Хакеры, взломы, вирусы

[vladimir1949]

«Лаборатория Касперского»: злоумышленники стали в два раза чаще использовать в кибератаках уязвимости Linux

Почти на 130% выросло количество попыток кибератак с использованием уязвимостей в Linux в I квартале 2024 г. по сравнению с аналогичным периодом 2023 г. Таковы данные «Лаборатории Касперского». За период с января 2023 г. по март 2024 г. пик кибератак пришёлся на IV квартал 2023 г.

Linux набирает популярность на рынке настольных операционных систем. В связи с этим интерес к этой ОС повышается со стороны как исследователей по кибербезопасности, так и злоумышленников.

«Пользователей Linux становится всё больше, и этим объясняется растущее число угроз для этой ОС. Наибольший интерес для злоумышленников представляют уязвимости в ядре ОС Linux и уязвимости в программном обеспечении, которое предоставляет контроль над системой. Поэтому крайне важно своевременно устанавливать обновления ПО, а также иметь надёжное защитное решение», — сказал Александр Колесников, эксперт по кибербезопасности в «Лаборатории Касперского».

Для обеспечения кибербезопасности «Лаборатория Касперского» рекомендует организациям принимать следующие меры: регулярно устанавливать обновления ОС; использовать решение для защиты рабочих мест, например, Kaspersky Security для бизнеса с функциями защиты от эксплойтов, выявления подозрительного поведения и отката вредоносных действий; применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире. Комбинации таких решений под потребности компании любого масштаба содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony; внедрять EDR-решения и сервисы, которые умеют распознавать и останавливать атаки на ранней стадии, до того, как злоумышленники нанесут существенный урон, такие как Kaspersky Managed Detection and Response.

[vladimir1949]

Новая группа вымогателей MorLock увеличила интенсивность атак на российский бизнес

Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, сообщила об активизации новой преступной группы вымогателей MorLock. Злоумышленники атакуют российские компании как минимум с начала 2024 г. и в апреле-мае существенно усилили интенсивность своих атак. Как и группа Muliaka, MorLock используют для распространения программы-вымогателя в сети жертвы популярный корпоративный антивирус.

Первые атаки вымогателей MorLock, по данным специалистов лаборатории компьютерной криминалистики компании F.A.C.C.T., были зафиксированы в самом начале 2024 г. и с этого момента их жертвами стало уже не менее 9 российских компаний из сегмента среднего и крупного бизнеса.

MorLock специализируется исключительно на шифровании данных в ИТ-инфраструктуре жертвы с использованием программ-вымогателей LockBit 3 (Black) и Babuk. За восстановление доступа атакующие требуют выкуп, размер которого может составлять десятки и сотни миллионов рублей. Правда, в процессе переговоров сумма может быть снижена почти вдвое.

► Показать

Из-за того, что группа не занимается эксфильтрацией — копированием и хищением — данных, атаки MorLock длятся всего несколько дней с момента получения доступа и до начала процесса шифрования данных.

В качестве начального вектора атак злоумышленники использовали уязвимости в публичных приложениях (например, Zimbra), а также доступы, приобретенные на таких закрытых торговых площадках как, например, Russian Market. В последних атаках в качестве первоначального доступа атакующие воспользовались скомпрометированными учетными данными партнеров пострадавших компаний.

Во всех случаях, если у жертвы был установлен популярный российский корпоративный антивирус, атакующие, получив доступ к его административной панели, отключали антивирусную защиту и использовали данный продукт для распространения программы-вымогателя в сети жертвы.

В отличие от группировки от Shadow, MorLock с самого начала своей активности решила не светить «бренд» и предпочитала оставаться в тени: в записке с требованием выкупа злоумышленники в качестве контактов указывают только идентификатор для мессенджера Session.

Однако уже одна из первых атак MorLock спровоцировала в конце января нешуточный скандал — «разборки» на русскоязычном хакерском форуме XSS.is в связи с атакой на российскую компанию с использованием программы-вымогателя LockBit 3 (Black), нарушив негласное правило русскоговорящих киберпрестпуников «Не работать по РУ». По итогам обсуждения администраторы форума заблокировали аккаунты участников, связанных с атаками на Россию.

Некоторые из этих участников были непосредственно связаны с группой MorLock.

Список инструментов, технические подробности и индикаторы компрометации MorLock представлены на GitHub криминалистов компании F.A.C.C.T.

