2024/11/11 10:47:12

Вредоносная программа (зловред)

Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.

Каталог решений и проектов ИБ - Антивирусы доступны на TAdviser

Содержание

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации — угрозы нарушения целостности, конфиденциальности, доступности.

Типы вредоносных программ

Сетевые черви

Основная статья: Сетевой червь

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

  • проникновения на удаленные компьютеры;
  • запуска своей копии на удаленном компьютере;
  • дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.TAdviser выпустил Гид по российским операционным системам 10.4 т

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классические компьютерные вирусы

Основная статья: Компьютерный вирус

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

  • последующего запуска своего кода при каких-либо действиях пользователя;
  • дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

  • при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
  • вирус скопировал себя на съёмный носитель или заразил файлы на нем;
  • пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

Основная статья: Трояны

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

  • утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
  • программные библиотеки, разработанные для создания вредоносного ПО;
  • хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
  • «злые шутки», затрудняющие работу с компьютером;
  • программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
  • прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

Сталкерское ПО (программы-шпионы)

Основная статья: Сталкерское ПО (программы-шпионы)

Буткит (Bootkit)

Основная статья: Буткит (Bootkit)

Ботнет (Botnet)

Основная статья: Ботнет (Botnet)

Модели использования

Вирусы-вымогатели (шифровальщики)

Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware

Скрытый майнинг (Криптоджекинг)

Основная статья: Скрытый майнинг (Криптоджекинг, cryptojacking)

История вредоносного ПО

2024

Минимум 3 года хакеры шпионили за российскими ведомствами с помощью вредоноса, способного маскироваться

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили вредоносное ПО GoblinRAT с широкой функциональностью для маскировки. Об этом эксперты рассказали 8 ноября 2024 года. ВПО обнаружили в сети нескольких российских ведомств и ИТ-компаний, которые обслуживают госсектор. С помощью GoblinRAT злоумышленники смогли получить полный контроль над инфраструктурой жертв. Самые ранние следы заражения датируются 2020 годом, на ноябрь 2024 года ВПО удалено из атакованных сетей. Это одна из самых сложных и скрытных атак, с которыми доводилось сталкиваться экспертам Solar 4RAYS, коллеги по ИБ-отрасли также не встречались с данным кейсом.

Впервые эксперты Solar 4RAYS обнаружили GoblinRAT в 2023 году при расследовании инцидента в ИТ-компании, предоставляющей услуги преимущественно органам власти. Штатные ИБ-специалисты организации заметили факты удаления системных журналов на одном из серверов, а также загрузки утилиты для похищения паролей от учетных записей с контроллера домена. Подозрительные события побудили сотрудников инициировать расследование и привлечь к этому специалистов «Солара».

После продолжительных поисков эксперты Solar 4RAYS обнаружили вредоносный код, который маскировался под процесс легитимного приложения. Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии. Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. Вероятно, злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными.

Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического закрепления: всякий раз атакующие сначала тщательно изучали особенности целевой инфраструктуры (используемое ПО и т.п.) и лишь потом внедряли вредонос под уникальной маскировкой — обязательно под личиной одного из приложений, работающих на конкретной атакуемой системе. Это явно указывает на таргетированный характер атаки. Высокий уровень технической подготовки атакующих и знание принципов работы операционных систем позволили им оставаться незамеченными в течение нескольких лет.

Особенности GoblinRAT, которые затрудняют его обнаружение:

  • Вредонос самоуничтожается спустя определенное время, если оператор не подключается к нему и не сообщает специальный код.
  • удаляя себя, ВПО несколько раз перезаписывает содержимое своих файлов на жестком диске случайными символами, чтобы максимально усложнить расследование;
  • GoblinRAT маскируется под уже имеющийся на зараженной машине процесс, изменяя его название и аргументы командной строки. В некоторых случаях работал внутри легитимного приложения.
  • злоумышленники применяют технику Port knocking («стук по портам») в серверной версии GoblinRAT, что позволяет им шпионить даже в сегментах инфраструктуры с жестко ограниченным доступом в интернет.
  • передаваемые данные в рамках соединения с сервером управления ВПО шифруются.
  • для обхода ограничений межсетевых экранов используется построение сетевых туннелей.
  • Интересно, что в качестве управляющих серверов (через которые оператор отдает команды ВПО) злоумышленники использовали легитимные взломанные сайты (например, сайт онлайн-ритейлера). Это позволило замаскировать вредоносный трафик.

Всего вредонос был обнаружен в четырех организациях, и в каждой из них атакующие смогли получить полный контроль над целевой инфраструктурой: они имели удаленный доступ с правами администратора ко всем сегментам сети. Эксперты Solar 4RAYS нашли свидетельства, указывающие, что как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ в течение трех лет, а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев.

«
Благодаря обнаруженным артефактам мы смогли проследить историю развития GoblinRAT с 2020 года, однако нам не удалось обнаружить широкого распространения вредоноса. Более того, наши коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях. Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. Подобных инструментов не демонстрировали ни азиатские, ни восточно-европейские группировки, ни группировки из других регионов. Очевидно только, что для создания и использования GoblinRAT злоумышленники должны обладать очень высоким уровнем профессионализма и быть хорошо замотивированными. Те атаки, что мы расследовали, требовали тщательной предварительной подготовки и большого количества "ручной" работы, — отметил инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS Константин Жигалов.
»

По итогам расследования команда Solar 4RAYS сформировала индикаторы компрометации, которые помогут компаниям обнаружить GoblinRAT в своей инфраструктуре, а также детектирующую логику — инструмент для поиска вредоносной активности в сети.

Злоумышленники чаще всего атакуют российские компании с помощью троянов удаленного доступа и стилеров

Злоумышленники чаще всего атакуют российские компании с помощью троянов удаленного доступа и стилеров. Об этом BI.Zone сообщила 5 ноября 2024 года.

Трояны удаленного доступа (RAT) используются более чем в половине атак. Еще в 29% случаев злоумышленники применяют стилеры для кражи чувствительной информации. Тройку лидеров замыкают загрузчики ВПО, которые используются в 16% атак.

Стилеры позволяют киберпреступникам получать сведения о скомпрометированных устройствах, включая версию ОС и информацию об оборудовании, а также данные из криптокошельков, почтовых клиентов, браузеров и других приложений, в том числе логины и пароли. При этом полученный аутентификационный материал может в дальнейшем использоваться для более сложных целевых атак на скомпрометированные организации.

Наиболее популярные стилеры — это FormBook (29%), SnakeLogger (23%), Rhadamantys (17%) и PureLogs Stealer (11%). Пятерку лидеров замыкает MetaStealer, который используется почти в 10% атак. Фактически это аналог стилера RedLine, который отличается отсутствием ограничений на использование против компаний из России и других стран СНГ.

«
Отсутствие запрета от разработчиков MetaStealer на применение против российских организаций — важное качество для злоумышленников. Например, этот стилер охотно использует группировка Venture Wolf, нацеленная на промышленность, строительство, ИТ, телеком и некоторые другие отрасли. Злоумышленники активны с ноября 2023 года и провели не менее 10 кампаний против российских организаций. Для доставки MetaStealer группировка рассылает фишинговые письма с архивами. В них содержится загрузчик с расширением .com (реже — .exe), который после запуска внедряет стилер на устройство жертвы,
сказал Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
»

В качестве отвлекающих документов Venture Wolf нередко использует карточки организаций, в которых указаны реквизиты и адреса компаний. Многие злоумышленники прибегают к такому приему, поскольку использование информации о реальных организациях делает фишинговое письмо более правдоподобным и вызывает доверие у пользователя. Важно помнить, что обладатели торговых марок не несут ответственности за действия киберпреступников и причиненный в результате ущерб.

Злоумышленники рассылают электронные письма с архивом, который содержит загрузчик и несколько фишинговых документов. После того как жертва открывает вложение, происходит расшифровка и загрузка стилера.

Фишинговые рассылки — один из наиболее распространенных способов получения первоначального доступа в ИТ-инфраструктуру. Решения для защиты электронной почты, например BI.ZONE CESP, помогут обезопасить корпоративную почту от вредоносных писем за счет механизмов фильтрации и технологий машинного обучения.

Появился компьютерный вирус, который прячется в изображении png

В середине октября 2024 года появились предупреждения о том, что вирус Ghostpulse, теперь способен передаваться через изображения PNG. Этот формат широко используется для веб-графики, и ему часто отдают предпочтение перед JPG, поскольку PNG позволяет сжимать изображение без потерь, к примеру, сохраняя плавные контуры текста. Подробнее здесь.

Хакеры отказываются от вредоносных программ в пользу редких инструментов для пентеста

Хакеры отказываются от вредоносных программ в пользу редких инструментов для пентеста. Об этом BI.Zone сообщил 1 октября 2024 года.

Чем реже инструмент используется в атаках, тем больше у злоумышленников шансов остаться незамеченными в скомпрометированной ИТ-инфраструктуре. В последние несколько месяцев кибергруппировки стали чаще использовать фреймворк Havoc: он применяется реже аналогичных инструментов, и поэтому его сложнее выявить современными средствами защиты информации.

По данным BI.ZONE, 12% всех кибератак злоумышленники совершают с применением инструментов, изначально предназначенных для тестирования на проникновение. Решения для пентеста и red team хакеры стали включать в арсенал еще со второй половины 2010-х, однако в последнее время преступники стремятся заменить популярные инструменты на менее известные.

«
С июля 2024 года мы выявили сразу несколько кампаний, в ходе которых злоумышленники применяли менее распространенный фреймворк Havoc, чтобы получить удаленный доступ к компьютерам жертв. Функциональные особенности Havoc принципиально не отличаются от других фреймворков. Этот инструмент менее популярен, чем другие, а потому его сложнее обнаружить средствами защиты. В этом и заключается его ключевое преимущество для преступников. Во всех случаях наиболее вероятной целью атак был шпионаж, а такие группировки стремятся оставаться в инфраструктуре компании незамеченными как можно дольше,
сказал Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
»

Для распространения вредоносной нагрузки фреймворка злоумышленники использовали фишинг. В одном случае жертвам приходили письма с якобы медицинскими документами. Во вложении был архив, в котором содержался lnk-файл. Если пользователь открывал этот ярлык, на его компьютер загружался отвлекающий документ — выписка из амбулаторной карты пациента, а также устанавливался загрузчик — программа, которая затем внедряла в устройство жертвы агент фреймворка Havoc. После этого злоумышленники получали доступ к скомпрометированной системе и могли удаленно выполнять в ней команды и выгружать данные.

В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур. Пользователя уведомляли о том, что он якобы подозревается в совершении серьезного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма. На самом деле при переходе по ссылке на компьютер жертвы, как и в предыдущем случае, устанавливался загрузчик, а вслед за этим — агент.

Фишинговые рассылки по-прежнему остаются у киберпреступников одним из самых популярных способов получения первичного доступа. Причина в их низкой себестоимости, широте покрытия и высокой эффективности.

Новый вирус с открытыми исходниками ударил по российскому машиностроение и медицине

В России зафиксирована новая волна кибератак, направленных на машиностроительные и медицинские компании, с использованием вредоносного ПО с открытыми исходниками. Об этом стало известно в сентябре 2024 года. Новый вирус Loki, связанный с фреймворком Mythic, распространился через целевые атаки, нанося серьезный урон ключевым секторам экономики. Подробнее здесь.

Появился новый вирус-вымогатель, который атакует системы VMware

В начале июля 2024 года стало известно о том, что киберпреступники начали использовать новую вредоносную программу для организации атак на среды Windows и VMware ESXi. Вирус-вымогатель, написанный на языке Go, получил название Eldorado. Подробнее здесь.

2023

Инфостилеры взломали почти 10 млн устройств по всему миру

В 2023 году инфостилеры взломали почти 10 млн устройств по всему миру и в среднем украли с каждого зараженного устройства 50,9 пар логинов и паролей — это почти 510 млн скомпрометированных учетных записей пользователей. Из этого массива данных злоумышленники выбирают наиболее интересные домены и имена, которые можно использовать для атаки на скомпрометированную компанию. Успешным действиям инфостилеров помогают сами пользователи, которые часто используют одни и те же пароли к сервисам, в том числе, к корпоративным приложениям и устройствам. Об этом Angara Security сообщила 2 апреля 2024 года.

Кибермошенники заинтересованы в том, чтобы украсть как можно больше учетных записей, отмечают в Angara Security. Функционал вредоносных программ настроен так, чтобы эффективно похищать данные из браузера, в том числе поля автозаполнения, данные мессенджеров (например, Telegram и Discord), криптокошельков, прикладных приложений (почтовых, RDP- или FTP-клиентов и так далее), содержимое буфера обмена и даже могут перехватывать нажатия клавиш. Стилер действует в фоновом режиме, так что жертва может даже не догадаться о том, что подвергается атаке в режиме реального времени.

«
Чем больше данных похищает стилер, тем более эффективным он считается, — сказала Лада Антипова, эксперт по реагированию на инциденты Angara Security. — Поэтому при разработке вредоносных программ злоумышленники стараются использовать такой сценарий распространения, при котором будет заражено максимальное количество устройств. К таким сценариям относится распространение через почтовые рассылки, зараженный пиратский софт, SEO poisonning («отравление» поисковой выдачи и поднятие вредоносного сайта в результатах поиска) и малвертайзинг (использование рекламных объявлений для распространения вредоносных программ).
»

Для защиты от инфостилеров эксперты рекомендуют придерживаться базовых правил кибербезопасности. Важно не скачивать файлы с недоверенных ресурсов и не переходить по неизвестным ссылкам на сторонние сайты. Использование антивирусного программного обеспечения с регулярным обновлением баз сигнатур и проверкой рабочей станции также является важным шагом.

Для усиления защиты рекомендуется использовать разные пароли для разных сервисов и менять их периодически. Использование менеджеров паролей поможет создать более надежную защиту учетных данных. Двухфакторная аутентификация также является эффективным способом обезопасить данные учетной записи.

Необходимо избегать хранения паролей и данных банковских карт в браузере или открытых текстовых файлах. Для работы с чувствительной информацией рекомендуется использовать режим инкогнито в браузере, который обеспечит конфиденциальность сеанса просмотра веб-страниц.

