Вернуться   Sat-madi.com.ua > Компьютеры,Программное обеспечение > Защита компьютера > Антивирусы

Рекламные ссылки:

Ответ
 
Опции темы
Старый 05.10.2019, 19:31   #951
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

США, Россия и Украина «производят» более половины всего мирового спама

Компания Data61+ представила результаты своего исследования вредоносной активности в глобальной сети в период с 2007 по 2017 годы. Оно опирается на анализ 51,6 миллиона отчетов о различных киберинцидентах и охватывает 662 тысячи уникальных IP-адресов. Ученые использовали технологии машинного обучения для анализа и каталогизации вредоносной активности. По словам Дали Каафара, ведущего исследователя Data61+, его команде удалось создать самую крупную общедоступную базу данных подобного рода.

Исследователи выделили шесть категорий вредоносной активности: распространение вредоносного ПО, фишинг, спам, мошеннические онлайн-сервисы, потенциально нежелательные программы и эксплойты. По каждой из них сделано немало интересных наблюдений. Например, выяснилось, что более 60 процентов всех спам-сообщений за период с 2007 по 2017 годы были разосланы из трех стран мира: США, России и Украины. Среди других наблюдений – констатация того факта, что резкий рост фишинговой активности начался в 2009 году и совпал с моментом массового распространения смартфонов. К 2017 году доля фишинга поднялась до 30% от всей вредоносной активности. В целом же эта активность стремительно растет: если в 2007 году за день фиксировалось лишь несколько сотен отчетов о киберинцидентах, то в 2017 году их количество увеличилась до одного миллиона.
vladimir59 вне форума   Ответить с цитированием
Рекламные ссылки:
Старый 06.10.2019, 13:58   #952
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

ФБР США: «платить вымогателям нельзя, но иногда все-таки можно»

Федеральное бюро расследований США опубликовало обновленную версию рекомендаций для компаний, подвергшихся атакам с использованием зловредов-шифровальщиков. Ранее в этих рекомендациях говорилось, что компаниям не следует идти на сотрудничество с вымогателями и рассматривать возможность уплаты выкупа за возвращение доступа к заблокированным данным. При этом, выступая на различных конференциях по кибербезопасности, высокопоставленные представители ФБР несколько раз все же допускали возможность уплаты выкупа в подобных ситуациях. Судя по всему, теперь эта позиция стала официальной. В новой редакции рекомендаций ФБР, в частности, говорится: «ФБР признает, что, столкнувшись с невозможностью продолжать ведение бизнеса [вследствие атак зловредов-шифровальщиков], руководителям следует рассмотреть все имеющиеся в их распоряжении варианты, чтобы наилучшим образом защитить интересы своих акционеров, сотрудников и клиентов».

Главных аргументов против уплаты выкупа два. Первый состоит в том, что, выплачивая деньги, жертвы тем самым подпитывают аппетиты киберпреступников, побуждая их к новым атакам. Второй же сводится к тому, что даже и после уплаты выкупа жертвы не всегда получают необходимый ключ для расшифровки данных, либо часть информации оказывается безнадежно поврежденной и не подлежит восстановлению. Вторая проблема, безусловно, крайне сложна. Компаниям, пострадавшим от атак, рекомендуется рассматривать сделку с вымогателями лишь как крайнюю меру, и идти на нее только под наблюдением специалистов по кибербезопасности, способных оценить, насколько вообще возможно восстановление данных и будет ли работать полученный ключ. А вот отношение к первому аргументу в последнее время изменилось – причем не только у правоохранителей, но и у экспертов по информационной безопасности. Они сходятся во мнении, что атаки шифровальщиков слишком прочно зарекомендовали себя как прибыльный киберкриминальный бизнес, и даже дружный отказ множества жертв от сотрудничества не заставит хакеров прекратить эти атаки.

Главный же посыл новых рекомендаций ФБР заключается в том, что компаниям, пострадавшим от атак, следует в любом случае уведомить об инциденте правоохранительные органы. Таким образом, новые рекомендации можно свести к простой фразе: «Платить, конечно, нельзя, но если нет другого выхода, то можно. Главное – расскажите нам, вам ничего за это не будет».
vladimir59 вне форума   Ответить с цитированием
Старый 06.10.2019, 17:23   #953
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Группировка Turla использует новое вредоносное ПО для перехвата TLS-трафика

Один из методов распространения вредоноса задействует ранее обнаруженный троян COMPfun.


