компьютерную технику. Во время предварительного осмотра было установлено, что часть данных, свидетельствующих о противоправной деятельности подозреваемого, была удалена. В отношении подозреваемого открыто уголовное дело по ст. 361-1 УК Украины (создание с целью использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт).

Amnesty International в течение нескольких лет находилась под кибератакой



На офис организации в Гонконге продолжительное время осуществлялись атаки предположительно китайской APT-группой. Гонконгский офис правозащитной организации Amnesty International в течение нескольких лет находился под атакой хакеров, предположительно работающих на правительство Китая. Впервые признаки взлома были обнаружены 15 марта текущего года в процессе миграции IT-инфраструктуры в более защищенные сети в рамках планового обновления. Заподозрив неладное, организация обратилась за помощью к ИБ-экспертам, пишет Agence France-Press. В ходе расследования специалисты выявили связь между инфраструктурой, использовавшейся для атак на Amnesty International, и предыдущими операциями APT-группы, связываемой исследователями с китайским правительством. Как отметили ИБ-эксперты, за атаками стоит «известная APT-группа», чьи «тактики, техники и процедуры указывают на хорошо подготовленного противника». Поскольку расследование все еще продолжается, название группировки не раскрывается, однако Amnesty International пообещала опубликовать подробный отчет через некоторое время. Организация связалась с лицами, чьи данные могли оказаться под угрозой из-за кибератак. Amnesty International не сообщила, сколько человек могли пострадать. Финансовые данные затронуты не были, уверены правозащитники. Руководитель регионального представительства Amnesty International в Восточной Азии Джошуа Розенцвейг (Joshua Rosenzweig) не сомневается, что атаки на организацию финансировались государством. «Мы рассматриваем их как атаки на гражданское общество и некоммерческие организации в целом. Мы не намерены это скрывать. Надеюсь, уже само сообщение о факте кибератаки поможет нам защитить себя», - заявил Розенцвейг.

«Профессия» хакера попала в тройку самых популярных по версии «Яндекса»



Россияне больше не хотят становиться знаменитыми, теперь их привлекает ремесло хакера. «Профессия» хакера по-прежнему очень популярна среди пользователей Рунета. К такому выводу пришли специалисты «Яндекса» по результатам анализа поисковых запросов. Исследователи изучили поисковые запросы со словами «как стать» и составили рейтинг самых популярных профессий в 2018-2019 годах. Популярность каждой специальности оценивалась в 100 баллов – чем чаще она встречалась в запросах, тем выше был балл. Чаще всего пользователи «Яндекса» интересовались, как стать блогером – эта профессия получила максимальные 100 баллов. Менее популярной оказалась профессия депутата – 82 балла. Замыкает тройку лидеров «профессия» хакера – 50 баллов. Стоит отметить, что по сравнению с данными за 2017-2018 годы, хакинг немного сдал свои позиции и уступил второе место депутатам, опустившись на третье. А вот ремесло блогера по-прежнему занимает лидирующую позицию. В топ-10 популярных профессий также входят (с 4-го по 10-е место): миллионер, YouTube-блогер, модель, нотариус, пилот, стюардесса, таксист. Запросы «как стать знаменитостью» и «как стать актером» в десятку популярных не попали, хотя присутствовали в рейтинге 2017-2018 годов. Как показал анализ поисковых запросов со словами «как устроиться» и «вакансии», больше всего пользователей Рунета ищут работу в нефтегазовой промышленности, такси и сфере грузоперевозок. Кроме того, их интересует, как можно заработать на криптовалюте, Instagram и YouTube. Что касается учебы, то мужчин больше всего интересуют специальности, связанные с программированием и web-дизайном. Тем не менее, многие также мечтают стать летчиками. Женщин же интересует, где можно выучиться на стюардессу, судмедэксперта и психолога.