Для компаний важно мониторить теневые площадки для своевременного обнаружения скомпрометированных учетных записей и предотвращения рисков. Рекомендуется также внедрить комплексные решения для повышения уровня кибербезопасности.

В официальные магазины приложений Google и Samsung попали фальшивые копии Telegram со встроенным вирусом. Их скачивают пользователи по всему миру

30 августа 2023 года компания Eset, специализирующаяся на вопросах информационной безопасности, сообщила о том, что через официальные магазины приложений Google Play и Samsung Galaxy Store, а также специализированные веб-сайты распространяются поддельные приложения Telegram и Signal со встроенными шпионскими функциями. Опасные программы загрузили тысячи пользователей по всему миру. Подробнее здесь.

"Википедия" стала инструментом для маскировки вредоносного загрузчика WikiLoader

1 августа 2023 года стало известно о том, что исследователи кибербезопасности из компании Proofpoint обнаружили вредоносное программное обеспечение WikiLoader, представляющее из себя загрузчик, который активно разрабатывается и использует несколько механизмов, чтобы избежать обнаружения.

Как сообщают специалисты, WikiLoader уже фиксировался в нескольких кампаниях, начиная с декабря 2022 года. А основной целью данных зловредных операций стали итальянские организации.

WikiLoader распространяется через различные векторы, включая документы с макросами, PDF-файлы, содержащие ссылки на полезные нагрузки, написанные на JavaScript, а также через вложения OneNote со встроенными исполняемыми файлами.

Главная задача WikiLoader — загрузить полезную нагрузку второй стадии. По словам экспертов, довольно часто второй этап заражения приносит с собой одну из вариаций вредоноса Ursnif.

Загрузчик получил название WikiLoader, потому что отправляет HTTPS-запрос к «wikipedia.com» и проверяет, содержится ли в ответе строка «The Free». По мнению Proofpoint, данная уловка используется для уклонения от автоматизированной среды анализа. Однако это лишь одна из многих функций, призванных держать вредоносное ПО в тени.

«
Первая стадия WikiLoader сильно обфусцирована. Большинство инструкций вызова заменены комбинацией инструкций push/jmp, чтобы воссоздать действия возврата без необходимости явно использовать инструкцию возврата. Такой подход вызывает проблемы с обнаружением у распространённых инструментов анализа, таких как IDA Pro и Ghidra. Помимо этих функций, WikiLoader также использует непрямые системные вызовы в попытке обойти EDR-решения и перехваты в изолированной среде,
пояснили в Proofpoint.
»

Вредоносное ПО также использует упакованные загрузчики — весьма распространённую тактику, применяемую злоумышленниками, чтобы избежать обнаружения и анализа.

Proofpoint обнаружила по меньшей мере три разных вариации WikiLoader, что намекает на активную разработку вредоноса. Авторы стремятся сделать своё творение более сложным, а полезную нагрузку — труднее для извлечения и анализа исследователями.

Последняя версия WikiLoader, обнаруженная 11 июля 2023 года, использует сложные методы шифрования данных, скрытые способы управления системой, извлекает файлы через зашифрованный протокол и тщательно маскирует свои действия.

Эксперты предупреждают, что вредоносное ПО может стать полезным инструментом для брокеров первоначального доступа (IAB), которые с его помощью могут доставлять любые другие вредоносы во время своих атак.

«
Организации должны убедиться, что макросы отключены по умолчанию для всех сотрудников, заблокировать выполнение встроенных внешних файлов в документах OneNote и обеспечить, чтобы файлы JavaScript по умолчанию открывались в блокноте или аналогичном приложении путём настройки ассоциаций расширений файлов по умолчанию через настройки групповой политики,
заключили исследователи Proofpoint[1].
»

Хакеры научились удаленно устанавливать вирус на подключенные к компьютеру USB-флэшки

В начале июня 2023 года специалисты из Check Point Incident Response Team (CPIRT) сообщили о результатах расследования киберинцидента в одной из европейских больниц. Оно показало, что вредоносная активность, скорее всего, не была целенаправленной, а была просто побочным ущербом от самораспространяющихся вредоносных программ Camaro Dragon, которые попали в систему через USB-накопители. Подробнее здесь.

Загрузчик DoubleFinger прячет стилер в PNG-файлах и подменяет интерфейс криптовалютных кошельков

Эксперты Лаборатории Касперсого обнаружили многоступенчатый загрузчик DoubleFinger, который доставляет стилер GreetingGhoul на компьютеры пользователей в Европе, США и Латинской Америке. Атака начинается с того, что жертва открывает вредоносное вложение PIF в электронном письме, запуская первый этап загрузчика DoubleFinger. Об этом стало известно 13 июня 2023 года.

Первый этап представляет собой модифицированный файл espexe.exe (приложение Microsoft Windows Economical Service Provider), который выполняет зловредный шелл-код, отвечающий за загрузку PNG-изображения с сервиса Imgur. Изображение использует стеганографический прием для сокрытия зашифрованной полезной нагрузки, которая запускает четырехступенчатую цепочку компрометации, в результате которой на зараженном хосте выполняется GreetingGhoul.

Особенностью GreetingGhoul является использование Microsoft Edge WebView2 для создания поддельных наложений поверх легитимных криптовалютных кошельков, чтобы похитить учетные данные, вводимые ничего не подозревающими пользователями. Кроме того, DoubleFinger также доставляет Remcos RAT - коммерческий троян, который использовался злоумышленниками для атак на европейские и украинские организации в последние месяцы.

Проведенное исследование вредоносных программ DoubleFinger и GreetingGhoul указывает на высокий уровень технической подготовки их создателей, способных разрабатывать мощное вредоносное ПО, сравнимое с APT-угрозами. Многоуровневый загрузчик, который применяет шелл-коды и стеганографию, использует COM-интерфейсы Windows для скрытого выполнения и применяет метод Process Doppelgänging для интеграции в отдаленные процессы, демонстрирует высокий уровень продуманности и сложности атаки. Дополнительно, применение среды выполнения Microsoft WebView2 для создания поддельных интерфейсов для криптовалютных кошельков является еще одним показателем продвинутой тактики, используемой в данной атаке[2].

Как киберпреступники обходят антивирусы с помощью сервисов Google

22 мая 2023 года специалисты в области информационной безопасности из компании Check Point Software Technologies обнародовали результаты анализа зловреда GuLoader, который в процессе работы эксплуатирует облачные службы Google. Подробнее здесь.

Производитель полупроводниковых материалов Applied Materials потерял $250 млн из-за атаки вируса-вымогателя на поставщика

16 февраля 2023 года компания Applied Materials, производящая полупроводниковые материалы, сообщила о потере $250 млн из-за кибератаки на одного из её поставщиков. Подробнее здесь.

Хакеры научились распространять вирусы в пустых изображениях

19 января 2023 года специалисты по вопросам информационной безопасности из компании Avanan сообщили о новом типе кибератак. Злоумышленники распространяют вредоносное программное обеспечение в пустых изображениях.

Как показало расследование, киберпреступники отправляют жертве электронное письмо от имени сервиса DocuSign: получателю предлагается просмотреть и подписать некий документ. Причём ссылка DocuSign ведёт на легальную страницу службы, что может ввести пользователя в заблуждение.

Хакеры распространяют вирусы в пустых изображениях

Однако вместе со ссылкой DocuSign потенциальная жертва получает HTM-вложение, которое и служит для организации атаки. Оно содержит изображение SVG, закодированное с помощью Base64. Специалисты говорят, что фактически это пустая картинка с активным содержимым внутри. На самом деле в состав изображения интегрирован Javascript-код, автоматически перенаправляющий пользователя по вредоносный ссылке. Такая методика позволяет обойти традиционные системы обеспечения безопасности вроде VirusTotal. После перехода на злонамеренный сайт, получатель письма рискует стать жертвой различных мошеннических схем, например, направленных на кражу персональной информации или денежных средств. Атаки подобного типа нацелены как на обычных пользователей, так и на предприятия малого и среднего бизнеса.

«
Вредоносный контент находится внутри изображения. Когда пользователь нажимает на вложение, он автоматически перенаправляется по мошенническому URL-адресу. Большинство служб безопасности беспомощны против этих атак, — говорится в исследовании Avanan.
»

Чтобы не попасться на уловку киберпреступников, специалисты рекомендуют пользователям с осторожностью относиться к любым электронным письмам, содержащим вложения в формате HTML или HTM. Администраторы корпоративных компьютерных сетей могут внедрить блокировку таких вложений.[3]

Хакеры начали использовать пиратское шпионское ПО ЦРУ

10 января 2023 года компания Netlabs сообщила о том, что неизвестные злоумышленники создали новую вредоносную программу на основе шпионского комплекта Hive, который применялся ЦРУ для кражи тех или иных данных. Подробнее здесь.

Хакеры начали использовать популярную нейросеть ChatGPT для создания вирусов

6 января 2023 года компания Check Point Research обнародовала результаты исследования, которое говорит о том, что злоумышленники, в том числе начинающие хакеры и люди без какого-либо опыта программирования, применяют передовую нейросеть ChatGPT для создания вредоносного кода. Подробнее здесь.

2022

Cobalt Strike незаметно распространяется через 3 загрузчика

Исследователи Palo Alto Unit 42 описали 3 загрузчика Cobalt Strike, каждый из которых загружает разные типы имплантатов – SMB Beacon, DLL Beacon и стейджер Cobalt Strike. Об этом стало известно 6 декабря 2022 года.

Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации[4].

SMB Beacon (KoboldLoader)

Чтобы обойти песочницы, которые перехватывают только функции пользовательского режима высокого уровня, он вызывает встроенные функции API. Чтобы усложнить анализ, он исполняет функции с помощью хэша вместо использования простых текстовых строк.

KoboldLoader создает дочерний процесс инструмента Windows «sethc.exe», затем создает новый раздел и сопоставляет с ним расшифрованный загрузчик маяка Cobalt Strike. Окончательное выполнение загрузчика Cobalt Strike происходит путем вызова «RtlCreateUserThread».

DLL Beacon (MagnetLoader)

MagnetLoader имитирует законную библиотеку Windows. Все экспортированные функции MagnetLoader вызывают одну и ту же основную подпрограмму вредоносного ПО. При вызове какой-либо функции запускается точка входа DLL, в которой вредоносное ПО загружает оригинальную библиотеку «mscms.dll» и разрешает все подделываемые функции.

Загрузчик маяка Cobalt Strike расшифровывается в буфер памяти и запускается, используя параметр обратного вызова функции Windows API «EnumChildWindows». Вредоносное ПО может злоупотреблять этим параметром, чтобы косвенно вызывать адрес через функцию обратного вызова и скрывать поток выполнения.

Стейджер (LithiumLoader)

LithiumLoader распространяется через легитимный установочный пакет FortiClient VPN, созданный злоумышленником и представленный VirusTotal как «FortiClientVPN_windows.exe». Поскольку файл подписан, он не обнаруживается антивирусным ПО.

Программа установки представляет собой самораспаковывающийся RAR-архив, содержащий следующие файлы:

Image:Скриншот_10-12-2022_172548.jpg

При запуске установщика все файлы автоматически помещаются в локальную папку «%AppData%» и запускаются оба исполняемых файла. Во время выполнения установщика FortiClient VPN инструмент WinGup дополнительно загружает вредоносную библиотеку «libcurl.dll», импортируя некоторые функции из легитимной копии библиотеки «libcurl».

При компиляции библиотеки LithiumLoader в легитимную библиотеку внедряется вредоносный сценарий одной из функций. Затем эта функция запускает шелл-код стейджера Cobalt Strike косвенно через функцию обратного вызова «EnumSystemGeoID». Шелл-код стейджера Cobalt Strike заимствован из Metasploit и представляет собой обратную полезную нагрузку HTTP-оболочки[5].

Злоумышленники выдают вредоносные приложения для ОС Android за программы для поиска работы

21 ноября 2022 года компания «Доктор Веб» сообщила о распространении вредоносных приложений для ОС Android, которые злоумышленники выдают за программы для поиска работы. С их помощью мошенники могут собирать персональную информацию жертв, а также обманом похищать у них деньги. Подобнее здесь.

Erbium похищает данные кредитных карт и криптокошельков

Вредонос Erbium распространяется под видом читов для игр. Об этом стало известно 27 сентября 2022 года.

Erbium – это вредонос, предоставляющийся как услуга (Malware-as-a-Service), который за небольшую плату (100$ в месяц или $1000 за год) предлагает клиентам функционал продвинутого инфостилера. Первыми о вредоносном ПО сообщили исследователи из команды Cluster25, а аналитики из Cyfirma в своем отчете предоставили дополнительную информацию о том, как он распространяется.

Как и другие инфостилеры, Erbium похищает данные, хранящиеся в веб-браузерах (на базе Chromium или Gecko): пароли, cookie-файлы, данные кредитных карт и автозаполнения. Кроме того, вредонос пытается перехватить данные из большого набора криптовалютных кошельков, установленных в веб-браузерах в качестве расширений.

Список горячих криптокошельков, на которые нацелен Erbium.

Однако хакерам мало горячих криптокошельков, поэтому они нацелены и на холодные: Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash и Jaxx.

Из дополнительных возможностей Erbium:

  • Способен похищать коды двухфакторной аутентификации из Trezor Password Manager, EOS Authenticator, Authy 2FA и Authenticator 2FA;
  • Умеет делать скриншоты;
  • Перехватывает токены Steam и Discord;
  • Составляет «портрет» хоста на основе собранных данных.

Все данные передаются на C&C-сервер операторов через встроенную API. Злоумышленники могут анализировать собранную информацию на приборной панели Erbium.

Приборная панель Erbium.

Исследователи из Cluster25 сообщили, что атаки с использованием Erbium происходят по всему миру: в США, Франции, Колумбии, Испании, Италии, Индии, Вьетнаме и Малайзии.

Эксперты предупреждают, что в будущем вредонос будет распространяться не только через читы и пиратские игры. Пользователям рекомендуется не загружать пиратское ПО и сканировать все загруженные файлы с помощью антивируса[6].

Вредоносная программа SharkBot 2.25 вернулась в Google Play

Обновленная версия вредоносной программы SharkBot вернулась в Google Play Store. Вредонос нацелен на банковские данные пользователей, которые устанавливают с виду безобидные приложения, которые на самом деле являются дропперами для SharkBot. Об этом стало известно 7 сентября 2022 года. Подробнее здесь.