[vladimir1949]

Хакерская атака на спутниковую дистрибуцию украинских программ
09.05.2024 12:47

Украинские домохозяйства теперь остались без программ спутникового телевидения. Вчера до полудня была осуществлена ​​хакерская атака на спутниковую раздачу, которая помешала распространению некоторых бесплатных ( FTA ) программ и платных станций платформы Viasat Ukraine на спутнике Astra 4A ( 4.8°E ).

По данным мониторинга сайта parabola.cz, имела место планомерная ликвидация распространения программ. Сначала зрители потеряли программы на частоте 12,072 ГГц, затем на частотах 11,766 ГГц, 12,130 ГГц и, наконец, на 12,283 ГГц. Список транспондеров, подвергающихся хакерским атакам, может со временем меняться.

На данный момент неизвестно, кто стоит за хакерской атакой на спутниковую инфраструктуру. Оператор услуги платного телевидения Viasat Украина лишь добавил, что « " в связи с враждебной атакой на спутник наблюдаются перебои в приеме сигнала некоторых каналов, входящих в предложение VIASAT. Технические специалисты уже работают над решением проблемы». проблема " ".

Перечисленные частоты на момент публикации отчета оказались неактивными (отключенными). Поэтому у зрителей может возникнуть ощущение, что вещание на данных частотах больше не ведется и перенесено в другое место. Но правда в другом – атака на распространение.

В прошлом атаки на спутниковую инфраструктуру происходили на спутниках Amos, где традиционное вещание украинских станций заменялось российским контентом.

Год назад, наоборот, массовые атаки на спутниковое распространение имели место на российских спутниковых платформах и распределении сигналов на таких позициях, как 80°в.д., 74,7°в.д. , 36°в.д. и 14°з.д . Операторы DTH-сервисов изменили параметры мультиплексов и перенесли ключевые программы на не мешающие транспондерам. По мнению России, за атаками на спутниковое вещание в то время стояла Украина.

[vladimir1949]

Злоумышленники атакуют компании под предлогом урегулирования досудебных претензий

«Лаборатория Касперского» обнаружила массовую вредоносную рассылку по крупным организациям, в частности из сферы промышленности и здравоохранения. Атакующие направляют вредоносное ПО в письмах якобы от компаний-партнёров, которые предъявляют досудебные претензии и требуют погасить образовавшуюся задолженность. В апреле 2024 г. решения «Лаборатории Касперского» заблокировали более 500 таких писем.

Письма несколько отличаются по наполнению, однако основное требование остаётся неизменным. Атакующие сообщают под видом компании-партнёра, что организация-адресат якобы не выполняет свои обязательства надлежащим образом, и требуют погасить задолженность. В одном из обнаруженных сообщений речь шла о сумме в 4,8 млн руб. В качестве обоснования отправители письма ссылаются на законодательство РФ.

«Во вложении находится файл в формате .doc, если человек скачивает и открывает его, то автоматически загружается другой вредоносный файл уже в формате .rtf. Затем запускается цепочка загрузок, в результате которой на устройство проникает Cobalt Strike. Изначально ПО с таким названием — это легитимный инструмент, который используется для проведения тестов на проникновение, однако его также могут использовать злоумышленники для реализации целевых кибератак, чтобы проникнуть в инфраструктуру организации», — сказала Виктория Власова, эксперт по кибербезопасности «Лаборатории Касперского».

«Атаки на предприятия часто начинаются с рассылок по электронной почте. Злоумышленники придумывают различные легенды, чтобы убедить жертву выполнить действие или предоставить нужную информацию, зачастую для этого прибегают к приёмам социальной инженерии. Поэтому к киберзащите организации важно подходить комплексно: с одной стороны, выстраивать систему безопасности и использовать надёжные технические решения, с другой — повышать цифровую грамотность сотрудников», — сказал Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского».

Чтобы защититься от подобных атак, «Лаборатория Касперского» рекомендует компаниям: предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например, с помощью сервисов Threat Intelligence; проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, например, с помощью платформы Kaspersky Automated Security Awareness; установить защитное решение, которое автоматически будет отправлять подобные письма в спам, например, Kaspersky Secure Mail Gateway.

