Страница 345 из 345 ПерваяПервая ... 245295335343344345
Показано с 3,441 по 3,445 из 3445

Тема: Новости информационной безопасности

  1. #1
    Аватар для unbreakable
    Регистрация
    14.06.2008
    Сообщений
    10,945
    Репутация
    35508985
    Репутация в разделе
    21,832,446

    По умолчанию Новости информационной безопасности



  2. #3441
    Аватар для unbreakable
    Регистрация
    14.06.2008
    Сообщений
    10,945
    Репутация
    35508985
    Репутация в разделе
    21,832,446

    По умолчанию В арсенале банковского трояна Retefe появился эксплоит EternalBlue

    Банковский троян Retefe взял на вооружение эксплоит EternalBlue, ранее использовавшийся вымогательским ПО WannaCry.
    В арсенале банковского трояна Retefe появился эксплоит EternalBlue, ранее использовавшийся в атаках вымогательского ПО WannaCry. Главными объектами новой вредоносной кампании стал ряд финансовых учреждений в Швейцарии,сообщилиисследователи из компании Proofpoint.
    Разработанный Агентством национальной безопасности США и впоследствииобнародованныйхакерской группировкой The Shadow Brokers эксплоит EternalBlue эксплуатирует уязвимость в сетевом протоколе Windows Server Message Block (SMB) для распространения по зараженной сети. Именно использование эксплоита EternalBlue обусловило столь быстрое распространение вымогательского ПО WannaCry. После публикации в открытом доступе эксплоит был вскоре взят на вооружение киберпреступниками, а теперь используется для кражи учетных данных и наличных денег в швейцарских банках операторами вредоносного ПО Retefe.
    Вредонос Retefe активен с 2013 года, но не так известен, как другие банковские трояны, например, Dridex. В основноми троян атакует банки в Великобритании, Швейцарии, Австрии, Швеции и Японии. В отличие от других банковских троянов, Retefe перенаправляет трафик через прокси-серверы, размещенные в сети Tor. На прокси размещаются фишинговыестраницы, замаскированные под страницы авторизации целевых банков. Retefe, как правило, распространяется с помощью фишинговых писем, содержащих вредоносные документы Microsoft Office. При исполнении файла запускается команда PowerShell, которая загружает вредоносную полезную нагрузку.
    По словам исследователей, в данном случае полезная нагрузка содержит код эксплоита EternalBlue, загружающий скрипт PowerShell, который, в свою очередь, устанавливает Retefe. В этой версии эксплоита отсутствует модуль, отвечающий за дальнейшее распространение вредоносного ПО по зараженной сети, как в случае с атаками WannaCry. По мнению экспетов, операторы Retefe могут пока просто экспериментировать с EternalBlue и в дальнейшем использовать его для полномасштабных атак.

    Подробнее: http://www.securitylab.ru/news/488715.php


  3. #3442
    Аватар для unbreakable
    Регистрация
    14.06.2008
    Сообщений
    10,945
    Репутация
    35508985
    Репутация в разделе
    21,832,446

