Интернет и IT

Безопасность. Антивирусы

Все материалы

Российские банки с сентября стали массово получать электронные письма с вирусом якобы от имени госучреждений.

«Злоумышленники отправили более 11 тыс. писем с фейковых почтовых адресов российских госучреждений - все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей», - сообщает компания из сферы кибербезопасности Group-IB.

Рассылки продолжаются до сих пор. Только за первые несколько дней декабря было отправлено 784 вредоносных письма, передает ИА ТАСС.

Рассылки проходили с 2,9 тыс. различных электронных адресов, которые подделаны под адреса госучреждений. По данным Group-IB, среди госучреждений, от имени которых рассылались письма, - региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Минтруда, УФСИН, прокуратуры и судов.

Письма были замаскированы под служебные документы, например, «Оплата август – сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг».

Банковский троян RTM с 2016 года используют хакеры из одноименной группировки.

«Среди потенциальных жертв RTM - банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка», - пояснил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.

За последние два дня шесть хакерских DDoS-атак беспрецедентной мощности обрушились на Сбербанк. Атаки производились с помощь спуфинга (подмена, маскировка одной программы под другую) не менее чем со 100 серверов из 6 стран, передает ИА ТАСС.

 «Это беспрецедентная по длительности атака, которая осуществлялась с помощью новых технологий - с применением технологии спуфинга и сокрытия адресов отправителя. По нашим оценкам, она осуществлялась весьма профессионально, в рамках этой атаки атакующий активно исследовал уровень нашей защиты. На ресурсы банка эти атаки не повлияли», - сказал зампредправления Сбербанка Станислав Кузнецов.

Он добавил, что Сбербанк уже передал необходимые материалы по инцидентам в госорганы.

Самая большая проблема на конец этого года в выполнении той части программы «Цифровая экономика», которая касается IT-безопасности — финансирование, пишет газета «Ведомости».

Об этом заявил руководитель службы кибербезопасности Сбербанка Сергей Лебедь на «SOC-форуме» 27 ноября:

«Сегодня ноль рублей доведено до исполнителей. Мы имеем задержку в выполнении программы практически ровно на один год».

Но сроков окончания программы, по словам Лебедя, никто не переносил — правительство рассчитывает на своевременное ее выполнение — с ее целями, задачами и финансированием. Сбербанк — один из тех, кто отвечает за исполнение программы «Цифровая экономика», он центр компетенций по IT-безопасности.

Выделить деньги на «Информационную безопасность» должны были Минкомсвязи и Минпромторг — по распоряжению правительства от 29 марта 2018 г., в котором всего распределено 3 млрд руб. на несколько частей программы «Цифровая экономика». Минфин, говорит его представитель, деньги выделил полностью. Минпромторг, сообщает его представитель, деньги получил (13,6 млн руб.), провел конкурсы и заключил госконтракты, но оплачивать их будет в конце ноября, когда примет работы. Минкомсвязи должно было направить Центру компетенций по импортозамещению в IT-сфере 350 млн руб. Этих денег еще нет, подтверждал в середине ноября представитель АНО «Цифровая экономика»: первые конкурсы центр провел только в начале октября, их итоги подвел в конце октября.

682 ФАС

Системы Федеральной антимонопольной службы подверглись хакерской атаке, пишет РБК.

На адреса ФАС началась массовая рассылка вируса, который ворует служебные логины и пароли. Параллельно шла атака на информационные ресурсы ФАС с целью взлома.

В ведомстве подчеркнули, что оперативно отреагировали на распространение вредоноса, которое произошло накануне, 14 ноября, заверив, что никто в результате инцидента не пострадал.

 

За 8 месяцев прошлого года в результате целевых хакерских атак банки лишились 1,078 млрд рублей, за аналогичный период 2018 года – 76,5 млн рублей, говорится в отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России.

Этому в большой степени способствует информационный обмен между ФинЦЕРТ и банками, пояснили в пресс-службе ЦБ.

«Защищенность информационных систем финансовых организаций растет, и это является фактором снижения объема доходов киберпреступников»,  – отмечает заместитель Председателя ЦБ Дмитрий Скобелкин. Поэтому высокотехнологичных и сложных атак, по его словам, будет становиться все меньше, и в будущем злоумышленники сосредоточатся на наиболее уязвимом звене финансовой системы – человеке.

В отчете отмечается возросшая активность кибермошенников в социальных сетях с использованием методов социальной инженерии.