Взломавшие Outlook хакеры охотятся за криптовалютными кошельками



Взлом учетной записи сотрудника службы техподдержки Microsoft оказался намного серьезнее, чем изначально заявляла компания. Как сообщалось ранее в этом месяце, неизвестные взломали учетную запись сотрудника службы техподдержки Microsoft и долгое время имели доступ к аккаунтам пользователей Outlook. У киберпреступников был доступ не только к метаданным, как изначально заявляли представители Microsoft, но и к содержимому персональных электронных ящиков в сервисах Outlook, Hotmail и MSN. Поначалу было трудно сказать, какие цели преследовали злоумышленники, однако теперь их мотивы стали проясняться. По данным Motherboard, уже начали появляться первые жалобы от жертв взлома, и большинство из них являются владельцами криптовалютных кошельков. «У хакеров также был доступ к моим входящим сообщениям, что позволило им сбросить пароль от моей учетной записи на Kraken.com (криптовалютной бирже – ред.) и снять мои биткойны», – сообщил Motherboard пользователь Джевон Ритмеестер (Jevon Ritmeester). Ритмеестр предоставил журналистам уведомление об утечке, полученное им от Microsoft по электронной почте. Пользователь также прислал скриншот, свидетельствующий о том, что злоумышленники настроили переадресацию его электронной корреспонденции. Каждое входящее письмо, содержащее слово «Kraken», моментально пересылалось на подконтрольный взломщикам электронный ящик Gmail. Сюда входят письма для подтверждения сброса пароля и криптовалютных операций. По словам Ритмеестера, злоумышленники украли у него 1 биткойн. Пользователь намерен заявить о случившемся в полицию и потребовать от Microsoft возмещения потерянных средств. Ритмеестер далеко не единственный владелец криптовалютного кошелька, пострадавший от взлома Outlook. К примеру, на форуме Reddit есть ряд жалоб и от других пользователей.

Хакеры начали заражать компьютеры через сервис «Яндекса»



Антивирусная компания ESET сообщила о новой киберугрозе, распространяемой мошенниками с использованием сети рекламных баннеров «Яндекс.Директа». Детали хакерской схемы организация раскрыла в пресс-релизе, поступившем в редакцию «Ленты.ру». По данным специалистов, основная цель преступников — финансовые и юридические подразделения различных организаций, так как вредоносное ПО было замаскировано под деловые документы. На удочку аферистов попались пользователи, искавшие в сети шаблоны юридических договоров, образцов договора на квартиру или шаблоны судебных ходатайств. Они переходили через рекламные баннеры «Яндекс.Директа» на сайты, где якобы были размещены вредоносные файлы. Баннеры появлялись на специализированных бухгалтерских и юридических сайтах, таких как regforum.ru, napravah.com. ксперты ESET утверждают, что ранее с использованием баннерной рекламы хакеры распространяли программу для кражи криптовалюты — банковский троян, способный перехватывать доступ к микрофону и введенный с клавиатуры текст, а также программу-вымогатель, шифровавшую файлы и требовавшую за восстановление доступа к ним выкуп. Специалисты отмечают, что в настоящий момент баннеры мошенников заблокированы. В пресс-службе «Яндекса» заявили, что в компании действует строгая система модерации рекламных объявлений. «В случае обнаружения на сайте вредоносного кода или иной угрозы для пользователей объявления автоматически отклоняются», — утверждают в компании. Однако некоторые рекламодатели используют недобросовестные методы и подменяют контент на сайте после прохождения модерации. «Любые попытки обойти ограничения в мошеннических целях ведут к отклонению рекламных материалов и блокировке аккаунта рекламодателя. Если пользователь найдет в сети потенциально опасный файл, "Яндекс.Браузер" предупредит его об этом. Мы постоянно рассказываем пользователям об угрозах в сети и методах защиты, делая со своей стороны все, чтобы сделать пространство рунета максимально безопасным», — заверили в пресс-службе. В середине апреля стало известно , что хакеры научились заражать компьютеры через старую переписку. Юзеры получают на электронную почту письмо от одного из предыдущих собеседников, в котором содержалась ссылка на вредоносное ПО.

Вымогатели удалили содержимое сотен Git-репозиториев



Злоумышленники потребовали выкуп в размере 0,1 биткойна за возвращение данных. Неизвестные злоумышленники атаковали разработчиков, размещающих свои исходные коды на площадках Git. Атакующие удалили содержимое сотен Git-репозиториев в сервисах GitHub, Bitbucket, GitLab, заменив его требованием об уплате выкупа в размере 0,1 биткойна (примерно $560) за восстановление данных. Атаки начались в пятницу, 3 мая. В настоящее время неясно, как именно преступникам удалось получить доступ к аккаунтам. В требовании о выкупе злоумышленники сообщают, что весь исходный код загружен на принадлежащий им сервер, и предоставляют жертве 10 дней на уплату требуемой суммы, которую надлежит перечислить на указанный адрес биткойн-кошелька. В противном случае вымогатели угрожают выложить код в открытом доступе. Стоит отметить, разработчики не спешат платить вымогателям - на момент написания новости на счету преступников находилось всего 0.00052525 биткойна ($2,95). По оценкам исследователей, от действий злоумышленников пострадали по меньшей мере 392 репозитория на GitHub. По признанию некоторых пострадавших, в их учетных записях на GitHub, GitLab и Bitbucket были установлены ненадежные пароли, к тому же многие из них не удалили токены удаленного доступа к неиспользуемым приложениям. Однако все имеющиеся свидетельства указывают на то, что злоумышленники просканировали интернет на предмет конфигурационных файлов Git, извлекли учетные данные и использовали их для доступа к аккаунтам. Это также подтвердила глава отдела безопасности GitLab Кэти Ванг (Kathy Wang). Владелец сервиса Bitbucket компания Atlassian никак не прокомментировала ситуацию, однако начала рассылать соответствующие уведомления пострадавшим пользователям. Как выяснили исследователи, в некоторых случаях коды можно восстановить, поскольку на деле преступники не удаляют файлы, а просто изменяют заголовки коммитов. В этой связи ряд разработчиков уже призвали пострадавших не платить выкуп, а обратиться за помощью к командам поддержки GitHub, GitLab и Bitbucket.

