Загрузка...

Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 12.04.2016, 10:46   #1021
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума

IT-безопасность-свежие новости.


Вредоснос подменяет настройки DNS на домашних роутерах через мобильные устройства

Эксперты компании Trend Micro обнаружили JavaScript-малварь JS_JITON, которая атакует домашние роутеры весьма экзотичным способом. В первую очередь вредонос нацелен на мобильные устройства, поражая которые, он добирается до настроек роутеров, а затем подменяет настройки DNS.

Впервые JS_JITON был замечен еще в декабре 2015 года, но вредоносная кампания достигла своего пика в феврале 2016 года: тогда наблюдалось порядка 1500 заражений в сутки.

По сообщению специалистов Trend Micro, принцип работы JS_JITON весьма прост. Злоумышленники заражают веб-страницы вредоносным кодом, а затем ждут, когда их посетит жертва, использующая мобильное устройство. Как только пользователь переходит на вредоносную страницу, малварь выполняется в браузере.

Проникнув на устройство, вредонос тут же начинает пытаться установить соединение с роутером жертвы. Для этого он перебирает различные комбинации логинов и паролей, которые может иметь учетная запись администратора. В коде JS_JITON содержатся более 1400 распространенных комбинаций. Если брутфорс удался, зловред подменяет настройки DNS собственными.

Аналитики Trend Micro полагают, что разработка JS_JITON еще не завершена, и авторы малвари продолжают экспериментировать с различными векторами атак и заражений. Так, вредоносный скрипт постоянно обновляется, и в коде вредоноса был обнаружен кусок, ответственный за исполнение вредоносного кода на обычных компьютерах, а также кейлоггер.

JS_JITON может атаковать роутеры D-Link и TP-Link, а также оснащается эксплоитом для уязвимости CVE-2014-2321, которая была обнаружена в устройствах ZTE.
Нажмите чтобы раскрыть спойлер

Малварь распространяется через скомпрометированные сайты в России и странах Азии. География атак JS_JITON при этом весьма обширна: больше всего пострадали пользователи Тайваня (27,41%), Японии (19,75%), Китая (12,56%), Великобритании (8,18%) и Франции (4,52%). Также среди пострадавших стран числятся Канада, Австралия, Корея, Голландия и другие.

Источник
__________________
  Ответить с цитированием
Загрузка...
Re: IT-безопасность-свежие новости.
Старый 14.04.2016, 11:46   #1022
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

«Привет, я хочу сыграть с тобой в игру»: новый вымогатель

Стало известно об атаках нового вымогателя, получившего название Jigsaw – «Пила», в честь главного злодея из одноименного слэшера. От прочих он отличается тем, что не только шифрует файлы на компьютере с целью выкупа, но и действительно удаляет их, если пользователь вовремя не заплатит требуемую сумму в биткоинах. Кроме того, файлы автоматически удаляются каждый раз при перезагрузке – сразу тысяча файлов одним махом. Это первый раз, когда зловред-вымогатель не только угрожает, но и выполняет свои угрозы – а это может весьма эффективно «мотивировать» жертву заплатить выкуп поскорее.


