Контрольный список для предотвращения атак программ-вымогателейCisco Russia
Готова ли ваша организация к отражению атак? Не тратьте время на обдумывание стратегии защиты. Приведенная ниже таблица поможет вам защититься от этих атак.
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
В этом документе рассказывается о том, что собой представляют программы- вымогатели, какие действия они совершают и как заказчики могут защитить свои организации от этой угрозы. Хотя основное внимание здесь уделяется программам- вымогателям, описанные процессы применимы и к другим угрозам.
F5 labs 2018. Отчет по защите веб-приложенийBAKOTECH
Как и коралловые рифы, которые сосуществуют с множеством других форм жизни, веб-приложения являются «стадными существами». Приложения,
склеенные между собой по сети, состоят из множества независимых компонентов, работающий в отдельных средах с разными операционными требованиями и необходимой для их работы инфраструктурой (как в облаке, так и onpremise). В этом отчете мы исследовали эту последовательность уровней взаимодействия – службы приложений, доступы к приложениям, уровень доставки и защиту транспортного уровня (TLS), системы доменных имен (DNS) и сети. Так как каждый из этих уровней может стать потенциальной целью для атаки.
Скачивайте "Отчет по защите приложений" от F5 Networks, чтобы узнать все о современных угрозах для веб-приложений, самых распространенных способах защиты от них. Также в отчете вы найдете список рекомендаций для повышения уровня безопасности ваших приложений и данных вашей организации.
Программы-вымогатели: все, что нужно знать об этом виде угрозCisco Russia
Вы заняты. Вы устали. Вы хотите сыграть в Pokémon Go или открыть страницу в интранет-сети вашей компании. Причина не имеет значения. Щелкая Remind me later (Напомнить позже) в окне с запросом об установке обновлений, вы упрощаете задачу для авторов программ-вымогателей.
Но это лишь один из путей проникновения таких программ в вашу систему. Злоумышленники широко применяют вредоносную рекламу, фишинговые письма и даже сложные схемы на основе USB-накопителей. Рассмотрим подробнее один из самых распространенных сценариев.
Кибербезопасность в России. ИсследованиеCisco Russia
Cisco провела опрос среди профессионалов в сфере информационной безопасности из более чем 200 российских организаций, чтобы узнать о применяемых ими подходах к обеспечению безопасности. Ознакомьтесь с отчетом.
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
В этом отчете компания Cisco представляет данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Кроме того, в отчете анализируются кампании, ориентированные на конкретные организации, группы и сферы деятельности. В нем также исследуется тот факт, что злоумышленники, пытающиеся похитить конфиденциальную информацию, становятся все более изощренными. В конце отчета приводятся рекомендации изучать модели безопасности во всей их полноте и получать всю доступную информацию на протяжении всего периода атаки — до атаки, во время и после нее.
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
В этом отчете компания Cisco представляет данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Кроме того, в отчете анализируются кампании, ориентированные на конкретные организации, группы и сферы деятельности. В нем также исследуется тот факт, что злоумышленники, пытающиеся похитить
конфиденциальную информацию, становятся все более
изощренными. В конце отчета приводятся рекомендации изучать модели безопасности во всей их полноте и получать всю доступную информацию на протяжении всего периода атаки — до атаки, во время и после нее.
Контрольный список для предотвращения атак программ-вымогателейCisco Russia
Готова ли ваша организация к отражению атак? Не тратьте время на обдумывание стратегии защиты. Приведенная ниже таблица поможет вам защититься от этих атак.
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
В этом документе рассказывается о том, что собой представляют программы- вымогатели, какие действия они совершают и как заказчики могут защитить свои организации от этой угрозы. Хотя основное внимание здесь уделяется программам- вымогателям, описанные процессы применимы и к другим угрозам.
F5 labs 2018. Отчет по защите веб-приложенийBAKOTECH
Как и коралловые рифы, которые сосуществуют с множеством других форм жизни, веб-приложения являются «стадными существами». Приложения,
склеенные между собой по сети, состоят из множества независимых компонентов, работающий в отдельных средах с разными операционными требованиями и необходимой для их работы инфраструктурой (как в облаке, так и onpremise). В этом отчете мы исследовали эту последовательность уровней взаимодействия – службы приложений, доступы к приложениям, уровень доставки и защиту транспортного уровня (TLS), системы доменных имен (DNS) и сети. Так как каждый из этих уровней может стать потенциальной целью для атаки.
Скачивайте "Отчет по защите приложений" от F5 Networks, чтобы узнать все о современных угрозах для веб-приложений, самых распространенных способах защиты от них. Также в отчете вы найдете список рекомендаций для повышения уровня безопасности ваших приложений и данных вашей организации.
Программы-вымогатели: все, что нужно знать об этом виде угрозCisco Russia
Вы заняты. Вы устали. Вы хотите сыграть в Pokémon Go или открыть страницу в интранет-сети вашей компании. Причина не имеет значения. Щелкая Remind me later (Напомнить позже) в окне с запросом об установке обновлений, вы упрощаете задачу для авторов программ-вымогателей.
Но это лишь один из путей проникновения таких программ в вашу систему. Злоумышленники широко применяют вредоносную рекламу, фишинговые письма и даже сложные схемы на основе USB-накопителей. Рассмотрим подробнее один из самых распространенных сценариев.
Кибербезопасность в России. ИсследованиеCisco Russia
Cisco провела опрос среди профессионалов в сфере информационной безопасности из более чем 200 российских организаций, чтобы узнать о применяемых ими подходах к обеспечению безопасности. Ознакомьтесь с отчетом.
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
В этом отчете компания Cisco представляет данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Кроме того, в отчете анализируются кампании, ориентированные на конкретные организации, группы и сферы деятельности. В нем также исследуется тот факт, что злоумышленники, пытающиеся похитить конфиденциальную информацию, становятся все более изощренными. В конце отчета приводятся рекомендации изучать модели безопасности во всей их полноте и получать всю доступную информацию на протяжении всего периода атаки — до атаки, во время и после нее.
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
В этом отчете компания Cisco представляет данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Кроме того, в отчете анализируются кампании, ориентированные на конкретные организации, группы и сферы деятельности. В нем также исследуется тот факт, что злоумышленники, пытающиеся похитить
конфиденциальную информацию, становятся все более
изощренными. В конце отчета приводятся рекомендации изучать модели безопасности во всей их полноте и получать всю доступную информацию на протяжении всего периода атаки — до атаки, во время и после нее.
Кибербезопасность 2016-2017: От итогов к прогнозамAlexey Komarov
Позитив Текнолоджиз: Минувший год оказался богат на события в области информационной безопасности. В 2016 году помимо традиционных пентестов и анализа уязвимостей эксперты компании Positive Technologies приняли участие в расследовании ряда инцидентов, включая крупные атаки на банки, а также проанализировали общую картину атак, благодаря данным собственного центра мониторинга (SOC) и данным, полученным в ходе пилотных проектов и внедрению продуктов компании в различных организациях. Собранная информация позволяет предложить экспертную оценку ИБ-трендов года, а также сделать определенные прогнозы относительно того, что ждет индустрию в будущем, 2017 году.
10 трендов современной киберпреступностиИнфобанк бай
Появились хакеры, спонсируемые государствами, которые занимаются шпионажем и хищениями в отношении банков. Начались диверсии против финансовой отрасли. Сменилась тактика целевых атак на банки. Рынок криптовалют становится все более лакомым куском. Андроид - трояны становятся основной угрозой для клиентов банков. Самая массовая угроза — это фишинг…
Ежегодный отчет Cisco по ИБ. Состояние защитыCisco Russia
Уже стало хорошей традицией для Cisco выпускать ежегодные отчеты по анализу угроз информационной безопасности, которые были зафиксированы специалистами компании Cisco. Не стал исключением и прошедший, 2015-й год, который запомнился тем, что злоумышленники стали еще быстрее в своих противоправных действиях, стали более скрытными, а их активность стала более прибыльной.
Видеозапись: https://www.youtube.com/watch?v=ER2cxsIr_S0
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годCisco Russia
Любые кибератаки, независимо от их масштаба, зарождаются в самом слабом звене цепи безопасности. Такими слабыми звеньями могут быть: устаревшее программное обеспечение, некорректно написанный код, неиспользуемый веб-
сайт, ошибки разработчиков, «слепое» доверие пользователя. Злоумышленники изыскивают такие слабые места и используют их в своих целях.
К несчастью для организаций и пользователей, на которых нацелены эти атаки, злоумышленникам не приходится особенно долго искать такие уязвимости. В условиях молниеносно развивающегося Всеобъемлющего Интернета, в основе которого — возможность взаимодействия с «Интернетом вещей», задача злоумышленников даже упрощается, поскольку все, что подключено к сети — от автомобилей до систем «умный дом» — содержит уязвимости, которые можно использовать при атаке.
Последствия кибератак разрушительны — как в плане затрат, так и в плане потери производительности и ущерба для репутации. Согласно данным института Ponemon Institute, в среднем ущерб для организаций в результате взлома данных с 4,5 млн долларов США в 2013 году возрос в 2014 году до 5,4 млн долларов США. Кроме того, по данным отчета Центра стратегических и международных исследований по оценке ущерба от киберпреступлений и кибершпионажа ущерб для экономики США составляет ежегодно 100 млрд долларов США, а также влечет за собой потерю 508 000 рабочих мест в США в результате злонамеренных действий в Интернете.
Состояние сетевой безопасности в 2016 году Qrator Labs
Отчёт компаний Qrator и Wallarm, представленный вашему вниманию, посвящён главным событиям и основным тенденциям в области сетевой безопасности.
Отдельное внимание в отчёте уделяется проблематике DDoS, инфраструктуры Интернета и уязвимостям, а также взломам широко используемого ПО и других продуктов с электронной составляющей — устройств, подключённых к Сети.
The document summarizes technical details about ShadowPad, a modular cyber attack platform deployed through compromised software. It describes how ShadowPad operates in two stages, with an initial shellcode embedded in legitimate software that connects to command and control servers. The second stage acts as an orchestrator for five main modules, including for communication, DNS protocols, and loading additional plugins. Payloads are received from the C&C server as plugins and can perform data exfiltration.
The Center for Democracy & Technology filed a complaint with the Federal Trade Commission requesting an investigation into Hotspot Shield VPN's data sharing and security practices. The complaint alleges that Hotspot Shield makes strong claims about not tracking or logging user data, but its privacy policy describes more extensive logging. It is also alleged that Hotspot Shield uses third-party tracking libraries to facilitate targeted advertisements, contradicting its promises of privacy and security.