Киберпреступная группировка Turla (также известна как Venomous Bear или Waterbug) распространяет новое вредоносное ПО, получивший название Reductor, для перехвата зашифрованного TLS-трафика и заражения целевой сети. По словам исследователей из «Лаборатории Касперского», между Reductor и ранее обнаруженным трояном COMPfun есть сходство, указывающее на общего создателя. Как считают эксперты, троян COMPfun, предположительно разработанный Turla, используется в качестве загрузчика.

Злоумышленники применяют два разных метода для распространения Reductor. В первом варианте они используют установщики зараженного программного обеспечения с встроенными 32- и 64-разрядными версиями Reductor. Данные установщики могут быть представлены такими популярными программами, как Internet Download Manager, WinRAR, пиратские сайты и пр.

Во втором сценарии цели уже заражены трояном COMpfun, который использует атрибут COM CLSID для достижения персистентности на системе. Получив доступ к адресной строке браузера, троян может выполнить команду на загрузку дополнительных модулей с C&C-сервера, в том числе дроппер/расшифровщик Reductor.

Вредонос добавляет цифровые сертификаты из своего раздела на целевой хост и предоставляет операторам возможность добавлять дополнительные сертификаты удаленно через именованный канал (named pipe). Авторы вредоноса разрывают TLS-рукопожатие без перехвата интернет-трафика. Вместо этого они анализируют исходный код браузеров Mozilla Firefox и бинарный код Google Chrome для исправления соответствующих функций генерации псевдослучайных чисел (ГПСЧ) в памяти процесса. Браузеры используют ГПСЧ для генерации «случайной клиентской» последовательности для сетевого пакета в самом начале TLS-рукопожатия. Reductor добавляет зашифрованные уникальные аппаратные и программные идентификаторы для жертв в поле «случайный клиент». Для исправления функций системы ГПСЧ разработчики использовали небольшой встроенный дизассемблер длины команд от Intel.





«Вредоносное ПО не выполняет MitM-атаку. Однако изначально мы полагали, что установленные сертификаты могут способствовать атакам MitM на TLS-трафик, и поле «случайный клиент» с уникальным идентификатором в рукопожатии будет идентифицировать интересующий трафик. Дальнейший анализ подтвердил наши догадки», — сообщают исследователи.

Согласно данным телеметрии, злоумышленники уже имели некоторый контроль над сетевым каналом жертвы, благодаря которому они заменяли вредоносный установщик легитимным.

«Все сообщения C&C-сервера обрабатываются в отдельном потоке. Редуктор отправляет HTTP POST-запросы с уникальным идентификатором оборудования цели, зашифрованный с помощью AES 128, скриптам /query.php на C&C-сервере, указанным в его конфигурации», — поясняют исследователи.

Вредоносная программа получает команды с C&C-сервера для выполнения различных операций, которые включают скачивание и загрузку файлов, поиск имени хоста, обновление установленного цифрового сертификата, создание нового процесса, удаление пути к файлу, проверку подключения к интернету и пр.

Именованный канал (named pipe) — один из методов межпроцессного взаимодействия, расширение понятия конвейера в Unix и подобных ОС. Именованный канал позволяет различным процессам обмениваться данными, даже если программы, выполняющиеся в этих процессах, изначально не были написаны для взаимодействия с другими программами.
vladimir59 вне форума   Ответить с цитированием
Старый 07.10.2019, 22:17   #954
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Исправлена уязвимость мессенджера Signal

Разработчики мессенджера Signal исправили опасную уязвимость Android-версии своего продукта. Signal является одним из первых защищенных мессенджеров и входит в число самых надежных в том, что касается обеспечения безопасности и конфиденциальности пользователей. Впервые использованные в нем алгоритмы шифрования были затем реализованы в таких популярных приложениях, как WhatsApp и Facebook Messenger. Тем не менее Signal не может считаться гарантированно лишенным изъянов.