При заражении на экране появляется знаменитая маска Пилы с текстом следующего содержания: «Файлы на твоем компьютере зашифрованы. <…> Но не волнуйся, я их не удалил… пока. У тебя есть 24 часа на то, чтобы заплатить 150 долларов биткоинами, и тогда ты получишь ключ. Каждый час я буду удалять файлы, чем дальше – тем больше за раз. По истечении 72 часов все файлы будут удалены <…> Не делай глупостей: я предусмотрел необходимые меры на этот случай». Также вымогатель дает рекомендации, на какой бирже приобретать биткоины, и обещает, что при получении выкупа ключ будет отправлен в течение двух минут. Исследователи пока не знают, каким образом распространяется зловред. Jigsaw сначала сканирует систему в поисках подходящих форматов, а затем применяет AES-шифрование; к файлам добавляется расширение .FUN, .KKK или .BTC. Список зашифрованных файлов сохраняется в текстовый файл, как и адрес биткоин-кошелька. Затем зловред прописывает в системе файл автозапуска, который исполняется всякий раз, когда пользователь загружает систему. Если пользователь решил заплатить выкуп, после оплаты ему нужно нажать кнопку «Проверить статус платежа». Программа обращается к кошельку и, если количество биткоинов в нем больше, чем сумма платежа, файлы автоматически расшифровываются. Однако есть и хорошие новости: хакеры из MalwareHunterTeam совместно с независимыми исследователями Майклом Джиллеспи (Michael Gillespie) и Лоуренсом Адамсом (Laurence Adams) проанализировали зловреда и нашли способ расшифровать файлы без выплаты выкупа. Сначала нужно принудительно завершить процессы firefox.exe и drpbx.exe в Диспетчере задач, чтобы остановить удаление файлов. Запустив MSConfig, нужно отключить автозапуск файла firefox.exe, указывающего на исполняемый файл %UserProfile%\AppData\Roaming\Frfx\firefox.exe. Теперь можно приступать к расшифровке файлов посредством разработанного командой дешифровщика, который можно скачать с сайта Bleeping Computer. При его исполнении возникает простое диалоговое окно, и все, что нужно сделать – это выбрать директорию или весь диск и нажать «Расшифровать мои файлы». Создатели инструмента просят пользователей не удалять зашифрованные файлы до того, как все необходимые данные вернутся в первоначальный вид. При успешном завершении процесса пользователи увидят новое окно с подтверждением, что файлы расшифрованы. Затем остается только запустить антивирусную проверку и попробовать избавиться от Jigsaw.

ИБ-исследователи сработали весьма быстро: по признанию участников, они провели за анализом несколько часов и смогли оперативно создать и протестировать дешифратор. Представители MalwareHunterTeam иронизируют, что похоже, основной целью создателей шифровальщика была игра с жертвой, а не деньги.

Подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 15.04.2016, 10:40   #1023
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Евгений Касперский рассказал, как хакеры помогают воровать топливо и уголь

В ходе своего выступления на конференции Cloud Expo Europe Евгений Касперский высказался о проблеме всё учащающихся атак на SCADA-системы и о том, как эволюционирует киберкриминал в целом.

Автоматизированные системы управления производствами всё чаще становятся мишенями хакеров. Порой это тщательно спланированные, исполненные профессионалами акции, как в случае с атакой на «Прикарпатьеоблэнерго» в декабре 2015 года. Но порой хакеры добираются до SCADA-систем почти случайно, как недавно произошло с одной американской водоочистной компанией.

Евгений Касперский рассказал, что атаки на SCADA-системы действительно сейчас на подъеме. Причем киберпреступники применяют свои знания для самых разных атак, к примеру, помогают воровать горючее. С увеличением температуры плотность нефтей и нефтепродуктов уменьшается, а объем возрастает, а при уменьшении температуры – наоборот. Таким образом, взлом систем контроля температуры может помочь уместить в один танкер больше горючего, чем предусмотрено.

«Во время заполнения этого огромного резервуара, они взламывают SCADA-системы, снижают температуру, чтобы в резервуар вошло больше топлива, чем нужно», — пояснил Касперский. В результате под конец дня в каждой цистерне остается два-три лишних процента.

Аналогичные трюки применяются для хищений угля и других ресурсов. По словам Касперского, для этого хакеры взламывают системы, контролирующие загрузку вагонов и вес перевозимых грузов. «Обычные преступления становятся всё более умными и компьютеризированными», —добавил глава «Лаборатории Касперского».

Так как киберпреступники всё отчетливее демонстрируют миру незащищенность и ненадежность SCADA-систем, Касперский опасается, что интерес к данной области могут также проявить террористы.

«Обычные преступники нанимают киберпреступников, хакеров, чтобы те атаковали определенные системы. Боюсь, это лишь вопрос времени, когда террористы станут нанимать компьютерных гиков для атак на критические инфраструктуры. И боюсь, что в киберпространстве найдутся люди, которые ради денег пойдут на всё», — заявил Касперский.