Из Google Play вновь удалены десятки приложений, распространяющих вредоносное ПО

Из Google Play вновь удалены десятки приложений, распространяющих вредоносное ПО. Об этом стало известно 19 июля 2022 года. Подробнее здесь.

«Лаборатории Касперского» обнаружила сложно детектируемый бэкдор SessionManager

Эксперты «Лаборатории Касперского» обнаружили сложно детектируемый бэкдор SessionManager. Он позволяет получить доступ к корпоративной ИТ-инфраструктуре и выполнять большой спектр вредоносных действий: читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами. Об этом компания «Лаборатории Касперског» сообщила 1 июля 2022 года.

Злоумышленники внедряют зловред дистанционно в виде модуля для Microsoft IIS — набора веб-сервисов, включающего в себя почтовый сервер Exchange. С работой этого сервера сталкивается любой сотрудник компании при использовании корпоративной почты Microsoft. Для распространения SessionManager и других вредоносных IIS-модулей злоумышленники эксплуатируют уязвимость ProxyLogon.

По данным «Лаборатории Касперского», первые атаки с использованием SessionManager были зафиксированы в конце марта 2021 года. Жертвы — преимущественно государственные органы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. К началу июля 2022 года бэкдор обнаружен на 34 серверах в 24 компаниях. SessionManager часто остаётся незамеченным, так как его плохо детектируют большинство известных онлайн-сканеров.

«
Ставшая публично известной в начале 2021 года уязвимость ProxyLogon в сервере Microsoft Exchange дала злоумышленникам очередной вектор для атак, которым они активно пользуются, в том числе для загрузки бэкдоров в виде модулей веб-сервера IIS. С помощью одного из таких зловредов, SessionManager, злоумышленники получают стойкий к обновлениям, долговременный и успешно скрываемый доступ к корпоративной ИТ-инфраструктуре, — рассказал Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».
»

Активность Linux-вредоноса XorDDos выросла на 254%

20 мая 2022 года стало известно о том, что исследователи Microsoft заметили всплеск активности XorDDos за последние шесть месяцев.

Как сообщалось, XORDDoS был впервые замечен в 2014 году. Это Linux-вредонос, который образовывал ботнет для массированных DDoS-атак на игровые и образовательные сайты. XorDDos умеет обфусцировать свои активности, что помогает обойти механизмы обнаружения на основе правил и поиск вредоносных файлов по хэшу. Также вредонос использует методы эффективной защиты, что позволяет уходить от форензики. За последние шесть месяцев эксперты Microsoft отметили 254%-ный рост активности, связанной с XorDDos.

В основном XorDDos распространяется с помощью перебора SSH. Он использует shell-скрипт для перебора комбинаций учетных данных на тысячах серверов.

Image:График_роста_активности,_связанной_с_XorDDos.png
График роста активности, связанной с XorDDos. Фото: securitylab.ru.

Эксперты Microsoft определили два метода первоначального доступа XorDDos к системам жертв:

  • Первый метод – копирование вредоносного ELF-файла во временное файловое хранилище /dev/shm с его последующим выполнением.
  • Второй метод – выполнение bash-скрипта, выполняющего последовательность действий через командную строку.

XorDDos использует различные механизмы для закрепления в системах жертв, включая скрипты init и cron, установку уровня запуска системы по умолчанию и использование симлинков, указывающих на скрипты, которые должны выполняться на нужном уровне запуска системы.

В заключении отчета говорится, что XorDDos – универсальный троян, способный заражать различные архитектуры Linux-систем. Его SSH-брутфорс является относительно простой, но эффективной атакой для получения root-доступа в системе жертвы. Помимо всего этого, вредонос способен устанавливать руткиты и встраивать другие вредоносные пейлоады в атакованную систему[7].

Мошенники распространяют инфостилер под видом обновления Windows 11

19 апреля 2022 года стало известно, что киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки.

Иллюстрация: securitylab.ru

Вредоносная кампания на середину апреля 2022 года еще активна. Распространяется вредоносное ПО путем так называемого «отравления» результатов поиска для продвижения в поисковой выдаче сайтов, где якобы можно загрузить Windows 11. Эти сайты еще работают. В их дизайне используются официальный логотип Microsoft и фавиконы, а также присутствует кнопка «Загрузить сейчас».

Если пользователь зашел на сайт через непосредственное подключение - загрузка доступна через Tor и VPN, он получит файл ISO с инфостилером внутри.

Специалисты ИБ-компании CloudSEK назвали вредоносное ПО Inno Stealer, поскольку оно использует установщик Windows Inno Setup. По их словам, код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.

Файл загрузчика на Delphi представляет собой исполняемый файл Windows 11 setup. После запуска он удаляет временный файл is-PN131.tmp и создает файл .TMP, куда записывает 3078 КБ данных.

С помощью CreateProcess Windows API вредонос создает процессы, обеспечивает себе постоянство на системе и внедряет четыре файла. Два из них представляют собой скрипты Windows Command Script для отключения безопасности реестра, добавления исключений в «Защитник», деинсталляции решений безопасности и удаления теневых томов.

Третий файл является утилитой выполнения команд, работающей с наивысшими привилегиями системы. Четвертый файл - VBA-скрипт, необходимый для запуска dfl.cmd.

На втором этапе заражения в директорию C:\Users\\AppData\Roaming\Windows11InstallationAssistant загружается файл с расширением .SCR. Он представляет собой агент для распаковки инфостилера.

С помощью команд PowerShell все похищенные данные копируются, шифруются и передаются на подконтрольный злоумышленникам C&C-сервер (windows-server031.com).[8]

Android-вредонос Octo позволяет удаленно управлять устройством

11 апреля 2022 года стало известно, что специалисты компании ThreatFabric обнаружили очередной вариант банковского вредоносного ПО для Android-устройств Octo, который является эволюционировавшим ExoCompact - вредоносом на базе трояна Exo, исчезнувшего с киберпреступной сцены в 2018 году. Подробнее здесь.

2021

77% обнаруженных вредоносных программ были доставлены по электронной почте

20 февраля 2022 года компания HP Inc. сообщила о выпуске отчета HP Wolf Security Threat Insights Report, в котором проанализировала произошедшие в IV квартале 2021 кибератаки. Изучив угрозы, которые сумели обойти системы безопасности и добрались до конечных устройств пользователей, специалисты HP Wolf Security сделали выводы о методах атак, используемых киберпреступниками.

По информации компании, исследовательская группа HP Wolf Security обнаружила волну атак с использованием надстроек Excel, с помощью которых злоумышленники распространяют вредоносный код и получают доступ к устройствам и сетям, чтобы затем похитить данные предприятий или отдельных лиц. Число злоумышленников, использующих вредоносные файлы надстроек Microsoft Excel (.xll) для заражения систем своих жертв, увеличилось почти в 7 раз по сравнению с прошлым кварталом. Такие атаки оказались очень опасными, т.к. для начала работы вредоносного ПО достаточно всего лишь кликнуть по отправленному киберпреступником файлу. Команда также обнаружила в даркнете рекламу «дропперов» (программного обеспечения для доставки и запуска .xll файлов) и целых наборов для создания программ, которые облегчают проведение подобных кампаний для неопытных злоумышленников.

В ходе недавней спам-кампании QakBot злоумышленники распространяли файлы Excel через скомпрометированные учетные записи электронной почты. Преступники перехватывали электронную переписку и отправляли поддельные ответные сообщения с прикрепленным вредоносным файлом Excel (.xlsb). После доставки на устройство жертвы, QakBot внедряется в процессы ОС, чтобы таким образом избежать обнаружения. Вредоносные файлы Excel (.xls) также использовались для распространения банковского трояна Ursnif среди итальяноязычных предприятий и организаций государственного сектора посредством спама. При этом злоумышленники выдавали себя за служащих итальянской курьерской службы BRT. Кампании по распространению вредоносных программ Emotet теперь также используют Excel вместо файлов JavaScript или Word.

Среди других заметных угроз, выявленных специалистами по безопасности HP Wolf Security, можно выделить следующие:

  • Возможное возвращение TA505. Специалисты HP обнаружили фишинговую кампанию MirrorBlast, в рамках которой хакеры использовали те же тактики, методы и процедуры, что и TA505 – группа злоумышленников, известная массовыми кампаниями с рассылкой вредоносного спама и монетизацией доступа к зараженным системам с помощью программ-вымогателей. Кампания нацелена на организации и использует троян удаленного доступа FlawedGrace (RAT).
  • Поддельная игровая платформа, распространяющая вредоносный код RedLine. Специалистами HP был обнаружен поддельный веб-сайт, с клиентом Discord, зараженным кодом RedLine, который похищал данные пользователей.
  • Использование хакерами необычных типов файлов все еще позволяет обходить системы безопасности. Группа киберпреступников Aggah выбирает в качестве жертв корейскоговорящие организации и использует вредоносные файлы надстроек PowerPoint (.ppa), замаскированные под заказы от клиентов, чтобы заражать системы троянами удаленного доступа. Атаки через распространение зараженных файлов PowerPoint являются весьма непопулярным выбором и составляют всего 1% вредоносных программ.

«
Использование стандартных функций программного обеспечения в преступных целях является обычной тактикой для злоумышленников, чтобы избежать обнаружения – равно как и использование необычных типов файлов, которые способны «просочиться» через почтовые шлюзы, не обнаружив себя. Отделам безопасности не следует полагаться исключительно на технологии обнаружения вторжений: важно внимательно следить за появлением угроз и соответствующим образом обновлять свою защиту. Так, учитывая всплеск распространения вредоносных файлов .xll, который мы наблюдаем, настоятельно рекомендуем сетевым администраторам настраивать шлюзы электронной почты для блокировки входящих вложений .xll, делая исключения только для надстроек от доверенных партнеров, или полностью отключать надстройки Excel. Злоумышленники постоянно находят средства, позволяющие избегать обнаружения. Именно поэтому важно, чтобы предприятия выстраивали и корректировали свои системы безопасности в зависимости от ландшафта угроз и от бизнес-потребностей своих пользователей. Злоумышленники активно используют такие методы атак, как перехват переписки в электронной почте, из-за чего пользователям становится еще труднее отличить коллег и партнеров от преступников.

комментирует Алекс Холланд (Alex Holland), старший аналитик вредоносных программ в группе исследования угроз HP Wolf Security, HP Inc
»

Представленные в отчете выводы основаны на результатах анализа многих миллионов конечных устройств, на которых работает программное обеспечение HP Wolf Security. Данное ПО от HP отслеживает вредоносные программы, открывая загружаемые файлы на изолированных микро-виртуальных машинах (микро-ВМ), чтобы изучить механику заражения.

Среди других ключевых выводов исследования можно отметить следующие:

  • 13% изолированных вредоносных скриптов, отправленных по электронной почте, обошли хотя бы один сканер безопасности на почтовом шлюзе.
  • В попытках заразить компьютеры организаций злоумышленники использовали 136 различных расширений файлов.
  • 77% обнаруженных вредоносных программ были доставлены по электронной почте, при этом на загрузку из Интернета приходилось лишь 13% из них.
  • Наиболее распространенными вложениями, используемыми для доставки вредоносных программ, были документы (29%), архивы (28%), файлы .exe (21%) и электронные таблицы (20%).
  • Наиболее распространенными фишинговыми приманками стали письма, связанные с Новым годом или бизнес-операциями, например, с такими темами как «Заказ», «2021/2022», «Оплата», «Покупка», «Заявка» и «Счет».

«
Злоумышленники, занимающиеся низкоуровневыми атаками, могут проводить скрытые нападения и продавать полученный доступ организованным группам киберпреступников, использующим в своей деятельности программы-вымогатели. В результате это приводит к масштабным атакам, которые могут вывести из строя ИТ-системы и привести к остановке работы всей организации. Организациям следует сосредоточиться на уменьшении поверхности атак и обеспечении быстрого восстановления работоспособности своих систем в случае их компрометации. Это означает следование принципам Zero Trust и введение строгих систем идентификации, предоставление минимальных привилегий пользователям и изоляции устройств, начиная с аппаратного уровня.

прокомментировал д-р Йэн Пратт (Ian Pratt), глобальный руководитель отдела безопасности персональных систем, HP Inc
»

Взрывной рост атак на ОС Linux

В 2021 г. активность вредоносного ПО для Linux выросла на 35% в сравнении с 2020 г. Это объясняется ростом популярности недорогих устройств интернета вещей с плохой защитой, которые хакеры ломают и объединяют в ботнеты. Активнее всего в 2021 г. они пользовались софтом семейств XorDDoS, Mirai и Mozi. Об этом стало известно 18 января 2022 года.

Такой стремительный рост эксперты объясняют в первую очередь именно быстрым распространением недорогих устройств интернета вещей. По данным ИБ-компании Intezer, в большинстве своем слабой защитой и немалым числом уязвимостей в прошивке, которые производители не спешат закрывать. Для примера, еще в начале 2020 г. около 57% таких устройств было подвержено атакам различной степени тяжести (статистика Palo Alto Networks март 2020 г.). Как сильно выросло их количество за неполные два года, неизвестно.

Устройства интернета вещей под управлением Linux являются легкой добычей для злоумышленников, а их массовая компрометация может поставить под угрозу целостность критически важных интернет-сервисов. По прогнозам CrowdStrike, к концу 2025 г. более 30 млрд таких устройств будут подключены к интернету, что только на руку киберпреступникам.

Наиболее распространенными семействами вредоносов под Linux оказались XorDDoS, Mirai и Mozi. Согласно отчету Crowdstrike, по итогам 2021 г. на них пришлось около 22% всех зафиксированных атак на Linux-системы.

По утверждению экспертов Crowdstrike, хакеры атакуют Linux-устройства и в частности устройства интернета вещей не только для проведения с их помощью DDoS-атак. Они используют ботнеты и для других своих преступных целей.

В частности, ботнеты, собранные из различных Linux-устройств, они нередко приспосабливают для рассылки спама и майнинга криптовалют. Также отдельные устройства могут эксплуатироваться в качестве командных серверов для управления ботнетами[9].