Увеличивается число взломов аккаунтов и рассылка по списку контактов их владельцев просьб об оказании материальной помощи.

В ФинЦЕРТ ожидают, что по мере снижения доходов от прямых атак на кредитные организации преступники будут уделять компьютерам и аккаунтам граждан все больше внимания, поэтому специалисты рекомендуют быть более внимательными и осторожными при общении с незнакомыми лицами в Интернете.

«Киберпреступники, использующие методы социальной инженерии, пытаются создать для потенциальной жертвы стрессовую ситуацию и требуют быстрого принятия решений, пока человек не опомнился. Эксплуатируются чувства страха, растерянности, стремление к легкому обогащению. Этим объясняется неизменный успех атак с использованием социальной инженерии», – отмечает первый заместитель директора Департамента информационной безопасности ЦБ Артем Сычев.

Доступ к счетам юрлиц и ИП злоумышленники получают в основном через рассылки фишинговых электронных писем. При этом сравнительно недавно появился новый вид атак – так называемый watering hole. Эти атаки осуществляются через скомпрометированные порталы популярных в деловой среде интернет-ресурсов. При посещении пользователем взломанного сайта браузер незаметно для него загружает и исполняет вредоносный код.

К информированию государства о киберинцидентах, с этого года ставшему обязательным для госкорпораций, банков и министерств, планируется подключить малый и средний бизнес, пишет газета «КоммерсантЪ». Такая инициатива внесена в нацпроект «Цифровая экономика». Присоединившиеся к ГосСОПКА компании получат возможность «в автоматизированном режиме» обмениваться данными об актуальных киберугрозах и пользоваться сопутствующими услугами и сервисами, говорится в плане.

Ранее подключение к государственной системы предупреждения, обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА) малого бизнеса не предполагалось. Органы власти, госкорпорации и другие организации, относящиеся к критической информационной инфраструктуре, обязаны создавать центры ГосСОПКА с начала 2018 года. Для малого бизнеса в плане мероприятий нацпроекта такая обязанность не предусмотрена. Система должна обеспечивать сбор и обмен информацией о компьютерных атаках с ФСБ.

Однако далеко не все компании могут позволить себе подключиться к ГосСОПКА, говорят эксперты. Подключение к системе требует затрат: например, создание технологической платформы для реализации основных функций центра в рамках небольших инфраструктур может занять от одного месяца и обойтись в несколько миллионов рублей, а расходы на более масштабные проекты с большей областью мониторинга существенно выше. Для госструктур и корпораций стоимость подключения к ГосСОПКА достигает десятков миллионов рублей.

Среди операторов, которые смогут заработать на подключении к ГосСОПКА малого и среднего бизнеса — подконтрольная Сбербанку IT-компания «Бизон». «В „Бизон“ вложено очень много денег, надо как-то их отбивать», — сказал «Ъ» один из экспертов.

"Яндекс" начал индексировать файлы с сервиса Google Docs, из-за чего в открытый доступ попали различные отчеты, документы, пароли и так далее.

Документы, попадающиеся в выдаче «Яндекса», не были защищены настройками приватности — это означает, что их создатель разрешил просмотр (или даже редактирование) всем, у кого есть нужная ссылка. Google и сам индексирует доступные всем документы из Google Docs.

Как проверить настройки приватности: Чтобы убедиться, что документ в Google Docs не могут просматривать посторонние, нужно открыть файл, нажать Файл — Совместный доступ и убедиться, что доступ имеют только определенные пользователи.

те

В числе первых на это обратил внимание паблик MDK. Теперь там веселье:

 

Правительство Нидерландов решило отказаться от использования продуктов компании — разработчика антивируса «Лаборатория Касперского». Об этом говорится в направленном в национальный парламент письме главы Министерства безопасности и правосудия страны Фердинанда Грапперхауса, сообщает Reuters.

По его словам, у российского правительства была «программа кибератак, целью которых, среди прочего, были интересы Нидерландов». Он также подчеркнул, что «конкретных случаев злоупотреблений» со стороны российского разработчика антивируса в Нидерландах нет, однако «исключить этого нельзя».

​В пресс-службе «Лаборатории Касперского» РБК сообщили, что в компании «очень разочарованы решением правительства Нидерландов, которое основывается только на теоретических рассуждениях». Там указали, что никогда не помогали и не будут помогать ни одному правительству в кибершпионаже или вредоносных действиях.