Также глава «Лаборатории Касперского» отметил, что в последнее время русскоязычные хакерские группы заметно эволюционировали, почти достигнув уровня, на котором оперируют профессиональные хакеры различных правительств. В качестве примера, он рассказал о том, как три разрозненные группы хакеров объединили усилия для атаки на неназванный банк: первая группа занималась непосредственно взломом банковской сети и, добившись успеха, предоставила доступ к сети банка второй группе. Те, в свою очередь, похитили деньги, а после этого третья группировка уже занялась обналичиванием украденных средств.

«Они работают как настоящие компании – у них есть свой менеджмент, есть инженеры, есть адвокаты, ведь у них достаточно денег для оплаты услуг самых лучших адвокатов», – подытожил Касперский.

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 15.04.2016, 11:10   #1024
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Эволюция вымогателей: крипточерви

Исследователи из проекта Cisco Talos предсказывают, что в будущем вымогатели будут так же мощны и опасны, как известные в прошлом программы-черви, например, Conficker и SQL Slammer. Новый зловред SamSam – предшественник следующего поколения более вредоносных, навязчивых и эффективных в атаках вымогателей.

«Вирусописатели, специализирующиеся на вымогателях, стремятся добиться более высоких выплат и расширить свой охват, – подчеркнул Джо Маршалл (Joe Marshall), менеджер Cisco Talos по исследованиям безопасности. – Мы считаем, что создатели вымогательского ПО будут использовать опыт наиболее результативных вредоносных компаний, чтобы добиться более широкого распространения зловредов».

Маршалл считает, что сегодняшние создатели криптоблокеров начали отходить от стратегии «ковровой бомбардировки», согласно которой загрузчики доставляются сразу большому количеству жертв через массированные фишинговые рассылки или эксплойт-паки. Близится эра самораспространяющихся вымогателей – «крипточервей».

«Крипточерви – смесь старого и нового в вирусописательстве. Они позаимствовали способность к самораспространению у червей и других вирусов прошлого, но при этом используют некоторые возможности новых зловредов – например, прощупывают корпоративные сети, чтобы найти наиболее уязвимую жертву», – заявил Маршалл, также один из авторов отчета Cisco Talos «Программы-вымогатели: прошлое, настоящее, будущее», опубликованного во вторник.

Маршалл сказал, что вымогатели следующего поколения задействуют проверенные годами вредоносные техники заражения (которые использовали в свое время известные черви вроде Conficker и SQL Slammer) и методы внедрения, характерные для угроз сегодняшнего дня. В 2008 году Conficker был звездой среди зловредов. Он заразил миллионы домашних и корпоративных компьютеров в 190 странах и благодаря постоянным модификациям на протяжении нескольких лет оставался весьма серьезной угрозой. SQL Slammer появился еще в 2003 году и был настолько вредоносен, что однажды из-за него в нескольких странах на день заметно снизилась скорости передачи данных в Интернете. Этот зловред заражал компьютеры со скоростью звука. «Нам стоит ожидать «ремейки» старых зловредов, – уверен Крейг Уильямс, старший инженер Cisco Talos. – Многие думают, что для повышения эффективности вымогатели следующего поколения должны использовать новые уязвимости сети. Но это не так: можно взять любую готовую брешь и использовать ее при разработке червя».

По мнению экспертов Cisco Talos, SamSam, который был впервые замечен аналитиками в прошлом месяце, проникает через незапатченные уязвимости в серверах, распространяет вредоносный код и передвигается по всей скомпрометированной сети. Стоит прояснить, что SamSam не так уж самодостаточен. «Он демонстрирует некоторые признаки хорошего червя – быстрое распространение, загрузку вредоносных компонентов (программы-вымогателя) и противодействие восстановлению работы зараженного компьютера», – говорится в отчете. Исследователи Cisco Talos считают, что вымогатели будущего могут использовать ядро SamSam. Новые версии будут отличаться большей степенью автономности и будут целенаправленно штурмовать уязвимости в корпоративных сетях. В ходе атаки, вероятно, такие зловреды будут нацеливаться на незащищенные исполняемые файлы, искать в сети подключаемые внешние устройства, чтобы стараться использовать меньше системных ресурсов, не будить подозрений и оставаться незамеченными как можно дольше. Сейчас вектором атаки, используемым SamSam, являются уязвимости в серверах JBoss и Java, подчеркнул Маршалл. «А о том, какой вектор атаки он будет использовать потом, догадываются все», – сказал он. В Cisco Talos прогнозируют, что этот тип крипточервей может распространиться довольно широко и быстро. Одна успешная кампания может значительно «взвинтить» цены на ключи дешифровки. Сейчас разработчики вымогателей требуют выкуп в размере от 0,5 ($220) до 1 ($420) биткоина за один ключ. В будущем этот «ценник» может серьезно вырасти, подчеркнул Уильямс. Единственным способом противостоять таким атакам для компаний является своевременное резервное копирование всех данных и налаженный протокол восстановления в таких случаях.