[vladimir1949]

Хакеры стали проникать в IT-инфраструктуру российских компаний быстрее на 30 %
15.05.2024 [13:18]

За последний год скорость проникновения хакеров в IT-инфраструктуру российских компаний значительно выросла. Как сообщает издание «Коммерсантъ», если раньше на взлом требовались недели или месяцы, то сейчас этот процесс может занимать от одного до трех дней, а в отдельных случаях всего несколько часов.

Эксперты компании «Информзащита» оценивают рост скорости взломов примерно на 30 % по сравнению с началом 2023 года. При этом время от первоначального проникновения хакеров до получения ими контроля над системами в некоторых случаях сократилось до 72 часов. Под ударом чаще всего оказываются крупные государственные организации и промышленные предприятия, которые уже внедрили серьезные средства защиты информации. Однако даже это не спасает от взлома.

► Показать

Одной из причин ускорения кибератак является большое количество вредоносных программ и инструментов для взлома, которые, по словам директора технологической практики «ТеДо» Юрия Швыдченко, свободно распространяются в даркнете. Это позволяет даже начинающим хакерам автоматизировать процесс поиска уязвимостей в системах жертвы.

Еще один фактор заключается в массовой замене импортного ПО и оборудования на российские аналоги. Спешка с импортозамещением приводит к появлению множества дыр в системах информационной безопасности, и хакерские группировки активно этим пользуются.

Например, в 2022 году злоумышленникам удалось взломать ряд крупных российских IT-компаний и интеграторов, получив доступ к данным для подключения к их заказчикам. А в начале 2023 года произошла громкая кража данных в агрокомплексе им. Н.И. Ткачева, когда хакеры зашифровали все файлы на компьютерах холдинга.

Эксперты также отмечают, что хакерские группировки получают все больше финансирования из недружественных России стран, что позволяет им расширять свои возможности и ресурсы для кибератак.

Несмотря на предпринимаемые усилия по защите информационных систем, российские компании и госорганы по-прежнему остаются уязвимыми для быстро прогрессирующих киберугроз. Число взломов растет, а их скорость увеличивается. Эксперты прогнозируют дальнейшее обострение ситуации в сфере кибербезопасности.

[vladimir1949]

ФБР снова закрыло хакерский форум BreachForums, администратор арестован
16.05.2024 [12:01]

Известный хакерский форум BreachForums, на котором злоумышленники размещали для продажи похищенные данные пользователей и организаций, взят под контроль ФБР в сотрудничестве с правоохранительными органами других стран, сообщил ресурс BleepingComputer.

Со среды на веб-сайте BreachForums отображается баннер с сообщением о том, что ФБР взяло под свой контроль его и внутренние данные, что указывает на то, что агентство конфисковало как серверы, так и домены сайта.

«Этот веб-сайт был закрыт ФБР и Министерством юстиции при содействии международных партнёров, — говорится в сообщении. — Мы проверяем серверные данные этого сайта. Если у вас есть информация о киберпреступной деятельности на BreachForums, свяжитесь с нами». В верхней части баннера размещены изображения профилей двух администраторов сайта, Baphomet и ShinyHunters, находящихся за тюремной решёткой.

► Показать

ФБР также наложило арест на Telegram-канал сайта и другие каналы, принадлежащие Baphomet. Также сообщается об его аресте, что подтверждается тем, что некоторые сообщения правоохранительных органов поступали с его аккаунта.

В специальном поддомене на портале IC3 ФБР указано, что расследование ведётся по хакерским форумам BreachForums и Raidforums. «С июня 2023 года по май 2024 года BreachForums, управляемый ShinyHunters, работал как открытая рыночная площадка, где киберпреступники могли покупать, продавать и обменивать контрабанду, в том числе украденные устройства доступа, средства идентификации, инструменты взлома, взломанные базы данных и другие незаконные услуги», — сообщило ФБР.

Агентство отметило, что ранее, с марта 2022 года по март 2023 года отдельная команда BreachForums управляла аналогичным хакерским форумом, который был закрыт, а его создатель арестован и приговорён в январе этого года к тюремному заключению сроком на 20 лет.

Предшественник обеих версий BreachForums — хакерский форум Raidforums — работал с начала 2015 года по февраль 2022 года.

[vladimir1949]

Вирусы стали чаще маскироваться под Android-версии Minecraft, Roblox и GTA
27.05.2024 [13:02]

По данным «Лаборатории Касперского», количество атак на пользователей Android-устройств в России с использованием вредоносного программного обеспечения, замаскированного под игры Minecraft, Roblox, GTA и Angry Birds, увеличилось более чем вдвое в первом квартале 2024 года в сравнении с показателем за первые три месяца 2023 года. К такому заключению эксперты пришли после анализа количества срабатываний мобильного антивируса компании для платформы Android.