На черном рынке сильно подешевели хакерские программы

В начале июля 2021 года стало известно о снижении на черном рынке стоимости хакерских программ (так называемых эксплоитов), используемых для поиска уязвимостей в системах разных производителей. Об этой тенденции сообщили в компании Trend Micro, специализирующейся на создании продуктов для обеспечения информационной безопасности.

Как пишет «Коммерсантъ» со ссылкой на исследование Trend Micro, цены на уязвимости в продуктах Zyxel за полгода упали с $20 тыс. до $2 тыс. В целом за два года цены и ассортимент хакерских инструментов сократились в несколько раз.

На черном рынке сильно упали в цене хакерские программы

Одна из причин такой тенденции связана с программами Bug Bounty, которые запускают крупные компании для поиска уязвимостей в своих продуктах за деньги. В России такие программы премирования к июлю 2021 года действуют в «Яндексе», «Лаборатории Касперского», «ВКонтакте», Тинькофф-банке, Ozon и «Азбуке вкуса». По мере того как вознаграждения стали повышаться, в дело поиска и продажи уязвимостей включились не только «белые» хакеры, но и их коллеги, оказавшиеся по ту сторону закона.

Благодаря запуску Bug Bounty в ИТ-компания выявление уязвимостей стало официальным видом заработка, это позволило зайти в сегмент большому числу участников, включая не только белых хакеров, отмечает основатель компании «Интернет-Розыск» Игорь Бедеров, говоря о причинах снижения стоимости эксплоитов.

Стоимость эксплойта на хакерском форуме зависит от того, известна ли уязвимость и когда она была исправлена, говорит операционный директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Антон Юдаков. По его словам, исходно информация об уязвимости может стоить тысячи и даже сотни тысяч долларов, но как только вендор выпускает патч, цена резко снижается.[10]

ПО XLoader за $49 способно красть информацию с Mac

Команда исследователей Check Point Research (CPR) 22 июля 2021 года сообщила о еще одном виде вредоносного ПО, который эволюционировал для кражи информации пользователей MacOS. Данный штамм назвали «XLoader» — он произошел от семейства вредоносных программ Formbook. Последние в основном предназначались для пользователей Windows, но исчезли из продажи в 2018 году. В 2020 году Formbook был переименован в XLoader. Подробнее здесь.

150 тысяч пользователей Android заразились опасным вирусом через сервисы сокращения ссылок

21 июля 2021 года международный разработчик антивирусного ПО Eset поделился итогами исследования безопасности служб по сокращению URL-адресов. Сами сервисы в большинстве своем безопасны для пользователей, но реклама в них оказалась источником вредоносных программ.

С 1 января по 1 июля 2021 года эксперты ESET зафиксировали загрузку более 150 тыс. экземпляров вируса FakeAdBlocker на устройства Android. Наиболее пострадавшими странами оказались Россия, Казахстан и Украина. Все заражения произошли в результате перехода по рекламным ссылкам из сервисов по сокращению URL-адресов.

Кликнув вредоносную ссылку, пользователи устанавливали себе на смартфоны незаметное, но очень опасное приложение. Оказавшись на устройстве, программа FakeAdBlocker загружает разнообразные банковские трояны (Cerberus, Ginp, TeaBot), а также запускает в фоновом режиме нежелательные процессы.

Одна из самых неприятных функций вируса связана с «захватом» календаря на смартфоне. Программа заполняет календарь событиями, ведущими на другие вредоносные ресурсы – полноэкранную рекламу, контент для взрослых, фейковые сообщения об угрозах и т.д.

«
Привлечь к ответственности сервисы по сокращению ссылок крайне сложно. Массовое заражение через легальные сервисы сокращения ссылок стало возможно из-за несовершенства используемой бизнес-модели «оплата за клик». Службы коротких URL-адресов действуют как посредники между покупателями и рекламодателями. Рекламодатель платит за показ объявления на веб-сайте, при этом часть этой оплаты переходит стороне, создавшей укороченную ссылку. Зачастую сам сервис сокращения адресов не несет ответственности за доставленный рекламный контент и официально предупреждает об этом в политиках конфиденциальности,
пояснил руководитель направления ESET Threat Intelligence Александр Пирожков:
»

Специалисты ESET подготовили инструкцию по удалению Android / FakeAdBlocker с зараженного устройства. Чтобы идентифицировать и удалить вирус, включая его динамически загружаемое рекламное ПО, необходимо сначала найти его среди установленных приложений, перейдя в «Настройки», а затем в «Приложения». Поскольку у вредоносного ПО нет значка или названия приложения, его легко обнаружить. Коснитесь один раз, чтобы выбрать, а затем нажмите кнопку «Удалить/Uninstall» и подтвердите запрос на удаление угрозы.

В России каждая десятая организация – субъект КИИ заражена вредоносным ПО

Согласно исследованию центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», каждая десятая российская организация из числа субъектов критической информационной инфраструктуры (КИИ) уже скомпрометирована различными семействами вредоносного ПО. Об этом 2 июня 2021 года сообщили в «Ростелекоме». Помимо этого, часть уязвимостей, которые эксперты находят в объектах КИИ, хоть и были опубликованы еще 10 лет назад, до сих пор не закрыты. Таким образом, совершить успешную атаку на большинство критически важных для страны инфраструктур могут даже хакеры с низкой квалификацией. Подробнее здесь.

В декабре 2019 «Ростелеком» анонсировал запуск на своей инфраструктуре сети сенсоров и ловушек (honeypots) для раннего выявления атак. В ходе анализа данных с сенсоров команда Solar JSOC CERT отметила наибольшую активность четырех типов вредоносного ПО: Glupteba, PonyStealer, Trojan-Spy.Win32.Windigo и NjRAT. Основные цели Glupteba – кража пользовательских данных и добыча криптовалюты, при этом вредонос тщательно скрывает следы своего присутствия. PonyStealer – ботнет, известный с 2011 года и предназначенный для похищения паролей учетных записей и другой чувствительной информации. Trojan-Spy.Win32.Windigo осуществляет рассылку спама, кражу конфиденциальных данных и кликфрод.NjRAT (он же Bladabindi) – троян 2012 года, используемый злоумышленниками для удаленного администрирования.

Это вирусное ПО, несмотря на свою несовременность, несет существенные риски для компании. В случае если профессиональная группировка захочет развить свою атаку, ей достаточно приобрести в даркнете доступ к скомпрометированным узлам. Далее с помощью современных инструментов она сможет получить гораздо более глубокий доступ к инфраструктуре и повлиять на непрерывность бизнес-процессов, а также осуществить хищение конфиденциальной корпоративной информации или денежных средств.

«
«Соблюдение кибергигиены – будь то устранение «дыр» на периметре организации или покрытие инфраструктуры средствами защиты – непростая, но критически важная задача. Ведь в текущей парадигме взаимодействия киберпреступного сообщества даже забытое старое ВПО может быть перекуплено профессиональной группировкой и использоваться в развитии сложной целенаправленной атаки», — отметил Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар».
»

Check Point Research нашел в 10 приложениях Google Play опасный дроппер

12 марта 2021 года Check Point сообщила о том, что ее подразделение Check Point Research обнаружило в Google Play Store дроппер — вредоносную программу, созданную для доставки другого вредоносного ПО на устройство жертвы. «Clast82», как его назвали исследователи, запускает вредоносное ПО, которое позволяет хакеру получить доступ к банковским приложениям жертвы и полностью контролировать смартфон. Исследователи обнаружили Clast82 в 10 «полезных» приложениях, например, с функцией VPN или записи экрана. Подробнее здесь.

2020: Вредоносное ПО – основной вектор кибератак на российские компании в первом полугодии

28 августа 2020 года аналитики Angara Professional Assistance, сервис-провайдера тиражируемых услуг кибербезопасности группы компаний Angara, поделились результатами исследования событий ИБ за I полугодие 2020 года. Согласно исследованию, в январе-июне 2020 года основные векторы атак на информационные системы российских компаний пришлись на заражение вредоносным программным обеспечением (ВПО, 28%), эксплуатацию уязвимостей (12%) и доставку ВПО через e-mail (т.е. фишинг, 7%). Подробнее здесь.

2019

Число пользователей, атакованных программами для кражи паролей, увеличилось на 72%

Согласно статистике «Лаборатории Касперского», в 2019 году в мире значительно выросло число пользователей, атакованных программами для кражи паролей, — на 72%. Об этом Kaspersky сообщил 28 января 2020 года. Всего продукты компании отразили подобные атаки на устройствах почти двух миллионов пользователей. Подробнее здесь.

Check Point: Вредоносные спам-кампании используют имя Греты Тунберг

15 января 2020 года компания Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в декабре 2019 года. Уже три месяца лидирующую позицию занимает троян Emotet. В основном Emotet распространяется через спам-рассылки, которые используют в заголовках актуальные темы. В декабре, например, были такие темы: «Support Greta Thunberg — Time Person of the Year 2019» and «Christmas Party!».

Электронные письма в обеих кампаниях содержали вредоносный документ Microsoft Word, который при открытии пытался загрузить Emotet на компьютер жертвы. В дальнейшем через Emotet могут распространяться вымогатели и другие вредоносные кампании.

В декабре также значительно увеличилось использование удаленного внедрения команд по протоколу HTTP: этому подверглись 33% организаций во всем мире. При успешном использовании уязвимость представляла собой бот-сеть DDoS. Вредоносный файл, использованный при атаке, также содержал ряд ссылок на полезные нагрузки, использующие уязвимости в умных устройствах. В дальнейшем эти устройства объединялись в ботнеты. Потенциально уязвимы были устройства от таких производителей как D-Link, Huawei и RealTek.

«
«За последние три месяца главными угрозами были универсальные многоцелевые вредоносные программы, например, Emotet и xHelper. Они дают киберпреступникам множество возможностей для монетизации атак, поскольку они могут использоваться для распространения вымогателей или распространения новых спам-кампаний. Цель преступников — проникнуть и закрепиться в максимально большом количестве организаций и устройств, чтобы последующие атаки были более прибыльными и разрушительными. Поэтому очень важно, чтобы организации информировали своих сотрудников о рисках открытия и загрузки вложений электронной почты, перехода по ссылкам, которые не приходят из надежного источника»,
»

Самое активное вредоносное ПО в декабре 2019 в России:

  1. XMRig — программное обеспечение с открытым исходным кодом, обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  2. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).
  3. Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.


Самое активное вредоносное ПО в декабре 2019 в мире:

  1. Emotet – продвинутый самораспространяющийся модульный троян. В декабре Emotet затронул 13% организаций во всем мире, по сравнению с 9% в ноябре
  2. XMRig — программное обеспечение с открытым исходным кодом.
  3. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.


Самые активные мобильные угрозы декабря 2019:
xHelper и Guerrilla лидируют в рейтинге мобильных вредоносных программ.

  1. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
  2. Guerilla — кликер для Android, который может взаимодействовать с сервером удаленного управления, загружать дополнительные вредоносные плагины и агрессивно накручивать клики по рекламе без согласия или ведома пользователя.
  3. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.


Самые распространенные уязвимости декабря 2019:
Удаленное внедрение команд по протоколу HTTP стало самой распространенной уязвимостью, затрагивающей 33% организаций во всем мире. Уязвимости «удаленное выполнение кода MVPower DVR» и «раскрытие информации в хранилище Git на веб-сервере» на втором и третьем месте, затронули 32% и 29% организаций соответственно.

  1. Удаленное внедрение команд по протоколу HTTP. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.
  2. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
  3. Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.

Check Point Research: Самые активные киберугрозы октября

28 ноября 2019 года компания Check Point Software Technologies опубликовала отчет Global Threat Index с самыми активными киберугрозами октября 2019 года. Специалисты отмечают, что криптомайнеры выбыли из первой строчки в рейтинге самого активного вредоносного ПО впервые почти за два года.

Активность криптомайнеров продолжает падать с 2018 года, когда она была на пике. Исследователи напомнили, что в январе и феврале 2018 года этот тип вредоносного ПО затронул деятельность более 50% организаций во всем мире. Через год — в январе 2019 — его активность упала до 30%, а в октябре 2019 года действия криптомайнеров затронули лишь 11% компаний в мире.

Самой активной вредоносной программой в октябре стал ботнет Emotet, который месяцем ранее занимал пятую позицию рейтинга и затрагивал 14% организаций в мире. В конце месяца ботнет распространял приуроченный к Хеллоуину спам. В теме электронных писем были поздравления («Happy Halloween») и приглашения на праздник («Halloween Party Invitation»), внутри которых содержался вредоносный файл.

«
«Влияние криптомайнеров на организации во всем мире снизилось почти на 70% в течение 2019 года. Тем не менее, в России криптомайнер Cryptoloot все еще занимает первое место в рейтинге, затронув чуть более 15% организаций»,
»

Самое активное вредоносное ПО в октябре 2019 в России: В России первое место по-прежнему занимает криптомайнер

  1. Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга — добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
  2. Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Обновленный функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  3. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.


Самое активное вредоносное ПО в октябре 2019 в мире: Впервые за почти два года из числа самых активных вредоносных программ вышли криптомайнеры. В этом месяце Emotet занял первую строчку в рейтинге Global Threat Index, атаковав 14% организаций в мире. На втором месте оказался XMRig, атаки которого пришлись на 7% компаний в мире. Тройку опасных вредоносных программ замкнул Trickbot с охватом в 6%.

  1. Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  2. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  3. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.


Самые активные мобильные угрозы октября 2019: В октябре самой распространенной мобильной угрозой стал троян Guerrilla, следом за ним в рейтинге расположились Lotor и Android Bauts.

  1. Guerilla — кликер для Android, который может взаимодействовать с сервером удаленного управления, загружать дополнительные вредоносные плагины и агрессивно накручивать клики по рекламе без согласия или ведома пользователя.
  2. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
  3. AndroidBauts — рекламное ПО, предназначенное для пользователей Android, которое фильтрует IMEI, IMSI, местоположение GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на мобильные устройства.


Самые распространенные уязвимости октября 2019: Самой распространенной уязвимостью октября 2019 года стала SQL-инъекция — она затронула более трети (36%) организаций по всему миру. Второе и третье место занимают ошибка HeartBleed в ПО OpenSSL TLS DTLS (33%) и удаленное выполнение кода MVPower DVR (32%) соответственно.