«Ахиллесова пята всей крипточервей – надежный бэкап, который позволит избежать уплаты выкупа», – считает Уильямс.

Предупрежден – значит вооружен. В Cisco Talos рекомендуют усилить оборону на периметре сети и хорошо защитить публичные ресурсы. «Слишком долго компании вдохновенно говорили о важности использования надежных систем и практик безопасности на публике, хотя на самом деле игнорировали эти вопросы, – сокрушаются исследователи. – Если компании не начнут строить безопасные архитектуры, завтра им, возможно, придется платить большой выкуп за ценные данные».

Источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 18.04.2016, 18:06   #1025
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Короткие ссылки – большая проблема для облачных сервисов

Сервис сокращения URL – безусловно, удобство, однако он давно не дает покоя специалистам, занимающимся обеспечением интернет-безопасности, так как на практике трудно определить, куда ведет та или иная короткая ссылка. Новое исследование еще раз напомнило о рисках, связанных с использованием служб сокращения ссылок, в особенности в тех случаях, когда речь идет о хранении данных или обмене ими в облаке.

Результаты исследования представлены в аналитической статье Gone in Six Seconds: Short URLs Considered Harmful for Cloud Services («Слив за шесть секунд: короткие ссылки вредны для облачных сервисов»), опубликованной на прошлой неделе. Ее авторы независимый исследователь Мартин Георгиев (Martin Georgiev) и преподаватель Корнелльского университета Виталий Шматиков обращают внимание читателей на слабости служб сокращения ссылок, в частности, ✯✯✯✯✯✯✯ и goo.gl, с помощью которых можно отыскать приватные документы на Microsoft OneDrive или получить информацию о местонахождении пользователя через Google Maps.

При генерации коротких ссылок длинный URL сокращается до доменного имени и токена размером в 5-6 символов – к примеру, 1drv.ms.xxxxxx. «Эти токены столь коротки, что всю выборку URL можно просканировать брутфорсом, – поясняет Шматиков в блоге Freedom to Tinker. – Исходный, длинный URL, таким образом, можно эффективно раскрыть, было бы немного терпения и пара подручных машин».

Исследование заняло полтора года и ограничилось OneDrive и Google Maps – двумя веб-сервисами, использующими сокращенные ссылки. В своей блог-записи Шматиков отметил, что при наличии адекватных ресурсов можно просканировать все пространство коротких URL.

«Пользователи, генерирующие короткие ссылки для своих онлайн-документов и карт, полагают, что в этом случае URL надежны, так как ‘выглядят, как произвольные’ и недоступны широким массам, – пишут авторы исследования. – Наш анализ и эксперименты показали, что оба эти условия не составляют преграды противнику, задумавшему автоматизировать выявление истинных URL совместно используемых облачных ресурсов. Все ресурсы, расшаренные с помощью короткой ссылки, на самом деле становятся публичными и доступны любому пользователю в глобальной сети».

Веб-сервис OneDrive использует для сокращения ссылок ✯✯✯✯✯✯✯. Воспользовавшись соответствующими API, исследователи просканировали свыше 100 млн. ✯✯✯✯✯✯✯-ссылок, содержащих произвольные 6-значные токены, и обнаружили, что 42% этих ссылок преобразуются в реальный URL. Таким образом, на OneDrive можно отыскать около 20 тыс. файлов и папок.

