Мошенник на Южном Урале обманул женщину на 400 тыс. рублей



Злоумышленник вышел на жертву через торговую интернет-площадку. Жительница села Уйское сообщила о пропаже 400 тыс. рублей после размещения на торговой интернет-площадке объявления о продаже автомобиля, сообщает пресс-служба ГУ МВД по Челябинской области. Злоумышленник под видом покупателя позвонил 56-летней владелице автомобиля и попросил сказать номер банковской карты для внесения предоплаты в размере 50 тыс. рублей. Неизвестный также попросил провести ряд действий в банкомате. Таким образом преступник получил доступ к личному кабинету интернет-банкинга жертвы, содержащему более 400 тысяч рублей. Мужчина сообщил об ошибочном переводе 400 тыс. рублей вместо 50 тыс. и попросил женщину перевести деньги обратно. Не задумываясь, женщина «вернула» деньги, перечислив 413 647 рублей мошеннику. В настоящее время сотрудники полиции проводят необходимый комплекс оперативно-разыскных мероприятий, направленный на установление личности, поиск и задержание подозреваемого лица. По факту мошенничества ч. 3 ст. 159 УК РФ возбуждено уголовное дело. Преступнику грозит максимальное наказание в виде лишения свободы на срок до шести лет.

Злоумышленники придумали новый вид телефонного мошенничества



Жертвам поступает звонок от «сотрудника» банка, который хочет приостановить финансовую операцию. Недавно злоумышленники придумали новый способ телефонного мошенничества. Преступники в телефонном разговоре представляются работниками банка и сообщают жертве о несанкционированной попытке вывести ее денежные средства в другом регионе. Как сообщается в издании «Российская газета», мошенники не запрашивают у жертв никакой конфиденциальной информации. Злоумышленник сообщает об успешной блокировке данной транзакции и предлагает помощь в решении ситуации. Узнав, какой из двух операционных систем Android или iOS пользуется клиент, «сотрудник» предлагает отключить неиспользуемую систему с помощью приложения TeamViewer. Программа TeamViewer позволяет другим людям подключаться к устройству и выполнять операции от имени пользователя. Как отмечается в издании, в данном случае доказать попытку несанкционированного взлома будет крайне сложно, поскольку пользователь добровольно предоставляет доступ к смартфону.

Мошенники проверяют подлинность данных перед BEC-атаками



Группировка Curious Orca вручную проверяет подлинность электронных адресов, отправляя пустые письма. Недавно обнаруженная киберпреступная группировка из Нигерии под названием Curious Orca перед осуществлением BEC-атаки вручную проверяет подлинность электронных адресов своих жертв. BEC-атаки (Business Email Compromise) представляют собой мошенническую схему, при которой злоумышленники просят сотрудника компании перевести деньги на подконтрольный им банковский счет, отправив просьбу в электронном письме якобы от имени директора компании или доверенного партнера. На первом этапе атаки Curious Orca составляет список сотрудников, которых можно атаковать, и проверяет подлинность собранных данных. Как сообщают специалисты Agari Cyber Intelligence Division (ACID), злоумышленники скрупулезно ищут и проверяют данные сотрудников, которых намерены атаковать, а также ищут в открытых источниках сведения о лице, за которое намерены себя выдавать (например, сведения о главе компании). Большинство мошенников, специализирующихся на BEC-атаках, используют для лидогенерации специальные сервисы, предоставляющие им большую часть, если не всю, информацию, необходимую для осуществления атаки. «Когда мошенники находят через поиск корпоративных сотрудников, отвечающих нужным критериям, сервис предоставит электронную таблицу с необходимой информацией и даже укажет, проводила ли их компания ранее проверку адресов электронной почты», - цитирует исследователей издание Bleeping Computer. Тем не менее, многие мошенники не гнушаются для большей надежности вручную проверять полученные данные. Так, Curious Orca начинает с составления списка сотрудников и их вероятных электронных адресов. Для проверки подлинности электронных адресов мошенники отправляют пустые письма с темой «i» и смотрят, были ли они доставлены. Лидогенерация – маркетинговая тактика, направленная на поиск потенциальных клиентов с определенными контактными данными.

Стали известны подробности атак на Coinbase



Преступники начали кампанию с массовой рассылки электронных писем от имени работника Кембриджского университета. Главный директор Coinbase Филипп Мартин (Philip Martin) рассказал о недавней хакерской атаке на компанию. Для развертывания вредоносной кампании злоумышленники эксплуатировали уязвимости нулевого дня (CVE-2019-11707 и CVE-2019-11708) в браузере Firefox. Преступники начали кампанию 30 мая нынешнего года с массовой рассылки сотрудникам Coinbase электронных писем от имени Грегори Харриса, администратора исследовательских грантов в Кембриджском университете. Письма пришли с легитимного кембриджского домена, не содержали вредоносные элементы и смогли обойти системы обнаружения спама. 17 июня в 6:31 утра были отправлены новые электронные письма, содержащие вредоносные ссылки для эксплуатации уязвимости нулевого дня в Firefox. Один из сотрудников счел письмо подозрительным и после сканирования компьютера обнаружил вредоносную активность. Первая уязвимость нулевого дня в Firefox была обнаружена еще в апреле нынешнего года, однако злоумышленникам удалось достаточно быстро проэксплуатировать новую . Исследователи отмечают изобретательность злоумышленников, поскольку им удавалось общаться с сотрудниками Coinbase на протяжении нескольких недель и не вызывать никаких подозрений.

Пользователи в Израиле подверглись новой фишинг-атаке



Пользователям поступали SMS-сообщения от имени одного из крупнейших банков Израиля. На пользователей в Израиле была направлена новая мошенническая кампания, в рамках которой использовался SMS-фишинг. Злоумышленники от имени легитимных организаций отправляли SMS-сообщения с целью убедить жертву загрузить вредоносное приложение, перейти по ссылке или предоставить личную информацию, такую как данные банковского счета или кредитной карты. По словам исследователей из Check Point, сообщения поступали от одного из крупнейших банков Израиля и содержали следующий текст: «Здравствуйте, сэр. В вашем аккаунте обнаружена подозрительная активность. Авторизируйтесь для подтверждения своего аккаунта». При переходе по ссылке в SMS жертва попадает на поддельную web-страницу банка, принадлежащую легитимному, но скомпрометированному сайту. В этом случае любая введенная информация раскрывается злоумышленникам, включая логин, пароль, имя, фамилию, адрес электронной почты, идентификационный номер, имя владельца кредитной карты, номер кредитной карты, дату истечения срока ее действия и cvv. За последние два года было выявлено более 50 аналогичных кампаний, нацеленных на клиентов израильских банков. По данным исследователей, в 2018 году ежемесячно регистрировалось более миллиона новых фишинговых сайтов. Кампании были нацелены на многие сектора, включая электронную коммерцию, финансовые учреждения, платежные сервисы, почтовых провайдеров, службы доставки, online-сервисы и многое другое. Пользователям рекомендуется в целях безопасности опасаться подозрительных SMS-сообщений и устанавливать приложения только из надежных источников.

Злоумышленники используют Google Диск в рамках фишинговой кампании



Отправленные через Google Диск письма позволили злоумышленникам обойти защиту от фишинга. Исследователи из компании Cofense обнаружили целенаправленную фишинговую кампанию против сотрудников фирмы энергетической отрасли. В рамках атак злоумышленникам удалось обойти шлюз электронной почты Microsoft. Документы, связанные с фишинговыми лендинговыми страницами, распространялись через Google Документы. Сообщения были отправлены от имени генерального директора компании с целью обманом заставить сотрудников открыть «важное сообщение», передаваемое через Google Docs. Отправленные через Google Диск письма позволили злоумышленникам обойти защиту от фишинга, предоставляемую облачным сервисом фильтрации электронной почты Microsoft Exchange Online Protection. В действительности документ был связан с документом Google Docs, который перенаправлял потенциальных жертв на фишинговые страницы злоумышленников. Там пользователям предлагалось ввести свои учетные данные для доступа к срочному сообщению генерального директора. Однако киберпреступники использовали устаревшую информацию для создания своих фишинговых писем, предоставив жертвам возможность заподозрить неладное. По словам исследователей, некоторые письма создавались с помощью шаблонов, предназначенных для быстрой генерации настраиваемых фишинговых сообщений. Как минимум две фразы, использованные в последних атаках, были ранее обнаружены в рамках аналогичной фишинговой кампании, нацеленной на учебные заведения.

В Сеть утекли данные участников хакерского форума Cracked.to



В частности, в открытом доступе оказалась личная переписка киберпреступников с обсуждением взломов и продажи эксплоитов. В прошлом месяце хакерский форум Cracked.to стал жертвой взлома, организованного сайтом-конкурентом. По данным сервиса Have I Been Pwned, в результате кибератаки были скомпрометированы учетные записи 321 тыс. участников форума. В Сеть утекла база данных, содержащая 749 161 электронный адрес с соответствующими IP-адресами (большинство из них анонимизированы), хеши паролей, личные сообщения и имена пользователей. База данных была сформирована с помощью ПО MyBB. Как сообщает издание Ars Technica, взлом был осуществлен участниками хакерского форума Raidforums. Специалисты проанализировали утекший файл размером 2,11 ГБ и обнаружили в нем 397 тыс. незашифрованных личных сообщений, в которых обсуждались взломы учетных записей Fortnite, продажа эксплоитов и другая информация, которую киберпреступники желали бы сохранить в тайне. Создатель Raidforums сообщил, что взломать сайт конкурента удалось через уязвимость, но подробностей атаки не представил. Cracked.to позиционирует себя как форум, где можно найти «инструкции по взлому, инструменты, комбо листы, рынки и прочее». Raidforums предлагает практически все то же самое. По словам администратора Cracked.to, известного под псевдонимом floraiN, форум, распространяющий утекшие резервные копии БД, и человек, ответственный за взлом, не останутся безнаказанными

Злоумышленники используют кастомные страницы 404 для фишинг-атак



Таким образом мошенники пытаются обманом заставить потенциальных жертв выдать свои учетные данные Microsoft. Исследователи безопасности из Microsoft обнаружили необычную фишинговую кампанию, в которой используются кастомные страницы с ошибками 404. Таким образом злоумышленники пытаются обманом заставить потенциальных жертв выдать свои учетные данные Microsoft. В рамках фишинг-кампании мошенники регистрируют домен и вместо создания обычной фишинговой страницы разрабатывают кастомную страницу 404, показывающую поддельное окно аутентификации. Таким образом злоумышленники имеют бесконечное количество URL-адресов фишинговых страниц, созданных с помощью одного зарегистрированного домена. По словам исследователей, такие страницы ошибок 404, созданные для сбора учетных данных пользователей, идеально маскируются под легитимные страницы аутентификации в учетной записи Microsoft, вплоть до мельчайших деталей. Единственными элементами, отсутствующими на фишинговой странице, являются ссылка «Параметры входа» над кнопкой «Далее» и уведомление о файлах cookie в верхней части.