Киберпреступник отобрал у скрипт-деток 29 ботнетов



Операторы ботнетов использовали для авторизации на C&C-серверах ненадежные пароли или учетные данные по умолчанию. За последние несколько недель киберпреступник, известный в Сети как Subby, захватил контроль над 29 чужими IoT-ботнетами. Задачу преступнику облегчил тот факт, что операторы некоторых ботнетов использовали для авторизации на C&C-серверах ненадежные пароли или учетные данные по умолчанию. Как сообщил Subby в беседе с исследователем безопасности из NewSky Security Анкитом Анубхавом (Ankit Anubhav), для взлома C&C-серверов он осуществил атаку по словарю путем подстановки популярных паролей и логинов. Операторы некоторых ботнетов использовали такие ненадежные учетные данные как "root:root", "admin:admin" и "oof:oof", поэтому подобрать их не составило труда. По словам Subby, это можно объяснить тем, что большинство операторов являются скрипт-кидди. «Создавая ботнеты, большинство операторов просто следуют инструкциям, распространяемым по сообществу или опубликованным в YouTube. Следуя инструкции, они не меняют учетные данные по умолчанию, а если и меняют, то на очень ненадежные, уязвимые к брутфорсу», - пояснил Subby. Сказанное Subby не является чем-то новым, по крайней мере, для исследователей безопасности IoT-устройств. К примеру, в прошлом месяце Анубхав рассказал о создателях нашумевшего ботнета Kepler, которыми оказались два подростка. Кроме того, как недавно выяснил исследователь под псевдонимом MisterCh0c, оператором ботнетов OrangeFox, BlackNET, Arkei и ряда других ботнетов также является подросток, забывший в журналах серверов свою фотографию. Ни один из 29 захваченных киберпреступником ботнетов не является особо крупным. Первоначальный подсчет выявил порядка 40 тыс. ботов, но после удаления дубликатов их число уменьшилось до 25 тыс.

APT-группа Turla в течение 5 лет успешно скрывала мощнейший бэкдор



LightNeuron был специально создан для взаимодействия с почтовым сервером Microsoft Exchange. В арсенале APT-группы Turla появился один из самых высокотехнологичных бэкдоров, когда-либо обнаруженных исследователями безопасности. Бэкдор под названием LightNeuron специально разработан для почтовых серверов Microsoft Exchange и работает как агент пересылки сообщений – функционал, никогда ранее не встречавшийся среди бэкдоров. Как сообщил исследователь компании ESET Матье Фау (Matthieu Faou), LightNeuron является первым известным вредоносным ПО, предназначенным специально для Microsoft Exchange. Ранее Turla использовала вредоносное ПО Neuron (другое название DarkNeuron), но оно не было создано для взаимодействия конкретно с Microsoft Exchange. Автором LightNeuron являются участники Turla. Группировка использует бэкдор как минимум с 2014 года, однако в течение пяти лет ей удавалось успешно его скрывать. Вредонос является одним из мощнейших инструментов в своем роде и позволяет операторам контролировать все данные, проходящие через инфицированный почтовый сервер. То есть, злоумышленники могут не только перехватывать, но также отправлять, переадресовывать, блокировать и редактировать письма. Специалистам ESET удалось идентифицировать три жертвы LightNeuron. Ими оказались неназванная организация в Бразилии, министерство иностранных дел в одной из восточноевропейских стран, а также дипломатическая организация на Среднем Востоке. Еще одной особенностью LightNeuron, отличающей его от других бэкдоров, является необычный C&C-механизм. После заражения и модифицирования сервера Microsoft Exchange вредонос никогда не подключается к C&C-инфраструктуре напрямую. Связь осуществляется через файлы PDF и JPG, отправляемые в электронных письмах. С помощью стеганографии киберпреступники прячут в этих файлах команды, которые бэкдор считывает и выполняет. Спам-фильтры отсеивают эти письма, поэтому они не попадаются на глаза жертвы, оставляя ее в полном неведении

Китайские кибершпионы использовали инструменты АНБ за год до утечки The Shadow Brokers



В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Группировка Buckeye (также известна как APT3, Gothic Panda, TG-011 и UPS) использовала вредоносные инструменты Агентства национальной безопасности США (АНБ) по меньшей мере за год до того, как группа The Shadow Brokers разместила их в открытом доступе, утверждают исследователи из компании Symantec. Напомним, в августе 2016 года хакерская группировка The Shadow Brokers начала публиковать инструменты из арсенала АНБ. Часть эксплоитов участники группы разместили в открытом доступе, а остальные предлагали за определенную плату. В настоящее время неизвестно, каким образом Buckeye удалось получить доступ к инструментам. Согласно отчету Symantec, группировка использовала версию бэкдора DoublePulsar с марта 2016 года – за 12 месяцев до того, как The Shadow Brokers опубликовала содержащий данный инструмент дамп (в апреле 2017 года). Специалисты не нашли свидетельств, что группировка задействовала в своих атаках другие инструменты АНБ, такие как фреймворк FuzzBunch, обычно используемый для установки бэкдора. Вместо этого Buckeye применяла собственный троян под названием Bemstour, эксплуатирующий две уязвимости в Windows, - CVE-2019-0703 и CVE-2017-0143. Первая представляет собой уязвимость раскрытия информации, которая в сочетании с другими уязвимостями предоставляет возможность удаленного выполнения кода, а вторая – баг в SMB-сервере, позволяющий удаленно выполнить код. CVE-2017-0143 была исправлена в марте 2017 года, а CVE-2019-0703 Microsoft устранила в марте 2019 года. Специалисты отмечают, что Buckeye применяла версию DoublePulsar, отличающуюся от опубликованной The Shadow Brokers. В частности, она содержала код, предназначенный для атак на более новые версии Windows (Windows 8.1 и Windows Server 2012 R2), также в ней был реализован дополнительный слой обфускации. Как правило, группировка использовала бэкдор для создания новых учетных записей и не задействовала другие возможности DoublePulsar, позволявшие скрытно осуществлять и другую деятельность. Инструмент использовался только в нескольких атаках, отмечают исследователи, в основном против организаций в Бельгии, Люксембурге, Филиппинах, Вьетнаме и Гонконге. Основной целью атак была кража информации. Группировка прекратила использовать DoublePulsar в середине 2017 года после того, как атаки с применением других эксплоитов АНБ (EternalBlue и прочих) начали привлекать пристальное внимание общественности. Buckeye была активна по меньшей мере с 2009 года, однако в середине 2017 года прекратила деятельность. Тем не менее, разработка трояна Bemstour продолжалась вплоть до 2019 года – исследователи обнаружили версию вредоноса, скомпилированную 23 марта – спустя 11 дней после того, как Microsoft исправила эксплуатирую им уязвимость. В настоящее время неясно, кто продолжал использовать инструменты Buckeye в 2018-2019 годах. Эксперты не нашли свидетельства, что группировка возобновила деятельность, но, по их мнению, Buckeye могла передать свои инструменты другой киберпреступной группе.

Власти Швеции посоветовали гражданам запасать наличку на случай кибератак



В MSB считают, что хакеры или террористы могут атаковать инфраструктуру цифровых платежей страны. Гражданское агентство по чрезвычайным ситуациям Швеции (Myndigheten för samhällsskydd och beredskap, MSB) порекомендовало гражданам страны хранить дома наличные средства «в банкнотах мелкого достоинства» на случай чрезвычайных ситуаций, таких как кибератаки, технические сбои, террористические атаки или прочие происшествия, которые могут повлиять на возможность использования цифровых методов оплаты, сообщает издание The Times. На минувшей неделе Центробанк Швеции (Riksbank) поручил провести анализ рисков полного перехода на безналичные средства платежей. По словам главы ЦБ Стефана Ингвеса (Stefan Ingves), переход на безналичные расчеты предоставит слишком много власти компаниям, обрабатывающим платежи. Вместе с тем, регулятор предложил создать цифровую валюту, поддерживаемую государством. Швеция - страна с репутацией самого «безналичного» государства в мире, где широко распространены безналичные расчеты. Согласно опросу Королевского технологического института в Стокгольме, в прошлом году всего 13% шведов пользовались наличными деньгами для оплаты покупок. По официальным данным, сбой в работе систем электронных платежей в Швеции повлечет за собой проблемы для по меньшей мере 15% населения страны.