    По умолчанию Обзор инцидентов безопасности за прошлую неделю

    Краткий обзор главных событий в мире ИБ за период с 18 по 24 сентября 2017 года.
    Киберпреступникам не ведом покой – днем и ночью они трудятся, зарабатывая «грязные» деньги с помощью вредоносных программ, фишингаи пр. На прошлой неделе хакеры проявили необычайную активность. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности, имевших место в период с 18 по 24 сентября 2017 года.
    На прошлой неделе исследователи безопасности зафиксировали целый ряд вредоносных кампаний. К примеру, эксперты компании FireEyeраскрылиподробности о деятельности иранской кибершпионской группировки APT 33. Жертвами хакеров стали авиакомпании в США и Саудовской Аравии, а также один из южнокорейских конгломератов. Основными целями хакеров являлись предприятия аэрокосмической промышленности, энергетического сектора и военные объекты. С помощью фишинга и инструментов DropShot злоумышленники распространяли усовершенствованную версию червя Shamoon – ShapeShift.
    Специалисты ESETобнаружиликампанию по распространению новой версии вредоносного ПО FinFisher, также известного как FinSpy. Жертвами вредоноса стали пользователи в семи странах. По мнению экспертов, в двух случаях к атакам были причастны крупные интернет-провайдеры.
    Исследователи Trend Microзафиксировалиновую массовую спам-рассылку с вымогательским ПО Locky. Количество вредоносных писем уже преодолело отметку в несколько миллионов. По данным экспертов, основными целями атак злоумышленников стали пользователи в Чили, Японии, Индии и США. На долю России в среднем пришлось 6% от общего количества атак.
    Среди вредоносных кампаний, раскрытых на прошлой неделе, также стоит упомянуть атаки на пользователей Mac. С помощью заранее полученных учетных данных жертвы злоумышленники авторизуются в ее учетной записи iCloud, удаленно блокируют компьютер, используя функцию Find My iPhone, итребуютвыкуп за восстановление доступа.
    После выхода 14 сентября инновационного инструмента Coinhive, позволяющего монетизировать сайты за счет майнинга криптовалюты, киберпреступники стали активноиспользоватьего в своей деятельности. Исследователи безопасности обнаружили целый ряд взломанных сайтов, тайпсквоттинговых доменов и ресурсов, маскирующихся под техподдержку, со встроенным Coinhive. Когда жертва попадает на такой сайт, Coinhive использует мощности процессора ее компьютера для майнинга криптовалюты Monero.
    Большой резонанс на прошлой неделевызвалосообщение о бэкдоре в популярной утилите CCleaner от компании Avast. Не позднее 11 сентября на серверы производителя были загружены инфицированные версии CCleaner 5.33 и CCleaner Cloud 1.07.3191. Встроенный в утилиту бэкдор собирал, шифровал и отправлял на сервер злоумышленников информацию об имени компьютера, установленном программном обеспечении и запущенных процессах.
    Взломавшие CCleaner злоумышленники также пыталисьатаковатькрупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail). Как полагают эксперты, к атакам причастна китайская киберпреступная группировка Axiom, также известная как APT 17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda.
    Еще одним громким событием на прошлой неделесталвзлом Комиссии по ценным бумагам и биржам США. Сам инцидент имел место еще в прошлом году, однако сейчас стали появляться свидетельства использования похищенной у регулятора информации для осуществления незаконных сделок. Причиной утечки является уязвимость в электронной системе подачи заявок EDGAR.
    На прошлой неделе о себе снова напомнили активисты Anonymous. На этот раз участники Anonymous Greeceатаковалигреческий правительственный сайт по продаже недвижимости должников банков. Согласно заявлению активистов, это только начало, и греческому правительству следует готовиться к дальнейшим атакам.
    Еще одной группировкой, снова давшей о себе знать после продолжительного затишья, стала Phantom Squad. Организация известна своими угрозами осуществить масштабную DDoS-атаку, если ей не будет уплачен выкуп. На этот раз злоумышленникиугрожают30 сентября атаковать сайты компаний, если те не заплатят им по 0,2 биткойна (приблизительно $720).
    Говоря о вымогательстве, нельзя не упомянуть новое вымогательское ПО nRansomware. В отличие от других программ-вымогателей nRansomwareтребуетот жертв не деньги, а фотографии интимного характера.
    Исследователи безопасности из Kromtechобнаружилиутечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей. База данных хранилась на незащищенном облачном сервере Amazon S3. В ней содержалась информация о 540 642 учетных записях клиентов, включая адреса электронной почты, хэши паролей, IMEI GPS-трекеров, номерные знаки, идентификационные номера транспортных средств (VIN) и пр.
    22 сентября сотрудники компании Adobeопубликовалив открытом доступе закрытый PGP-ключ. Утечку обнаружил исследователь по безопасности Юхо Нурминен (Juho Nurminen). Ключ был опубликован в блоге PSIRT. Сообщение содержало закрытый и открытый PGP-ключи.

    Подробнее: http://www.securitylab.ru/news/488716.php


  4. #3443
    Аватар для unbreakable
    Регистрация
    14.06.2008
    Сообщений
    10,945
    Репутация
    35508985
    Репутация в разделе
    21,832,446

    По умолчанию Вредонос Necurs обзавелся новым функционалом и теперь делает снимки экрана

    Программа-загрузчик собирает информацию об инфицированном компьютере, делает снимок экрана и загружает вымогательское ПО Locky.
    Исследователи безопасности из компании Symantecобнаружилиновую версию загрузчика Necurs, получившую ряд редких для подобных программ функций, в частности, способность делать скриншоты на инфицированном устройстве.
    Necurs – общее название вредоносного ПО и ботнета из зараженных устройств. Вредонос относится к типу программ-загрузчиков и выполняет 3 основные функции: установка на целевое устройство, сбор информации о зараженном хосте и загрузка дополнительного вредоносного ПО, в частности, программы-вымогателя Locky.
    Necurs распространяется посредством спам-писем, рассылаемых с инфицированных устройств или взломанных web-серверов. Загрузчик Necurs часто остается проигнорированным, однако в новой версии исследователи обнаружили две дополнительные возможности - скрипт Powershell, способный делать снимки экрана на инфицированном устройстве и загружать их на удаленный сервер, а также функцию сообщения об ошибках, которая отправляет информацию о проблемах операторам вредоносного ПО. Данные функции типичны для вредоносного ПО, однако подобный функционал впервые появился в загрузчике.Как полагают исследователи, появление функции захвата экрана может говорить о намерении операторов Necurs собирать больше информации об инфицированных компьютерах. На основании данной информации злоумышленники могут определить более перспективные цели, например, выявлять компьютеры, подключенные к корпоративным сетям.
    В последнее время исследователи наблюдают повышенную активность ботнета Necurs. Помимо Locky, ботнет также распространяет банковский троян Trickbot.