Обнаружена новая вредоносная кампания против электроэнергетического сектора



Злоумышленники рассылают сотрудникам предприятий фишинговые письма с целью заразить системы трояном Adwind. Исследователи компании Cofense обнаружили новую вредоносную кампанию, нацеленную на предприятия электроэнергетической промышленности. С помощью фишинговых писем злоумышленники пытаются заразить компьютерные сети компаний трояном для удаленного доступа (RAT) Adwind. Создатели Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat) предлагают его своим клиентам по схеме «вредоносное ПО как услуга» (malware-as-a-service, MaaS). Вредонос отличается впечатляющим функционалом – он способен похищать конфиденциальные данные (цифровые сертификаты и учетные данные пользователей Chrome, IE и Edge), регистрировать нажатия клавиш на клавиатуре, записывать аудио и видео, делать фотоснимки с помощью web-камеры скомпрометированного устройства, майнить криптовалюту и похищать криптовалютные кошельки. В данной конкретной кампании злоумышленники рассылают фишинговые письма исключительно сотрудникам предприятий электроэнергетической промышленности, успешно обходя спам-фильтры. Письма рассылаются со взломанной электронной почты компании Friary Shoes, при этом ее серверы используются для хранения и доставки Adwind на компьютеры жертв. Фишинговые письма содержат вложение, внешне похожее на PDF-документ, но на самом деле являющееся jpg-файлом со встроенной гиперссылкой. Когда жертва нажимает на вложение, то переходит по вредоносной URL-ссылке, откуда на ее систему загружается первоначальная полезная нагрузка (JAR-файл Scan050819.pdf_obf.jar). Загрузившись на компьютер, Adwind подключается к C&C-серверу и добавляет все зависимости и собранные данные в папку C:\Users\Byte\AppData\Local\Temp\. На втором этапе заражения вредонос находит и отключает известное аналитическое и антивирусное ПО с помощью легитимной утилиты taskkill от Microsoft.

Эксперты рассказали о необычной китайской APT-группе



APT41 занимается кибершпионажем и преследует финансовую выгоду – редкое явления среди китайских APT. Специалисты компании FireEye опубликовали подробности о новой APT-группе, предположительно связанной с Китаем. Примечательной особенностью APT41 является преследование сразу двух целей – похищение ценных сведений для кибершпионажа и получение финансовой выгоды, за что эксперты FireEye назвали проводимую группировкой кампанию «Двойной дракон» (Double Dragon). Как отмечают специалисты, преследование финансовой выгоды – явление весьма редкое среди китайских APT-групп. Впервые о APT41 компания FireEye сообщила ранее в этом месяце. Жертвами группировки становятся представители игровой индустрии, сферы здравоохранения, а также технологической, телекоммуникационной, туристической и образовательной сфер. Как сообщают исследователи, в апреле нынешнего года они обнаружили подозрительную активность на открытом web-сервере, принадлежащем одному из университетов в США. Злоумышленники эксплуатировали уязвимость обхода каталога и выполнения кода в Atlassian Confluence Server (CVE-2019-3396) и устанавливали на системы вариант бэкдора HIGHNOON, состоящего из нескольких компонентов (загрузчика, DLL-библиотеки и руткита). Используемый в данной кампании вариант бэкдора идентифицируется FireEye как HIGHNOON.PASSIVE. Исследователи осуществили реверс-инжиниринг используемого вредоносом кастомного протокола и расшифровали его трафик. Благодаря этому им удалось составить список отправляемых бэкдору команд.

Эксперты предсказали новый вид мошенничества с банковскими картами



Новый вид борьбы с мошенничеством в виде блокировки банковских карт может сыграть на руку злоумышленникам. Руководитель Агентства кибербезопасности России Евгений Лифшиц предупредил пользователей банков о новом виде мошенничества с банковскими картами, который может появиться в будущем. Об этом он сообщил в интервью изданию «Известия». Ранее во вторник, 20 августа, Ассоциация банков России (АБР) предложила внести поправки в законы, позволяющие блокировать банковские карты на срок до 30 рабочих дней при возникновении подозрений на предмет мошенничества. Карта получателя может быть заблокирована на два дня, а при обращении отправителя в полицию — до 30 рабочих дней. По словам Лифшица, эти изменения могут привести к появлению видов манипуляций и спекуляций. Злоумышленник способен умышленно отправить на карту жертвы мошеннический платеж с целью заблокировать ее. В свою очередь банк по 115-му федеральному закону о противодействии легализации доходов, полученных преступным путем, и финансированию терроризма может заблокировать любую подозрительную транзакцию. После перевода денег от мошенника банк не зачислит их на карту и потребует объяснений происхождения данных финансовых средств.

Ущерб от атак группировки Silence составил 300 млн. руб



В июне нынешнего года злоумышленники атаковали российские банки. Эксперты из компании Group-IB опубликовали технический отчет о преступной деятельности русскоязычной кибергруппировки Silence. По результатам исследования, Silence в период с июня 2016 года по июнь 2019 года похитила более 272 млн рублей. Исследователи следят за активностью Silence еще с 2016 года, и в 2019 году география атак кибергруппировки стала самой обширной за все время преступной деятельности. Последствия атак затронули не только Россию, но также 30 стран Европы, Азии и СНГ. В июне нынешнего года злоумышленники атаковали российские банки, а в июле заразили системы банков в Чили, Болгарии и Гане. Злоумышленники начали использовать новый метод для проведения более успешных атак. Сперва преступники рассылают по огромной базе адресов (до 85 тыс.) письма-пустышки без вредоносной нагрузки, что позволяет обновить базу актуальных целей, расширить географию атак и понять, какие системы кибербезопасности используются в банках. После тестовой рассылки в ход идут письма с вредоносным вложением. Несмотря на принятые меры разработчиков программ для кибербезопасности, группировка продолжила атаки, модифицировав инструменты и создав новые. Применяемый на первом этапе кампании первичный загрузчик Silence.Downloader (или TrueBot) был кардинально переписан. В рамках атак 2019 года использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent (EDA). Также был обнаружен Ivoke-бэкдор — полностью бесфайловый троян. Он собирал данные о зараженной системе и загружал следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe.

Более 40 городов в США подверглись кибератакам с использованием вымогательского ПО



Отказавшиеся платить выкуп города понесли огромные финансовые потери. Более 40 муниципалитетов на территории США стали жертвами кибератак в этом году, включая крупные мегаполисы (например, Балтимор, Олбани и Ларедо) и небольшие города. В большинстве случаев злоумышленники использовали вымогательское ПО, сообщает издание The New York Times. Вымогатели шифруют файлы жертв на атакованных компьютерах, а затем требуют выкуп от владельцев устройств за расшифровку данных. Атаки злоумышленников затронули городские компьютерные системы, которые используют больницы, суды, полиция и др. Больше всех пострадали маленькие города, которые во многом зависят от компьютеров, однако не могут позволить себе качественные системы защиты. К примеру, власти города Лейк-Сити были вынуждены заплатить вымогателям выкуп в размере около $460 тыс. в криптовалюте биткойн. Они опасались, что финансовые расходы на восстановление систем будут еще больше. А мэр города Балтимор отказался идти на поводу у вымогателей и не заплатил $76 тыс. в биткойнах за расшифровку файлов и возобновление доступа сотрудникам к компьютерам. В результате атаки на восстановление систем ушло около четырех месяцев, а расходы составили более $5,3 млн. Вместе с утраченными доходами финансовые потери города составили более $18 млн. Согласно данным Агенства национальной безопасности США, большинство кибератак осуществлялось из стран Восточной Европы, Ирана и США

Каждый десятый россиянин терял деньги из-за телефонного мошенничества



Мошенники звонят жертвам под видом сотрудников банков и выманивают у них конфиденциальную информацию. Почти каждый десятый россиянин терял крупную сумму денег из-за телефонного мошенничества. К такому выводу пришли специалисты «Лаборатории Касперского» по результатам исследования, проведенного в июне нынешнего года. В ходе исследования были опрошены 1 тыс. жителей России. Около трети респондентов признались, что они или их близкие теряли деньги в результате телефонного мошенничества, из них 9% лишились очень крупных сумм. Тем не менее, в правоохранительные органы обратились только 4% пострадавших. Обычно мошенничество происходит по следующей схеме: аферисты звонят с поддельного номера либо с номера, который раньше действительно принадлежал банку, представляются сотрудниками финансовой организации и выманивают у жертвы пароли и/или коды двухфакторной авторизации для входа в личный кабинет и/или подтверждения перевода денег. Специализированное ПО для защиты от спама и мошенничества используют только 17% опрошенных. 37% респондентов прибегают к встроенным средствам, например, черным спискам. Каждый пятый опрошенный россиянин (21%) не использует никаких решений безопасности. Половина респондентов (51%) предпочитают не отвечать на звонки с неизвестных номеров. По словам старшего системного аналитика «Лаборатории Касперского» Дмитрия Волгина, если абоненту звонят и сообщают о проведении подозрительной транзакции с его карты, то с вероятностью более 90% это мошенники.

Злоумышленники копируют легитимные страницы аутентификации Microsoft 365



Фишинговая кампания нацелена на финансовые, страховые, медицинские, телекоммуникационные и энергетические отрасли. Исследователи из Rapid7 обнаружили новую фишинговую кампанию. Злоумышленники собирают электронные адреса пользователей с помощью «легитимных» страниц авторизации Microsoft 365. Мошенники также используют облачные хранилища Microsoft Azure Blob Storage и Microsoft Azure Web Sites для размещения фишинговых страниц. Это позволяет замаскировать сайт под официальную страницу входа Microsoft и получить сертификат SSL. Использование такого вида хостинга крайне эффективно в атаках на пользователей служб Microsoft в попытках украсть их учетные данные сервисов Office 365, Azure AD, Outlook и Microsoft. Злоумышленники добавили автоматическую проверку электронной почты для каждой из потенциальных жертв. Мошенники сверяют адреса пользователей со своей базой данных перед направлением на фишинговые сайты. С добавлением логотипа и фирменного фона компаний на фишинговые страницы мошенники «создают полуцелевую и довольно убедительную страницу сбора учетных данных, адаптированную к предпочтениям пользователя». По данным исследователей, фишинговая кампания изначально была нацелена на финансовые, страховые, медицинские, телекоммуникационные и энергетические отрасли.