Хакеры взломали три антивирусные компании в США



В Сети выставлены на продажу данные, принадлежащие трем американским производителям решений безопасности. Киберпреступная группировка, предположительно российского происхождения, выставила на продажу информацию, похищенную у трех американских производителей антивирусного ПО. Речь идет о группировке под названием Fxmsp, долгое время специализирующейся на продаже подлинных корпоративных данных. Как сообщает ИБ-компания Advanced Intelligence (AdvIntel), нелегальный бизнес принес киберпреступникам порядка $1 млн. Fxmsp существует с 2017 года и хорошо известна на киберпреступных форумах. По данным AdvIntel, в группировку входят русско- и англоговорящие хакеры. Главной целью киберпреступников являются правительственные учреждения по всему миру, у которых они похищают конфиденциальную информацию. Продажа похищенных данных осуществляется через надежную сеть доверенных посредников. Как правило, Fxmsp проникает в корпоративные сети через доступные извне серверы RDP и незащищенные активные каталоги (active directory). Кроме того, киберпреступники создали ботнет, способный выуживать у жертв нужные учетные данные. В марте 2019 года Fxmsp заявили, что в их распоряжении оказались данные трех крупных производителей решений безопасности из США, в том числе исходные коды антивирусных продуктов, Искусственного интеллекта и плагинов безопасности. За предоставление доступа к корпоративным сетям и похищенную информацию группировка просит более $300 тыс. Киберпреступники не сообщают названия скомпрометированных компаний, но предоставляют индикаторы для их идентификации. Fxmsp также предлагает «скриншоты папок с 30 терабайтами данных, предположительно извлеченных из корпоративных сетей». В папках содержится документация по разработке, модели искусственного интеллекта, решения для обеспечения безопасности в Сети, а также код антивирусного ПО.

Арест «верхушки» не помешал FIN7 продолжать грабить банки



К концу прошлого года группировка атаковала не менее 130 организаций. Киберпреступная организация FIN7 по-прежнему активна, несмотря на арест ее ключевых участников. Главной деятельностью FIN7 является похищение финансовых активов компаний (в том числе дебетовых карт), а также получение доступа к финансовым данным или компьютерам сотрудников финансовых отделов с целью похищения средств. Преступники даже учредили поддельные компании, куда нанимали пентестеров, разработчиков и аналитиков для осуществления незаконной деятельности. В 2018 году были арестованы три гражданина Украины, названные ключевыми фигурами в FIN7. Тем не менее, проанализировав вредоносные операции, в ходе которых использовались характерные для FIN7 тактики, техники и процедуры (TTP), исследователи «Лаборатории Касперского» пришли к выводу, что в 2018-2019 годах группировка по-прежнему продолжала свою деятельность. Также были обнаружены некоторые сходства с кампаниями, проводимыми другими группировками, позаимствовавшими или скопировавшими TTP у FIN7. В течение прошлого года группировка продолжала атаковать организации с помощью хорошо продуманного целенаправленного фишинга. Отличительной чертой является виртуозное владение техниками социальной инженерии. В некоторых случаях, прежде чем отправить жертве письмо с вредоносным вложением, злоумышленники вели с ней переписку в течение нескольких недель. Один из доменов, использовавшихся в ходе фишинговых операций в 2018 году, содержал более 130 имен пользователей, из чего эксперты ЛК заключили, что к концу прошлого года злоумышленники атаковали порядка 130 компаний. В числе последних жертв FIN7 оказались банки в Европе и Центральной Америке. В нынешнем году группировка также похитила порядка 13 млн евро из Bank of Valletta на Мальте. В арсенале FIN7 числятся JavaScript-бэкдор Griffon и вредоносное ПО Cobalt/Meterpreter, а в недавних атаках группировка также использовала известный набор инструментов Powershell Empire. В сентябре 2018 года сразу после ареста троих участников FIN7 эксперты «Лаборатории Касперского» обнаружили в арсенале группировки новый ботнет AveMaria. AveMaria является классическим ботом для похищения всевозможных учетных данных, в том числе для браузеров, мессенджеров, клиентов электронной почты и пр. Кроме того, вредонос может играть роль кейлоггера. С начала нынешнего года эксперты ЛК получили более 1300 образцов AveMaria и извлекли боле 130 C&C-серверов.