Nexusguard d do_s_threat_report_q1_2017_enAndrey Apuhtin
This document provides a summary of DDoS attack trends in Q1 2017 according to Nexusguard's analysis. Key findings include a 380% increase in attacks compared to the previous year, with unusually large attacks on holidays such as Chinese New Year and Valentine's Day. HTTP floods became the most common attack vector. The US was the top source of attacks globally, while China was the top source in the Asia-Pacific region. Larger and more complex multi-vector attacks targeting both volumetric and application layers became more common.
The document summarizes cybersecurity trends in the financial services sector in 2016. Some key points:
1) The financial services sector remained the most attacked industry in 2016, experiencing 65% more attacks on average than other sectors. Common attack methods included SQL injection and command injection exploits.
2) While total attacks increased in 2016, average security incidents decreased for financial services organizations monitored by IBM.
3) Insider threats, both malicious and inadvertent, posed a larger risk than outsider attacks for financial services organizations. The majority of insider attacks were caused by inadvertent or compromised systems rather than malicious insiders.
This document provides a summary of CLDAP reflection DDoS attacks observed by Akamai between October 2016 and January 2017. It details the attack methods, timelines, largest attacks observed, affected industries, source distributions by country and ASN, mitigation recommendations including filtering port 389, and conclusions regarding CLDAP reflection as an emerging DDoS vector.
This document provides a technical analysis of Pegasus spyware samples found on Android devices. Pegasus for Android (called Chrysaor) shares many capabilities with the iOS version, including exfiltrating data from apps, remote controlling devices via SMS, audio surveillance, screenshot capture, and disabling system updates. It uses known Android exploits to gain root access and SMS, HTTP, and MQTT for command and control. The spyware is designed to evade detection and delete itself if detected. Analysis of the samples revealed how the malware infects devices, communicates with its operators, and surreptitiously collects information from infected phones.
This document summarizes a study on zero-day vulnerabilities and exploits. The study obtained rare access to data on zero-day vulnerabilities and exploits to analyze metrics like life status, longevity, collision rates, and development costs. Some key findings include: 1) exploits have an average lifespan of 6.9 years after discovery before being patched, but 25% will last less than 1.5 years and 25% will last over 9.5 years, 2) after 1 year, approximately 5.7% of vulnerabilities in a stockpile will be discovered and disclosed by others, and 3) once an exploitable vulnerability is found, the median time to develop a working exploit is 22 days. The results provide insights to inform policy debates on
The APWG recorded more phishing in 2016 than in any previous year. In the 4th quarter of 2016, there were over 277,000 unique phishing sites detected, representing a 65% increase in total phishing attacks for 2016 compared to 2015. Phishing attacks have increased dramatically over the past 12 years, with an average of over 92,000 attacks per month in the 4th quarter of 2016 compared to just 1,600 attacks per month in the 4th quarter of 2004. Fraudsters in Brazil are increasingly using social media and mobile apps to defraud users in addition to traditional phishing techniques, though many of the hosting infrastructure for these attacks are located outside of Brazil, particularly in the United States and
This document contains a list of websites categorized into different areas of interest: finance, gambling, e-commerce, dating, and other. Over 50 websites are listed related to online payment processing, gambling sites, major retailers, social media, travel, and dating platforms. The list appears to have been compiled from someone's browser history.
The document lists processes and components of different point of sale (POS) software, including BrasilPOS, cch tax14, cch tax15, AccuPOS, Active-Charge, ADRM.EndPoint.Service, AFR38, Aireus, Aldelo, alohaedc, APRINT6, Aracs, aRPLUSPOS, ASTPOS, AxUpdatePortal, barnetPOS, bt, BTFULL, callerIdserver, CapptaGpPlus, CashBox, CashClub, CashFootprint, and Catapult.
Processes and components antivirus lists the executable files and processes associated with major antivirus software programs. It includes the process names for antivirus programs from companies like Avast, AVG, Avira, ClamWin Antivirus, ESET, F-Secure, GData, GFI Antivirus, Kaspersky, MalwareBytes Antivirus, McAfee, Microsoft, Panda, Sophos, Symantec, Trend Micro, and WebRoot Antivirus. The list provides information on the core processes used by antivirus software to scan for malware, monitor systems for infections, and provide protection.
The document analyzes the prevalence and security impact of HTTPS interception by middleboxes and antivirus software. The researchers developed techniques to detect interception based on differences between the TLS handshake and HTTP user agent. Applying these techniques to billions of connections, they found interception rates over an order of magnitude higher than previous estimates, and that the majority (97-62%) of intercepted connections had reduced security, with 10-40% vulnerable to decryption. Testing of interception products found most reduced security and many introduced severe vulnerabilities. The findings indicate widespread interception negatively impacts security.
This bill directs the Administrator of the National Highway Traffic Safety Administration to conduct a study to determine appropriate cybersecurity standards for motor vehicles. The study would identify necessary isolation, detection, and prevention measures to protect critical software systems. It would also identify best practices for securing driving data. The Administrator would submit a preliminary report within 1 year and a final report within 6 months, including recommendations for adoption of standards and any necessary legislation.
A former employee of the Federal Reserve Board installed unauthorized software on a Board server to earn bitcoins through the server's computing power. The employee modified security safeguards to remotely access the server from home. When confronted, the employee initially denied wrongdoing but later remotely deleted the software to conceal actions. Forensic analysis confirmed the employee's involvement, resulting in termination and a guilty plea to unlawful conversion of government property. The employee was sentenced to 12 months probation and a $5,000 fine.
Microsoft released patches for over 100 vulnerabilities in Windows, Internet Explorer, and Edge in 2016. While the number of vulnerabilities exploited in Internet Explorer before patching declined, no vulnerabilities in the newer Edge browser were exploited. Windows 10 introduced new security features like Attack Surface Reduction that remove vulnerable components. Over 60 vulnerabilities were also patched in various Windows user-mode components, with remote code execution being the most common type.
Muddy Waters Capital is short St. Jude Medical due to serious cybersecurity vulnerabilities identified in STJ's implantable cardiac devices. Researchers were able to replicate attacks that could cause devices to malfunction dangerously or drain batteries. The vulnerabilities stem from a lack of security protections in STJ's device ecosystem, including hundreds of thousands of home monitoring units distributed without adequate safeguards. A cardiologist is advising patients to unplug monitors and delaying implants until issues are addressed, which could take STJ at least two years to remediate through a recall and system rework. The cybersecurity risks may result in litigation if exploits endanger patients.
This document summarizes a workshop held by the FTC on privacy and security issues related to the Internet of Things (IoT). The IoT refers to everyday objects that can connect to the internet and send/receive data. The workshop discussed both benefits and risks of the IoT. Benefits include connected medical devices and home automation. However, risks include security vulnerabilities and privacy issues from collection of personal data over time. Workshop participants debated how fair information practices like data minimization, security, notice and choice should apply. The FTC staff recommends best practices for companies developing IoT products, including security by design and reasonable data collection and retention limits.
4. 2016 год уже изобилует новостями в мире безопасности.
Уровень создания вредоносных программ продолжает
бить все рекорды, достигнув отметки в 20 миллионов новых
образцов, которые были идентифицированы в PandaLabs
на протяжении первого квартала (в среднем - 227 000
образцов ежедневно).
Все больше и больше компаний попадают в ловушки
шифровальщиков. В настоящем отчете мы покажем Вам
все новости, связанные с этими типами атак (включая
атаки на Linux, Mac и даже веб-страницы). Мы увидим, как
можно спасти несколько сотен миллионов евро, а также
проанализируем кибер-атаки на больницы, которые
произошли за последние несколько месяцев.
Критические инфраструктуры - это очень чувствительные
зоны, на которые сосредотачивают свое внимание кибер-
преступники. Одна из крупнейших атак недавно
произошла на Украине. Зимой хакеры на несколько
часов смогли удаленно отключить электроснабжение
примерно 200 000 человек.
Атаки продолжают расти и в другом направлении:
смартфоны. Кроме этого, благодаря Интернету вещей
мы узнали, как можно атаковать такие, казалось бы,
необычные с точки зрения атак объекты, как дверной
звонок.
Введение
1
Panda Security | Отчет PandaLabs 1 квартал 2016
5. Panda Security | Отчет PandaLabs 1 квартал 2016
2.КВАРТАЛ В ЦИФРАХ
6. Мы начали этот год с более чем 20 миллионов новых
образцов вредоносных программ, которые были
обнаружены и нейтрализованы в PandaLabs -
антивирусной лаборатории компании Panda Security (в
среднем - 227 000 образцов ежедневно). Это чуть больше,
чем было обнаружено в первом квартале 2015, когда
ежедневно обнаруживалось примерно 225 000 образцов.
Из всех образцов трояны являются самым
разрушительным типом вредоносных
программ, оставаясь "лидером" на
протяжении многих последних лет.
Обратите внимание, что число атак с помощью
шифровальщиков, которые также относятся к данной
категории троянов, существенно возросло.
Квартал в
цифрах
2
Panda Security | Отчет PandaLabs 1 квартал 2016
7. Panda Security | Отчет PandaLabs 1 квартал 2016 7
Данные ниже показывают распределение вредоносных
программ, созданных в первом квартале 2016 года, по
типу угроз:
НОВЫЕ ОБРАЗЦЫ ПО ТИПУ УГРОЗ В ПЕРВОМ КВАРТАЛЕ 2016
ПНПТрояны
66,81%
ЧервиВирусы Шпионы и
рекламное ПО
4,22%
11,01%
15,98%
1,98%
Трояны являются самым популярным типом вредоносных
программ, на долю которых приходится 66,81% от всех
созданных в первом квартале образцов, что выше
показателя предыдущего года. На втором месте идут
вирусы (15,98%), далее - черви (11,01%), потенциально
нежелательные программы (4,22%), шпионы и
рекламное ПО (1,98%).
Благодаря данным, предоставленным "Коллективным
разумом", мы можем проанализировать инфекции,
вызванные вредоносными программами во всем мире.
Мы можем видеть, что большинство инфекций также
вызваны троянами (65,89%). Давайте посмотрим, как
инфекции распределены по типу угроз:
ИНФЕКЦИИ ПО ТИПУ УГРОЗ В ПЕРВОМ КВАРТАЛЕ 2016
65,89%
25,12%
3,03%
1,95%
4,01%
Принимая во внимание рост инфекций с помощью
шифровальщиков, трояны вновь занимают первое место.
Они остаются самым популярным инструментом
проведения кибер-преступных атак, т.к. позволяют хакерам
зарабатывать деньги одновременно простым и
безопасным способом. Потенциально нежелательные
программы заняли второе место с четвертью инфекций,
оставив далеко позади шпионы и рекламное ПО (4,01%),
черви (3,03%) и вирусы (1,95%). Агрессивные техники,
используемые для распространения вредоносных
программ, подразумевают использование вполне
легитимных программ потенциально нежелательными
программами. Такой подход позволяет добиться высоких
показателей установки на компьютерах пользователей.
ПНПТрояны ЧервиВирусы Шпионы и
рекламное ПО
8. Panda Security | Отчет PandaLabs 1 квартал 2016 8
Если мы посмотрим на общую долю зараженных
компьютеров в 33,32%, то она несколько выше, чем в
прошлом году, за счет роста числа атак с применением
шифровальщиков и ПНП. Следует отметить, что данный
процент показывает лишь случаи "встречи" с вредоносными
программами, но это не значит, что компьютеры в итоге
были заражены. Лидером среди самых зараженных стран
мира остается Китай (51,35% компьютеров), далее идут
Турция (48,02%) и Тайвань (41,24%).
10 стран с наибольшим уровнем заражения:
СТРАНЫ С НАИБОЛЬШИМИ УРОВНЯМИ ЗАРАЖЕНИЯ
Китай
Турция
Тайвань
Эквадор
Гватемала
Россия
Мексика
Перу
Польша
Бразилия
51,35%
48,02%
41,24%
39,59%
38,01%
37,98%
36,32%
36,02%
35,55%
34,00%
Азия и Латинская Америка - это регионы с самыми
высокими уровнями инфекций. Другие страны с уровнем
заражения выше среднемирового: Уругвай (33,98%), Чили
(33,88%), Колумбия (33,54%) и Испания (33,05%).
Анализируя менее зараженные страны, мы можем
увидеть, что практически все они расположены в Европе.
Как всегда скандинавские страны заняли весь "пьедестал":
Швеция - лидер с показателем 19,80%, а рядом Норвегия
(20,23%) и Финляндия (20,45%).
10 стран с наименьшим уровнем заражения:
СТРАНЫ С НАИМЕНЬШИМИ УРОВНЯМИ ЗАРАЖЕНИЯ
Нидерланды
Дания
Япония
Германия
Великобритания
Бельгия
Швейцария
Финляндия
Норвегия
Швеция
26,15%
25,43%
24,99%
23,64%
23,61%
22,87%
21,43%
20,45%
20,33%
19,80%
Другие страны, уровень заражения которых ниже
среднемирового значения, но при этом они не попали в
первую десятку: Австралия (26,79%), Франция (27,20%),
Португалия (27,47%), Австрия (28,69%), Канада (30,30%),
США (30,84%), Венгрия (31,32%), Италия (32,48%), Венесуэла
(32,89%) и Коста-Рика (33,01%).
9. Panda Security | Отчет PandaLabs 1 квартал 2016
3.ВЗГЛЯД НА
КВАРТАЛ
10. Изучая все, что произошло за последние несколько
месяцев, мы решили ввести новый подраздел, который
будет посвящен только шифровальщикам. Да, мы уже
рассматривали эти атаки в наших отчетах, но т.к. их
распространенность продолжает расти (особенно в
корпоративном секторе), мы решили выделить их
отдельно.
Шифровальщики
Мы можем предполагать прибыльность подобных атак по
тому, как они атакуют различные платформы: помимо
обычных атак на Windows, мы также видели новые и
улучшенные варианты Linux/Encoder, использующие
операционную систему с "пингвином". Не пожалели даже
Apple: мы видели шифровальщик под названием
KeRanger, который заражал пользователей Apple.
Впрочем, эти атаки шифруют не только файлы
пользователей на компьютерах, но они также начали
атаковать и веб-сайты, шифруя их содержимое.
В частности, мы наблюдали случаи, когда
хакеры проникали на сайты, созданные с
помощью Wordpress, шифровали файлы и
меняли страницы index.php или index.html,
показывая сообщение, в котором говорилось
о необходимости выплаты выкупа за
восстановление сайта. Они также включали
чат для контакта непосредственно с
хакерами для "оформления" платежа.
Взгляд на
квартал
3
Panda Security | Отчет PandaLabs 1 квартал 2016
11. Panda Security | Отчет PandaLabs 1 квартал 2016 11
Совершенствуются техники, а в некоторых случаях они
становятся слишком агрессивными (как в случае с Petya),
когда вместо зашифрованных документов угрозы
проникают непосредственно в MBR компьютера, оставляя
его непригодным для использования до оплаты выкупа.
Также возросло злоупотребление системой PowerShell (как
мы прогнозировали в ежегодном отчете PandaLabs за 2015
год), установленной по умолчанию в Windows 10, которая
все чаще используется при атаках, когда необходимо
избежать обнаружения со стороны решений
безопасности, установленных на ПК жертвы.
Атаки на компании становятся все более изощренными. В
последнее время мы стали свидетелями атак, когда после
взлома сервера компании предпринимаются действия и для
заражения максимального числа ПК в корпоративной сети с
помощью шифровальщиков (так можно получить больше денег).
За последние месяцы возрос уровень
распространения шифровальщиков, и мы
даже видели случаи атаки на "топовые" сайты
(The New York Times, BBC, MSN, AOL и т.д.) для
заражения посетителей.
Веб-сайты не взламываются: атаки совершаются с помощью
показываемой на них рекламы, управляемой кибер-
преступниками и обращающейся к серверу с определенным
типом эксплойтов (Angler и т.д.), чтобы заражать
пользователей, у которых обновлены не все приложения.
По результатам опроса, проведенного Cloud Security
Alliance, некоторые компании готовы платить до миллиона
долларов за восстановление своих данных. Хотя это может
показаться преувеличением, но стоит иметь в виду, что
некоторые атаки не только шифруют корпоративную
информацию, но и копируют ее себе, в результате чего
даже при наличии бэкапов компании вынуждены платить,
чтобы предотвратить публикацию украденной информации.
В январе The Economic Times в Индии
сообщил, что три крупных банка и одна
фармацевтическая компания стали
жертвами атаки шифровальщиков.
12. Panda Security | Отчет PandaLabs 1 квартал 2016 12
Атака началась со взлома IT-менеджеров из различных
компаний, после чего заражались ПК и других сотрудников, а
выкуп достигал 1 биткоина за каждый зараженный ПК. Итоговый
выкуп достиг нескольких миллионов долларов.
Один из секторов бизнеса, который целенаправленно
страдает от подобных атак, - это больницы. За последние
месяцы мы видели многократный рост атак на них. Ниже
мы укажем самые шокирующие случаи.
Голливудский пресвитарианский медицинский
центр в Лос-Анджелесе (США) заявил о
"чрезвычайном положении" и оставил своих
сотрудников без доступа к почте, медицинским
записям пациентов и другим системам. В итоге
некоторые пациенты не получили лечение, а часть
из них были отправлены в другие больницы.
Запрашиваемый выкуп составил 3,7 млн. долларов. Директор
больницы договорился с хакерами и заплатил 17 000 долларов
за восстановление взломанных файлов.
MedStar Health вынужден был отключить некоторые свои системы
в больницах Балтимора (США) из-за подобной атаки.
Methodist Hospital в Хендерсоне (штат Кентукки, США)
также стал жертвой. И в этом случае они заплатили 17 000
долларов (однако некоторые источники сообщили, что
размер выкупа был намного выше данной суммы).
Prime Healthcare Management, Inc. также стал жертвой
кибер-преступников. У них было атаковано две больницы
(Chino Valley Medical Center и Desert Valley Hospital). Но в
этом случае компания не платила выкупа.
Но пострадали не только больницы в США. В Европе мы
наблюдали аналогичные случаи. Deutsche Welle
сообщила, что несколько больниц Германии были
атакованы шифровальщиками (например, Lukas Hospital
в Нойсе и Klinikum Arnsberg в Северном Рейне-
Вестфалии). Никто из них не платил выкуп.
Кибер-преступления
Neiman Marcus сообщил, что примерно 5200 аккаунтов
его клиентов были взломаны хакерами. Видимо, компания
не пострадала от кражи регистрационных данных, но
хакеры использовали учетные записи, украденные из
других компаний, чтобы проверить, какие из них будут
работать в данном интернет-магазине. Это напоминает
нам о важности двухэтапной авторизации.
Сеть отелей Rosen Hotel & Resort была жертвой
атаки с сентября 2014 до февраля 2016. Она
предупредила своих клиентов, что если в
указанное время они использовали банковскую
карту в любом из учреждений сети, то их данные
могли быть украдены хакерами.
13. Panda Security | Отчет PandaLabs 1 квартал 2016 13
Чилийская группа хактивистов украла 304 189 записей из базы
данных CONADI, правительственного учреждения по развитию
коренных народов. Хакеры опубликовали базу данных
вместе с сообщением, которое выявило слабость систем
безопасности и потребовало отставки Президента Чили.
Американский сервис Verizon пал жертвой атаки. Были
украдены данные, принадлежавшие 1,5 милллионам их
клиентов. По словам Брайна Кребса, который обнаружил
данный инцидент, кибер-преступники продали украденную
информацию примерно за 100 000 долларов (они также
продавали ее по частям за 10 000 долларов).
Новая уязвимость в OS X могла предоставить хакерам полный
доступ. Уязвимость могла пропускать Защиту целостности
системы (SIP), впервые представленную в “El Capitan”.
Когда мы говорим о фишинге, мы обычно думаем о
типичных письмах, похожих на сообщения нашего банка и
пытающихся обмануть нас для получения наших
регистрационных данных. Однако есть и более сложные и
амбициозные атаки, вроде той, от которой пострадала
компания Mattel, производитель Барби и Hot Wheels.
Исполнительный директор получил
сообщение от вновь назначенного
генерального директора с просьбой
перевести три миллиона долларов на счет в
Китай. После проведения платежа (чему
гендиректор был удивлен, т.к. он не отправлял
заявку), Mattel связалась с властями США и
своим банком, но было слишком поздно, т.к.
деньги уже были переведены.