Проблему в данном случае усугубляет предсказуемость структуры URL. «На основании ссылки на один из совместно используемых документов («зерно») можно создать корневой URL и просмотреть аккаунт автоматизированными средствами для выявления всех файлов и папок, расшаренных таким же образом, как и документ-зерно, или даже иначе», – комментирует Шматиков.

Сканирование в рамках исследования обнаружило на OneDrive тысячи уязвимых папок с правом на запись. «Поскольку хранимые в облаке файлы автоматически копируются на ПК и другие устройства пользователя, это готовый вектор для масштабных, автоматизированных вредоносных инъекций», – заключают исследователи.

В случае с Google Maps им удалось обнаружить около 24 млн. активных ссылок; 10% из них были привязаны к картам с указанием автомобильных маршрутов. Если, к примеру, известен пункт назначения, в публичном доступе может оказаться большое количество личной, закрытой информации. «Для многих индивидуальных пользователей это грозит раскрытием места жительства, истинного лица и визитов, тщательно скрываемых от широких масс по медицинским показаниям или финансовым соображениям», – предупреждают Георгиев и Шматиков.

О своих находках исследователи доложили в Microsoft и Google. Последняя увеличила размер токена в ссылках goo.gl до 11-12 знаков и приняла меры для ограничения сканирования существующих URL. Компания Microsoft два месяца переписывалась с авторами исследовательской работы, а в конце августа сообщила им, что не видит оснований для внутреннего расследования.

В марте OneDrive уже не предлагал опцию коротких ссылок. «После того, как мы вновь обратились в Microsoft, вендор заявил, что эти изменения никак не связаны с нашим отчетом, и еще раз подтвердил, что не считает обнаруженные проблемы уязвимостью, – сетует Шматиков. – По состоянию на момент публикации этой записи все ранее сгенерированные ссылки OneDrive остаются уязвимыми к сканированию и внедрению вредоносного кода».

источник
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 19.04.2016, 09:04   #1026
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Пора взломать всю планету

Сегодня мы отмечаем важную веху в довольно монотонном мире исследования уязвимостей. Работа над стандартом ISO с несколько эмоционально окрашенным названием «Ответственное раскрытие информации об уязвимостях» («Responsible Vulnerability Disclosure») началась 11 лет назад; итоговый вариант был опубликован в начале 2014 под кодом ISO/IEC 29147. Сегодня его можно скачать бесплатно.

Одна из основных претензий к стандарту ISO заключалась в том, что все компании, желающие ему соответствовать, должны были платить за это. В сущности, недоступность стандарта широкой публике стала причиной того, что Министерство торговли США наладило многосторонний процесс под эгидой Национального управления США по телекоммуникациям и информационным технологиям (NTIA) с целью стимулировать совместные усилия ИБ-исследователей и организаций в раскрытии уязвимостей.