Хакеры провели 11 успешных атак с помощью вируса Cobalt Strike на российские банки в 2017 году и похитили 1,156 миллиарда рублей. Об этом сообщил замглавы Центробанка Дмитрий Скобелкин.

«Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — передает его слова «Парламентская газета».

По его словам, 8 из 11 пострадавших банков являются участниками информационного обмена с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ, который направил более чем 400 организациям индивидуальные предупреждения об атаках с указанием адресов электронной почты, с которых приходили заражённые письма.

Новый метод взлома Windows, который не способны обнаружить современные антивирусы, был продемонстрирован на конференции Black Hat Europe 2017. Об этом предупреждает пользователей программы портал RGRU Digital.

Уязвимость, которая используется для атаки под названием Process Doppelgänging, затрагивает все версии Windows, начиная с седьмой.

По словам специалистов из компании enSilo, обнаружившей уязвимость, благодаря использованию так называемых транзакций NTFS существует возможность модифицировать настоящий исполняемый файл с помощью вредоносного кода, при этом результат не будет сохранен на жестком диске, а значит, не будет обнаружен антивирусами.

В качестве доказательства сотрудники enSilo протестировали около десяти наиболее популярных антивирусов, и ни один из них не выявил опасности. По их словам, атака эксплуатирует фундаментальные механизмы Windows, поэтому выпустить «заплатку» для операционной системы не получится.

Впрочем, в будущем антивирусы смогут отлавливать такой тип атак, говорят в компании.

По требованиям Роскомнадзора, основанным на вступивших в силу решениях судов, владельцы сайтов и операторы связи ограничили доступ к 72 интернет-страницам с информацией о способах создания, внедрения, распространения и использования вредоносного программного обеспечения.

Данные интернет-страницы содержали информацию о вредоносном ПО, предназначенном для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, а также слежки, прослушивания и получения персональных данных с мобильных устройств и сайтов, пояснили в пресс-службе ведомства.

 

1763 Windows

Из-за хакерской атаки на приложение CCleaner похищены данные пользователей. Об этом рассказали в компании-разработчике приложения Piriform.

Напомним, приложение CCleaner служит для очистки реестра, кэша и списка автоматически запускаемых программ Windows.

Вредоносный код обнаружили в 32-битной версии CCleaner 5.33.6162 (выпущена 15 августа) и версии CCleaner Cloud 1.07.3191 (выпущена 24 августа). 12 сентября были выпущены безопасные обновления, уточняет «Медуза».

Оба приложения после обновления до взломанных версий начинали отправлять имя компьютера, его IP-адрес, список установленных программ и сетевых адаптеров на специальный сервер на территории США. Этот сервер был отключен правоохранительными органами 15 сентября.

По оценке Piriform, взломанные версии CCleaner могли установить до 3% пользователей — почти 2,3 миллиона человек.

Напомним, почитать о другом киберпреступлении по хищению денежных средств со счета компаний, можно в статье на нашем сайте «Ловушка для главбуха: как взламывают сайты, чтобы красть деньги со счетов».

Сайты крупных российских туроператоров Anex Tour и Mouzenidis Travel перестали работать во вторник из-за кибератаки, тем не менее, компании обещают выполнить обязательства перед туристами.

Заместитель руководителя Anex Tour по рекламе Яна Муромова рассказала "Интерфаксу", что сайт компании перестал работать днем во вторник после серии технических проблем. Туроператору пришлось из соображений безопасности отключить систему онлайн-бронирования. Также в офисе компании не работают телефоны и компьютеры. "Скорее всего, это хакерская атака", - сообщила Муромова.

Тем не менее, компания обещает выполнить все обязательства перед туристами. "В связи с техническим сбоем всем туристам, не получившим документы по подтверждённым заявкам, необходимо пройти регистрацию в аэропорту за два часа до вылета, предоставив копию договора с агентством. Выдача паспортов туристов, вылетающих в визовые направления в ближайшие даты, будет осуществляться в аэропорту вылета", - сообщила Муромова.

Пресс-служба Mouzenidis Travel во вторник распространила информацию о том, что сайт компании подвергся кибератаке, в результате которой был заблокирован доступ к системе онлайн-бронирования и локальным компьютерам компании, а также выведена из строя система телефонии.