В компании уточнили, что в первом квартале количество заблокированных атак на Android исчисляется десятками тысяч. Злоумышленники активно используют названия популярных игр в качестве приманки при проведении атак на пользователей мобильных устройств. Вредоносное ПО встречается в модах для популярных игр, а также в приложениях, которые маскируются под игры и не содержат в себе никаких функций, кроме вредоносных.

► Показать

Руководитель компании EvApps Родион Труфанов добавил, что в Google Play по каждому из упомянутых названий игр поиск выдаёт до 10 приложений с очевидными признаками вредоносного ПО. К примеру, в случае с Minecraft речь идёт о поддельных модах и чит-кодах, а в случае с Roblox вредоносное ПО выдают за дополнения, предлагающие нелегитимные функции.

Значительная часть фальшивых приложений маскируется под GTA, а для привлечения внимания пользователям обещают доступ к полным версиям игр или модам. Упоминается наличие в Google Play подозрительных приложений, которые являются генераторами валюты и модами для Brawl Stars. Ещё вредоносное ПО продвигают под видом модов для Angry Birds.

Сооснователь студии Vengeance Games Константин Сахнов связывает рост числа фишинговых и вирусных атак через игры для Android с тем, что рынок игр в России становится серым. «Растёт доля установок не через официальные магазины, а через скачивание apk в сети. К сожалению, это неизбежная проблема в условиях ограничений, которые введены в адрес российских пользователей», — считает господин Сахнов.

При этом на устройствах с iOS, в силу особенности платформы, вредоносное ПО, маскирующееся под игры, не получило широкого распространения. В «Лаборатории Касперского» отметили, что пользователи Android более подвержены атакам злоумышленников по сравнению с пользователями iOS. Однако и в App Store встречались, например, скам-приложения, которые позиционировались в том числе, как обучающие инвестиционные игры.

[vladimir1949]

Хакеры взломали билетного оператора Ticketmaster и теперь продают данные 560 млн клиентов
30.05.2024 [11:30]

Хакерская группировка ShinyHunters выставила на продажу базу клиентов американского сервиса по продаже билетов Ticketmaster. Её объём составляет 560 млн записей, в том числе имена, адреса и частичные платёжные реквизиты. Сама Ticketmaster до сих пор не подтвердила факта взлома своих систем.

Обычно сведения об утечках данных поступают только после того, как об этом сообщает сама пострадавшая компания. В данном случае впервые об инциденте сообщил специализирующийся на кибербезопасности ресурс Hackread, авторы которого обнаружили базу Ticketmaster на вновь открывшейся хакерской площадке BreachForums. МВД Австралии также сообщило, что «сотрудничает с Ticketmaster, чтобы разобраться в инциденте», и это косвенно подтверждает факт взлома, несмотря на молчание самой компании. Объём базы данных, по словам ShinyHunters, составляет 1,3 Тбайт, и она содержит персональные данные 560 млн клиентов оператора. Хакеры продают её за $500 тыс.

► Показать

ShinyHunters утверждают, что пытались продать похищенные данные Ticketmaster, прежде чем выставить их на продажу на BreachForums. Администрация платформы, видимо, не отреагировала на попытку вымогательства, и пока трудно сказать, ищет ли группировка нового покупателя или оказывает давление на жертву. Не исключено, что ShinyHunters пытаются заработать очки репутации: две недели назад ФБР закрыла частично подконтрольную группировке площадку BreachForums, которая теперь возродилась с базой клиентов крупного оператора.

В пользу этой гипотезы говорит и тот факт, что хакеры выбрали в качестве жертвы одиозную службу Ticketmaster: среди поклонников певицы Тейлор Свифт (Taylor Swift) и многих других любителей концертов в США к ней сформировалось явно негативное отношение, а Минюст подал против владеющей Ticketmaster компании Live Nation Entertainment антимонопольный иск. Пользователям платформы рекомендовано сменить пароли от учётных записей и проверить, нет ли в них сохранённых данных банковских карт — если да, то лучше эти карты заменить.