Теперь же компании впервые могут соответствовать международно признанным рекомендациями (пусть и в форме стандарта ISO) при работе со сторонними отчетами об уязвимостях. Таким образом, существуют общие правила о том, как принимать отчеты от людей и организаций, как распространять информацию об уязвимости и ее масштабах, как минимизировать ущерб и закрыть брешь. Так как 94% компаний из списка Forbes Global 2000 не имеют налаженного механизма приема отчетов об уязимостях, наличие бесплатного стандарта ISO невероятно важно для повышения осведомленности в сфере информационной безопасности и внедрения одной из самых важных ИБ-практик для любой организации, коммерческой или правительственной. В последние годы растущее количество компаний оценило результат работы с хакерским сообществом: это видно по большому числу программ bug bounty, в рамках которых хакеры получают вознаграждение за обнаружение уязвимостей. От первых выплат, организованных Netscape в середине 90-х, до запуска нескольких программ Google в 2010 году, от первых bug bounty в Microsoft, которые я помогла учредить в 2013 году, до сотен аналогичных инициатив, количество которых растет невероятными темпами, мировое хакерское сообщество имеет больше возможностей быть вознагражденным за свой ценный труд. Преимущества таких отношений, выгодных как для компаний, так и для хакеров, были по достоинству оценены организациями, работающими в других сферах и не имеющими прямого отношения к технологиям. Будь то автомобили или игрушки, хакеры зарабатывают себе имя и состояние, выявляя опасные бреши и помогая вендорам закрывать их. Производители медицинских устройств получили новые директивы от Управления США по санитарному надзору за качеством продуктов питания и медикаментов, согласно которым они должны внедрить механизм обмена информацией об уязвимостях с хакерами. Сегодня началась пробная 20-дневная программа Hack the Pentagon, учрежденная правительством США; это служит очередным доказательством важной роли хакеров в глобальном масштабе. Мы живем в интересную эпоху: наша зависимость от технологий усиливается такими темпами, что средства обеспечения безопасности не всегда могут поспеть за ними. Но именно теперь у нас есть возможность взаимодействовать с международным ИБ-сообществом, члены которого имеют необходимые навыки и желание применить их во имя добра. Давайте дадим организациям, не имеющим опыта работы с хакерами, немного времени, чтобы оценить свои возможности и потребности. Теперь они могут сослаться на стандарт ISO, который можно скачать бесплатно. Давайте упростим процесс поиска уязвимостей для ИБ-исследователей, стремящихся помочь, и прекратим преследовать хакеров, когда они стараются стимулировать выпуск патчей. Давайте будем вознаграждать хакеров за добрые дела, когда есть возможность.

Пора взломать всю планету, чтобы обезопасить ее от угроз.

Подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 21.04.2016, 08:10   #1027
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Новый вымогатель CryptXXX не только шифрует файлы, но также ворует биткоины и пароли

Специалисты компании Proofpoint обнаружили нового криптовымогателя — CryptXXX. Впервые малварь была замечена в марте текущего года, ее распространял эксплоит кит Angler. Помимо обычных функций шифровальщика, CryptXXX похищает личную информацию своих жертв, их пароли, а также умеет воровать биткоины.

Вымогателя CryptXXX начал распространять известный эксплоит кит Angler. Если точнее: Angler заражал компьютеры жертв вредоносом Bedep, а тот, в свою очередь, обладает функцией скачивания дополнительной малвари. Попав в систему, Bedep скачивал на компьютер жертвы CryptXXX. Исполнение вредоносных DLL-файлов шифровальщика при этом происходит не сразу, эксперты пишут, что малварь начинает работать после рендомной задержки (к примеру, исследователи Proofpoint наблюдали задержку в 62 минуты).

После активации CryptXXX ведет себя стандартно для шифровальщика. Вымогатель шифрует данные, изменяя расширения файлов на .crypt и оставляет жертве послание с требованием выкупа в файлах de_crypt_readme.txt и de_crypt_readme.html. Также зловред подменяет аналогичным сообщением обои на рабочем столе пострадавшего. Как правило, вымогатель требует 1,2 биткоина, то есть около 34 000 рублей по текущему курсу.

Вредонос Bedep, как правило, поставляется с дополнительным компонентом для кражи данных, и, как оказалось, CryptXXX пошел по его стопам. Исследователи Proofpoint обнаружили, что шифровальщик также способен собирать информацию и учетные данные из мессенджеров, почтовых клиентов, FTP-клиентов и браузеров своих жертв. Более того, аналитики пишут, что малварь может «воровать биткоины», но не уточняют, каким образом CryptXXX это делает.

В конце своего отчета исследователи отмечают, что обнаружили подозрительное сходство между CryptXXX и старым вымогателем Reveton. Оба зловреда написаны на Delphi, оба используют отложенный старт, оба называют DLL-файлы сходным образом, а также используют кастомный протокол для работы с управляющими серверами через TCP 443. Кроме того, CryptXXX и Reveton не просто шифруют данные, но и похищают личную информацию и финансы жертв.