"Сейчас ведется работа по налаживанию резервного функционирования. В полном объеме работа всех систем будет восстановлена к утру 28 июня. Произошедшее никак не скажется на оперативной деятельности туроператора: все туристы будут вылетать к месту отдыха и возвращаться своевременно в соответствии с забронированными авиабилетами и путевками", - цитирует сообщение компании Ассоциация туроператоров России (АТОР).

Другие туроператоры не сообщали о проблемах, связанных с хакерами.

Во вторник в мире распространился компьютерный вирус Petya, который стал причиной сбоев в работе компаний во многих странах. В Украине пострадали правительственные учреждения, объекты инфраструктуры и коммерческие компании. В России среди жертв кибератаки оказались компьютерные сети компаний "Башнефть", "Роснефть" и Evraz, а также банка Home Credit и нескольких других банков.

Банк «Хоум Кредит» подвергся вирусной атаке, вирус затронул все офисы кредитной организации, в том числе центральный. Сотрудникам банка рекомендовали выключить все компьютеры, все отделения банка приостановили работу. Об этом сообщил источник агентству РБК.

В пресс-службе Хоум Кредита сказали РБК, что сейчас они устроили проверку безопасности всех систем, но ни подтвердить, ни опровергнуть факт хакерской атаки на банк на данный момент они не могут.

Так же о «мощной хакерской атаке» сегодня на свои серверы сообщила «Роснефть», из-за вирусной атаки вышли из строя компьютеры целого ряда банков и предприятий на Украине.

1357 Symantec

Американский производитель сетевого оборудования и других высокотехнологичных продуктов Symantec отказался сертифицировать оборудование в России в связи с опасениями, что исходный код может быть использован для кибератак. Об этом сообщает Reuters со ссылкой на заявление представителей компании.

В Symantec объяснили, что компании нужно было пройти сертификацию одного из продуктов (о каком именно продукте идет речь, не сообщается) и показать исходный код на предмет проверки требованиям безопасности. Проверка проходила по требованию Федеральной службой по техническому и экспертному контролю, ее выполняла компания «Эшелон», которая сертифицирована ФСТЭК.

Американская компания решила, что «Эшелон» не может считаться независимой лабораторией, поскольку тесно связана с властями — в частности, руководитель «Эшелона» Алексей Марков упоминается на ее сайте как руководитель аттестационного центра министерства обороны. В Symantec решили, что защита интересов собственных клиентов и надежная защита исходного кода продуктов им важнее, чем увеличение своей доли на российском рынке, и с 2016 года перестали соглашаться на сертификацию продуктов на предмет безопасности.

Другие зарубежные компании, в том числе McAfee и HP, соглашались работать с «Эшелоном». Представители этих фирм утверждают, что проверка исходного кода проводилась в условиях, которые исключают его кражу и попадание к хакерам.

Депутаты Госдумы приняли в первом чтении законопроект о запрете использования технологий обхода блокировок сайтов. За документ проголосовали 363 депутата, против не выступил никто.

Законопроект предусматривает блокировку анонимайзеров и VPN-сервисов, которые откажутся ограничивать доступ к запрещенным в России сайтам. 

В документе также предлагается ввести штрафы от 500 до 700 тысяч рублей для поисковых систем за выдачу ссылок на заблокированные сайты.

Законопроект о запрете анонимайзеров, по данным РБК, обсуждался, в числе прочих тем, на закрытой встрече главы ФСБ Александра Бортникова с депутатами Госдумы 23 июня.

Бортников, рассказали источники РБК, просил депутатов «ускорить принятие нескольких законопроектов, в том числе о критической информационной инфраструктуре, о мессенджерах, об анонимайзерах».

1227 ФАС

Федеральная антимонопольная служба (ФАС) подтвердила утверждения «Лаборатории Касперского» (ЛК) о том, что Microsoft нарушает в Windows 10 нормы закона о защите конкуренции. ФАС продолжает расследование, открытое по заявлению ЛК в ноябре 2016 года, но уже установлено, что:

  • уведомления Windows 10 об антивирусах — действительно нужны для введения пользователя компьютера в заблуждение;
  • при этом Microsoft несколькими способами дискриминирует независимых от него производителей антивирусного ПО.
ФАС России предупредила «Майкрософт» о недопустимости создания дискриминационных условий. На устранение нарушений Microsoft получил месяц.

Microsoft, по мнению «Лаборатории Касперского», пытается уговаривать пользователей отказаться от стороннего программного обеспечения в пользу своего собственного Windows Defender, а конкурирующих производителей решений для обеспечения безопасности ждут созданные Microsoft препятствия.