Организатор фишинговых атак выплатит своим жертвам более $1,1 млн



Наряду с финансовыми данными он также продавал инструкции по проведению кибератак. Киберпреступник, атаковавший такие крупные компании, как Uber, Sainsbury's, Nectar, Groupon, T Mobile, AO.com и Argos, выплатит более $1,1 млн в качестве компенсации жертвам фишинговых атак. 27-летний Грант Уэст (Grant West), известный в Сети как «Courvoisier», начал свою фишинговую кампанию в 2015 году. Он атаковал популярные компании для доступа к финансовым данным десятка тысяч клиентов, которые затем продавал в даркнете за разные криптовалюты. По результатам расследования, Уэста идентифицировали как лидера группировки Organised Crime Network, атаковавшей расположенные в Лондоне организации. Наряду с финансовыми данными он также продавал инструкции по проведению кибератак. Сотрудники правоохранительных органов в ходе операции под кодовым названием «Operation Draba» конфисковали все средства преступника. Также в доме Уэста была обнаружена SD-карта с 78 млн уникальных имен пользователей и паролей, а также данными 63 тыс. банковских карт. Дальнейшее расследование выявило, что преступник организовывал атаки с ноутбука своей девушки. На устройстве был обнаружен файл с именем «fullz», содержащий финансовую информацию более 100 тыс. пользователей. Изучив материалы дела, суд постановил продать всю конфискованную цифровую валюту Уэста (на сумму более £922 тыс.) и выплатить пострадавшим компенсацию.

Ботнет Emotet возобновил свою активность



Учитывая интенсивную активность, эксперты ожидают новую вредоносную кампанию в ближайшее время. После некоторого затишья управляющие серверы ботнета Emotet возобновили свою активность. Исследователи из Cofense Labs первыми обнаружили возрождение инфраструктуры ботнета, а специалисты из Black Lotus опубликовали список активных серверов. Emotet ранее был известен как банковский троян, но потом изменил курс и превратился в ботсеть, распространяя различные виды вымогательского ПО. Сейчас Emotet является одной из самых опасных в мире угроз. Сеть используется для распространения банковского трояна Trickbot и вымогателей Ryuk. Такая комбинация вредоносов получила название «тройная угроза» и использовалась в рамках атак на государственные администрации в США в июле 2019 года. По словам специалистов, серверы только возобновили свою активность и еще не было зафиксировано попыток распространения вредоносов. Предполагается, что операторам необходимо время на восстановление систем и подготовку новой вредоносной кампании. Серверы расположены в самых разных странах, в том числе в Бразилии, Мексике, Германии, Японии и США. Учитывая интенсивную активность, эксперты ожидают новую вредоносную кампанию в ближайшее время. По их оценкам, злоумышленники будут придерживаться старой схемы распространения вымогательского ПО.

Киберпреступники начали распространять Quasar RAT через фальшивые резюме



Одна из особенностей новой кампании заключается в использовании нескольких методов, усложняющих анализ векторов заражения. Специалисты компании Cofense обнаружили новую фишинговую операцию, в рамках которой злоумышленники заражают компьютеры на базе Windows инструментом для удаленного администрирования (RAT) Quasar, используя поддельные резюме. В то время как фальшивые резюме и другие типы документов являются довольно распространенным методом доставки вредоносного ПО, одна из особенностей новой кампании заключается в использовании нескольких методов, усложняющих проведение анализа векторов заражения. Quasar – известный открытый инструмент, разработанный на языке C#, который ранее неоднократно был замечен в операциях различных хакерских группировок, например, APT33, APT10, Dropping Elephant, Stone Panda или The Gorgon Group. Функционал программы включает возможность удаленного подключения к рабочему столу, записи нажатий на клавиатуре и кражи паролей жертв, загрузки и эксфильтрации файлов, управления процессами на зараженном устройстве, а также возможность съемки скриншотов и записи с web-камер. В рамках новой фишинговой кампании злоумышленники под видом резюме распространяют защищенные паролем документы Microsoft Word. После ввода пароля «123», указанного в фишинговом сообщении, документ запрашивает активацию макроса. Однако в отличие от других подобных атак в данном случае макрос содержит «мусорный» код, закодированный в base64, призванный вывести из строя аналитические инструменты, установленные на компьютере.«При успешном запуске макроса на экране отобразится ряд изображений, якобы загружающих контент, но одновременно с этим добавляющих «мусорную» строку в содержимое документа. Далее отобразится сообщение об ошибке, но в то же время в фоновом режиме на компьютер загрузится и запустится вредоносный исполняемый файл», - пояснили эксперты. Заражение программой Quasar происходит через самораспаковывающийся исполняемый файл размером 401 МБ, загружаемый с подконтрольного злоумышленникам сервера. Большой размер архива усложняет задачу анализа вредоносного ПО, отмечают исследователи.

К 2024 году финансовые потери от кибервзломов составят более $5 трлн



Киберпреступники в будущем начнут применять искусственный интеллект, способный самостоятельно изучать системы безопасности. К 2024 году финансовые потери от кибервзломов вырастут почти на 70%. По оценкам исследователей из Juniper Research, ущерб будет увеличиваться каждый год в среднем на 11%, и к 2024 году превысит $5 трлн. В прошлом году эксперты оценили потери от кибервзломов в $3 трлн. С каждым годом компании все больше зависят от цифровой среды, и ущерб возрастет из-за увеличения штрафов со стороны законодательства за утечки данных. Но не только методы защиты совершенствуются со временем. Аналитики предупреждают, что киберпреступники в будущем начнут применять искусственный интеллект, способный самостоятельно изучать системы безопасности. В последние годы ИИ-технологии активно используются для защиты от киберугроз. Кибербезопасность становится все более важной частью корпоративной культуры, но данная тенденция не распространена среди пользователей компьютерных систем. Обучение сотрудников основам кибербезопасности поможет более эффективно планировать расходы в данной сфере, которые, по оценкам аналитиков, ежегодно будут расти только на 8%. Также специалисты отметили, что ИТ-компаниям всегда нужно брать в расчет человеческий фактор, поскольку злоумышленники продолжают активно пользоваться методами социальной инженерии.

Новая киберпреступная группировка нацелилась на Ближний Восток



Жертвами атак стали нефтегазовые компании на Ближнем Востоке и телекоммуникационные компании в Африке и Азии. На сцене киберпреступного шпионажа появился новый участник. Отслеживаемая фирмами кибербезопасности под такими названиями, как Lyceum (именование Secureworks) и Hexane (именование Dragos), новая APT-группировка сосредоточила атаки на нефтегазовых компаниях на Ближнем Востоке. По словам исследователей, основным регионом деятельности преступников оказался Кувейт. В то время как основная часть атак Lyceum была направлена на компании в энергетическом секторе, группировка также нацелилась на провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки. По словам исследователей из Secureworks, атаки проходят по простой, но очень эффективной схеме. Сначала преступники используют такие методы, как password spraying (обнаружение и использование ненадежных паролей) и брутфорс для взлома отдельных учетных записей электронной почты в целевых организациях. Далее скомпрометированные почтовые ящики используются для отправки коллегам жертвы фишинговых писем с вредоносными файлами Excel, которые пытаются заразить других пользователей в той же организации вредоносным ПО. Основными целями этих фишинговых кампаний второго этапа становятся руководители, отдел кадров и персонал ИТ-организации. Файлы Excel содержат полезную нагрузку DanDrop и VBA-скрипт, заражающий систему трояном для удаленного доступа DanBot. Данный троян загружает и запускает дополнительные вредоносные программы на системах жертвы. Большинство вредоносов представляют собой скрипты PowerShell с функцией сброса пароля, передвижения по сети или кейлоггинга. Исследователи из Dragos и Secureworks не связывают группировку с какой-либо конкретной страной, но отмечают, что тактика, методы и процедуры, используемые Lyceum, напоминают киберпреступные группировки COBALT TRINITY (APT33) и COBALT GYPSY (APT34), связанные с Ираном. Распыление паролей (Password Spraying) – техника, в которой киберпреступник использует пароли от предыдущих брешей или сгенерированные списки паролей для попыток получить доступ к окружению.

Северокорейская кибергруппировка атакует дипломатов и военных в отставке



В рамках атак злоумышленники рассылали вредоносные сообщения, перенаправлявшие жертв на поддельные страницы авторизации. Хакерская группировка Kimsuki (Velvet Chollima), предположительно спонсируемая правительством КНДР, организовала кампанию, направленную на ушедших на пенсию южнокорейских дипломатов, правительственных и военных чиновников. Атаки осуществлялись в период с середины июля по середину августа нынешнего года и были нацелены на учетные записи чиновников в Gmail и Naver, рассказал в интервью изданию ZDNet специалист в области безопасности Саймон Чои (Simon Choi). В рамках атак злоумышленники рассылали вредоносные сообщения, перенаправлявшие жертв на поддельные страницы авторизации. Похищенные учетные данные затем использовались для доступа к аккаунтам жертв и сбора информации либо организации атак на действующее правительство. Как пояснил эксперт, чиновники в отставке поддерживают связь с действующими властями и нередко выступают в качестве советников. Группировка Kimsuki активна по меньшей мере с 2011 года. Основными целями хакеров являются правительство Южной Кореи, атомные электростанции и военные объекты. В последние два года Kimsuki расширила список объектов атак. К примеру, в минувшем году группировка атаковала университеты в США и некоммерческие организации в Азии с помощью вредоносного расширения для Google Chrome.

Атаковавшую Capital One преступницу обвиняют во взломе еще 30 компаний



Злоумышленница взламывала серверы компаний и использовала их для криптоджекинга. Бывшую сотрудницу Amazon Пейдж Томпсон (Paige Thompson), которую арестовали в прошлом месяце за кражу данных банковской компании Capital One, теперь обвиняют во взломе более 30 других компаний. Томпсон, известная в Сети как «erratic», была арестована ФБР 29 июля нынешнего года за преступление против Capital One, в результате которого была раскрыта личная информация более чем 100 млн пользователей в США и 6 млн в Канаде. Похищенные данные включали около 140 тыс. номеров социального страхования и 80 тыс. номеров банковских счетов, а также имена, адреса, даты рождения, кредитные лимиты некоторых клиентов, баланс, историю платежей и контактную информацию. Недавно Томпсон было предъявлено еще два обвинения — в мошенничестве с использованием электронной почты и компьютерном мошенничестве. Преступница получила незаконный доступ к данным более чем 30 организаций. В обвинительном заключении не указывались названия компаний, но три из пострадавших организаций описывались как «государственное учреждение за пределами штата Вашингтон, телекоммуникационный конгломерат за пределами США и государственный исследовательский университет за пределами штата Вашингтон». Согласно обвинительному заключению, Томпсон создала сканирующее программное обеспечение для слежки за пользователями некой облачной вычислительной компании. Благодаря неправильно настроенным межсетевым экранам преступница получила доступ к серверам и смогла не только украсть данные пользователей, но также использовать вычислительные мощности взломанных серверов для майнинга криптовалюты. 33-летняя инженер-программист из Сиэтла остается под стражей и 5 сентября предстанет перед окружным судом США в Сиэтле. Ей грозит до 25 лет лишения свободы.

Fancy Bear пытается победить машинное обучение новым бэкдором



Преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода. Исследователи из Cylance провели анализ нового импланта, разработанного киберпреступной группировкой Fancy Bear (известной также как APT28). Инструмент создан с целью победить защиту на основе машинного обучения. По словам исследователей, преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода. Имплант представляет собой многопоточную DLL-библиотеку, который обеспечивает группировке полный доступ к целевой системе и контроль над ней. По команде C&C-сервера имплант может загружать или скачивать файлы, создавать процессы, взаимодействовать с хостом через командную оболочку и подключаться к C&C-серверу в соответствии с заданным расписанием сна/активности. Данный подход демонстрирует утонченную работу киберпреступников. Авторы импланта маскируют его с помощью таких известных библиотек, как OpenSSL, и широко используемого компилятора POCO C ++, в результате чего 99% из более чем 3 мегабайт кода классифицируется как легитимный. Таким образом злоумышленники пытаются обойти развивающиеся системы защиты, предполагают специалисты. В прошлом злоумышленники использовали различные способы уклонения от систем защиты компьютера, чаще всего включающие в себя шифрование частей файла для предотвращения обнаружения антивирусами. Кроме того, злоумышленники использовали алгоритмы генерации доменов для последующей загрузки кода из труднодоступных для прогнозирования локаций, обходя антивирусное сканирования. Маскировка вредоносного ПО в качестве легитимного кода — старая методика киберпреступников. Обман является ключевой частью их инструментария, однако убедить алгоритмы машинного обучения, предназначенные для обнаружения вредоносных функций кода, намного сложнее. Группировка APT28 действует как минимум с 2007 года и специализируется на краже конфиденциальной информации, связанной с правительственными и военными структурами. APT28 систематически развивает свое вредоносное ПО и использует сложные методы кодирования, которые усложняют анализ ее вредоносов.

Атака на пользователей iPhone оказалась намного масштабнее



Вредоносная кампания затронула также владельцев Android- и Windows-устройств. Обнаруженная на прошлой неделе беспрецедентная атака на владельцев iPhone оказалась масштабнее, чем предполагалось изначально. Как сообщает Forbes, стоящие за операцией киберпреступники также атаковали пользователей Android и Windows в определенных регионах Китая. В частности, пострадали пользователи в Синьцзян-Уйгурском автономном округе, где широко развернуты правительственные программы слежения. По данным анонимного источника, вредоносное ПО для Android- и Windows-устройств распространялось с тех же сайтов, с которых происходило заражение iPhone. Из этого следует, что атака на владельцев iPhone является лишь частью более масштабной двухлетней операции, затронувшей гораздо больше пользователей, чем считалось ранее. Какие уязвимости эксплуатировались для заражения Android- и Windows-устройств вредоносным ПО, неизвестно. Ни Microsoft, ни Google пока не комментируют сообщение Forbes. Было ли Google известно, что обнаруженная ею вредоносная кампания затрагивает ОС не только от Apple, но и ее собственную, также неясно. По данным одного из источников Forbes, Google обнаружила лишь атаку на владельцев iPhone. Напомним , на прошлой неделе Google сообщила об одной из самых масштабных кибератак на пользователей iOS-устройств. Жертвы заманивались на вредоносные сайты, откуда на их iPhone загружалось многофункциональное шпионское ПО.

Злоумышленники распространяют вредоносное ПО через учебники и рефераты



Самыми популярными средствами для распространения вредоносов оказались учебники по английскому языку, литературе и математике. За последний год злоумышленники сконцентрировались на сфере образования. В период с августа 2018-го по август 2019 года специалистами из «Лаборатории Касперского» было зафиксировано в общей сложности более 356 тыс. попыток атаковать пользователей. Из них 233 тыс. случаев приходятся на вредоносные рефераты, а 122 тыс. — на учебники. Самыми популярными средствами для распространения вредоносов оказались учебники по английскому языку. Их пытались скачать 2080 раз. Следом идут пособия по математике с результатом 1213 загрузок. На третьем месте оказалась литература — 870 потенциальных жертв. Под видом рефератов и учебников чаще всего распространяется вредоносное ПО Stalk. По словам экспертов, давно известный червь Worm.Win32.Stalk.a не только остается активным спустя много лет, но также занимает первую строчку по количеству атакованных пользователей. Оказавшись на системе, Stalk проникает на все подключенные устройства, как, например, «флешки». Поскольку пользователь захочет распечатать документы в университете или школе, вредонос в результате окажется в сети учебного заведения. Также вредонос попытается разослать свои копии по электронной почте всем контактам жертвы для большего охвата целей. Помимо распространения по локальной сети и почте, червь умеет загружать на зараженное устройство другие вредоносные приложения, а также копировать и отправлять своим операторам данные пользователя. Следующим в списке является загрузчик Win32.Agent.ifdx, скрывающийся под видом документов в формате DOC, DOCX или PDF. Для большей убедительности загрузчик во время запуска действительно открывает текстовый файл, а затем загружает на компьютер вредонос. В последнее время он распространяет криптомайнеры, отмечают специалисты. Вредонос WinLNK.Agent.gen. чаще всего скрывается в архивах, поскольку в упакованном виде его сложнее обнаружить. Помимо криптомайнеров, с его помощью на компьютер жертвы могут попасть вредоносы, демонстрирующие рекламу. Последним в списке угроз оказался загрузчик торрент-приложения MediaGet. Его жертвами становятся посетители сайтов с учебниками, где кнопки «Скачать бесплатно» часто «подсовывают» пользователям вместо документа загрузчик программы MediaGet. Оказавшись на системе, он просто скачает и установит ненужный пользователю торрент-клиент, не причинив другого вреда.

Преступники используют платформу Cloudflare Workers для обхода антивирусов



Cloudflare Workers является набором скриптов, запущенных на серверах Cloudflare. В рамках недавней вредоносной кампании преступники распространяли новый вариант вредоносного ПО Astaroth. Для избежания обнаружения антивирусным ПО злоумышленники воспользовались платформой Cloudflare Workers. Cloudflare Workers является набором скриптов, запущенных на серверах Cloudflare. Они расположены в дата-центрах 90 стран и 193 городов. Платформа позволяет запустить любой код JavaScript без необходимости поддерживать инфраструктуру. Cloudflare Workers в ходе вредоносной кампании преступников играет роль одной из частей атаки. Злоумышленники отправляют фишинговое письмо, замаскированное под обычный опрос, с прикрепленным вложением в формате HTML. Вложение содержит обфусцированный код JavaScript, связанный с доменом в инфраструктуре Cloudflare. Данный домен используется для доставки вредоносной нагрузки нескольких видов в формате JSON. Для избежания блокировки преступники могут быстро менять вредоносные файлы. Для реализации второй ступени атаки JSON парсится из URL, конвертируется из Base64 в Array, переименовывается для соответствия имени HTML-файла. Далее формируется специальная ссылка автоматического перехода, которая запускает загрузку вредоноса на компьютер пользователя. В рамках третьего этапа используется загрузка вредоносной DLL-библиотеки, которая управляется аккаунтами злоумышленников в сервисах YouTube и Facebook. Аккаунты в данном случае играют роль C&C-сервера. Исследователи безопасности обнаружили распространение вредоноса Astaroth еще в прошлом месяце, однако с тех пор злоумышленники начали использовать новые техники, чтобы избежать обнаружения и скрыть свои следы в зараженных организациях.

Мошенники атакуют экономически активных россиян с помощью социальной инженерии



Злоумышленники взламывают учетные записи в соцсетях и от имени пользователя рассылают его друзьям сообщения с просьбой о помощи. Киберпреступники научились похищать средства с банковских счетов россиян с помощью нового метода социальной инженерии. Как сообщил изданию «Известия» заместитель начальника департамента информационной безопасности ЦБ РФ (ФинЦЕРТ) Артем Сычев, участились случаи, когда злоумышленники взламывают учетные записи пользователей в социальных сетях и от их имени рассылают сообщения друзьям с просьбой о помощи и переводе денег. По словам Сычева, в виртуальном пространстве к авторам сообщений с просьбами о помощи возникает чрезмерное доверие. Так, в 97 случаях из 100 злоумышленникам удается похитить средства у российских пользователей с помощью социальной инженерии. Уровень доверия к современным технологиям у пользователей в возрасте 30-45 лет выше, чем у пенсионеров, поэтому мошенники стали отходить от практики введения в заблуждение пожилых людей и сфокусировались на более молодых экономически активных гражданах. То есть, мошенническая схема «мама, я попал в беду и мне срочно нужны деньги» постепенно отживает свое. Помимо того, что молодые люди более доверчивы, на их банковских счетах хранится больше денег, поскольку пенсионеры предпочитают хранить свои средства в виде вкладов или наличных.