Специалисты Proofpoint полагают, что CryptXXX могла создать та же группа, которая стоит за разработкой самого эксплоит кита Angler, малари Bedep и вымогателя Reveton. Эксперты проводят аналогию с появлением шифровальщика Locky, который возник буквально из ниоткуда в 2015 году и за считанные недели стал одной из наиболее опасных угроз. Locky смог добиться результатов так быстро, в силу того, что он работает на базе инфраструктуры известного банковского трояна Dridex. Вероятно, авторы CryptXXX пытаются повторить эту «историю успеха», опираясь на Bedep, Angler и Reveton. CryptXXX уже распространяется быстрее среднестатистического шифровальщика, а сайт злоумышленников, через который жертвы должны оплачивать выкуп, переведен на одиннадцать языков, то есть планы операторов малвари весьма масштабны.

Подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 21.04.2016, 13:29   #1028
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Эксплоит кит Angler маскируется под кнопки социальных сетей

Исследователи компании Malwarebytes заметили, что эксплоит кит Angler научился новому трюку. Когда малварь заражает сайты, работающие под управлением WordPress и Joomla, она маскируется под плагин с кнопками социальных сетей, чтобы не вызывать подозрений у администратора сайта.

Так как вредоноса, просочившегося на сайт, не заметит только самый ленивый админ, авторам Angler приходится придумывать новые методы усыпления бдительности жертв. Эксплоит кит Angler часто заражает сайты, работающие на базе популярных CMS, что совсем неудивительно – в их случае куда проще найти незакрытую уязвимость или «дырявый» плагин. Однако основная задача злоумышленников – задержаться в системе, чтобы малварь успела заразить как можно больше посетителей скомпрометированного ресурса.

Получив доступ к сайту жертвы, эксплоит кит добавляет на страницы ресурса вредоносный JavaScript, и выглядит это примерно как http://social-button.site/analytics.js (см. иллюстрацию ниже).

Если администратор сайта заметит что-то подозрительное, доменное имя, используемое атакующими, может обмануть его, заставив думать, что эти файлы относятся к обычному плагину для социальных сетей. Аналитики Malwarebytes обнаружили два файла: analytics.js и widget.js. Для каждого есть как безобидная, так и вредоносная версия. Дело в том, что если изучить непосредственно сам код JavaScript, окажется, что он совершенно безвреден, никакой малвари там нет. Без нужного реферера (скомпрометированного сайта) файл не будет подменен вредоносной версией.

Исследователи пишут, что в их случае эксплоит кит распространял малварь Bedep, но, как известно, при помощи Angler поставляется не только этот вредонос.

Все сайты, зараженные в ходе этой кампании, либо работали с устаревшими версиями ПО, либо были взломаны посредством обыкновенного брутфорса. Эксперты Malwarebytes напоминают, что обновлять софт нужно вовремя, а также стоит озаботиться надежным паролем.

подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 23.04.2016, 08:47   #1029
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Апрельские патчи от Oracle: закрыто 136 брешей

В минувший вторник Oracle выпустила очередной набор патчей, устраняющий 136 уязвимостей в 46 разных продуктах. Более половины этих брешей допускают удаленный эксплойт без аутентификации.

Пропатчено множество продуктов, в том числе Database Server, E-Business Suite, Fusion Middleware, линейка Sun Products, платформа Java SE и СУБД MySQL. Апрельский выпуск Oracle — уже второй в текущем году; по объему он вполне соответствует прочим квартальным наборам, хотя сильно уступает предыдущему: в январе Oracle установила рекорд, залатав сразу 248 брешей.

Семь из ныне закрываемых уязвимостей, присутствующих в Java SE, Java SE Embedded, JRockit, ОС Solaris и MySQL Server, оценены в 10,0 балла по прежней системе — CVSS v.2.0. Компания предупреждает, что все эти уязвимости допускают удаленный эксплойт без аутентификации, то есть злоумышленнику не требуются логин и пароль для проведения атаки.

Наибольшее количество заплаток получила MySQL — 31; четыре из них можно эксплуатировать удаленно. В Fusion Middleware исправлено 22 бага, из которых 21 допускает удаленный эксплойт.

