[Информационная безопасность] Security Week 20: мифы о шифровальщиках
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
12 мая эксперты «Лаборатории Касперского» опубликовали большой отчет об эволюции атак с шифрованием данных и последующим вымогательством. В статье прежде всего уделяется внимание организации этого криминального бизнеса и рассматриваются атаки на крупные компании. Одним из явных трендов года стала охота преступных группировок за «крупной дичью» — сравнительно большими организациями, способными выплатить серьезный выкуп в цифровой валюте. Отчет публикуется на фоне ежедневных новостей об атаках на бизнес, включая такие громкие события, как атака на компанию Colonial Pipeline.
Самое важное, что нужно знать о таких группировках: они сложно устроены и не работают автономно. От этой угрозы не получится избавиться, даже если найти и арестовать организаторов отдельной кампании. Экосистема перестанет работать, только если лишится доходов, то есть когда пострадавшие перестанут платить выкуп. Исследование приводит примеры набора участников в новые организации и указывает типичные роли: продавцы учетных данных, разработчики вредоносного ПО, аналитики, ответственные за отмывание криптовалюты.
Самый актуальный миф, который опровергается в статье, — это утверждение, что цели атак выбираются заранее. На самом деле их находят случайным образом. Чаще всего владельцы бот-сетей и брокеры, продающие доступ к скомпрометированным компьютерам и серверам, выставляют информацию о потенциальных жертвах, и цели определяются «из наличия». Здесь есть важная рекомендация для IT-безопасников: нужно вовремя обнаруживать отдельные инциденты, связанные с проникновением в защищенный периметр или заражением вредоносным ПО. Между этим «первым звонком» и полномасштабной атакой возможен временной лаг, позволяющий избежать серьезных последствий.
Исследование в подробностях описывает деятельность двух крупных группировок вымогателей, REvil и Babuk. Помимо прочего, отмечается более агрессивное давление на потенциальных жертв, мотивирующее быстрее выплачивать выкуп. Для этого в даркнете создаются веб-сайты с примерами украденных данных, информация об утечках «сливается» в СМИ. И наоборот, для облегчения «клиентского опыта» улучшается поддержка жертв — например, создается отдельный чат для общения с вымогателями. В предыдущей публикации экспертов «Лаборатории Касперского» по теме «пользовательских» вымогателей отмечается снижение количества широкомасштабных атак. Новый отчет показывает, куда переместилось внимание киберпреступников, и подробно описывает превращение криминальных операций в сложный и разветвленный бизнес.
Что еще произошло:
Атака на оператора нефтепровода Colonial Pipeline в США привела к кратковременному прекращению поставки нефтепродуктов на восточном побережье страны, вызвала панику на автозаправках и, судя по всему, в дальнейшем приведет к изменениям в мерах по борьбе с киберпреступностью. На прошлой неделе вышло много публикаций по этой атаке, но далеко не вся информация подтверждена. Вот наиболее интересные статьи:
— Анализ деятельности группировки DarkSide, взявшей на себя ответственность за атаку, от Брайана Кребса (Brian Krebs). Ранее в Твиттере он то ли в шутку, то ли всерьез указывал на очевидный факт относительно вредоносных программ-шифровальщиков с русскоязычными корнями: они избегают системы с кириллической раскладкой.
Извините, данный ресурс не поддреживается. :(
Локализация отмечена и в отчете «Лаборатории Касперского», но в ином контексте: русскоязычные организаторы атак стараются не работать с англоязычными партнерами, опасаясь контратак или утечки информации. Для теста на знание языка в одном примере предлагается использовать местный фольклор.
— Разбор технических особенностей вредоносного ПО, используемого DarkSide в предыдущих атаках.
— Неподтвержденная официально информация, согласно которой Colonial Pipeline заплатила вымогателям пять миллионов долларов. Здесь утверждается, что организаторы атаки потеряли доступ к своей инфраструктуре, а также к криптокошелькам.
— Анализ движения средств в Bitcoin-кошельках, предположительно принадлежащих DarkSide.
Помимо этого инцидента «ИБ-жизнь» идет своим чередом. Большим событием стало исследование об уязвимостях в устройствах и самом протоколе Wi-Fi. Коллекция атак Fragattacks (сайт проекта, обсуждение на Хабре) использует уязвимости, не зависящие от типа шифрования (вплоть до WPA3), и может быть задействована для кражи данных или перенаправления пользователя на вредоносные ресурсы.
Исследователь из Швеции Понтус Джонсон (Pontus Johnson) нашел уязвимость в концепции универсальной машины Тьюринга, предложенной еще в 1967 году (статья The Register, исследовательская работа). В ходе этого исключительно теоретического упражнения был найден способ запуска произвольного кода. Причина: отсутствие валидации ввода.
Предложен способ передачи произвольных данных и получения информации с устройств на базе iOS и MacOS. Используется уязвимость протокола Bluetooth и особенности технологии Find My для поиска потерянных девайсов.