Однако им повезло, т.к. в Китае были официальные
праздники, а потому было достаточно времени
предупредить власти Китая. Они заморозили счет и Mattel
сумел получить свои деньги назад.
Такой тип атаки стал очень популярным. Хакеры выдают
себя за руководителя компании и запрашивают у "своих"
сотрудников осуществления денежных переводов. Для
обмана используется информация, публикуемая ими в
социальных сетях, что делает его более правдоподобным.
14. Panda Security | Отчет PandaLabs 1 квартал 2016 14
Клиника 21st Century Oncology Holdings во
Флориде (США), специализирующая на
лечении рака, предупредила в марте 2,2
миллиона своих пациентов и сотрудников, что
их персональные данные могли быть украдены.
Атака произошла в октябре 2015 года, однако ФБР
просила не раскрывать эту информацию до тех пор, пока
шло расследование. Хакеры смогли украсть
персональные данные (ФИО, номер социальной
страховки, диагноз, лечение, данные медицинского
страхования, сведения о банковской карте и пр.).
Многие помнят известный "полицейский вирус",
предшественника современных шифровальщиков,
который выдавал себя за местные правоохранительные
органы и требовал оплаты штрафа в 100 евро. Одна из
таких кибер-банд была поймана испанской полицией, а в
первом квартале ее члены были осуждены. Банда
состояла из 12 человек. Лидер банды Александр
Краснокутский приговорен к 6 годам, его заместитель
Дмитро Ковальчук получил три года, братья Сергей и Иван
Барковы получили по два года каждый. Остальные члены
банды получили по 6 месяцев тюремного заключения.
Если Flash - это номер один среди плагинов браузеров
для заражения новых жертв (больше дыр и больше атак),
то Java идет рядом на втором месте. Но в этом плане у
нас есть хорошие новости:
Компания Oracle, разработчик Java,
объявила о закрытии продукта.
Новая и последняя версия плагина будет опубликована в
сентябре этого года. Основные производители браузеров
остановили поддержку этих плагинов из-за множества
проблем (преимущественно связанных с
безопасностью). Некоторые уже запланировали
прекратить их использование.
ФБР удалось идентифицировать 1500
человек, торгующих детской порнографией.
В прошлом году они изъяли серверы Playpen - сайта из
теневого Интернета, который был опубликован в августе
2014 года и позволял пользователям загружать и скачивать
изображения по данной тематике. Этот сайт вырос до
225 000 зарегистрированных пользователей. В течение
двух недель ФБР, среди прочего, пытался с помощью
собственных серверов и инструментов установить IP-
адрес посетителей сайта.
Если на нормальном сайте вполне просто установить IP-
адрес посетителя, то в теневом Интернете такая задача
намного сложнее. Фактически, посетители Playpen были
15. Panda Security | Отчет PandaLabs 1 квартал 2016 15
взломаны с помощью уязвимостей в некоторых браузерах
для теневого Интернета. После того как Вы получали доступ к
компьютеру, посетившим данный сайт, утилита собирала
требуемую информацию (IP-адрес, MAC-адрес, версия
операционной системы, имя пользователя и т.д.).
Говоря о взломах со стороны правоохранительных
органов, в Германии Министерство внутренних дел
разрешило использование троянов для доступа к
компьютерам и смартфонам подозреваемых. Троян был
разработан самими полицейскими и позволял им
получить доступ к коммуникациям этих устройств.
Мобильные угрозы
Мы поговорим об уязвимостях в телефонах. Мы наблюдали
уязвимости, которые влияют на эти устройства с разных
сторон: ПО, установленное производителем, процессор
устройства, операционная система...
SNAP - это название уязвимости для телефонов LG
G3. проблема возникает из-за ошибки в
уведомительном приложении Smart Notice LG,
которое позволяет выполнять любой тип JavaScript.
Исследователи из BugSec, обнаружившие эту уязвимость,
сообщили о ней в LG, которая быстро выпустила
обновление для устранения инцидента.
посещения веб-сайта, содержащего вредоносный
медиа-файл.
Многие технари знают имя Snapdragon, который, возможно,
является самым известным процессором Qualcomm,
использующимся на более чем 1 миллиарде устройств (в
основном, мобильных). Коллеги из Trend Micro обнаружили в
этих процессорах две уязвимости, которые позволяют хакеру
получить рутовский доступ к устройству. Google выпустил
обновление, которое решает данную проблему.
Apple был главным героем за последние три месяца. Во-
первых, было опубликовано открытое письмо
руководителя компании Тима Кука по поводу
конфиденциальности пользователей после того, как ФБР
запросило компанию предоставить им секретный вход
для доступа к устройствам iPhone в тех случаях, когда речь
идет о национальной безопасности. Но на самом деле
все началось с теракта в Сан-Бернардино, когда ФБР
изъял iPhone, принадлежащий одному из террористов, и
хотел получить доступ к сообщениям. Многие
технологические компании поддержали письмо Кука
Metaphor - это название уязвимости, присвоенное
компанией NorthBit. Данная уязвимость позволяет
взламывать терминалы Android всего за 10 секунд после
16. Panda Security | Отчет PandaLabs 1 квартал 2016 16
(Facebook, Google, Microsoft, Twitter, LinkedIn и другие.). В
конечном итоге ФБР сумело взломать терминал с
помощью сторонних специалистов.