    Подробнее: http://www.securitylab.ru/news/489184.php


  5. #3444
    Аватар для unbreakable
    Регистрация
    14.06.2008
    Сообщений
    10,945
    Репутация
    35508985
    Репутация в разделе
    21,832,446

    По умолчанию Хакеры атакуют предприятия морской и оборонной промышленности США и Западной Европы

    Вредоносная кампания в основном ориентирована на организации из США и Западной Европы.
    Исследователи безопасности из Proofpointсообщилио росте активности хакерской группировки Leviathan, регулярно проводящей кампании по распространению вредоносного ПО с целью хищения конфиденциальных данных у компаний и организаций, связанных с кораблестроением и военно-морским флотом.
    Группировка активна по меньшей мере с 2014 года и проявляет наибольший интерес к сфере судостроения, военным подрядчикам, исследовательским институтам, а также к правительственным и юридическим организациям. Кампания в основном ориентирована на организации из США и Западной Европы, однако ряд целей находится в районе Южно-Китайского моря.
    Распространяемые в ходе вредоносной кампании в сентябре текущего года фишинговыеписьма содержали вредоносные документы Microsoft Excel и Word, замаскированные под вакансии, резюме и военную документацию.
    Злоумышленники эксплуатировали уязвимость CVE-2017-8759, позволяющую внедрить вредоносный код для выполнения скриптов Visual Basic, содержащих команды PowerShell и установить вредоносное ПО. Как отметили исследователи, вредоносная кампания началась через несколько дней после обнаружения данной уязвимости. Это свидетельствует о готовности хакеров оперативно осваивать новые методы осуществления атак.
    Скомпрометировав систему, злоумышленники устанавливали бэкдор Orz, также известный как Core, способный собирать информацию, загружать и обновлять файлы, а также выполнять команды. Атакующие также использовали троян NanHaiShu, позволяющий отправлять информацию с инфицированного устройства на C&C-серверы.
    В августе текущего года Leviathan провела вредоносную кампанию, направленную на ряд оборонных подрядчиков. Фишинговые сообщения, содержавшие вредоносный URL, были замаскированы под документы компаний, занимающихся строительством военных кораблей, подводных лодок и других морских судов. В ходе кампании была проэксплуатирована уязвимость CVE-2017-0199, позволяющая удаленно выполнить код и получить полный контроль над зараженной системой.
    Ранее стало известно о взломесети австралийского военного подрядчика хакерской группировкой ALF. В ходе атаки было похищено порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах.

    Подробнее: http://www.securitylab.ru/news/489191.php


  6. #3445
    Аватар для unbreakable
    Регистрация
    14.06.2008
    Сообщений
    10,945
    Репутация
    35508985
    Репутация в разделе
    21,832,446

    По умолчанию ESET обнаружила первый шифратор для Android с функцией блокировки экрана

    Эксперты ESET обнаружили первый шифратор с функцией блокировки экрана, атакующий смартфоны и планшеты на базе Android. Шифратор DoubleLocker построен на базе мобильного банковского трояна для Android-устройств. Тем не менее, у него отсутствуют функции, предназначенные для сбора банковских данных пользователей. Вместо этого DoubleLocker оснащен двумя инструментами для вымогательства: он может изменить PIN-код устройства на произвольный, а также шифрует найденные данные. Такое сочетание функций в экосистеме Android наблюдается впервые.DoubleLocker распространяется «классическим» способом, как и его предок-банкер – преимущественно под видом Adobe Flash Player через скомпрометированные сайты.После запуска на устройстве пользователя приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора и устанавливает себя как лаунчер по умолчанию. «Самоустановка в качестве лаунчера по умолчанию повышает сохранность вредоносного ПО на устройстве, – комментирует Лукас Стефанко, вирусный аналитик ESET, обнаруживший DoubleLocker. – Каждый раз, когда пользователь нажимает кнопку «Домой», вымогатель активируется и снова блокирует экран планшета или смартфона».После выполнения на устройстве DoubleLocker использует два веских аргумента, чтобы убедить пользователя оплатить выкуп.Во-первых, он изменяет PIN-код планшета или смартфона, что препятствует использованию устройства. В качестве нового PIN задается случайное значение, код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить.Во-вторых, DoubleLocker шифрует все файлы в основном хранилище устройства. Он использует алгоритм шифрования AES и добавляет расширение .cryeye.Сумма выкупа составляет 0,0130 биткоина (около 4000 рублей), в сообщении злоумышленников подчеркивается, что оплата должна быть произведена в течение 24 часов. Если выкуп не будет перечислен, данные останутся зашифрованными.«DoubleLocker – еще одна причина установить качественное решение для безопасности мобильного устройства и регулярно создавать резервные копии», – подчеркивает Лукас Стефанко. Продукты ESET детектируют вредоносную программу как Android/DoubleLocker.Более подробная информация о вредоносной программе и рекомендации по удалению – в блоге ESET на Хабрахабр.Требование выкупа DoubleLocker:
    ESET обнаружила первый шифратор для Android с функцией блокировки экрана


Страница 345 из 345 ПерваяПервая ... 245295335343344345

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •