Несколько фактов о вирусах шифровальщиках.

02/12/2016

Из моего выступления на Security Forum (Киев)

• Атаки программного обеспечения вирусов-вымогателей обходится малым и средним компаниям в США в $75 миллиардов в год, что показывает средний ущерб в $8500 в час.
• 95% опрошенных отметили что атаки вирусов-вымогателей случаются все чаще и чаще.
• 63% респондентов заявили, что атаки вирусов-вымогателей привели к угрожающему простою для бизнеса.
• Сумма выкупа в среднем составила от $500 до $2000.
• Вместе с тем 10% опрошенных заявили о сумме более $5000.
• 7% заявили, что оплата выкупа не привела к расшифровке данных.
• 40% сообщили о более чем 6 атаках в течение года, а 31% заявили о многократных атаках в течение одного дня.
• Согласно сообщениям ФБР, нападения вирусов-вымогателей только за первые три месяца 2016 года принесли злоумышленниками минимум 200 миллионов долларов. Таким образом, вполне вероятно, что к концу года их прибыль составит более 1 миллиарда долларов США.

Согласно исследованию Malwarebytes, за период с июня 2015 года по июнь 2016 почти 40% компаний были атакованы вирусами-вымогателями.
По данным «Лаборатории Касперского», за прошедший год программами-шифровальщиками были атакованы 38% российских компаний среднего и малого бизнеса.
12% организаций, ставших жертвами этой киберугрозы, так и не сумели восстановить доступ к значительной части ценных данных.
12% заплатили выкуп, требуемый киберпреступниками, несмотря на то что это не гарантирует возвращение файлов.


Gooligan заражает приблизительно 13 000 устройств ежедневно!

02/12/2016

https://www.pcweek.ru/security/blog/security/9164.php

Если Вы владеете смартфоном на базе Android, будьте внимательнее! Новое вредоносное программное обеспечение Android, с помощью которого уже взломаны более 1 миллион учетных записей Google, заражает приблизительно 13 000 устройств каждый день.

Новое вредоносное программное обеспечение, получившее название Gooligan заражает уязвимые устройства на базе Android, чтобы украсть адреса электронной почты и маркеры аутентификации, хранящиеся на этих устройствах.

Получив доступ к такой информации нападающие в состоянии взломать вашу учетную запись Google и получить доступ к вашей чувствительной информации из приложений Google включая Gmail, фотографии Google, Google Docs, Google Play, Google-Drive и G Suite.


Сказки о безопасности: Атака на общественный транспорт

30/11/2016

http://www.pcweek.ru/themes/detail.php?ID=190539

В тот день ничто не предвещало беды. Зима только начала вступать в свои права. С вечера жителей столицы попросили при возможности пересесть на общественный транспорт. В столице ожидался очередной зимний шторм с усилением ветра и обильными снегопадами. В такую погоду передвигаться по городу рекомендовалось на трамваях и метро. А личный транспорт оставить дома.

На утро город было сложно узнать. Несмотря на то, что снегоуборочные машины работали всю ночь, все же улицы, особенно на окраинах, были плотно забиты снегом. За ночь выпало более двухмесячной нормы осадков.

Послушные горожане шли к остановкам общественного транспорта, но там их ждало новое событие. Практически все автоматы по продаже билетов, которыми были оборудованы остановки, не работали. Вместо привычной уже рекламы на экранах виднелась надпись о том, что платежный терминал взломан, все данные зашифрованы, для получения ключа пишите на почтовый адрес xxx@yyyyy.com. В связи с этим руководство городским транспортом приняло решение о том, чтобы пассажиры просто ехали бесплатно

Утро в департаменте защиты информации выдалось не просто бурным, а было слегка похоже на пожар в публичном доме во время потопа.

Толпа журналистов встречала Иоганна еще на входе в здание.

— Вы можете прокомментировать случившееся? Как вы считаете, кто стоит за атакой на столицу? Что вы можете сказать?

Да и в кабинете не было покоя. Звонил прямой телефон имперской канцелярии.

— Иоганн, что вы можете сказать?

— Да ничего пока. Нам нужно время. Нужно понять, как именно вирус-шифрователь попал в сеть платежных терминалов, ведь выхода в Интернет эта сеть не имела. Дайте нам несколько дней и по возможности не дергайте. Ведь мы же в конце концов не мешки на базаре грузим. Нам тишина нужна.

— Да, понимаю, но ведь нас дергают.

— Так придумайте что-нибудь. Но тревожить своих спецов я не дам. Они и так уже в мыле.

Прошла неделя.

— Иоганн, вы нас порадуете?

— Да. Мы готовы доложить. Вредоносное программное обеспечение, найденное нами на платежных терминалах, обладает функцией отложенного старта и, судя по тому, что мы сумели обнаружить, терминалы были заражены не ранее двух месяцев назад. Скорее всего к одному из них подсоединили зараженный ноутбук службы технической поддержки. В дальнейшем вредоносный файл распространился по всей сети и уже после этого был нанесен удар. Увы, ящик, указанный для общения, полностью автоматический, а счет, указанный для оплаты, в настоящее время уже закрыт в банке одной из оффшорных зон.

— И что? Мы сможем наказать злоумышленников?

— Нет! На ноутбук службы поддержки судя по всему зловредное ПО попало путем фишинга.

— И что делать?

— Рекомендации стандартны — обновлять ПО, не открывать письма из неизвестных источников, делать резервные копии. Увы, но новых рекомендаций пока просто нет.

Не так давно хакеры вскрыли систему терминалов для оплаты трамвая в Сан-Франциско. Думаете, это последнее подобное происшествие? Надейтесь! Я же в такое поверить просто не могу


Сказки о безопасности: Поиск террориста

29/11/2016

http://www.pcweek.ru/themes/detail.php?ID=190505

В это утро все начиналось как обычно. Обычное серое осеннее утро. Легкий ветерок, небольшой морозец, где-то около −1 по Цельсию. Одевшись потеплее, Иоганн пошел на работу.

Как всегда, он предпочел не вызывать машину к дому, а пройтись утром через парк. Это помогало ему чувствовать себя лучше, да и пока шел, можно привести мысли в порядок.

Сегодня рабочее утро должно было начаться с совещания руководителей спецслужб в канцелярии императора. Это означало, что скорее всего их подразделению коллегами будет поставлена новая задача. Так и оказалось.

— Доброе утро, господа. У нас новая проблема. Мы знаем, что в нашу столицу должен прибыть один из международных террористов по прозвищу «Дон Чако». Мы располагаем его фотографией годичной давности. Но проблема в том, что возможных путей прибытия у него очень много. Это и самолет, и поезд, и автобус, и корабль. Мы не сможем контролировать всех прибывающих исключительно с помощью визуального контакта нашими агентами. Ваши предложения?

— Ваше величество, в соответствующих местах скопления народа установлены видеокамеры.

— И чем нам это поможет? Они же не могут контролировать и выделять нужное нам лицо в реальном времени?

— Это не совсем так. До недавнего времени так и было, однако с появлением нового программного обеспечения А стало возможным распознавать людей в толпе, причем практически в реальном времени.

— Как?

— Для этого поток с видеокамер направляется на серверы компании А и там происходит сравнение видеоряда с заранее подготовленными фотографиями. Мы таким образом получим нужную нам информацию в реальном времени. Более того, мы сможем узнать, кто именно будет встречать нужного нам человека и практически мгновенно идентифицировать его, сверяясь с нашей базой документов.

— Вы уверены?

— Безусловно. Хотя, конечно же, возможен небольшой процент ошибок, но он может быть отработан с привлечением оперативного состава.

— Иоганн, вы меня порадовали. Привлекайте ваших специалистов и скажите представителям компании А, что мы платим за пилотный проект и если он оправдается, то фирма получит государственное финансирование как закрытый секретный проект. А за ПО мы заплатим в четыре раза больше.

Прошел месяц.

К неприметному человеку, приехавшему в столицу на поезде, вдруг на вокзале приблизились четверо молодых людей.

— Вы арестованы. Просим пройти за нами.

Операция произошла настолько быстро, что рядом стоявшим пассажирам просто показалось что человека встречала дружная компания. Так незаметно и совершенно буднично закончилась эта история.

Вы считаете это фантастикой? Отнюдь. Например, в России уже разработано ПО для распознавания и сравнение с образцом лиц в видеопотоке Arvider. Так что добро пожаловать в реальный мир, где остаться незамеченным не удастся.


Сказки о безопасности: Утечка информации

29/11/2016

http://www.pcweek.ru/themes/detail.php?ID=190498

В империи стали весьма популярны смартфоны, произведенные в республике К. Они были дешевыми, использовали достаточно популярную платформу А от компании G. Все было хорошо. Однако со временем департамент контрразведки заинтересовала агрессивная реклама подобных смартфонов и уж очень удивила дешевизна товара.

— Иоганн, вам срочное задание. Вернее, не вам, а вашей лаборатории. Вот несколько оригинальных смартфонов топовых моделей. Посмотрите, что вы можете о них сказать, ведь судя по характеристикам они должны стоить гораздо дороже. В чем тут подвох?

— Хорошо, я дам указание своим сотрудникам. Мы постараемся ответить через месяц. Вас устроит? Извините, но быстрее никак не можем. Нам не хватает экспертов.

— Вам не хватает финансирования?

— Нет, как раз с финансированием у нас полный порядок, хвала императору. У нас проблемы с экспертами. Мы снова расширяемся и сейчас объявляем новый набор. Вы же понимаете, что пока кандидаты пройдут собеседование, пока их утвердит имперская служба безопасности, пройдет время и не маленькое. Потому пока у нас сложности. Но за месяц должны успеть.

Прошел месяц.

— Господин директор, вы были правы. Перед вами готовые шпионские игрушки. Именно поэтому они и стоят так дешево.

— А что там?

— На смартфонах, переданных нам для тестов, были найдены две низкоуровневные утилиты, разработанные компанией SAT. Они были явно установлены в заводских условиях и входили в состав оболочки. Удалить их без разрушения целостности прошивки смартфона невозможно. Эти утилиты регулярно собирали и отправляли на серверы, находящиеся в республике К, следующую информацию:

· содержимое SMS-сообщений (каждые 72 часа);

· историю звонков (каждые 72 часа);

· личную идентификационную информацию (PII, каждые 24 часа)

· IMSI- и IMEI-идентификаторы;

· информацию о местонахождении;

· список установленных программ.

Кроме того, это программное обеспечение позволяет скачивать и устанавливать программы без ведома пользователя, удалять любые программы, обновлять прошивку устройства и выполнять команды с правами администратора.

— Ого! Полный шпионский набор!

— Именно так, потому предлагаю изъять из продажи такие смартфоны и запретить их использование в империи. А кроме того, проверить все смартфоны, на которых используется программное обеспечение от фирмы SAT.

Вы считаете, что такое невозможно? Увы, возможно. Уже возможно. Первой об установке шпионского программного на дешевые китайские смартфоны сообщила компания Kryptowire. По ее данным, проблема может касаться порядка 700 млн. устройств, большая часть которых скорее всего была продана в Китае.


ФБР рекомендует пользователям часто менять пароли, но это плохая рекомендация

28/11/2016

https://www.pcweek.ru/security/blog/security/9146.php

Как правило, мы ждем что ФБР предоставит нам самые эффективные рекомендации по безопасности, однако сообщение в твиттере, недавно опубликованное Бюро, вызвало удивление многих специалистов по безопасности.
В частности, 25 ноября специалисты ФБР написали в Твиттере совет, который, как предполагается, поможет людям остаться в безопасности в период сезона праздничного шоппинга, когда киберпреступники пытаются украсть нашу информацию.
“Делая покупки онлайн на этих праздниках? Сохраните свои учетные записи безопасными, используйте сильные пароли и часто их меняйте”.
Несмотря на то, что рекомендация хранить в безопасности учетные записи и использовать сильные пароли является действительно хорошей рекомендацией, все же рекомендация о частой смене паролей вызвала противоречие.
Частая смена паролей часто описывается как плохая практика, особенно потому что выполнение данной рекомендации может в конечном счете привести пользователей к тому, что пароли должны быть простыми, чтобы их запомнить. А это в свою очередь облегчит работу злоумышленников.
Кроме того, было доказано, что корпорации, вынуждающие сотрудников часто изменять их пароли, фактически более уязвимы по той же причине: сотрудники начинают использовать более простые пароли, которые проще запомнить, и это не приведет ни к чему хорошему.
Специалисты по безопасности подвергли сомнению рекомендации ФБР. Они в свою очередь рекомендуют менеджеры паролей, которые помогут вам генерировать сложные пароли, которые сложно скомпрометировать.
Кроме того, используйте двухфакторную аутентификацию везде где это возможно!


Сказки о безопасности: Вредоносная реклама

17/11/2016

http://www.pcweek.ru/themes/detail.php?ID=190121

В этот выходной Потапыч уж точно никого и ничего не ждал. Погода стояла мерзопакостная. С утра лил дождь, и прекращаться он явно не собирался. Ну кого может принести нелегкая в такую погоду?

Но, тем не менее, в дверь позвонили. Потапыч, кряхтя, поднялся из любимого кресла.

— Кого черт принес в такую погоду? Дома сидеть надо, а не по гостям шляться!

— Это я, Хрюша, Потапыч, миленький, пусти!

— Что, опять компьютер? Не пойду к тебе в такую погоду. Выходной у меня. Чай пью, с медом!

Тем не менее Потапыч открыл дверь и впустил Хрюшу.

— Проходи, раздевайся, тапочки надень! Буду тебя чаем отпаивать, простыла ведь и промокла, небось?

— Да промокла уж. Дело у меня.

— Что-то с компьютером?

— Нет, со смартфоном. Непонятно что происходит. Но я ж тебя слушала, ничего лишнего не устанавливала. Что случилось?

— А что ты делала?

— Да только музыку слушала из Интернета.

— И все?

— И все!

— А реклама при этом загружалась?

— Ну конечно, а куда ж без нее!

— Все понятно. Жаль, Хрюша, но бывает! Ты просто заразила свой смартфон.

— Через рекламу что ли?

— Ну да! Сегодня возможна закачка вредоносного кода через рекламу. Увы, это бывает.

— А что ж делать?

— У тебя какой антивирус стоит?

— А я знаю? Когда покупала, сказали, что какой-то есть. Я им ни разу не пользовалась.

— Ну и зря. Нужно было сразу же его удалить и купить что-то проверенное. Я ж тебе что говорил? Бесплатный сыр, увы, Хрюшенька, только в мышеловке! Ну да ладно, купим сейчас.

Такой или приблизительно такой разговор сегодня необходимо вести со всеми пользователями смартфонов, особенно далекими от ИТ. Ведь несколько дней назад даже Google признал ошибку в своем браузере Chrome: как сообщает Ars Technica, в течение двух месяцев с августа 2016 г. вредоносная рекламная кампания закачала банковский троян Banker.AndroidOS.Svpeng примерно на 318 тыс. устройств на Android.