[vladimir1949]

США нейтрализовали гигантский ботнет 911 S5 — в нём было 19 млн IP-адресов
30.05.2024 [15:46]

Минюст США доложил о ликвидированном при поддержке правоохранительных органов других стран крупном ботнете 911 S5 и аресте его администратора ЮньХэ Вана (YunHe Wang). В сети взломанных устройств насчитывались 19 млн уникальных IP-адресов.

Ботнет 911 S5 предположительно использовался для совершения кибератак, крупномасштабных мошеннических действий, служил инструментом эксплуатации детей, притеснений, угроз взрывов и нарушения экспортных ограничений. Он представлял собой сеть из заражённых домашних компьютеров под управлением Windows по всему миру. Ботнет включал 19 млн уникальных IP-адресов, в том числе 613 841 адрес в США. IP-адрес не всегда указывает на конкретный компьютер — он может быть общим для нескольких машин в сети, но этот показатель указывает на масштабы ботнета.

► Показать

Гражданин Китая Ван также получил по инвестиционной программе гражданство островного государства Сент-Китс и Невис. По версии правоохранителей, он распространял вредоносное ПО, использованное для создания ботнета 911 S5 через клиенты VPN-сервисов MaskVPN и DewVPN, а также других служб. Кроме того, он встраивал вирусы в установочные файлы пиратских программ и материалов, защищённых авторским правом. Ван контролировал примерно 150 выделенных серверов по всему миру, 76 из которых он арендовал у американских поставщиков услуг. Используя выделенные серверы, он развёртывал приложения и управлял ими, контролируя заражённые системы, а также предоставлял клиентам доступ к ним как к прокси-серверам.

Американские власти сообщили об уничтожении ботнета 911 S5 через две недели после того, как отрапортовали о закрытии хакерского ресурса BreachForums. Последний вернулся, и на нём выставили на продажу базу с персональными данными 560 млн клиентов билетного оператора Ticketmaster. Ликвидированные правоохранительными органами ботнеты, как и хакерские форумы, иногда возобновляют работу.

[vladimir1949]

По магазину Google Play разгуливает троян Anatsa, замаскированный под полезные приложения
30.05.2024 [14:26]

Десятки приложений в Google Play были заражены трояном Anatsa, также известным как TeaBot, который похищает конфиденциальные данные пользователей, включая банковскую информацию. Количество вредоносного ПО в магазине приложений для Android достигает критической отметки.

Эксперты по кибербезопасности бьют тревогу: магазин приложений Google Play заполонили десятки вредоносных программ, которые уже успели заразить миллионы устройств пользователей. Согласно исследованию, проведенному компанией Zscaler, специализирующейся на технологиях защиты, злоумышленники активно используют Google Play для распространения трояна Anatsa. Троян маскируется под обычные (полезные) приложения, например файловые менеджеры, программы для сканирования QR-кодов, переводчики.

► Показать

Как сообщает издание Extremetech, после установки таких программ на устройство, Anatsa незаметно для пользователя загружает вредоносный код или дополнительные компоненты с удаленных серверов злоумышленников. Это может выглядеть как обычное обновление приложения. Затем троян запрашивает разрешение на использование различных функций устройства, а далее сканирует его на наличие в нём приложений финансовых организаций и сервисов — банков, платежных систем. Если такие приложения обнаружены, Anatsa подменяет их интерфейс фальшивыми страницами входа, чтобы завладеть учетными данными.

Исследователи обнаружили десятки подобных вредоносных программ в Google Play, каждая из которых была загружена в среднем 70 000 раз. Хотя Anatsa сейчас является самой быстрорастущей угрозой, на его долю приходится только 2,1 % атак, более 50 % составляют трояны Joker и Facestealer, которые больше нацелены на похищение учетных данных социальных сетей, SMS-сообщений и другой различной информации.

Все эти вирусы чаще всего маскируются под полезные приложения для работы с QR-кодами, PDF-файлами, а также под программы для обработки фотографий и персонализации устройств. Использование Google Play для распространения вредоносного ПО оказалось для киберпреступников эффективной стратегией, ведь многие пользователи ассоциируют популярность приложения с его надежностью и безопасностью, и поэтому охотнее скачивают программы, которые уже имеют солидное количество установок. Злоумышленники рекламируют свои «полезные» приложения, увеличивая рейтинг их установок, что приводит к ещё большему заражению устройств и получению доступа к конфиденциальным данным огромного числа людей по всему миру.