В целях более точной оценки степени риска Oracle перешла на новейшую версию CVSS — 3.0, которую она планирует применять и в дальнейшем. В соответствии с новой системой индексации ни одна из ныне закрываемых уязвимостей не получила 10 баллов. Уязвимости в Solaris и MySQL по новой шкале получили оценку 9,8, в Java SE — 9,6 и 9,0.

По мнению некоторых ИБ-экспертов Oracle, переход на CVSS v.3.0, систему оценки уязвимостей, введенную в июне 2015 года после трех лет разработки, является прогрессивным шагом. Это отметил и Александр Поляков, технический директор калифорнийской компании ERPScan, помогающей организациям укреплять безопасность систем планирования бизнес-ресурсов (ERP) производства Oracle.

«Меня радуют изменения в системе оценки уязвимостей, так как прежняя, CVSS v.2.0, вызывала много нареканий, — заявил Поляков журналистам Threatpost. — Так, например, из-за несовершенства этой системы вендор может оценить (умышленно или невольно) проблемы в своих продуктах как не очень критические. После обновления система оценки стала более точной, многие недостатки, присущие прежней версии, были устранены».

Поляков также отметил, что в марте на CVSS v.3.0 переключился другой вендор ERP-продуктов — компания SAP.

Помимо апрельских патчей Oracle призывает пользователей непременно установить мартовскую, внеочередную заплатку для Java SE. В отличие от неполноценного патча, выпущенного в 2013 году, она полностью закрывает брешь, позволяющую удаленно исполнить код в обход песочницы.

Еще одна уязвимость примерно той же давности, в IBM-реализации Java SDK, пока остается открытой в версиях 7 и 8. Выпущенный IBM патч оказался несовершенным, и компания пообещала в скором времени исправить эту проблему.

Еще один продукт, безопасность которого давно вызывает множество нареканий, — браузерный Java-плагин — Oracle пообещала упразднить еще в январе. Согласно планам компании, этот плагин будет изъят из JDK в сентябре, из JRE — с выходом очередного релиза Java SE.

подробности
__________________
  Ответить с цитированием
Re: IT-безопасность-свежие новости.
Старый 26.04.2016, 08:11   #1030
# Куратор #
 
Аватар для VSpicin

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 7 967

VSpicin вне форума
По умолчанию Re: IT-безопасность-свежие новости.

Мошенники делают из WhatsApp-пользователей спамеров

Специалисты ESET предупреждают о новой киберпреступной кампании, жертвами которой становятся пользователи популярного мессенджера WhatsApp.

Мошенники предлагают подписчикам WhatsApp активировать функцию видеозвонков, которая была анонсирована в конце 2015 года, но пока не внедрена. По ссылке из спам-постов открывается сайт с инструкцией по активации видеозвонков на iOS, Android, Windows Phone и BlackBerry. После нажатия кнопки «Активировать видеозвонки сейчас» пользователю ставят условие: рекомендовать сайт десяти контактам или пяти группам в WhatsApp. Такую странную просьбу злоумышленники объясняют необходимостью проверки активности пользователя.

Порекомендовав спамерскую ссылку, жертва получает новые инструкции: теперь мошенники предлагают обновить программное обеспечение на устройстве. Однако под видом «новой версии WhatsApp» скрывается подписка на дорогостоящие SMS-сервисы.

Нужно отметить, что подписчики WhatsApp довольно часто становятся жертвами сетевых мошенников. Преступники пытаются обманным путём получить персональные данные пользователей мессенджера, завладеть информацией о банковских картах, похитить денежные средства и пр.

источник
__________________
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
iSpy (безопасность дома, офиса...) Igoranama Другие программы - free version 111 15.03.2017 13:12
Новости кино DolphinDаrk Кино, Видео и ТВ 265 13.11.2016 08:33
Anvide Flash Lock ( Безопасность / Защита данных ) masteroleg Другие программы - free version 1 17.09.2015 16:23
LockXLS - безопасность Microsoft Excel rekc Офисные программы 2 10.12.2013 12:32
Правила раздела "Безопасность системы" creator Правила раздела 0 18.01.2011 20:49


Часовой пояс GMT +3, время: 05:02.




Загрузка...
Яндекс.Метрика