  1. SQL-инъекция — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
  2. Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
  3. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

Вредоносная программа Raccoon заразила более 100 тыс. устройств

25 октября 2019 года стало известно, что вредоносное ПО под названием Racoon, созданное для хищения информации быстро завоевывает популярность у киберпреступников. По словам команды исследователей из Cybereason Nocturnus, всего за несколько месяцев вредонос заразил сотни тысяч устройств по всему миру, похищая данные кредитных карт жертв, учетные данные электронной почты и пр.

Вредоносное ПО не является сложным или инновационным, однако распространение по модели «вредоносное-ПО-как- услуга» (MaaS) предоставляет киберпреступникам быстрый и простой способ заработать деньги. Raccoon уже входит в десятку самых упоминаемых вредоносных программ в даркнете.

«
Основываясь на логах, выставленных на продажу в подпольном сообществе, Raccoon за несколько месяцев заразил более 100 тыс. конечных точек по всему миру. С ним легко разберется любой преступник, независимо от уровня технических навыков. Более того, команда Raccoon постоянно работает над ее улучшением и предоставлением отзывчивой поддержки. Это дает людям быстрый и простой способ заработать деньги, не вкладывая много средств и не имея глубоких технических знаний, — сообщили исследователи из Cybereason.
»

Исследователи впервые обнаружили Raccoon в апреле 2019 года. Вредоносное ПО, написанное на языке C++, использует несколько потенциальных методов доставки, включая наборы эксплоитов (в том числе Fallout и RIG), а также фишинговые атаки и вредоносное ПО, распространяемое в составе легитимных программных пакетов с «сомнительных» web-сайтов.

После установки Raccoon проверяет системы на наличие информации о кредитных картах, криптовалютных кошельках, паролях, электронных письмах, cookie-файлах и данных из популярных браузеров (включая сохраненную информацию о кредитной карте, URL-адреса, имена пользователей и пароли), а затем отправляет их оператору.

Предположительно, вредонос разработан русскоговорящими злоумышленниками. Изначально он продавался исключительно на |русскоязычных форумах, но теперь предлагается и на англоязычных[11].

Российские компании атакуют вирусы под видом бухгалтерских документов

24 октября 2019 года стало известно о том, что российские компании начали массово сталкиваться с вирусами, которые распространяются под видом бухгалтерских документов. Подробнее здесь.

Раскрыт ботнет, шантажирующий жертв посредством интимных фото или видео

17 октября 2019 года стало известно, что в рамках пятимесячного исследовательского проекта команда исследователей Check Point Research, подразделение Check Point Software Technologies Ltd., раскрыла работу вредоносной программы, которая рассылает своим жертвам sextortion–письма. Подробнее здесь.

«Лаборатория Касперского» обнаружила инструмент для вмешательства в процесс шифрования

9 октября 2019 года «Лаборатория Касперского» сообщила, что обнаружила вредоносный инструмент Reductor, который позволяет подменять генератор случайных чисел, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам.

Это открывает перед злоумышленниками возможность втайне от пользователя следить за его действиями в браузере. Кроме того, найденные модули имели в своём составе функции удалённого администрирования, что делает возможности этого ПО почти неограниченными.

С помощью данного инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, преимущественно следили за трафиком пользователей.

Установка зловреда происходит в основном либо с помощью вредоносной программы COMPfun, идентифицированной ранее как инструмент кибергруппировки Turla, либо через подмену «чистого» ПО в процессе скачивания с легитимного ресурса на компьютер пользователя. Это, скорее всего, означает, что у злоумышленников есть контроль над сетевым каналом жертвы.

«
Мы впервые столкнулись с такого рода вредоносной программой, позволяющей обойти шифрование в браузере и долгое время оставаться незамеченной. Уровень её сложности позволяет предположить, что создатели Reductor — серьёзные профессионалы. Часто подобные зловреды создаются при поддержке государства. Однако мы не располагаем доказательствами того, что Reductor имеет отношение к какой-либо конкретной кибергруппировке. Мы напоминаем всем компаниям, имеющим дело с конфиденциальными данными, о необходимости регулярно проверять степень защищённости корпоративной ИТ-инфраструктуры,
говорит Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского»
»


Чтобы избежать заражения, «Лаборатория Касперского» рекомендует:

  • регулярно проводить аудит безопасности корпоративной ИТ-инфраструктуры;
  • установить надёжное защитное решение с компонентом защиты от веб-угроз, позволяющим распознавать и блокировать угрозы, которые пытаются проникать в систему через зашифрованные каналы, например Kaspersky Security для бизнеса, а также решение корпоративного уровня, детектирующее сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
  • подключить SOC-команду к системе информирования об угрозах, чтобы у неё был доступ к информации о появившихся и существующих угрозах, техниках и тактиках, используемых злоумышленниками;
  • регулярно проводить тренинги по повышению цифровой грамотности сотрудников.

Кейлоггер AgentTesla активизировался в России

22 августа 2019 года компания Check Point Software Technologies опубликовала отчет Global Threat Index с самыми активными угрозами в июле 2019 года. Исследователи предупреждают о распространении в России вредоносной программы — AgentTesla.

AgentTesla — усовершенствованная RAT, переводится как «Троян удаленного доступа» или «средство удалённого управления».

AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, снимать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).

В России AgentTesla начала распространяться с середины июня, и приобрела значительные масштабы в июле — исследователи отмечали несколько крупных почтовых кампаний, в которых рассылались фишинговые письма с вредоносным содержимым. Как правило, фишинговые письма имитировали те сообщения, которые часто рассылаются в период отпусков: информация о бронировании и покупке авиабилетов, счета за них.

«
«Злоумышленники пытаются быстро использовать новые уязвимости. Поэтому очень важно, чтобы компании имели надежную защиту даже от таких угроз»,
»

Самое активное вредоносное ПО в России в июле 2019, по данным Check Point Software Technologies:

  1. Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга — добавление транзакций в блокчейн и выпуск валюты. Конкурент Coinhive.
  2. XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  3. Dorkbot — червь на основе IRC, предназначенный для удаленного выполнения кода его оператором, а также для загрузки дополнительных вредоносных программ в зараженную систему.


Самые активные мобильные угрозы июля 2019:

  1. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах
  2. AndroidBauts — рекламное ПО, предназначенное для пользователей Android, которое фильтрует IMEI, IMSI, местоположение GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на мобильные устройства.
  3. Piom — рекламное программное обеспечение, которое отслеживает поведение пользователей в Интернете и показывает нежелательные рекламные объявления на основе действий пользователей в Интернете.


Самые распространенные уязвимости июля 2019:

  1. SQL-инъекция — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
  2. Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
  3. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.


В июне исследователи отметили лидирующую позицию методов SQL-инъекций в рейтинге угроз (46% организаций по всему миру).

Крупнейший ботнет Emotet остановил активность в июне

16 июля 2019 года стало известно, что команда исследователей Check Point Research, подразделение Check Point Software Technologies, поставщика решений в области кибербезопасности по всему миру, опубликовала отчет Global Threat Index с самыми активными угрозами в июне 2019 года. Исследователи сообщают, что Emotet (крупнейший ботнет на июль 2019 года) пока не работает — почти весь июнь не было никаких неизвестных кампаний. В течение первого полугодия 2019 года Emotet входил в топ-5 вредоносных программ во всем мире и распространялся с помощью масштабных спам-кампаний.

Карта областей с наивысшей активностью вредоносного ПО. Июнь 2019

Исследователи Check Point считают, что инфраструктура Emotet может быть отключена для обслуживания и обновления. Возможно, что как только ее серверы будут снова запущены, Emotet будет повторно активирован с расширенными возможностями угроз.

«
Emotet — банковский троян, который используется с 2014 года. Однако с 2018 года мы видим его использование в качестве ботнета в крупных кампаниях по распространению спама и других вредоносных программ. Несмотря на то, что его инфраструктура была неактивна большую часть июня 2019 года, ботнет попал на пятую строчку мирового рейтинга вредоносных программ. Такая позиция показывает, насколько активно его используют злоумышленники, и вполне вероятно, что он вновь появится с добавленными функциями. Как только Emotet попадает на компьютер жертвы, ботнет может использовать устройство для дальнейшего распространения спам-кампаний, загружать другие вредоносные программы (например, Trickbot, который, в свою очередь, заражает всю хостинговую сеть с помощью печально известной программы-вымогателя Ryuk), и распространяться на другие ресурсы в сети,
комментирует Никита Дуров, технический директор Check Point Software Technologies в России и СНГ
»

Самое активное вредоносное ПО в июне 2019*:

*Стрелки показывают изменение позиции по сравнению с предыдущим месяцем

  • ↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  • ↑ Jsecoin — JavaScript-майнер, который может запускать майнинг прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
  • ↓ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга — добавление транзакций в блокчейн и выпуск валюты. Конкурент Coinhive.

В России три самых известных криптомайнера — Cryptoloot, XMRig и Jsecoin продолжают лидировать в рейтинге вредоносных программ. В июне Cryptoloot атаковал 11% организаций в России, XMRig и Jsecoin соответственно — 9% и 7% российских компаний.

Самые активные мобильные угрозы июня 2019:

Lotoor продолжает лидировать в рейтинге вредоносных программ для мобильных устройств. За ним следуют Triada и Ztorg — молодая вредоносная программа в топ-листе.

  • 1. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах
  • Triada — модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузера.
  • Ztorg — трояны семейства Ztorg получают расширенные привелегии на устройствах Android и устанавливают себя в системный каталог. Вредоносная программа может также установить любое другое приложение на устройстве.

Самые распространенные уязвимости июня 2019:

В июне исследователи отметили лидирующую позицию методов SQL-инъекций в рейтинге угроз (52% организаций по всему миру). Уязвимость в OpenSSL TLS DTLS Heartbeat и CVE-2015-8562 заняли второе и третье место соответственно, затронув 43% и 41% организаций во всем мире.

  • ↑ SQL-инъекция (несколько способов использования) — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
  • ↑ Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
  • ↑ Удаленное выполнение кода в системе Joomla (CVE-2015-8562) — в системе Joomla существует уязвимость, которая открывает злоумышленникам возможность удаленного исполнения кода. Злоумышленник с удаленным доступом может воспользоваться этой уязвимостью, отправив вредоносный запрос жертве. Успешное использование этой уязвимости может привести к выполнению произвольного кода на атакуемом сайте.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

«Агент Смит» для Android незаметно заразил около 25 млн устройств

11 июля 2019 года стало известно, что команда исследователей Check Point Research, подразделение Check Point Software Technologies, поставщика решений в области кибербезопасности по всему миру, обнаружила мобильное вредоносное ПО, которое незаметно заразило около 25 миллионов устройств. Под видом скрытого приложения, связанного с Google, вредоносная программа использует известные уязвимости Android и автоматически заменяет установленные приложения вредоносными версиями незаметно для пользователя.

Вредоносное ПО, которое назвали «Агент Смит», использует доступ к ресурсам устройств для показа рекламы с целью получения финансовой выгоды, но легко может использоваться для гораздо более опасных целей, таких как кража учетных данных и прослушивание телефонных разговоров. Такая деятельность Агента Смита напоминает предыдущие вредоносные кампании, такие как Gooligan, Hummingbad и CopyCat.

«
Вредоносная программа незаметно атакует установленные пользователем приложения, поэтому обычным пользователям Android сложно бороться с такими угрозами самостоятельно. Сочетание передовых методов предотвращения угроз и анализа угроз с одновременным использованием кибергигиены является лучшей защитой от агрессивных атак мобильных вредоносных программ, таких как Агент Смит. Кроме того, пользователям следует загружать приложения только из надежных магазинов приложений, чтобы снизить риск заражения. Сторонние магазины приложений часто не соблюдают все меры по обеспечению безопасности, которые необходимы для блокирования загруженных рекламных программ,
говорит Джонатан Шимонович, глава отдела исследования обнаружения мобильных угроз в компании Check Point Software Technologies
»

Агента Смита пользователи загружали из популярного неофициального магазина приложений 9Apps. Агент Смит предназначался в основном для пользователей, говорящих на русском, хинди, арабском, и индонезийском языках. Пока что основные жертвы находятся в Индии, хотя другие азиатские страны, такие как Пакистан и Бангладеш, также пострадали. Также было заметное количество зараженных устройств в Великобритании, Австралии и США. Благодаря тесному сотрудничеству Check Point и Google, на момент публикации в Play Store не осталось вредоносных приложений.

В почтовом трафике по-прежнему преобладают зловреды для Microsoft Office

30 апреля 2019 года Dr.Web антивирус предоставил обзор вирусной активности за апрель 2019 года. Компания зарегистрировала снижение числа уникальных угроз на 39.44% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз снизилось на 14.96%. В почтовом трафике по-прежнему преобладает вредоносное ПО, использующее уязвимости программ Microsoft Office. Продолжает тенденцию прошлого месяца и статистика по вредоносному и нежелательному ПО: большая часть обнаруженных угроз приходится на долю вредоносных расширений для браузеров, нежелательных и рекламных программ.

Количество вредоносных и нерекомендуемых сайтов увеличилось на 28.04%. Специалисты компании «Доктор Веб» предупредили пользователей о компрометации официального сайта популярного ПО для обработки видео и звука. Хакеры заменили ссылку на скачивание, и вместе с редактором пользователи загружали опасного банковского троянца Win32.Bolik.2, а также стилера Trojan.PWS.Stealer (KPOT Stealer). Такие троянцы предназначены для выполнения веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций. Кроме того, позднее хакеры заменили Win32.Bolik.2 на другое вредоносное ПО – один из вариантов Trojan.PWS.Stealer (KPOT Stealer).

Этот троянец крадет информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ.

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

  • Adware.Softobase.12

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

  • Adware.Ubar.13

Торрент-клиент, устанавливающий нежелательное ПО на устройство.

  • Trojan.Starter.7394

Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

  • Adware.Downware.19283

Программа-установщик, обычно распространяется с пиратским контентом. При установке может менять настройки браузеров и устанавливать другие нежелательные программы.

Статистика вредоносных программ в почтовом трафике
  • Exploit.ShellCode.69

Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.

  • Exploit.Rtf.CVE2012-0158

Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

  • JS.DownLoader.1225

Семейство вредоносных сценариев, написанных на языке JavaScript. Загружают и устанавливают на компьютер другие вредоносные программы.

  • Trojan.Encoder.26375

Представитель семейства троянцев-вымогателей. Шифрует файлы на компьютере и требует от жертвы выкуп за расшифровку.