Натали Силванович, исследователь Google Project Zero, обнаружила уязвимость, потенциально позволяющую задействовать Signal для слежки за пользователями. Для этого злоумышленнику, необходимо совершить голосовой вызов с помощью специально модифицированной версии клиента Signal и практически одновременно направить на вызываемое устройство сообщение, подтверждающее соединение. В этом случае соединение осуществляется раньше, чем адресат звонка может его услышать. Таким образом активируется микрофон устройства, и злоумышленники получают возможность слышать все, что происходит вокруг вызванного абонента, включая и все его разговоры. Уязвимость во многом схожа с той, которая была обнаружена в Apple FaceTime в январе нынешнего года.

К чести разработчиков Signal, они исправили проблему в тот же день, когда получили информацию от Натали Силванович. Всем пользователям Signal на Android-устройствах рекомендуется обновить свои приложения до версии 4.47.7.
vladimir59 вне форума   Ответить с цитированием
Старый 09.10.2019, 19:14   #955
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Жертва зловреда наносит ответный удар

Немецкий программист Тобиас Фрёмель заслужил всеобщий восторг и уважение, признавшись в противозаконных действиях. Подробности случившегося весьма любопытны. Некоторое время назад хакеры, стоящие за атаками зловреда-шифровальщика Muhstik, предприняли очередную акцию. Muhstik известен уже около года и на сей раз был использован для инфицирования сетевых накопителей (серверов хранения данных) производства Тайваньской компании QNAP. Злоумышленники использовали brute-force атаку, чтобы взломать слабые предустановленные пароли сервиса phpMyAdmin устройств QNAP. Далее, получив контроль над ним, операторы зловреда зашифровали все файлы на сетевых накопителях.

В числе жертв атаки оказался и Тобиас Фрёмель. Он заплатил выкуп, чтобы вернуть свои файлы, но решил поквитаться с обидчиками. В ходе общения с хакерами и расшифровки данных с помощью предоставленного ими ключа программист смог почерпнуть немало информации и о самом зловреде, и об инфраструктуре киберпреступной группировки. В результате Фрёмель сумел взломать сервер киберпреступников и похитить их базу данных, содержащую 2858 ключей для расшифровки. Также анализ вредоносного ПО позволил ему создать универсальный инструмент для расшифровки любых заблокированных Muhstik файлов вообще без всяких ключей. И ключи, и инструмент для расшифровки выложены Фрёмелем в открытый доступ. В своем Twitter программист призвал всех жертв атак Muhstik обратить внимание на его сообщения и не платить выкуп.

Тобиас Фрёмель отказался от комментариев прессе, сославшись на то, что уже сказал все, что хотел, в своей публикации в Pastebin - там он, в частности, отметил: «Я знаю, что нарушил закон. Но если в этой ситуации есть злодей, то это не я». Эксперты отмечают, что действия Фрёмеля действительно являются противозаконными, и специалистам по кибербезопасности необходимо в подобных случаях действовать совместно с правоохранительными органами или хотя бы уведомлять их о своих намерениях. Тем не менее весьма сомнительно, что Фрёмель будет привлечен к ответственности за свой поступок.
vladimir59 вне форума   Ответить с цитированием
Старый 11.10.2019, 19:04   #956
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Выставлены на продажу данные посетителей онлайн-форумов секс-услуг
11 Октября 2019


На нескольких хакерских ресурсах выставлены на продажу данные посетителей форумов EscortForumIt.xxx и Hookers.nl. Первый из них является итальянским, второй – голландским, и оба адресованы работникам сферы секс-услуг и их клиентам (в обеих странах проституция не запрещена законом). Похищенная информация включает имена учетных записей, адреса электронной почты и хеши паролей. Число предлагаемых на продажу записей данных с итальянского форума составляет порядка 33 тысяч, для голландского форума оно почти в десять раз выше – около 300 тысяч записей.

Исследователи отмечают, что для регистрации на подобного рода ресурсах пользователи, как правило, выбирают вымышленные имена. Однако адреса электронной почты во многих случаях включают реальные имена и фамилии людей, как в условном примере johnsmith@gmail.com. Так или иначе, адрес электронной почты часто помогает установить личность пользователя.