MSI предупреждает о поддельных сайтах, распространяющих вредоносное ПО под видом популярной утилиты Afterburner для разгона видеокарт.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Криптография, DNS] Cloudflare пообещал избавить пользователей от каптчи системой ключей безопасности
- [Информационная безопасность, Криптография] Хакерские форумы запретили рекламу и обсуждения вирусов-криптовымогателей
- [Информационная безопасность, Программирование, GitHub, Rust] Разработчик показал, как можно получить SSH-ключ через VSCode при открытии жертвой приложения в редакторе
- [Информационная безопасность, Научно-популярное] ФБР предположительно получило доступ к Apple-аккаунту Александры Элбакян, основателя Sci-Hub
- [Информационная безопасность, Сетевые технологии, Законодательство в IT, IT-компании] Роскомназор: вниманию компаний, использующих в работе VPN-сервисы
- [Информационная безопасность, Системное администрирование, *nix] В bash безобидная с виду конструкция [[ $var -eq 42 ]] умеет выполнять и произвольный код (перевод)
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, Криптография] Брайан Кребс: криптовымогатель DarkSide не шифрует ПК c русской раскладкой
- [Информационная безопасность] Обзор решения: Proget MDM
- [Информационная безопасность, Системное администрирование, Антивирусная защита, Разработка под Windows, Софт] Бэкдор в Win 10 Tweaker, или современные методы борьбы с пиратством
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_ransomware, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 11:57
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
 12 мая эксперты «Лаборатории Касперского» опубликовали большой отчет об эволюции атак с шифрованием данных и последующим вымогательством. В статье прежде всего уделяется внимание организации этого криминального бизнеса и рассматриваются атаки на крупные компании. Одним из явных трендов года стала охота преступных группировок за «крупной дичью» — сравнительно большими организациями, способными выплатить серьезный выкуп в цифровой валюте. Отчет публикуется на фоне ежедневных новостей об атаках на бизнес, включая такие громкие события, как атака на компанию Colonial Pipeline. Самое важное, что нужно знать о таких группировках: они сложно устроены и не работают автономно. От этой угрозы не получится избавиться, даже если найти и арестовать организаторов отдельной кампании. Экосистема перестанет работать, только если лишится доходов, то есть когда пострадавшие перестанут платить выкуп. Исследование приводит примеры набора участников в новые организации и указывает типичные роли: продавцы учетных данных, разработчики вредоносного ПО, аналитики, ответственные за отмывание криптовалюты. Самый актуальный миф, который опровергается в статье, — это утверждение, что цели атак выбираются заранее. На самом деле их находят случайным образом. Чаще всего владельцы бот-сетей и брокеры, продающие доступ к скомпрометированным компьютерам и серверам, выставляют информацию о потенциальных жертвах, и цели определяются «из наличия». Здесь есть важная рекомендация для IT-безопасников: нужно вовремя обнаруживать отдельные инциденты, связанные с проникновением в защищенный периметр или заражением вредоносным ПО. Между этим «первым звонком» и полномасштабной атакой возможен временной лаг, позволяющий избежать серьезных последствий. Исследование в подробностях описывает деятельность двух крупных группировок вымогателей, REvil и Babuk. Помимо прочего, отмечается более агрессивное давление на потенциальных жертв, мотивирующее быстрее выплачивать выкуп. Для этого в даркнете создаются веб-сайты с примерами украденных данных, информация об утечках «сливается» в СМИ. И наоборот, для облегчения «клиентского опыта» улучшается поддержка жертв — например, создается отдельный чат для общения с вымогателями. В предыдущей публикации экспертов «Лаборатории Касперского» по теме «пользовательских» вымогателей отмечается снижение количества широкомасштабных атак. Новый отчет показывает, куда переместилось внимание киберпреступников, и подробно описывает превращение криминальных операций в сложный и разветвленный бизнес. Что еще произошло: Атака на оператора нефтепровода Colonial Pipeline в США привела к кратковременному прекращению поставки нефтепродуктов на восточном побережье страны, вызвала панику на автозаправках и, судя по всему, в дальнейшем приведет к изменениям в мерах по борьбе с киберпреступностью. На прошлой неделе вышло много публикаций по этой атаке, но далеко не вся информация подтверждена. Вот наиболее интересные статьи: — Анализ деятельности группировки DarkSide, взявшей на себя ответственность за атаку, от Брайана Кребса (Brian Krebs). Ранее в Твиттере он то ли в шутку, то ли всерьез указывал на очевидный факт относительно вредоносных программ-шифровальщиков с русскоязычными корнями: они избегают системы с кириллической раскладкой. Извините, данный ресурс не поддреживается. :( Локализация отмечена и в отчете «Лаборатории Касперского», но в ином контексте: русскоязычные организаторы атак стараются не работать с англоязычными партнерами, опасаясь контратак или утечки информации. Для теста на знание языка в одном примере предлагается использовать местный фольклор. — Разбор технических особенностей вредоносного ПО, используемого DarkSide в предыдущих атаках. — Неподтвержденная официально информация, согласно которой Colonial Pipeline заплатила вымогателям пять миллионов долларов. Здесь утверждается, что организаторы атаки потеряли доступ к своей инфраструктуре, а также к криптокошелькам. — Анализ движения средств в Bitcoin-кошельках, предположительно принадлежащих DarkSide. Помимо этого инцидента «ИБ-жизнь» идет своим чередом. Большим событием стало исследование об уязвимостях в устройствах и самом протоколе Wi-Fi. Коллекция атак Fragattacks (сайт проекта, обсуждение на Хабре) использует уязвимости, не зависящие от типа шифрования (вплоть до WPA3), и может быть задействована для кражи данных или перенаправления пользователя на вредоносные ресурсы. Исследователь из Швеции Понтус Джонсон (Pontus Johnson) нашел уязвимость в концепции универсальной машины Тьюринга, предложенной еще в 1967 году (статья The Register, исследовательская работа). В ходе этого исключительно теоретического упражнения был найден способ запуска произвольного кода. Причина: отсутствие валидации ввода. Предложен способ передачи произвольных данных и получения информации с устройств на базе iOS и MacOS. Используется уязвимость протокола Bluetooth и особенности технологии Find My для поиска потерянных девайсов. MSI предупреждает о поддельных сайтах, распространяющих вредоносное ПО под видом популярной утилиты Afterburner для разгона видеокарт. =========== Источник: habr.com =========== Похожие новости:
Блог компании «Лаборатория Касперского» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 11:57
Часовой пояс: UTC + 5