  • W97M.DownLoader.2938

Семейство троянцев-загрузчиков, использующих в работе уязвимости офисных приложений. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

В апреле в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

Шифровальщики
  • Trojan.Encoder.858 — 17.95%
  • Trojan.Encoder.18000 — 14.65%
  • Trojan.Encoder.11464 — 7.69%
  • Trojan.Archivelock — 5.49%
  • Trojan.Encoder.567 — 3.85%
  • Trojan.Encoder.11539 — 3.85%
  • Trojan.Encoder.25574 — 2.75%

В течение апреле 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 345 999 интернет-адресов.

Март 2019 Апрель 2019 Динамика
+ 270 227 + 345 999 + 28.04%

«Доктор Веб» рассказала об опасном троянце Android.InfectionAds.1, который эксплуатировал несколько критических уязвимостей ОС Android. Благодаря им он мог заражать apk-файлы, а также самостоятельно устанавливать и удалять программы.

В течение месяца в каталоге Google Play были выявлены вредоносные программы, такие как троянцы-загрузчики и кликеры, а также похитители логинов и паролей от учетных записей Instagram, получившие имена Android.PWS.Instagram.4 и Android.PWS.Instagram.5.

Кроме того, пользователям Android-смартфонов и планшетов угрожали банковские троянцы – например, последние версии Android.Banker.180.origin, а также другие вредоносные приложения.

2018

33% организаций по всему миру подвергались атакам мобильных зловредов

30 января 2019 года стало известно, что компания Check Point Software Technologies Ltd. выпустила первую часть отчета 2019 Security Report, который раскрывает основные тренды и методы вредоносного ПО, которые исследователи Check Point наблюдали в 2018 году. Согласно документу, 33% организаций по всему миру подвергались атакам мобильного вредоносного ПО, причем три основных угрозы были направлены на ОС Android. В 2018 было несколько случаев, когда мобильное вредоносное ПО было предварительно установлено на устройствах, а приложения, доступные в магазинах приложений, фактически оказались скрытым вредоносным ПО. Подробнее здесь.

Каждый четвертый атакованный пользователь в мире сталкивался с мобильными «порнозловредами»

В 2017 году 25%* пользователей мобильных устройств, столкнувшихся с различными зловредами, были атакованы вредоносными программами, которые в том или ином виде маскировались под контент для взрослых. В общей сложности такие угрозы затронули более 1,2 миллиона человек. К такому выводу пришли эксперты «Лаборатории Касперского», проанализировав киберугрозы для посетителей порносайтов и приложений. Всего в ходе своего исследования аналитики обнаружили 23 семейства мобильных зловредов, которые прячут свои реальные функции за материалами для взрослых.

Сталкиваясь с вредоносным порноприложением, пользователь практически в половине случаев (46%) рискует заполучить так называемый кликер – программу, которая «прокликивает» рекламные страницы или оформляет WAP-подписку, снимая таким образом деньги с мобильного счета. Второй по распространенности угрозой в этом случае являются банковские троянцы – с ними сталкивались 24% атакованных. На долю вымогателей приходится относительно небольшой процент заражений (6,5%), однако их попадание на устройство часто сопровождается запугиванием пользователя. Например, зловред блокирует экран, показывая оповещение об обнаружении нелегального контента (чаще всего детской порнографии) – с помощью этого обмана злоумышленники пытаются вынудить своих жертв заплатить выкуп.

Избежать заражения вредоносными программами, маскирующимися под порноконтент, можно с помощью все тех же базовых правил безопасного поведения: пользоваться только проверенными сайтами, не скачивать мобильные приложения из сторонних неофициальных источников (сколь бы заманчивыми они ни казались), не покупать взломанные аккаунты от порносайтов и, разумеется, использовать надежное защитное решение.

2017

Бизнес столкнулся с ростом числа программ-вымогателей и атак на IoT-устройства

Компания Trend Micro 13 сентября 2017 года опубликовала отчет по информационной безопасности за первое полугодие 2017 года «Цена компрометации» (The Cost of Compromise). В отчете представлены ключевые киберугрозы, которые продолжают бросать вызов развитию сферы информационных технологий. Бизнес столкнулся с ростом количества программ-вымогателей, увеличением случаев мошенничества с использованием корпоративной почты (BEC), атаками на устройства интернета вещей, а также киберпропагандой.

Так, в первой половине 2017 г. Trend Micro зафиксировала более 82 млн атак с использованием программ-вымогателей, а также более 3 тыс. попыток осуществления мошенничества с использованием корпоративной почты (BEC). Все это доказывает необходимость приоритизации мер по реагированию на возникающие угрозы. Несмотря на растущий уровень инвестиций в информационную безопасность, согласно последнему аналитическому отчету компании Forrester, на борьбу с увеличивающимся количеством корпоративных киберугроз все еще выделяется недостаточно средств.

Кроме того, с начала 2017 года:

  • Trend Micro Smart Protection Network заблокировала более 38 млрд угроз, большинство из которых представляли вредоносные электронные письма.
  • Специалистами Zero Day Initiative в программных решениях популярных вендоров были обнаружены 382 новые уязвимости.
  • Было обнаружено порядка 28 новых семейств программ-вымогателей. При этом одна только программа-вымогатель WannaCry смогла заразить беспрецедентное количество компьютеров — 300 тыс. в 150 странах.

В апреле и июне 2017 года атаки с использованием программ-вымогателей WannaCry и Petya нарушили деятельность тысяч компаний из различных отраслей по всему миру. Общая сумма потерь от этих атак, включая последующее снижение производительности и расходы на устранение последствий, по разным подсчетам составили порядка $4 млрд. Кроме того, по данным ФБР, мошенничество с использованием корпоративной почты обошлось компаниям в $5,3 млрд, все это — за первое полугодие 2017 года.

В период с января по июнь 2017 года наблюдался рост количества атак на устройства интернета вещей, а также распространение киберпропаганды. Совместно с Миланским техническим университетом (Politecnico di Milano) Trend Micro продемонстрировала уязвимость промышленных роботов перед действиями хакеров. Подобные атаки в результате могут обернуться серьезными финансовыми потерями и снижением продуктивности.

Так, незащищенные подключенные устройства подвергают риску умные производства: один лишь ботнет Persirai, обнаруженный Trend Micro в апреле 2017 года, атаковал более 1 000 подключенных к сети IP-камер, при этом всего было обнаружено более 120 тыс. камер, уязвимых перед атаками вредоносной программы.

Кроме того, увеличилось количество случаев использования социальных медиа для распространения кибепропаганды. Благодаря инструментам, которые доступны на подпольных рынках, распространение фейковых новостей или негативное освещение в медиа могут приводить к серьезным финансовым потерям для компаний, чья репутация и бренд могут пострадать от киберпропаганды.

«
Компаниям необходимо приоритизировать распределение бюджета для обеспечения защиты, поскольку стоимость утечки порой значительно превышает финансовые возможности бизнеса, — отметил Макс Ченг (Max Cheng), директор по информационным технологиям Trend Micro. — Ключевой темой в этом году по-прежнему остается большое количество кибератак на предприятия по всему миру. Тенденция, вероятно, останется такой же и во второй половине 2017 г. Все это происходит на фоне того, что компании перестают относиться к кибербезопасности только как к защите информации, а рассматривают это в качестве инвестиции в свое будущее.
»

Group-IB обнаружила новый зловред для Android, невидимый для антивирусов

Система раннего обнаружения киберугроз компании Group-IB зафиксировала активное распространение новой вредоносной программы, работающей под ОС Android. Вирус использует данные из телефонной книжки зараженного абонента, а антивирусное ПО не детектирует программу как вредоносную. Многие пользователи телефонов на базе Android за последнюю неделю получили MMS-сообщения от кого-то из своего контакт-листа со ссылкой. В начале сообщения вирус подставлял имя из записной книжки зараженного лица (см. картинку ниже).

При переходе по ссылке пользователь видел надпись «Уважаемый пользователь, вам пришла ммс-фотография. Посмотреть вы ее можете по ссылке ниже». При нажатии на кнопку «Посмотреть» на устройство загружалась вредоносная программа с расширением .APK. Также злоумышленники заботливо сопроводили спам инструкцией «Во время установки, нажмите НАСТРОЙКИ -> Разрешить установку из неизвестных источников -> OK».

Механизм работы вируса

Попадая на устройство, вредоносная программа рассылает себя по контактным листам жертвы. Параллельно она делает запрос на номер SMS-банкинга жертвы, узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция SMS-оповещений о списаниях, отметили в Group-IB.

Также в функционал программы входит показ так называемых «веб-фейков» — окон браузера, визуально схожих с окошками авторизации банковских приложений. Вводя в них данные банковских карт, жертва отправляла их злоумышленникам напрямую. В ряде случаев вредоносная программа могла также блокировать телефон.

«Эта угроза направлена на пользователей ОС Android — клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы, установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное (и продолжают его не детектировать). Антивирусы в этой ситуации просто не помогают», — рассказал руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.

ЛК: Количество зловредов для умных устройств удвоилось

Число вредоносных программ для атак на устройства Интернета вещей превысило семь тысяч, причем более половины из них появились за первые шесть месяцев 2017 года. Такие цифры приводят эксперты «Лаборатории Касперского». Аналитики компании также отмечают, что сейчас по всему миру работают больше 6 миллиардов подключенных к Интернету устройств, и люди подвергаются серьезной опасности. Взламывая умные гаджеты, злоумышленники получают возможность шпионить за пользователями, шантажировать их, а также использовать устройства в качестве промежуточного звена для совершения преступлений.

Специалисты «Лаборатории Касперского» провели эксперимент и настроили несколько ловушек («ханипотов»), которые имитировали различные умные устройства. Первые попытки несанционированного подключения к ним эксперты зафиксировали уже через несколько секунд. За сутки было зарегистрировано несколько десятков тысяч обращений. Среди устройств, атаки с которых наблюдали эксперты, более 63% можно определить как IP-камеры. Около 16% составили различные сетевые устройства и маршрутизаторы. Еще 1% пришелся на Wi-Fi-ретрансляторы, TV-приставки, устройства IP-телефонии, выходные ноды Tor, принтеры, устройства «умного дома». Остальные 20% устройств однозначно опознать не удалось.

Если посмотреть на географическое расположение устройств, с IP-адресов которых эксперты видели атаки на ханипоты, можно наблюдать следующую картину: в топ—3 стран вошли Китай (14% атакующих устройств), Вьетнам (12%) и Россия (7%).

Причина роста числа таких атак проста: Интернет вещей сегодня практически не защищен от киберугроз. Подавляющее большинство устройств работает на Linux, что упрощает жизнь преступникам: они могут написать одну вредоносную программу, которая будет эффективна против большого количества устройств. Кроме того, на большинстве IoT-гаджетов нет никаких защитных решений, а производители редко выпускают обновления безопасности и новые прошивки.

Китайское рекламное агентство распространяет зловред, заразивший 250 миллионов устройств

В мае 2017 года команда Threat Intelligence компании Check Point Software Technologies обнаружила чрезвычайную активность китайской вредоносной кампании, от которой пострадали уже более 250 миллионов компьютеров по всему миру. В каждой четвертой российской компании (24.35%) заражен хотя бы один компьютер. Распространяемый зловред Fireball поражает браузеры, превращая их в зомби. У Fireball две основные функции: одна заключается в способности запускать любой код и скачивать любые файлы на компьютер жертвы, а другая позволяет управлять веб-трафиком пользователя, чтобы генерировать прибыль от рекламы. В настоящее время Fireball устанавливает плагины и дополнительные конфигурации для увеличения рекламного трафика, однако он может легко превратиться в распространителя любого другого зловредного ПО.

Check Point Fireball Infection Map

Кампанией управляет крупнейшее маркетинговое агентство Rafotech, расположенное в Пекине. Rafotech использует Fireball, чтобы управлять браузерами жертв и менять поисковые системы и стартовые страницы, установленные по умолчанию, на фейковые поисковики, которые просто перенаправляют запросы на yahoo.com или Google.com. Поддельные поисковики способны собирать персональную информацию пользователей. Fireball также может шпионить за жертвами, доставлять любые зловреды и запускать любой вредоносный код на инфицированных машинах. Fireball попадает на компьютер жертвы обычно в связке с другим ПО, которое скачивает пользователь, часто даже без его согласия. Масштабы распространения Fireball поражают. В соответствии с данными аналитиков Check Point, инфицировано более 250 миллионов компьютеров по всему миру: около 25,3 миллиона в Индии (10,1%), 24,1 миллиона в Бразилии (9,6%), 16,1 миллиона в Мексике (6,4%) и 13,1 миллиона в Индонезии (5,2%). В США обнаружено около 5,5 миллиона заражений (2,2%).

По данным Check Point, процент заражения корпоративных сетей еще выше: около 20% от общего числа всех корпоративных сетей в мире. Значительное число заражений в США (10,7) и в Китае (4,7%), но особенно впечатляют данные по Индонезии (60%), Индии (43%) и Бразилии (38%).

Другим показателем высокой степени распространения является популярность поддельных поисковых систем Rafotech. Согласно аналитической системе Alexa, 14 из этих поддельных поисковых систем входят в число 10 000 наиболее популярных веб-сайтов, причем некоторые из них иногда попадают и в 1000 лучших.

С технической точки зрения, Fireball демонстрирует высокую степень мастерства его создателей: он способен избегать обнаружения, содержит многоуровневую структуру и гибкий C&C и в целом ничем не уступает другим успешным вредоносным программам.

Rafotech не признается в распространении поддельных поисковых систем, однако на своем сайте объявляет себя успешным маркетинговым агентством, охватывающим 300 миллионов пользователей по всему миру, что примерно совпадает с данными о количестве зараженных машин.

Масштабы распространения Fireball дают его модераторам, Rafotech, практически безграничную власть. Полученную из фейковых поисков приватную информацию компания может продавать мошенникам или бизнес-конкурентам жертв. Также она может доставить любой другой зловред на зараженные компьютеры. По нашим оценкам, в случае, если Rafotech решит реализовать этот потенциал, каждая пятая корпорация в мире будет находится в серьезной опасности. Ущерб может быть нанесен критически важным организациям — от крупных поставщиков услуг до операторов инфраструктуры и медицинских учреждений. Возможные потери достигают немыслимых масштабов, и на их восстановление могут уйти годы.