Интернет вещей
Как мы уже видели в предыдущих отчетах, Интернет вещей
имеет высокие шансы стать жертвой атак. Некоторые
производители в курсе данной проблемы. General Motors
внедрила новую программу вознаграждения для хакеров,
кто сможет найти уязвимости в их машинах. Это вполне
нормальная практика среди технологических компаний
(Microsoft, Google, Facebook и другие уже несколько лет
имеют подобные программы), но это что-то новенькое
среди традиционных компаний, например,
автопроизводителей. Это замечательно, что General Motors
проявил подобную инициативу.
Японский автопроизводитель Nissan отключил
приложение, которое позволяет владельцам
электрокаров Nissan LEAF управлять системой
отопления и кондиционирования воздуха.
Исследователь из Австралии обнаружил, что он может
контролировать эти параметры в любом Nissan LEAF,
просто используя VIN-номер.
Постепенно мы вводим новые "умные" устройства в наш
дом. Компания Ring имеет дверной звонок с камерой,
датчиком движения и встроенным Wi-Fi подключением. Pen
Test Partners Company, изучая одно из таких устройств,
обнаружила, что получив доступ к кнопке установки
устройства, можно получить регистрационные данные той
Wi-Fi сети, к которой оно подключено. Производитель
оперативно отреагировал на это, выпустив новую
прошивку, которая устраняет данную проблему.
Российские исследователи из Industrial Controls Systems
Supervisory Control and Data Acquisition (ICS / SCADA)
опубликовали список промышленного оборудования,
которое поступает с одинаковыми паролями по умолчанию,
чтобы заставить производителей внедрить более
эффективный контроль безопасности. Список уже
окрестили “SCADAPass”, и он содержит регистрационные
данные по умолчанию более чем 100 продуктов от таких
производителей как Allen-Bradley, Schneider Electric и Siemens.
Эти продукты в основном используются в критических
инфраструктурах. В конце 2015 года на Украине была
осуществлена кибер-атака на инфраструктуру
электроснабжения. Примерно 225 000 жителей некоторых
областей Украины остались без электричества
(посередине зимы!) в результате этой кибер-атаки.
Данная атака была связана с группой российских кибер-
преступников, известной как “Sandworm”.
17. Panda Security | Отчет PandaLabs 1 квартал 2016 17
Министерство обороны США запустило
специальную программу вознаграждения
под названием "Взломай Пентагон". Хакерам
предлагается вознаграждение за то, что они
найдут уязвимости в веб-приложениях и сетях,
связанных с Пентагоном.
Каждый может оказаться жертвой кражи информации,
включая террористические группы, подобные ИГИЛ.
Дезертир прихватил "флэшку" с данные о 22 000 членах
ИГИЛ (перед вступлением в ИГИЛ кандидаты обязаны
заполнить анкету со всей этой ниформацией).
Три группы латиноамериканских хакеров смогли взломать
серверы, принадлежащие армии Боливии, после чего
скачали и опубликовали электронные письма. Они
сумели легко получить доступ к информации с помощью
старой дыры безопасности в сервисе VMWare Zimbra,
которая не была закрыта службами безопасности армии.
В марте разведывательная служба Южной Кореи
призналась, что стала жертвой атаки, в которой были
скомпрометированы мобильные телефоны 40 агентов
безопасности в стране, обвинив в нападении Северную
Корею. Спустя несколько дней правительство Северной
Кореи сообщило о своей непричастности к этой атаке.
19. Как видите, год начался достаточно напряженно. Мы
будем внимательно следить за развитием
шифровальщиков, потому как нам придется жить с ними
еще долгое время. Кроме этого, нам следует быть очень
внимательными к Интернету вещей и многочисленным
проблемам безопасности, окружающим данные
устройства.
Мы надеемся, что настоящий отчет был для Вас полезным
и интересным.
Мы продолжим информировать Вас о последних
новостях IT-безопасности в будущих отчетах, а также на
нашем сайте и на страницах наших аккаунтов в соцсетях.
Заключение
4
Panda Security | Отчет PandaLabs 1 квартал 2016
http://www.pandasecurit .com/mediacenter/
https://www.facebook.com/PandaCloudRus
http://www.vk.com/PandaCloudRus
http://twitter.com/#!/PandaCloudRus
21. 5
Panda Security | Отчет PandaLabs 1 квартал 2016
PandaLabs - это антивирусная лаборатория компании
Panda Security, представляющая собой своего рода
нервный центр компании по лечению вредоносных
программ:
PandaLabs непрерывно в режиме реального времени
создает на глобальном уровне контрмеры,
необходимые для защиты клиентов Panda Security от
всех видов вредоносных программ.
PandaLabs ответственна за выполнение тщательных
сканирований с целью поиска всех видов
вредоносных программ для повышения уровня
защиты, предлагаемой клиентам Panda Security, а
также за информирование общественности о
данных угрозах.
Кроме того, PandaLabs постоянно находится в состоянии
повышенной бдительности, внимательно отслеживая
различные тенденции и события, происходящие в области
вредоносных программ и безопасности.
Это необходимо для предупреждения и оповещения
общественности о неизбежных опасностях и угрозах, а
также для прогнозирования будущих событий.
О PandaLabs