Huawei обвинила США в кибератаках и угрозах сотрудникам компании



Власти США осуществляли атаки на внутренние системы Huawei, утверждают в компании. Китайская телекоммуникационная компания Huawei обвинила власти США в проведении кибератак с целью нарушить ее деловую деятельность, а также в использовании полиции для преследования и запугивания ее сотрудников. Обвинения были опубликованы на официальном сайте Huawei, однако она предоставила мало доказательств в подтверждение своих слов. «В течение последних нескольких месяцев правительство США усилило свое политическое и дипломатическое влияние для побуждения правительства других стран ввести запрет на использование оборудования Huawei. Кроме того, оно использовало все имеющиеся в распоряжении инструменты, включая как судебные, так и административные полномочия, а также множество других недобросовестных средств, чтобы нарушить нормальную деловую деятельность Huawei и ее партнеров», — говорится в официальном заявлении. По словам представителей компании, в список противоправных действий США входят: угрозы со стороны представителей правоохранительных органов с целью заставить бывших сотрудников Huawei выступить против компании и работать на них, незаконный поиск, задержание и даже арест сотрудников и партнеров Huawei, попытки поймать или выдать себя за сотрудников компании с целью создания правовой причины для необоснованных обвинений, осуществление кибератак для проникновения в интранет и внутренние информационные системы, отправка агентов ФБР в дома сотрудников Huawei и оказание давления на них для сбора информации о компании, расследования на основе ложных сообщений в СМИ, возбуждение старых уголовных дел, а также попытки завербовать осведомителей среди сотрудников, обращавшихся за американской визой. В мае нынешнего года президент США Дональд Трамп подписал указ о введении в стране режима чрезвычайной ситуации, запрещающего американским компаниям приобретать оборудование иностранных производителей, представляющих риск национальной безопасности США. В результате ряд крупных американских корпораций были вынуждены приостановить сотрудничество с Huawei на фоне внесения последней в «черный» список компаний, взаимодействие с которыми должно быть ограничено либо полностью исключено.

Создателю IoT-ботнета Satori грозит до 10 лет тюрьмы



Nexus Zeta использовал ботнеты для осуществления DDoS-атак. 21-летний житель Ванкувера, штат Вашингтон, признал себя виновным в создании и эксплуатации нескольких версий DDoS-ботнетов, состоящих из домашних маршрутизаторов и IoT-устройств. Кеннет Каррин Шакман (Kenneth Currin Schuchman), известный в Интернете как Nexus Zeta, предоставлял доступ к бот-сетям другим злоумышленникам, а также использовал ботнеты для осуществления DDoS-атак против различных целей, сообщает издание ZDNet. По словам киберпреступника, он работал вместе с двумя другими злоумышленниками, фигурирующими в судебных документах под псевдонимами Vamp и Drake. Vamp был основным разработчиком и программистом, Drake управлял продажами ботнетов и поддержкой клиентов, а Nexus Zeta выступал вторым разработчиком, задачей которого было создание и приобретение новых эксплоитов для заражения устройств. В период с июля по август 2017 года Nexus Zeta, Vamp и Drake занимались разработкой бот-сети Satori, основанной на открытом коде вредоносного ПО Mirai. За первый месяц активности Satori заразил более 100 тыс. устройств, 32 тыс. из которых принадлежали крупному канадскому интернет-провайдеру. Позже Satori был обновлен до новой версии, получившей название Okiru. Основной целью ботнета стали камеры безопасности производства компании Goahead. В апреле 2018 года Nexus Zeta создал собственный ботнет, который он использовал для атаки на инфраструктуру ProxyPipe, фирмы по предотвращению DDoS-атак. Преступникам удалось создать еще несколько ботнетов, пока в октябре 2018 года власти США не арестовали Шакмана. Властям удалось разыскать Шакмана, поскольку он использовал удостоверение личности своего отца и учетные данные для регистрации online-доменов, которые позже применял для DDoS-операций. Шакману грозит до десяти лет тюрьмы, штраф до $250 тыс. и до трех лет пребывания под присмотром. Преступникам Vamp и Drake пока не предъявили обвинения, однако правоохранительным органам известны их реальные личности.

Китайская группировка Manganese нацелилась на VPN-серверы Pulse Secure и Fortinet



Киберпреступники эксплуатируют уязвимости, обнаруженные в продуктах в августе нынешнего года. Китайские киберпреступники нацелились на корпоративные VPN-серверы от Fortinet и Pulse Secure. Причиной тому стала публикация в свободном доступе информации об уязвимостях, обнаруженных в продуктах в августе нынешнего года, сообщает издание ZDNet. Атаки осуществляются киберпреступной группировкой APT5 (Manganese), предположительно спонсируемой китайским правительством. Преступники атакуют и взламывают организации в разных отраслях, однако в первую очередь они уделяют внимание телекоммуникационным и технологическим компаниям и проявляют особый интерес к компаниям, занимающимся спутниковой связью. По словам исследователей из ИБ-компании FireEye, APT5 действует с 2007 года и «представляет собой большую группу преступников, состоящую из нескольких подгрупп с определенной тактикой и инфраструктурой». Начиная с конца августа, одна из подгрупп APT5 создала инфраструктуру, посредством которой она проводила интернет-сканирование для поиска VPN-серверов Fortinet и Pulse Secure, предполагают исследователи. Затем преступники попытались проэксплуатировать уязвимости в VPN-серверах. Обе уязвимости ( CVE-2018-13379 в Fortinet и CVE-2019-11510 в Pulse Secure) связаны с «предварительным считыванием файлов». Их эксплуатация позволяет неавторизованному злоумышленнику извлекать файлы с VPN-сервера. Уязвимости в продуктах Fortinet и Pulse Secure были обнаружены в начале этого года исследователями из компании Devcore. Обоих поставщиков проинформировали о проблемах в марте, и уязвимости были исправлены. Pulse Secure выпустила патч в апреле, а Fortinet — в мае. По словам исследователей, на 14,5 тыс. из 42 тыс. VPN-серверов Pulse Secure по-прежнему установлена уязвимая версия ПО.

Группировка Stealth Falcon эксплуатирует службу Windows BITS для кражи данных



Вредонос Win32/StealthFalcon представляет собой бэкдор, позволяющий загружать и запускать код на зараженных системах. Исследователи безопасности из фирмы ESET обнаружили новое вредоносное ПО, которое использует службу фоновой интеллектуальной передачи данных Windows Background Intelligent Transfer Service (BITS) для кражи данных. По словам специалистов, вредонос может быть делом рук киберпреступной группировки Stealth Falcon. Группировка Stealth Falcon, специализирующаяся на кибершпионаже, действует с 2012 года и нацелена на политических активистов и журналистов на Ближнем Востоке. В 2016 году некоммерческая организация Citizen Lab, занимающаяся вопросами безопасности и прав человека, опубликовала отчет о деятельности кибергруппировки. В январе 2019 года информагентство Reuters опубликовало отчет о расследовании в отношении подразделение под названием Project Raven, состоящего из сотрудников спецслужб ОАЭ и бывших агентов разведки США, у которого были схожие цели с Stealth Falcon. В предыдущих атаках группировка Stealth Falcon использовала бэкдор, написанный на языке PowerShell, однако затем переключилась на новый инструмент, получивший название Win32/StealthFalcon (по классификации ESET). Вредоносная программа использует систему Windows BITS для связи и взаимодействия с C&C-сервером. Бэкдор позволяет преступникам загружать и запускать дополнительный код на зараженных системах, извлекать данные и отправлять на подконтрольные злоумышленникам удаленные серверы. Для связи с удаленным сервером бэкдор использует не классические HTTP- или HTTPS-запросы, а трафик BITS. По мнению специалистов, таким образом злоумышленники обходят межсетевые экраны, поскольку, как правило, защитные средства не запрещают трафик BITS. Background Intelligent Transfer Service (BITS) — служба фоновой интеллектуальной передачи файлов между клиентом и HTTP-сервером, которая задейстувует неиспользуемую часть пропускной способности сети. С помощью предустановленной службы BITS Microsoft отправляет обновления Windows пользователям по всему миру.

Киберпреступники все чаще атакуют macOS



В первом полугодии 2019 года зафиксировано 1,8 млн кибератак на macOS с использованием вредоносного ПО. Принято считать, будто программные продукты Apple более безопасные, чем остальные, однако, как показывают данные телеметрии за первое полугодие 2019 года, «яблочная» экосистема определенно интересует киберпреступников. По данным «Лаборатории Касперского», число кибератак на macOS с использованием вредоносного и нежелательного ПО ежегодно увеличивается, начиная с 2012 года. В 2018 году количество атак возросло до 4 млн, а за первое полугодие 2019 года специалисты ЛК зафиксировали 1,8 млн кибератак на macOS с использованием вредоносного ПО. Чаще всего в атаках на «маки» киберпреступники используют троян-загрузчик Shlayer, загружающий на скомпрометированную систему рекламное ПО (преимущественно семейства Bnodlero). Как правило, вредонос попадает на компьютер через пиратские сайты, предлагающие бесплатно посмотреть или скачать популярные фильмы и сериалы. Для просмотра контента ресурс предлагает «обновить» Flash Player, и под видом обновления на систему загружается Shlayer. Остальные угрозы из топ-10 самых распространенных представляют собой нежелательное и рекламное ПО, отображающее рекламу в системных уведомлениях, баннерах на web-страницах, на страницах с результатами поиска, в браузере и пр. На втором месте после Shlayer находится рекламное ПО Bnodlero, устанавливающее расширения в браузер, меняющее поисковую систему по умолчанию и домашнюю страницу. Рекламное ПО Pirrit идет еще дальше и устанавливает на скомпрометированный компьютер прокси-сервер для перехвата трафика браузера. Cimpli, в свою очередь, использует хитроумные техники обхода обнаружения, к примеру, становится неактивным, если обнаруживает на macOS установленные решения безопасности. В первой половине нынешнего года macOS атаковало вредоносное ПО семейств Spynion и Vidsler. Троян Spynion распространяется через бесплатные программы, предлагающиеся на таких сайтах, как MacUpdate, VersionTracker и Softpedia. Вредонос позволяет злоумышленникам следить за активностью пользователей и получать доступ к скомпрометированной системе. Vidsler распространяется через рекламные баннеры и ссылки и по своему функционалу похож на Spynion. Помимо вредоносного ПО, эксперты ЛК зафиксировали в нынешнем году порядка 6 млн фишинговых атак на пользователей macOS, из них 11,8% пришлось на корпоративных пользователей. Чаще всего жертвы «покупаются» на фишинговые страницы, подделанные под страницы банковских сервисов.

Атака Simjacker – новый виток в развитии техник слежения за пользователями



Simjacker является первой реальной атакой, в которой шпионское ПО отправляется непосредственно в SMS-сообщении. Исследователи компании AdaptiveMobile Security обнаружили уязвимость в сетях сотовых операторов связи, позволяющую следить за местоположением пользователей и уже использующуюся злоумышленниками. Уязвимость и связанная с ней атака получила название Simjacker, поскольку предполагает взлом SIM-карт. По мнению исследователей, уязвимость эксплуатируется уже как минимум два года передовыми киберпреступниками (вероятнее всего работающими на правительство) с целью слежки за пользователями. Атака Simjacker предполагает отправку на атакуемый телефон SMS-сообщения с особым кодом наподобие шпионского ПО, что весьма необычно, поскольку, как правило, в SMS-сообщениях отправляется ссылка на вредоносное ПО, но не сам вредонос. Simjacker является первой реальной атакой, в которой шпионское ПО отправляется непосредственно в «смске». Вредоносный код дает SIM-карте телефона команду «захватить» устройство с целью получения и выполнения команд. Все происходит совершенно незаметно для жертвы – она ничего не знает ни о получении вредоносного SMS-сообщения, ни о сборе информации о местоположении, ни о ее дальнейшей отправке в другом SMS-сообщении. Вышеупомянутые сообщения не сохраняются ни во входящих, ни в исходящих. Всего лишь модифицировав вредоносную «смску», злоумышленник может не только получить данные о местоположении пользователя, но также воспроизводить звонок, отправлять короткие сообщения и USSD-сообщения, отключать SIM-карту, открывать браузер и пр.

Один из «главарей» FIN7 признал свою вину



В рамках сделки со следствием Федор Гладыр признал свою вину по двум пунктам обвинения. 34-летний украинец Федор Гладыр (Хладыр) признал себя виновным в участии в нашумевшей киберпреступной группировке FIN7, похитившей порядка $1 млрд по всему миру. Гладыр был арестован в январе 2018 года в Дрездене по обвинению в выполнении в FIN7 роли администратора. Помимо прочего он занимался поддержкой серверов и распределял обязанности между остальными участниками группировки. Власти США предъявили обвинения украинцу и еще двум его соотечественникам Дмитрию Федорову и Андрею Копакову летом 2018 года. Однако несмотря на арест «верхушки», FIN7 продолжила свою деятельность. В среду, 11 сентября, в рамках сделки со следствием в зале суда в Вашингтоне Гладыр признал свою вину в мошенничестве с использованием средств связи и сговоре с целью компьютерного взлома. Мужчина является первым обвиняемым по делу FIN7, признавшим свою вину, пишет CyberScoop. Тем не менее, он признал вину только по двум пунктам из предъявленных ему 26. С мужчины также были сняты обвинения в краже личности с отягчающими обстоятельствами, умышленном причинении ущерба защищенному компьютеру, мошенничестве с доступом к электронному устройству и пр. Поскольку Гладыр пошел на сделку с правосудием, ему грозит не более 25 лет лишения свободы, в противном случае он мог получить пожизненный срок. Приговор обвиняемому будет вынесен 13 декабря.

Минфин США включил в санкционный список три хакерские группировки



Они, по утверждению властей США, связаны с КНДР и проводили в последние годы атаки на критически важную инфраструктуру по всему миру. В частности, Lazarus приписывают кражу $81 млн из ЦБ Бангладеш и распространение вируса WannaCry. Минфин США ввел санкции против трех хакерских группировок, которые, по его данным, спонсируются властями Северной Кореи и проводят атаки на критически важную инфраструктуру по всему миру. Информация об этом размещена на официальном сайте американского ведомства. Речь идет о таких группировках, как Lazarus, Bluenoroff и Andariel. «Казначейство принимает меры против северокорейских хакерских группировок, которые совершают кибератаки для поддержки программ незаконного оружия и ракет», — прокомментировал новые санкции замминистра финансов по вопросам терроризма и финансовой разведки Сигал Манделькер. Хакеров включили в Список специально назначенных граждан и заблокированных лиц. Санкции по нему предполагают блокировку счетов в США и запрет американцам на сотрудничество и любые контакты с ними. Как именно американские власти будут бороться такими мерами с хакерами, учитывая специфику их подпольной деятельности, не уточняется. Хакерам из Lazarus, в частности, приписывают кражу в 2016 году из Центробанка Бангладеш $81 млн и распространение по всему миру вируса-вымогателя WannaCry в 2017–2018 годах. От вируса пострадали 300 тыс. компьютеров в 150 странах. Bluenoroff киберкриминалисты обвиняют в атаках на международную систему межбанковских платежей SWIFT, на инфраструктуру финансовых учреждений и криптовалютные биржи. Также эта группировка, указывает Минфин США, действовала вместе с Lazarus во время атаки на финансового регулятора Бангладеш. А в 2014 году, утверждают в Вашингтоне, именно хакеры из Bluenoroff вывели из строя серверы Sony Pictures Entertainment. Деятельность Andariel также связывают с Lazarus. Эта группировка специализируется на кибератаках на иностранные предприятия, правительственные учреждения, а также корпорации, занимающиеся или связанные с оборонной промышленностью. Основным полем деятельности этих хакеров является Южная Корея. Как отметил в разговоре с РБК руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников, Bluenoroff и Andariel — это подгруппы Lazarus. Они все сидят на одной кодовой базе и у них достаточно много пересечений в используемом вредоносном программном обеспечении, пояснил он. «Все три группировки нам известны. Вообще в случае со сложными кибератаками, за которыми стоят государственные органы, часто сложно определить, кто именно за ними стоит. Но в данном случае есть ряд технических признаков, которые свидетельствуют, что операторы могут быть связаны с Северной Кореей», — заявил он. По словам эксперта, если хакеры из этих группировок — сотрудники госорганов или офицеры спецслужб, то вероятность того, что они когда-либо предстанут перед судом, крайне мала. Однако внесение в санкционный список, уверен он, является «ясным и понятным» сигналом.

В ЦБ рассказали об атаках из Бразилии на российские банки



Атака началась в апреле и продолжалась несколько месяцев, остановить ее удалось лишь после вмешательства ЦБ РФ и Бразилии. Банк России зафиксировал серьезную кибератаку, направленную на российские банки из Бразилии. В общей сложности нападению подверглись восемь банков. Атака началась в апреле нынешнего года и продолжалась несколько месяцев, остановить ее удалось лишь после вмешательства центробанков РФ и Бразилии, пишет «КоммерсантЪ». Речь идет о так называемой БИН-атаке, когда злоумышленники выясняют первые шесть цифр номера карты (БИН), используеме для идентификации банка в платежных системах и затем с помощью перебора пытаются определить оставшиеся. В случае, если преступникам удается сгенерировать номер карты, происходит списание средств, пояснил первый замдиректора департамента информационной безопасности ЦБ Артем Сычев. По его словам, кредитным организациям не удалось самостоятельно справиться с проблемой и они обратились к регулятору. В свою очередь ЦБ связался с бразильскими коллегами и атаки прекратились. «Мы не знаем, был ли взломан банк на той стороне или почему шла атака, это вне сферы нашей компетенции, но бразильские коллеги проблему решили», - отметил Сычев.
Российские банки не понесли финансовый ущерб, заверил Артем Сычев, отметив при этом, что подобные атаки «засоряют трафик, и потому проблема требовала решения»

Правоохранители не могут найти сервер вредоносного ПО, похищавшего бензин на российских АЗС



В связи с невозможностью получить результаты компьютерно-технической судебной экспертизы следствие было продлено. Дело о мошенничестве с недоливом бензина на АЗС в Ставропольском крае уже два года не может сдвинуться с мертвой точки. В связи с невозможностью получить результаты компьютерно-технической судебной экспертизы ФСБ РФ была вынуждена продлить следствие. Как ранее сообщал SecurityLab, на десятках АЗС в Ставропольском крае, Адыгее, Краснодарском крае, Калмыкии, ряде республик Северного Кавказа и пр. была остановлена вредоносная программа, позволяющая незаметно недоливать до 7% бензина. Клиенты АЗС недолива не замечали, а работники заново продавали остаток, кладя прибыль себе в карман. Разработчиком вредоносного ПО предположительно является житель Ставрополя Денис З. По версии следствия, З. не только создал вредонос, но также организовал его внедрение и контролировал объем похищенного горючего. В настоящее время следствие придерживается мнения, что именно З. являлся руководителем организованного преступного сообщества, занимавшегося хищением бензина. Всего в мошеннической схеме участвовало 24 человека – преимущественно операторы АЗС. Как сообщает «КоммерсантЪ», уголовные дела против них, предусмотренные ч. 3 ст. 73 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), были возбуждены еще в июне 2017 года, однако в настоящее время следствие зашло в тупик из-за невозможности получить результаты компьютерно-технической судебной экспертизы. В ходе расследования правоохранителями был задержан некто Андрей В. По словам задержанного, управление созданным З. вредоносным ПО осуществлялось с удаленного сервера. Однако обнаружить месторасположение сервера и изъять с него доказательства вины З. и остальных подозреваемых правоохранителям так и не удалось. Потерпевшими по делу проходят только автобаза правительства Ставропольского края, АО «Концерн "Энергомера"», управление Федеральной службы судебных приставов по Ставропольскому краю и АО «Ставропольгоргаз». Им был причинен ущерб на 120 тыс. руб., 26,6 тыс. руб., 31,1 тыс. руб. и 58,1 тыс. руб. соответственно.

Самый опасный в мире ботнет Emotet вернулся к жизни



Ботнет возобновил отправку вредоносного спама после четырех месяцев бездействия. Один из крупнейших и наиболее опасных вредоносных ботнетов Emotet вернулся к жизни после 4 месяцев бездействия. В течение данного периода времени C&C-серверы были отключены, и Emotet перестал рассылать команды ботам и рассылать спам для заражения новых жертв. Новые рассылки вредоносного спама от Emotet обнаружил исследователь Раашид Бхат (Raashid Bhat) из некоммерческой организации SpamHaus. Электронные письма содержали вредоносные файлы и ссылки на вредоносные загрузки. Жертвами кампании стали пользователи, говорящие на польском и немецком языках. Оказавшись на системе, Emotet загружает модули, которые извлекают пароли из локальных приложений, распространяют вредонос на другие компьютеры в той же сети и крадут цепочки электронных писем для последующего повторного использования в спам-кампаниях. По словам исследователя, операторы Emotet также предоставляют услугу Malware-as-a-Service (MaaS), благодаря которой другие преступные группировки могут арендовать доступ к компьютерам, зараженным Emotet, и загружать собственные вредоносные программы. Одними из наиболее известных клиентов Emotet являются операторы программ-вымогателей Bitpaymer и Ryuk. Пробуждение серверов ботнета было зафиксировано еще в конце августа нынешнего года, но тогда злоумышленники не предпринимали попыток распространять вредоносы. Бхат предполагает, что операторы Emotet провели последние несколько недель за восстановлением связи с ранее зараженными ботами и распространяли вредоносы по локальным сетям для увеличения размера ботнета перед началом кампании.

Киберпреступная группировка Tortoiseshell атаковала саудовские IT-компании



Данные операции могут быть атаками по цепочке поставок. За последние 14 месяцев киберпреступная группировка Tortoiseshell атаковала по меньшей мере 11 IT-компаний, большинство из которых расположены в Саудовской Аравии. По словам исследователей из компании Symantec, целью злоумышленников, предположительно, является компрометация клиентов компаний. В некоторых случаях злоумышленникам удалось получить привилегии администратора, а также заразить несколько сотен компьютеров в попытках найти нужные им данные, такие как IP-адреса и информацию о сетевых подключениях. Группировка взяла на вооружение вредоносное ПО под названием Backdoor.Syskit, разработанный в версиях на языках Delphi и .NET. С помощью данного бэкдора преступники могут загружать и выполнять дополнительные инструменты и команды. Для установки Backdoor.Syskit запускается с помощью параметра «-install». Вредоносная программа собирает и отправляет IP-адреса, данные о названии и версии используемой ОС, а также Mac-адреса на C&C-сервер, используя URL-адрес в разделе реестра Sendvmd. Данные, отправляемые на C&C-сервер, шифруются в Base64. По словам исследователей, данные операции могут быть частью атак по цепочке поставок, а конечной целью является получение доступа к сетям некоторых клиентов IT-провайдеров. IT-провайдеры являются идеальной мишенью для злоумышленников, поскольку имеют высокий уровень доступа к компьютерам своих клиентов. Этот доступ может дать им возможность отправлять вредоносные обновления программного обеспечения на целевые машины и даже предоставлять удаленный доступ к клиентским машинам. Это обеспечивает доступ к сетям жертв без необходимости подвергать риску сами сети, что может быть невозможно при наличии надежной инфраструктуры безопасности, а также снижает риск обнаружения атаки.

Преступники покупают сертификаты безопасности, притворяясь директорами компаний



Полученные сертификаты затем продаются на подпольных форумах Исследователи из компании ReversingLabs обнаружили новую тактику, которую преступники используют для мошеннических операций. Теперь злоумышленники притворяются легальными руководителями предприятия для покупки сертификатов безопасности в интернете и дальнейшей их продажи на подпольных форумах. В рамках данной схемы преступник сначала ищет подходящую жертву. В одном случае преступник удалил информацию со страницы руководителя британской компании в социальной сети LinkedIn, а затем зарегистрировал доменное имя, связанное с данным предприятием. Потом преступник заказал Code Signing сертификат, для которого он уже имел все необходимые данные. Для подтверждения личности юридическая информация о фирме проверяется в правительственных или доверенных сторонних базах данных, домен web-сайта проверяется по электронной почте, а затем происходит автоматический процесс обратного вызова. Теперь злоумышленник успешно выдал себя за директора компании и у него есть Code Signing сертификат, который можно продать. Данный сертификат, полученный нелегальным способом в описанном случае, теперь используется в рекламном ПО OpenSUpdater для подписи 22 исполняемых файлов, многие из которых являются вредоносными. «Обман удостоверяющего центра — еще одна тактика, применяемая данным преступником. Используя одну и ту же личность, субъект пытается купить как можно больше сертификатов у как можно большего количества удостоверяющих центров», — поясняет сооснователь ReversingLabs Томислав Перицин (Tomislav Pericin). Исследователи полагают, что преступник использовал ту же тактику по крайней мере против десятка компаний. С одной личностью были связаны мошеннические сертификаты расширенной проверки (EV-сертификаты). Предположительно, размер прибыли оправдывает мониторинг и настройку инфраструктуры, необходимых для прохождения многочисленных проверок личности. Сертификаты безопасности предназначены для того, чтобы вызвать доверие пользователей к развертыванию программного обеспечения. Традиционное антивирусное программное обеспечение обычно использует базы сигнатур для определения того, содержит ли ПО, загруженное или запущенное на компьютере, вредонос. Тем не менее, если вредоносный программный продукт будет иметь законную подпись, он сможет обойти проверку.

Ботнет Smominru взламывает более 90 тыс. компьютеров каждый месяц



Предназначенный для добычи криптовалюты и кражи учетных данных ботнет Smominru (также известен как Ismo) начал распространяться с невероятной скоростью. По словам исследователей из команды Guardicore Labs, ботнет каждый месяц заражает более 90 тыс. компьютеров по всему миру. Только в августе нынешнего года более 4,9 тыс. сетей были заражены вредоносом. Кампания затронула расположенные в США высшие учебные заведения, медицинские фирмы и даже компании, занимающиеся кибербезопасностью, а также системы в Китае, Тайване, России и Бразилии. Большинство зараженных машин работают под управлением Windows 7 и Windows Server 2008 и представляют собой небольшие серверы с 1-4 ядрами ЦП, в результате чего многие из них оказались непригодным для использования из-за чрезмерной нагрузки на ЦП в процессе майнинга. Ботнет Smominru с 2017 года компрометирует системы на базе Windows с помощью эксплоита EternalBlue, созданного Агентством национальной безопасности США, но позже обнародованного киберпреступной группировкой Shadow Brokers. Червь был разработан для получения доступа к уязвимым системам методом брутфорса различных служб Windows, включая MS-SQL, RDP и Telnet. Оказавшись на системе, Smominru устанавливает троянское вредоносное ПО и майнер криптовалюты, распространяется внутри сети, и использует возможности ЦП компьютеров жертв для майнинга Monero и отправки его на кошелек злоумышленников. Злоумышленники создают множество бэкдоров на компьютере на разных этапах атаки. К ним относятся новые созданные пользователи, запланированные задачи, объекты WMI и службы, настроенные для запуска во время загрузки. Исследователям удалось получить доступ к одному из основных серверов злоумышленников, на котором хранится информация о жертвах и их украденные учетные данные. «Логи злоумышленников описывают каждую зараженную систему, включая информацию внешних и внутренних IP-адресах, операционной системе и нагрузке на центральный процессор. Более того, злоумышленники пытаются собрать информацию о запущенных процессах и украсть учетные данные, используя иструмент Mimikatz», — сообщают специалисты. В отличие от предыдущих версий Smominru, новый вариант также удаляет следы заражения других киберпреступных группировок со скомпрометированных систем, а также блокирует TCP-порты (SMB, RPC), предотвращая проникновение конкурентов.

Злоумышленники массово «угоняют» YouTube-каналы



На прошлых выходных зафиксирован пик взломов YouTube-каналов, посвященных автомобильной тематике. В течение последних нескольких дней владельцы YouTube-каналов массово подвергались кибератакам, причем больше всех досталось каналам, посвященным обзорам автомобилей и автотюнингу. В частности, среди жертв злоумышленников оказались популярные каналы Built, Troy Sowers, MaxtChekVids, Musafir и PURE Function. Помимо автомобильного сообщества, кибератакам также подверглись создатели видеоконтента других направлений. Пик атак пришелся на прошедшие выходные. Все указывает на то, что все инциденты связаны между собой и являются частью одной масштабной кампании. Потенциальные жертвы получали письма с ссылками на фишинговые сайты, где у них выманивались учетные данные. Как сообщил журналистам ZDNet один из пострадавших пользователей, которому удалось восстановить доступ к своей учетной записи YouTube, злоумышленники заманили его на поддельную страницу авторизации Google, выманили учетные данные и с их помощью авторизовались в его учетной записи. Затем они привязали его YouTube-канал к новому владельцу и изменили семантический URL-адрес таким образом, чтобы для настоящего владельца и его подписчиков все выглядело так, будто аккаунт был удален.
В представленном ниже видеоролике на канале Life of Palos сообщается о киберпреступной кампании (с 1:50).

Нажми сюда!

Обзор инцидентов безопасности за период с 16 по 22 сентября 2019 года



Спустя несколько месяцев бездействия в Сети активизировался один из опаснейших ботнетов – Emotet. 16 сентября исследователи в области безопасности зафиксировали новые спам-рассылки, содержащие вредоносные файлы и ссылки на вредоносные загрузки. Жертвами кампании стали пользователи, говорящие на польском и немецком языках. Необычайную активность демонстрирует и ботнет Smominru, используемый его операторами для кражи данных и майнинга криптовалют. Только в августе нынешнего года ботнет заразил более 90 тыс. компьютеров по всему миру. Кампания затронула расположенные в США высшие учебные заведения, медицинские фирмы и даже компании, занимающиеся кибербезопасностью, а также системы в Китае, Тайване, России и Бразилии. В основном жертвами кампании стали устройства под управлением версий Windows 7 и Windows Server 2008. Из-за уязвимости в сервере оператора фискальных данных (ОФД) «Дримкас» в открытом доступе оказались 14 млн записей о юридических и физических лицах, а также данные о покупках и уплаченных налогах. Утекшая информация включала ИНН, адреса, названия компаний, электронные адреса 3 тыс. пользователей скидочной программы «Покупай-ка», телефоны представителей, а также информацию о заключенных сделках, ассортименте и ценах на товары. Исследователи обнаружили новую кампанию, в рамках которой киберпреступная группировка Tortoiseshell атаковала по меньшей мере 11 IT-фирм, большинство из которых расположены в Саудовской Аравии. Целью злоумышленников, предположительно, являлась компрометация клиентов компаний. В некоторых случаях злоумышленникам удалось получить привилегии администратора, а также заразить несколько сотен компьютеров в попытках найти нужные им данные, такие как IP-адреса и информацию о сетевых подключениях. Специалисты компании UpGuard выявили в открытом доступе конфиденциальные документы, раскрывающие подробности об использовании на сетях российских операторов связи системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ). 1,7 ТБ чувствительных данных, в том числе схемы, учетные данные администраторов, архивы электронных писем и другие материалы, проливающие свет на инфраструктуру телекоммуникационных компаний, хранились на незащищенном сервере rsync, доступ к которому мог получить любой желающий. В Сети в открытом доступе была обнаружена база данных с персональной информацией более 20 млн граждан Эквадора, включая данные Джулиана Ассанжа, которому власти страны предоставляли политическое убежище с 2012-го года по апрель 2019-го года. Незащищенный сервер Elasticsearch принадлежал эквадорской консалтинговой компании Novaestrat, оказывающей услуги в сфере аналитики, стратегического маркетинга и разработки программного обеспечения. Эквадорские власти инициировали расследование по факту утечки данных, в результате которого был арестован исполнительный директор Novaestrat.

Fancy Bear учит новые языки



В новой вредоносной кампании APT-группа Fancy Bear использовала новые языки программирования. APT-группа Fancy Bear (также известна как APT28, Sednit, Sofacy и Strontium) обновила свой арсенал, добавив в него несколько инструментов. В частности, злоумышленники стали использовать новый загрузчик на языке Nim, обновили загрузчик на Golang и переписали основной бэкдор с Delphi на Golang. По данным ESET, новая операция Fancy Bear проводилась в августе нынешнего года. Как и раньше, ее жертвами стали министерства иностранных дел и посольства по всей Европе и Азии. Злоумышленники рассылали жертвам фишинговые письма с вредоносным вложением. Письма содержали пустой документ Word, переадресовывавший жертву на шаблон wordData.dotm, хранящийся в сервисе Dropbox. В шаблон были встроены вредоносные макросы, выполнявшие файл lmss.exe – новый загрузчик для трояна Zebrocy, написанный на Nim. Документ также содержал неактивный исполняемый файл AutoIt, ранее также использовавшийся как загрузчик. По мнению исследователей, злоумышленники просто забыли его удалить. В общей сложности в ходе атаки установке финального бэкдора предшествовала установка шести различных вредоносных модулей. Эти модули пересылали на C&C-серверы данные о системе и другую информацию, делали скриншоты каждые 35 секунд в течение первых нескольких минут после заражения и получали от C&C-сервера команды и дополнительную полезную нагрузку. По словам исследователей, бэкдор на Golang использовался во вредоносной кампании впервые. У него отсутствуют какие-либо персистентные элементы, разве что злоумышленники могут установить его вручную, запланировав задачу в Windows\Software\OSDebug. Однако вредонос способен создавать, модифицировать и удалять файлы, перечислять жесткие диски, делать снимки экрана и выполнять команды через cmd.exe.

Кибергруппировка xHunt атаковала транспортные компании в Персидском заливе



Вооружение преступников включает бэкдоры Sakabota, Hisoka, Netero и Killua. Исследователи из команды Unit 42 компании Palo Alto Networks обнаружили вредоносную кампанию, нацеленную на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак преступники использовали троянское вредоносное ПО. Группировка получила название xHunt, поскольку разработчики вредоносных инструментов использовали имена персонажей из аниме-сериала Hunter x Hunter. Вооружение преступников включает бэкдоры Sakabota, Hisoka, Netero и Killua. Они используют для связи с C&C-сервером не только HTTP-протокол, но также электронную почту и DNS-туннелирование. Последний метод задействует web-службу Microsoft Exchange (EWS) и украденные учетные данные для создания «черновиков» электронной почты для связи между преступником и вредоносом. Впервые активность xHunt была зафиксирована в мае нынешнего года, когда был обнаружен вредоносный бинарный файл, установленный в сети одной из жертв в Кувейте. Неизвестно, как именно злоумышленники скомпрометировали компьютеры, но им удалось установить бэкдор Hisoka (версия 0.8), обеспечивающий загрузку дополнительного вредоносного ПО. Одним из них является вредонос под названием Gon, позволяющий сканировать открытые порты на удаленных системах, загружать и скачивать файлы, делать снимки экрана, находить другие системы в сети, выполнять команды и создавать собственную функцию протокола удаленного рабочего стола (Remote Desktop Protocol, RDP). Во время анализа вредоносного ПО исследователи обнаружили сходство в коде с вредоносным инструментом Sakabota. Специалисты предполагают, что Sakabota является предшественником Hisoka, разработанным тем же автором. Бэкдор Gon также содержит код, используемый в Sakabota, указывая на общего автора. Индикаторы компрометации, связанные с атаками, были опубликованы в репозитории Unit 42 на GitHub.

В России мошенники взялись подменять номера телефонов банков



Прошлым летом возросло число случаев мошенничества с подменой телефонных номеров банков. В России активизировались мошенники, подменяющие номера телефонов банков. По данным Центробанка РФ, за прошедшее лето злоумышленники подменили 198 номеров, однако участники рынка утверждают, что реальная цифра намного выше, пишет «КоммерсантЪ». Как сообщили специалисты Центробанка на консультационном совете по развитию национальной платежной системы, в период с июня по август они направили операторам связи данные о более чем 2,5 тыс. телефонных номеров, с которых мошенники звонили клиентам финорганизаций. В результате в 218 случаях операторы заблокировали номера, в 59 – ограничили использование финансовых сервисов, а в 198 случаях была обнаружена подмена номера банка. В более чем 2 тыс. случаев операторы отказались принимать меры «ввиду отсутствия правовых оснований». По словам первого замглавы департамента информационной безопасности Центробанка Артема Сычева, речь идет только о количестве телефонных номеров, а не о числе полученных жалоб от пользователей. 198 – это количество номеров кредитных организаций, которые во время звонков подменили мошенники. Всплеск числа звонков с подменой номеров банков также был зафиксирован в сентябре. Как пояснил Сычев, злоумышленники подменяют номера широкого круга банков, однако далеко не все из них реагируют на сообщения Центробанка. По мнению эксперта, главная причина бездействия со стороны финорганизаций – отсутствие в законе «О связи» соответствующей обязанности

Кибератака нарушила работу заводов Rheinmetall в трех странах



По оценкам компании, период восстановления после атаки займет примерно 2-4 недели, а убытки составят €3 млн - €4 млн в неделю. Немецкий концерн Rheinmetall, специализирующийся на машиностроении, производстве военной техники, вооружений и комплектующих для автомобилей, сообщил о кибератаке, которая повлекла за собой «значительные сбои» в работе заводов компании в Бразилии, Мексике и США. Согласно пресс-релизу Rheinmetall Group, инцидент произошел вечером во вторник, 24 сентября. В результате атаки IT-инфраструктура подразделения Rheinmetall Automotive оказалась заражены вредоносным ПО. Представители компании не раскрыли подробности инцидента, также неизвестно, о каком вредоносном ПО идет речь. Отмечается, что в результате атаки пострадали только системы Rheinmetall Automotive, инфраструктура других подразделений концерна затронута не была. По оценкам компании, период восстановления после атаки займет примерно 2-4 недели, а убытки составят €3 млн - €4 млн в неделю. Концерн Rheinmetall пополнил список промышленных предприятий, подвергнувшихся кибератакам за последние семь месяцев. К примеру, в марте нынешнего года жертвой вымогательского ПО Locker Goga пал крупнейший производитель алюминия Norsk Hydro. В том же месяце от атак вредоноса пострадали производители смол, силиконов и других материалов Hexion и Momentive, а в апреле японский производитель оптического оборудования HOYA был вынужден на три дня приостановить работу своего завода в Таиланде из-за криптомайнера.

Киберполиция Украины раскрыла группировку, занимавшуюся перерегистрацией имущества



С помощью вредоносного ПО злоумышленники похищали данные для доступа к госреестрам и незаконно переоформляли право собственности. Сотрудники Департамента киберполиции, Главного следственного управления Национальной полиции и Службы безопасности Украины пресекли деятельность преступной группировки, занимавшейся незаконной перерегистрацией арестованного имущества. Как сообщает киберполиция, участники группировки заражали компьютеры нотариусов и госслужащих вредоносным ПО, с помощью которого вмешивались в работу государственных реестров и переоформляли права собственности на недвижимое имущество на третьих лиц. Злоумышленники рассылали должностным лицам, имеющим доступ к государственным реестрам, электронные письма с вредоносным файлом. После активации макросов на систему загружалось вредоносное ПО, предоставляющее преступникам доступ к электронному цифровому ключу и паролям. Для того чтобы жертва «клюнула» на наживку, письма рассылались якобы от имени государственных учреждений или со взломанных электронных ящиков пользователей, с которыми раньше уже велась переписка. Получив несанкционированный доступ к Государственному реестру прав собственности на недвижимое имущество и Государственному реестру обременений движимого имущества, злоумышленники вносили заведомо ложные сведения об отмене запрета на отчуждение движимого и недвижимого имущества в интересах третьих лиц. Далее собственность продавалась. Таким образом преступникам удалось реализовать более тысячи объектов движимого и недвижимого имущества. Незаконная деятельность осуществлялась из тайника в лесополосе неподалеку от Киева, где располагался ноутбук и мобильный телефон для выхода в Интернет. Организатором преступной схемы оказался бывший служащий Государственной исполнительной службы Украины, нанявший себе в помощники специалиста в области программирования, который и разработал вредоносное ПО. Действия участников группировки были квалифицированы по нескольким статьям УК Украины: ч. 1 ст. 255 («Создание преступной организации»), ст. 361 («Несанкционированное вмешательство в работу компьютеров»), ст. 361-1 («Создание с целью использования, распространения или сбыта вредоносного программного обеспечения») и ст. 209 («Легализация (отмывание) дохода, полученного незаконным путем»)

Новое вредоносное ПО «обчищает» криптовалютные кошельки с помощью Telegram



Исследователи обнаружили как минимум 18 активных вредоносных кампаний с использованием Masad Stealer. Специалисты компании Juniper Threat Labs обнаружили по меньшей мере 18 вредоносных кампаний и киберпреступных группировок, использующих новое вредоносное ПО Masad Stealer. В настоящее время вредонос активно рекламируется на хакерских форумах – желающие могут попробовать бесплатную версию с ограниченным функционалом или за $85 приобрести полнофункциональный вариант. По словам специалистов, Masad Stealer имеет прямую связь с вредоносным ПО Qulab Stealer и является либо его усовершенствованной версией, либо непосредственным преемником. Вредонос создан с использованием скриптов Autoit и скомпилирован как исполняемый файл Windows. Masad Stealer представляет собой шпионское ПО, способное похищать данные из браузеров (имена пользователей, пароли и данные банковских карт) и автоматически заменять криптовалютные кошельки из буфера обмена своим собственным. Некоторые варианты Masad Stealer также могут загружать на зараженную систему дополнительное вредоносное ПО (как правило, майнеры криптовалюты). Примечательно, что в качестве C&C-канала вредонос использует мессенджер Telegram. Все похищенные данные Masad Stealer отправляет своему оператору с помощью Telegram-бота и через него же получает команды. Вредонос распространяется под видом легитимного инструмента (ProxySwitcher, CCleaner.exe, Utilman.exe и пр.) или встраивается операторами в сторонние программы, предлагаемые на файлообменных сайтах.