Данные Check Point Threat Index

Check Point Software Technologies обнаружил, что Hummingbad потерял лидерство среди вредоносных программ для мобильных устройств впервые с февраля 2016 года. Данные предоставлены в ежемесячном отчете Check Point Threat Index за январь, подготовленном командой исследователей Threat Intelligence[12].

Место Hummingbad на вершине рейтинга самых популярных мобильных вредоносных программ занял модульный бэкдор для Android Triada. Он предоставляет привилегии супер-пользователя скачанному зловреду, помогая ему проникнуть вглубь системных процессов. В общей сложности на мобильные вредоносные программы приходится 9% всех обнаруженных атак. Лидирующую позицию в общем рейтинге занимает Kelihos, ботнет, который используется для кражи биткоинов, — от него пострадали 5% организаций по всему миру.

Данные рейтинга говорят о том, что хакеры продолжают расширять арсенал инструментов для таргетированных атак на бизнес. Угрозы используются на каждом этапе заражения, включая спам-письма, рассылаемые ботами, которые содержат загрузчики, в свою очередь подселяющие «зловред» на устройство жертвы.

Количество атак на российские компании в январе существенно снизилось: Россия опустилась на 83 строчку в рейтинге самых атакуемых стран, еще месяц назад она располагалась на 55 месте. Самыми активными зловредами, атаковавшими российские организации в январе 2017 стали Conficker, InstalleRex, Cryptowall, Bedep, Kometaur, HackerDefender, Delf, Ramnit, Jeefo, Fareit.

Среди стран, которые больше всего атаковали в январе 2017 года, отметились Парагвай, Уганда и Македония. Самыми благополучными с точки зрения кибербазопасности оказались Аргентина, Черногория и Барбадос.

В общей сложности Kelihos был самым активным видом вредоносного ПО, заразившим 5% организаций по всему миру. За ним следует HackerDefender и Cryptowall, на которые приходится 4,5% атакованных компаний.

Самые активные зловреды января 2017:

  • Kelihos — Ботнет, который используется в основном для кражи биткоинов и спама. Он работает через пиринговую связь, позволяя каждому отдельному узлу выступать в качестве сервера Command & Control.
  • HackerDefender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и регистрационных ключей, а также для применения в качестве бэкдора и программы для перенаправления портов, которая работает через порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
  • Cryptowall — Вымогательский зловред, который начал как двойник Cryptolocker, но в конце концов превзошел его. Cryptowall стал одним из самых выдающихся вымогателей. Он известен из-за использования шифрования AES и проведения связи C&C через анонимайзер Tor. Зловред активно распространяется через эксплойт-киты, вредоносную рекламу и фишинговые кампании.

Самые активные мобильные зловреды:

  • Triada — Модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  • HummingbadВредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
  • Hiddad — Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.

2016: Вредоносная реклама теперь нацелена на роутеры

Вредоносными рекламным кампаниями сегодня трудно кого-либо удивить, но специалисты Proofpoint обнаружили новую тенденцию в данной области. Теперь злоумышленники нацеливаются не на браузеры пользователей, а на их роутеры. Итоговая цель атакующих – внедрить рекламу в каждую страницу, которую посетит зараженная жертва. Интересно, что данная кампания ориентирована не на пользователей IE, как это бывает чаще всего, но на пользователей Chrome (как десктопной, так и мобильной версии)[13][14].

Действуют хакеры следующим образом: на легитимных сайтах покупаются рекламные места для размещения объявлений. Для этого атакующие используют рекламные сети AdSupply, OutBrain, Popcash, Propellerads и Taboola. В объявление встраивается вредоносный JavaScript-код, который использует WebRTC-запрос к Mozilla STUN-серверу, чтобы узнать локальный IP-адрес жертвы. Основываясь на этой информации, вредонос определяет, управляется ли локальная сеть пользователя каким-либо домашним роутером. Если ответ положительный, атака продолжается. Если же нет, пользователю показывают обычную, безвредную рекламу, и он избегает неприятностей.

Владельцам роутеров показывают совсем не безобидные объявления. Реклама переадресует их прямиком к эксплоит киту DNSChanger, который продолжает атаку. Используя стеганографию, атакующие отправляют роутеру жертвы изображение, в котором содержится AES-ключ. Вредоносная реклама использует данный ключ для дешифровки дальнейшего трафика, получаемый от DNSChanger. Так злоумышленники скрывают свои операции от внимания ИБ-специалистов.

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli (Пирелли) и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

Если хакерам удалось получить контроль над устройством, они подменяют DNS-серверы и всю легитимную рекламу своей собственной, а также встраивают рекламу на сайты, где ее не было вовсе.

Единственный способ избежать подобных проблем – не использовать дефолтные учетные данные для роутера, отключить удаленный доступ к панели управления (если это возможно), а также обновить прошивку устройства до последней версии, чтобы закрыть уязвимости и избежать эксплоитов, которые применяет DNSChanger.

2013: Тренды вредоносного ПО и кода навязчивой рекламы в мобильной среде

Корпорация Symantec опубликовало исследование, в котором был проведен обзор последних трендов вредоносного ПО и кода навязчивой рекламы (известного также как adware) в среде мобильных устройств.

Ключевые моменты исследования:

  • Уверенный рост числа программ типа «madware» на Google Play. 23% всех приложений, представленных на площадке Google Play, содержат код агрессивного навязывания рекламы, известного также как madware. В 2012 г. этот показатель составлял всего 15%;
  • Агрессивные действия, совершаемые «madware». Две трети приложений, содержащих madware-код, собирают различную информацию об устройстве, включая номер IMEI, а также имя производителя и модель устройства. Помимо этого, треть всех этих программ публикует рекламные сообщения в панели оповещений, что может раздражать пользователей;
  • Рост числа вредоносного ПО на платформе Android. В период с июня 2012 г. по июнь 2013 г. число неизвестных разновидностей вредоносного кода возросло на 69%, а число известных угроз увеличилось почти в 4 раза.

Более подробную информацию можно найти по этим адресам:

2000 – 2008 гг.

2000 год. В начале года жертвами компьютерных вирусов стали поочередно операционная система Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. В мае грянула попавшая в Книгу Рекордов Гиннеса эпидемия скрипт-вируса I Love You!, поразившего миллионы компьютеров в течение нескольких часов. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих нормативных норм в законодательстве Филиппин.

В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", активизировавшийся при открытии соответствующей HTML-страницы.

В августе была обнаружена первая вредоносная программа класса "Троянский конь", под названием "Liberty", предназначавшаяся для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске "Liberty" стирала файлы, но не имела никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS - "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код. В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). В ноябре был обнаружен вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web-сайтов, так и электронных конференций для загрузки новых модулей вируса на зараженные компьютеры.

В том же году подписано первое международное соглашение о противодействии компьютерным вирусам.

2001 год. Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др.). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.

Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям.

Также 2001 год ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux. Так сетевой червь Ramen, обнаруженный 19 января, за считанные дни поразил большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты.

Кроме того, в этом же году был обнаружен новый тип вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями.

2002 год. Зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.). В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию .NET.

В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Червь Slapper всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. В течение 2002 года свирепствовали две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.

Среди замеченных в 2002 г. компьютерных вирусов, больше всего себя проявили макро-вирусы. Прежде всего, здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение. Среди Windows-вирусов больше всего заражений вызвали Elkern, CIH, FunLove и Spaces.

2003 год. Сетевой червь Lovesan, появившийся в августе 2003 года, использовал для своего распространения критическую уязвимость в операционной системе Windows. За считанные дни ему удалось заразить миллионы компьютеров по всему миру. Использованный им принцип размножения (через глобальную сеть интернет, с непосредственной атакой заражаемого компьютера, игнорируя традиционные для того времени пути распространения — электронную почту, IRC, P2P-сети) был впервые реализован еще в 1988 году в первом в истории сетевом черве Моррисона, однако затем, на протяжении почти 15 лет, ничего подобного не случалось. Lovesan был не единственным подобным червем в 2003 году. Первым стал червь Slammer, за три дня в январе 2003 сумевший заразить около полумиллиона компьютеров. Он также использовал уязвимость в программном продукте компании Microsoft — MS SQL Server. Slammer поразил компьютеры Госдепартамента США, где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз.

Почтовый червь Sobig.f появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую в XXI веке эпидемию почтового червя. На пике его активности практически каждое десятое электронное письмо содержало в себе такого червя. Червь не использовал какие-либо уязвимости, имел довольно простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года — дня, когда вирус Sobig.f на всех зараженных им компьютерах должен был получить команду от своего «создателя». Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты.

В сентябре объявился червь Swen, который использовал для размножения традиционные способы — электронную почту, IRC, P2P-каналы. Особенностью данного червя стал мощнейший метод социального инжиниринга: Swen выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Письмо, содержавшее легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст, неотразимо действовало не только на неискушенных, но и на многих опытных пользователей, заставляя их запускать приложенный к письму файл.

Последним ярким представителем 2003 года стал почтовый червь Sober. Написанный как подражание Sobig, червь использовал множество различных текстов писем, причем на разных языках, выбираемых в зависимости от страны получателя письма, и выдавал себя за утилиту для удаления Sobig.

2004 год. В начале января тысячам пользователей ICQ было разослано сообщение с просьбой посетить некий сайт. На сайте была размещена троянская программа, которая, используя одну из множества уязвимостей Internet Explorer, скрытно устанавливала и запускала троянский прокси-сервер Mitglieder,, открывавший на зараженной машине порты для рассылки спама.

Также в 2004 году произошли две эпидемии, которые смело можно назвать крупнейшими за всю историю сети интернет - распространение почтового червя MyDoom.a (январь-февраль 2004 г.) и сетевого червя Sasser.a (май 2004 г.). Mydoom известен массированной 12-дневной DDoS-атакой на веб-сайт компании SCO, начавшейся 1 февраля 2004 года. За пару часов работа сервера была полностью парализована и вернуться в нормальный режим www.sco.com смог только 5 марта. Червь Sasser в мае 2004 года поразил более 8 млн. компьютеров, а убытки от него оцениваются в 979 млн. долларов США. Для проникновения Sasser использовал уязвимость в службе LSASS Microsoft Windows.

В июне объявился Cabir — первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian. При каждом включении зараженного телефона вирус получал управление и начинал сканировать список активных Bluetooth-соединений. Затем выбирал первое доступное соединение и пытался передать туда свой основной файл caribe.sis. Ничего деструктивного Cabir не делал - только снижал стабильность работы телефона за счет постоянных попыток сканирования активных Bluetooth-устройств.

Вскоре, в августе 2004 года появились и вирусы для PocketPC — классический вирус Duts и троянская программа Brador. Этот год также запомнился масштабными арестами вирусописателей - было осуждено около 100 хакеров, причем трое из них находились в двадцатке самых разыскиваемых ФБР преступников.

2005 год. В 2005 году наметился некоторый спад активности почтовых червей. По данным Лаборатории Касперского всего в 2005 году было 14 вирусных эпидемий, втрое меньше аналогичного показателя 2004 года (46 эпидемий). Крупнейших же эпидемий было зафиксировано всего четыре - модификации почтового червя Bagle с индексами .ах и .ау (январь), сетевой вирус-червь Mytob.c (март) и две модификации почтового червя Sober - Sober.p (май) и Sober.y (ноябрь). Самым массовым и распространенным из всех появившихся в 2005 году стало семейство червей Mytob. Это выразилось в более чем 120 обнаруженных разновидностях червей данного семейства. Вариации Mytob в течение всего года составляли более половины от общего числа вредоносных программ, выловленных в почтовом трафике.

2006 год. 2006 год продолжил основные тенденции в развитии вредоносных программ, выявленные в прошлые годы. Это преобладание троянских программ над червями и увеличение в новых образцах вредоносного кода доли программ, ориентированных на нанесение финансового ущерба пользователям. В 2006 году, по данным Лаборатории Касперского, среди всех новых семейств и вариантов вредоносных программ доля троянских программ превысила 90%. Заметными событиями года стали первые «настоящие» вирусы и черви для операционной системы MacOS, троянские программы для мобильной платформы J2ME и связанный с ними способ кражи денег у пользователя с мобильного счета. Рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41%. В 2006 году было зафиксировано 7 крупных вирусных эпидемий - вдвое меньше показателя прошлого года (14 эпидемий). Эпидемии 2006 года можно разделить на четыре группы. Это червь Nyxem.e, черви семейств Bagle и Warezov, а также несколько вариантов троянца-шифровальщика Gpсode.

2007 год. Количество вредоносных компьютерных программ в 2007 году выросло более чем вдвое. По данным ЛК, в целом за год было зарегистрировано более 220 тыс. новых вирусов. В 2007 году ежемесячно появлялось 18,348 тысячи новых компьютерных вирусов, что также более чем в два раза превышает уровень предыдущего года (8,563 тысячи.) Более половины всех вредоносных программ, рассылаемых по электронной почте в 2007 году, составляли почтовые "черви" (54,55%), за ними шли программы семейства Trojan-Downloader (универсальные загрузчики произвольного вредоносного кода из интернета, 14,87%) и Trojan-Spy (программы, ворующие конфиденциальную информацию с компьютеров пользователей и организаций, 13,41%).

Доля "троянцев" в общем объеме вредоносных программ составила 91,73%, а число таких программ выросло по сравнению с 2006 годом на 2,28%. В 2007 году значительно возросло число вредоносных программ, ориентированных исключительно на игроков онлайн-игр. Если в 2006 году было обнаружено чуть более 15 тысяч программ, ворующих пароли от онлайн-игр, то по итогам 2007 года их число приблизилось к 35 тысячам.

2008 год. В первом полугодии 2008 года аналитики «Лаборатории Касперского» обнаружили 367 772 новые вредоносные программы - в 2,9 раз больше, чем во втором полугодии 2007 года. Среднее число новых вредоносных программ, обнаруживаемых за месяц, составило 61 295,33. По сравнению со второй половиной 2007 года число новых программ увеличилось на 188,85%. Такие темпы роста значительно превосходят итоги 2007 года, когда было обнаружено на 114% вредоносных программ больше, чем в 2006 году.