А потому нынешняя утечка почти неизбежно приведет к цепочке новых преступлений, наиболее вероятными из которых представляются шантаж и вымогательство в адрес пользователей, не склонных афишировать свою причастность к индустрии секс-услуг – ни в качестве работников, ни в качестве клиентов. Ответственность за взлом взял на себя болгарский хакер под ником InstaKilla. Он сообщил ресурсу ZDNet, что воспользовался уязвимостью CVE-2019-16759, выявленной в популярном форумном движке vBulletin в конце сентября.
vladimir59 вне форума   Ответить с цитированием
Старый 12.10.2019, 19:55   #957
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Гражданину Сингапура грозит 34 года американской тюрьмы за киберпреступления

Министерство юстиции США объявило о предъявлении обвинений 29-летнему гражданину Сингапура Хо Джун Джя (в материалах дела он также фигурирует под именем Мэтью Хо). В период с 2017 по 2018 год, когда наблюдался максимальный всплеск популярности и роста цен на криптовалюты, Хо организовал масштабную мошенническую схему их майнинга. Используя данные похищенных банковских карт и удостоверений личности третьих лиц, он создал от их имени аккаунты в облачных сервисах Amazon AWS и Google Cloud, вычислительные мощности которых и направил на добычу криптовалют, в частности Bitcoin и Ethereum. В материалах Министерства юстиции упоминаются три жертвы мошеннических действий Хо – известный разработчик компьютерных игр из Калифорнии, основатель технологической компании в Индии и житель Техаса, род занятий которого не указан.

Услуги облачных сервисов Хо Джун Джя оплачивал с помощью скомпрометированных банковских карт. Так, с начала ноября 2017 года со счета упомянутого разработчика игр было списано порядка 240 тысяч долларов платежей за услуги Google Cloud и не менее 135 тысяч долларов за услуги Amazon AWS. Тем не менее за 5 месяцев активной деятельности подставные аккаунты, созданные мошенником, накопили неоплаченный долг перед облачными сервисами на общую сумму около 5 миллионов долларов. Это не должно удивлять, если учесть, что, согласно данным Министерства юстиции, подставные аккаунты Хо некоторое время входили в число «крупнейших потребителей вычислительных мощностей Amazon AWS». Соответственно, впечатляющими должны были оказаться и заработанные Хо суммы – они, впрочем, в документах не приводятся.

Хо Джун Джя был задержан полицией Сингапура 26 сентября по представлению американских властей. Ему предъявлены в общей сложности 14 обвинений в различных киберпреступлениях. Минимальный общий срок наказания по ним составляет 34 года тюрьмы.
vladimir59 вне форума   Ответить с цитированием
Старый 13.10.2019, 19:31   #958
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Установка шпионского чипа обходится злоумышленникам всего в $200

Атака может предоставить злоумышленнику удаленный доступ к устройству и отключить функции безопасности.

Исследователь безопасности Монта Элкинс (Monta Elkins) из фирмы FoxGuard продемонстрировал на примере прототипа, как можно собрать рабочий шпионский чип с помощью оборудования стоимостью всего $200. Исследователь решил показать, насколько легко и дешево можно внедрить крошечный шпионский чип в цепочку поставок оборудования компании, сообщает издание Wired.

Имея в распоряжении только инструмент для пайки горячим воздухом за $150, микроскопом за $40 и несколько микросхемам за $2, Элкинс смог перенастроить межсетевой экран от Cisco таким образом, что большинство IT-специалистов, вероятно, не заметят вмешательство. Элкинс использовал чип ATtiny85 размером около 5 мм с платы Digispark Arduino за 2$. После записи своего кода на чип исследователь снял его с платы Digispark и припаял к материнской плате межсетевого экрана ASA 5505 от Cisco. Он выбрал незаметное место, которое не требовало дополнительной проводки и дало чипу доступ к последовательному порту брандмауэра.

Элкинс запрограммировал крошечный чип на атаку, как только межсетевой экран загрузится в дата-центр жертвы. Он выполняет роль администратора, который обращается к настройкам межсетевого экрана, подключая компьютер напрямую к последовательному порту. Затем чип запускает функцию восстановления пароля, создает новую учетную запись администратора и получает доступ к настройкам межсетевого экрана. По словам Элкинса, в данном эксперименте межсетевой экран ASA 5505 от Cisco был самым дешевым вариантом, однако то же самое можно сделать с любым межсетевым экраном от Cisco с функцией восстановление пароля.