2008 год не внес значительных изменений в соотношение классов вредоносных программ. Абсолютным лидером по-прежнему являются троянские программы, на которые приходится более 92% всех вредоносных программ. При этом доля троянов выросла лишь на 0,43% - это значительно меньше, чем их рост на два с лишним процента в 2007 году. Число новых троянских программ, обнаруженных в первом полугодии 2008 года, увеличилось на 190,2% по сравнению с предыдущим полугодием.

1990 – 1999 гг.

1990 год. Появились первые полиморфные вирусы – Chameleon (1260, V2P1, V2P2 и V2P6). В Болгарии появился так называемый "завод по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели именно болгарское происхождение. Это были целые семейства вирусов - Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. Там же, в Болгарии, появилась и первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. В этом же году были обнаружены и первые известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".

В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller.

В декабре 1990 г. в Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR - European Institute for Computer Anti-virus Research). Примерно в это же время, компания Symantec представила свой антивирусный продуктNortonLifeLock (ранее Symantec)AntiVirus.

1991 год. Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему миру появляются другие станции, ориентированные на обмен вирусами, и новые вирусописатели. В Италии появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии - Gonorrhoea, в Швеции - Demoralized Youth, в США - Hellpit, в Англии - Dead On Arrival и Semaj.

1992 год. Все большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы MS-DOS на компьютере IBM-PC. Количество вирусов растет в геометрической прогрессии. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. Появляется первый полиморфик-генератор MtE. Его главное предназначение - возможность интеграции в другие вирусы для обеспечения их полиморфизма. Появляются первые вирусы класса анти-антивирус, способные обходить защиту и оставался незаметными. В июле 1992 года появились первые конструкторы вирусов - VCL и PS-MPC, позволявшие создавать вирусы различных типов и модификаций. В конце этого же года появился первый вирус для Windows - Win.Vir_1_4 (10), заражающий исполняемые файлы операционной системы.

1993 год. Вирус Satan Bug поражает сотни компьютеров в Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора - им оказался 12-летний подросток. Зафиксировано появление «бомб замедленного действия» — вирусов, которые проникают в компьютеры и активизируются лишь при наступлении определенной даты. Корпорация Microsoft выпустила свой собственный антивирус – Microsoft AntiVirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS и Windows. Первые тесты, проведенные независимыми испытательными лабораториями, показали высокую надежность продукта. Однако, впоследствии его качество стало постепенно ухудшаться, и через некоторое время Microsoft решила закрыть этот проект.

1994 год. Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса - SMEG.Pathogen и SMEG.Queeg. Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. В январе 94-го появился Shifter - первый вирус, заражающий объектные модули (OBJ-файлы). В апреле - SrcVir - семейство вирусов, заражающих исходные тексты программ (C и Pascal). В июне началась эпидемия полиморфного вируса OneHalf. В сентябре - эпидемия файлово-загрузочного вируса "3APA3A", использующего крайне необычный способ внедрения в MS-DOS. Примерно в это же время, состоялся международный дебют антивирусной программы AntiViral Toolkit Pro (AVP).

1995 год. Широкое распространение получили вирусы ByWay и DieHard2 - сообщения о зараженных компьютерах были получены практически со всего мира. В феврале корпорация Microsoft выпустила бета-версию новой системы Windows 95 на дискетах, зараженных вирусом "Form". В августе в "живом виде" обнаружен первый вирус для Microsoft Word ("Concept"). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей текстового процессора. В 1995 г. дважды отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo. В середине декабря другой журнал из семейства Ziff-Davis, Computer Life, разослал читателям дискету с рождественскими поздравлениями. Помимо поздравления, диск также содержал загрузочный вирус Parity_Boot.

1996 год. В январе появился первый вирус для операционной системы Windows 95 - Boza, и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым. В марте произошла первая эпидемия вируса для Windows 3.x. - Win.Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. В июне появился "OS2.AEP" - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньон".

В июле обнаружен "Laroux" - первый вирус для Microsoft Excel, к тому же пойманный в "живом виде" практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у MS Word-вирусов, принцип действия "Laroux" основывается на наличии в файлах так называемых макросов - программ на языке программирования Visual Basic. В конце лета вирусописатели под псевдонимами Nightmare Joker и Wild Worker практически одновременно выпускают конструкторы макро-вирусов для соответственно немецкой и английской версий MS Word - Word Macro Virus Construction Kit и Macro Virus Development Kit. В середине октября на сайте Microsoft, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен максро-вирус Wazzu. В декабре объявился первый резидентный вирус для Windows 95 - "Win95.Punch". Он загружался в систему как VxD-драйвер, перехватывал обращения к файлам и заражал их. В целом 1996 год можно считать началом широкомасштабного наступления компьютерного андерграунда на операционные системы Windows95 и Windows NT, а также на приложения Microsoft Office.

1997 год. В феврале появляется первый вирус для операционной системы Linux - "Linux.Bliss". Одновременно в выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное "переползание" макро-вирусов на эту платформу. Март 1997 года ознаменовался появлением макро-вируса "ShareFun" для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail. В апреле обнаружен вирус "Homer" - первый сетевой вирус-червь, использующий для своего распространения протокол передачи данных File Transfer Protocol (FTP). В июне появился первый самошифрующийся вирус для Windows 95 - "Win95.Mad". Вирус, имеющий российское происхождение, был разослан на несколько станций BBS в Москве, что стало причиной довольно крупной эпидемии. В декабре появляется принципиально новый тип компьютерных червей, использующих каналы IRC (Internet Relay Chat). Также в 1997 году антивирусное подразделения фирмы КАМИ, возглавляемого Евгением Касперским, отделилось в независимую компанию "Лаборатория Касперского (Kaspersky)".

1998 год. В начале года зафиксирована эпидемия целого семейства вирусов Win32.HLLP.DeTroie, не только заражающих выполняемые файлы Windows, но и способных передавать своему "хозяину" информацию о зараженном компьютере. В феврале зафиксировано появление нового типа вируса для документов Excel - Excel4.Paix (или Formula.Paix). Данный тип макро-вируса для своего внедрения в таблицы Excel испольовал не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. В этом же месяце, зарегистрированы Win95.HPS и Win95.Marburg - первые полиморфные Win32-вирусы.

В марте был обнаружен AccessiV - первый вирус для Microsoft Access. Примерно в то же время было зафиксировано появление Cross -первого многоплатформенного макро-вируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал "Triplicate" (также известный под именем "Tristate"), способный заражать Word, Excel и PowerPoint.

В мае объявился вирус "RedTeam", который стал первым вирусом, заражающим EXE-файлы Windows, и распространяющимся по электронной почте при помощи программы Eudora. В июне началась эпидемия вируса Win95.CIH, ставшая сначала массовой, а затем глобальной. В зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Август ознаменовался появлением BackOrifice (Backdoor.BO) - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие. Также в августе появился первый вирус, заражающий выполняемые модули Java - Java.StangeBrew. В декабре жертвой компьютерных вирусов ("Attach", "ShapeShift" и "ShapeMaster") становится еще одно приложение из состава MS Office. Им стала программа для создания презентаций - PowerPoint.

1999 год. В январе разразилась глобальная эпидемия интернет-червя Happy99 (также известного как Ska). Это был первый современный червь, использовавший для своего распространения программу MS Outlook. В марте вирус Melissa поразил десятки тысяч компьютеров. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Правоохранительные органы США исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США.

В мае появился вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel Corporation SCRIPT. "Gala" стал первым вирусом, способным заражать файлы как самого Corel CorporationDRAW!, так и Corel CorporationPHOTO-PAINT и Corel CorporationVENTURA. В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений.

В августе был обнаружен вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus и пытался распространяться по каналам IRC. В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer (браузер). В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove.

В декабре был обнаружен "Babylonia" - первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей.

1980 – 1989 гг.

1981 год. Вирус Elk Cloner поражает компьютеры Apple. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Elk Cloner переворачивал изображение на экране, заставлял мигать текст, выводил разнообразные сообщения

1983 год. Лен Эйделман впервые употребляет термин "вирус" в применении к саморазмножающимся компьютерным программам. 10 ноября 1983 г. Фред Коэн, родоначальник современной компьютерной вирусологии, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-й конференции по безопасности информации, он дает научное определение термину "компьютерный вирус", как программе, способной "заражать" другие программы при помощи их модификации с целью внедрения своих копий.

1986 год. Впервые создан вирус для IBM PC - The Brain. Два брата-программиста из Пакистана написали программу, которая должна была "наказать" местных "пиратов", ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Успех вируса был обеспечен тем, что компьютерное сообщество было абсолютно не готово к подобному развитию событий. Интересно, что вирус Brain являлся также и первым вирусом-невидимкой. При обнаружении попытки чтения зараженного сектора диска вирус незаметно "подставлял" его незараженный оригинал. В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 года, в Гамбурге, на форуме компьютерного "андерграунда" - Chaos Computer Club. В то время форум собирал хакеров, специализировавшихся на взломе VAX/VMS-систем.

1987 год. Появление вируса Vienna. Его происхождение и распространение практически по всему миру имело большой резонанс и вызвало горячие споры о настоящем авторе. В этом же году, один из претендентов на авторство - Ральф Бергер, написал первую книгу об искусстве создания и борьбы с вирусами. Книга называлась "Компьютерные вирусы. Болезнь высоких технологий" (Computer Viruses. The Decease of High Technologies) и стала "букварем" начинающих создателей вирусов. Кроме того, в 1987 году независимо друг от друга появляется еще несколько вирусов для IBM-совместимых компьютеров: знаменитый Лехайский вирус (Lehigh), названный в честь университета г. Бетлехэм, штат Пенсильвания, США; семейство вирусов Suriv; ряд загрузочных вирусов (Yale в США, Stoned в Новой Зеландии, Ping-pong в Италии) и первый в истории компьютеров самошифрующийся файловый вирус Cascade.

1988 год. Одно из наиболее знаменательных событий в области вирусов в 1988 года - глобальная эпидемия, вызванная вирусом Suriv-3, более известным как Jerusalem. Вирус был обнаружен одновременно в компьютерных сетях многих коммерческих фирм, государственных организаций и учебных заведений. По сути дела вирус обнаружился сам: в пятницу, 13-го, он уничтожал все запускаемые на зараженном компьютере файлы. В 1988 году этой черной датой стало 13 мая. Именно в этот день сообщения о тысячах инцидентах с участием Jerusalem поступили со всех концов планеты, в первую очередь из Америки, Европы и с Ближнего Востока. В этом же году, 23-летний американский программист создал червя, поразившего 6 тыс. компьютеров в сети ARPANET. И впервые суд приговорил автора этого вируса к штрафу в 10 тыс. долл. и 3 годам испытательного срока.

22 апреля 1988 года создан первый электронный форум по проблеме антивирусной безопасности. Ею стала конференция Virus-L в сети Usenet, которая была создана Кеном Ван Уайком (Ken van Wyk). Помимо этого, 1988 год ознаменовался появлением антивирусной программы - Dr. Solomon's Anti-Virus Toolkit. Программа была создана английским программистом Аланом Соломоном (Alan Solomon), завоевала огромную популярность и просуществовала до 1998 года, когда компания была поглощена другим производителем антивирусов - американской Network Associates (NAI).

1989 год. ARPANET официально переименован в Интернет. Появляются новые вирусы - Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства - Vacsina и Yankee. Вирус Datacrime имел крайне опасное проявление - с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных.

4 октября 1989 года появился в продаже антивирус IBM Virscan для MS-DOS. 16 октября 1989 г. на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на сообщение "WORMS AGAINST NUCLEAR KILLERS", сопровождаемое текстом "Your System Has Been Officially WANKed". WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.

В декабре этого же года появился первый «троянский конь» — AIDS, который делал недоступной всю информацию на жестком диске компьютера и высвечивал на экране лишь одну надпись: «Пришлите чек на 189 долл. на такой-то адрес». Автор программы был осужден за вымогательство.

До 1980-х годов

1949 год. Американский ученый венгерского происхождения Джон фон Науманн (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.

В начале 60-х инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

Конец 60-х – начало 70-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер - на котором и был создан.

1974 год. Создана сеть Telenet - коммерческая версия ARPANET. На компьютерах этого времени появляется программа, получившая название "кролик" (Rabbit). Это имя она получила потому, что кроме размножения и распространения по носителям информации она ничего не делала. Программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине "кролик" нередко вызывал сбой в ее работе.

1975 год. Через Telenet распространяется первый в истории сетевой вирус The Creeper. Написанная для некогда популярной операционной системы Tenex, эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I'M THE CREEPER : CATCH ME IF YOU CAN". Для противодействия вирусу впервые в истории написана особая антивирусная программа The Reeper.

1979 год. Инженеры из исследовательского центра компании Xerox создали первого компьютерного червя.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. [https://www.securitylab.ru/news/540528.php Википедия стала инструментом для маскировки нового вредоносного загрузчика WikiLoader Подробнее: https://www.securitylab.ru/news/540528.php]
  2. Загрузчик DoubleFinger прячет стилер в PNG-файлах и подменяет интерфейс криптовалютных кошельков
  3. The Blank Image Attack
  4. Cobalt Strike
  5. Cobalt Strike незаметно распространяется через 3 новых загрузчика
  6. Хакеры мстят читерам: новый вредонос Erbium распространяется под видом читов для игр
  7. Активность Linux-вредоноса XorDDos выросла на 254%
  8. Мошенники распространяют инфостилер под видом обновления Windows 11
  9. Хакеры переключились на Linux. Зафиксирован взрывной рост атак на ОС этого семейства
  10. Атакуй, подешевело. На черном рынке упали цены на хакерские программы
  11. Вредоносная программа Raccoon заразила более 100 тыс. устройств
  12. Данные для Threat Map предоставлены Check Point’s ThreatCloud — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.С января 2017 года Check Point пересмотрел методику подсчета индекса активности вредоносных программ: теперь она основывается на доле организаций по всему миру, пострадавших от каждого семейства вредоносного ПО. Таким образом, в индексе теперь представлены самые доминирующие зловреды, атакующие сети. Это дает более точное представление о реальном влиянии угроз на компании в мире.
  13. Home Routers Under Attack via Malvertising on Windows, Android Devices
  14. Вредоносная реклама теперь нацелена на роутеры