Данная атака может изменить настройки межсетевого экрана и предоставить злоумышленнику удаленный доступ к устройству, логам всех видимых соединений и отключить функции безопасности.
vladimir59 вне форума   Ответить с цитированием
Старый 14.10.2019, 19:27   #959
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Воровство под видом трейдинга

Исследователь под ником MalwareHunterTeam сообщил об обнаружении очередной преступной схемы, нацеленной на активных пользователей криптовалют. Неизвестные злоумышленники основательно подошли к вопросу, объявив о создании ни много ни мало бесплатной трейдинговой платформы JMT Trader, позволяющей совершать операции с криптовалютами на ведущих биржах. Они также запустили весьма качественно сделанный сайт JMT Trader и аккаунт платформы в Twitter (последний, впрочем, не подает признаков жизни уже с июня).

Ссылка на загрузку самой программы JMT Trader ведет в GitHub-репозиторий, откуда можно скачать файлы для установки Windows- и macOS-версий, а также исходный код для компиляции платформы под Linux-системы. При этом файлы не являются вредоносными, более того, JMT Trader действительно позволяет выполнять все те операции, которые рекламирует. Это не должно удивлять, поскольку в реальности программа является всего лишь клоном легитимного ПО QT Bitcoin Trader. Однако в процессе установки запускается еще и загрузка программы CrashReporter.exe, которая является зловредом, хотя и не слишком известным: в настоящий момент она детектируется как вредоносная лишь 5 из 69 защитных решений в базе VirusTotal.

CrashReporter.exe – бэкдор, запускающийся при каждой авторизации пользователя в системе. Он устанавливает связь с командными серверами киберпреступников, похищает криптовалютные кошельки, логины и пароли, а также может использоваться для загрузки дополнительного вредоносного ПО. Исследователи отмечают, что нынешние атаки JMT Trader имеют немало общего с киберпреступной операцией AppleJeus, раскрытой специалистами «Лаборатории Касперского» в 2018 году. Предполагается, что за атаками AppleJeus стояли хакеры северокорейской группировки Lazarus.
vladimir59 вне форума   Ответить с цитированием
Старый 20.10.2019, 20:18   #960
Зам.Админ
 
Аватар для vladimir59
 
Регистрация: 06.10.2011
Сообщений: 45,462
Сказал(а) спасибо: 48,526
Поблагодарили 50,416 раз(а) в 31,184 сообщениях
Репутация: 151258
По умолчанию

Хакеры Cozy Bear продолжают играть в политику

Компания ESET обнаружила свидетельства кибероперации, осуществляемой хакерской группировкой Cozy Bear. Эта группа стояла за кибератакой на Национальный комитет Демократической партии США – главной оппозиционной политической силы Соединенных Штатов. Похищенные хакерами и впоследствии опубликованные документы и электронные письма высокопоставленных политиков-демократов могли, как считается, стать одной из причин победы на президентских выборах республиканца Дональда Трампа.

После этой акции группировка Cozy Bear исчезла с радаров, некоторые эксперты даже предполагали, что она прекратила свое существование. Но последние находки ESET говорят об обратном. Специалисты компании выяснили, что вредоносное ПО PolyglotDuke, RegDuke и FatDuke на протяжении нескольких последних лет используется для кибератак на министерства иностранных дел нескольких европейских стран и посольство одной из этих стран в США. Указанные зловреды являются своего рода «фирменным знаком» группировки Cozy Bear. «Мы можем с высокой степенью уверенности говорить о том, что выявленные нами атаки организованы той же группой, которая стояла за атакой на Национальный комитет Демократической партии США», - заявил исследователь ESET Матье Фау.

Новая хакерская операция получила название Operation Ghost. Впрочем, назвать ее новой будет не совсем верно: некоторые свидетельства указывают на то, что вредоносная кампания осуществляется еще с июля 2014 года. В ESET отказались назвать страны, в отношении которых ведется хакерская атака. Стоит отметить, что многие наблюдатели считают Cozy Bear российской группировкой, хотя прямых подтверждений этому нет. Компания ESET также воздержалась от того, чтобы высказывать предположения о национальной принадлежности хакеров.
vladimir59 вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Рекламные ссылки:


Текущее время: 13:25. Часовой пояс GMT +2.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
Администрация форума не несёт ответственности за содержание сообщений, оставляемых пользователями форума.
При копировании и/или использовании материалов форума прямая гиперссылка на форум обязательна!