В 3 кварталі 2016 року кіберзлочини досягли нових висот

найближчим часом рівень кібер-злочинності не знизиться. В 3 кварталі кібер-злочинці стали ще більш винахідливими, використовуючи інноваційні технології та нові інструменти для поширення своїх «творінь».

Антивірусна лабораторія PandaLabs компанії Panda Security перехопила в минулому кварталі більше 18 мільйонів нових зразків шкідливих програм (в середньому понад 200 000 в день): насторожуючі проблеми кібер-загроз були актуальні і в останні місяці теж.

У цьому кварталі трояни знову лідирують серед шкідливих програм, а разом з шифрувальниками вони складають переважну більшість.

В 3 кварталі зросла кількість атак з шифрувальниками, що принесло злочинцям мільйони доларів. PoS-термінали в готелях, ресторанах та інших публічних місцях стають все більш бажаною метою для хакерів.

Інформація, яку ми зібрали за останні 3 місяці, відстежуючи поведінку шкідливих програм і створення нових загроз, показала проведення низки масовані DDoS-атаки (Distributed Denial of Service), які в багатьох випадках були пов'язані з бот-мережами, заснованих не на ПК, а на смарт-пристроях, наприклад, IP-камери.

Ми розглянемо останні атаки, пов'язані з Інтернетом речей (IoT), наприклад, зломи підключених до Інтернету машин таких авторитетних марок як Jeep і Tesla. Нещодавно одна з моделей Tesla стала жертвою розслідування, показав, як вона може контролюватися віддалено без фізичного доступу.

Що стосується мобільних телефонів, то ми проаналізуємо різні ситуації, пов'язані з нападами на пристрої з Android, і побачимо, як хвилі шифрувальників націлюються на пристрої з iOS.

Шифровальщики
Шифрувальники — це бізнес, який обіцяє кібер — злочинцям високі прибутки. Оскільки цей напрямок розвивається і стає все більш витонченим, то і доходи також зростають. У липні творці шифрувальників Petya і Mischa почали розробляти шкідливі програми і відповідні платіжні платформи, залишивши питання поширення іншим людям. Така нова модель відома як Ransomware as a Service (RaaS).

З допомогою RaaS розробники створюють шифрувальники, а дистриб'ютори відповідальні за зараження жертв. Як і з дистрибуцією в законному бізнесі: вони можуть отримувати більш високі прибутки за рахунок збільшення своєї активності. Чим більше жертв заражене і чим більше грошей вони заплатили, тим вищими стають доходи дистриб'юторів. Їх заробітки зазвичай починаються з 25%, але потенційно дистриб'ютор може підвищити свою частку до 85%, якщо він зможе викачувати з жертв понад 125 биткоинов (приблизно 75 000$) на тиждень.

Ми в PandaLabs уважно стежимо за еволюцією шифрувальників та розповідаємо про останні розробки в цій сфері. Ми проаналізували, як хакери використовують і зловживають PowerShell — програмою, яка за замовчуванням йде з Windows 10 — щоб здійснювати атаки шифрувальників без необхідності завантажувати файли з Інтернету або з документа Word з макросами, відправленого по електронній пошті. Ці атаки є кошмаром для розробників рішень комп'ютерної безпеки, тому що в першу чергу вони пропонують захист периметра пристрою, тим більше, що в даному випадку шифрувальник ніколи не присутній на комп'ютері.

Ми бачили дуже яскраві тому приклади з сімейством Locky, яке впроваджується в «оффлайновому» режимі, що дозволяє зловреду шифрувати файли навіть у тому випадку, якщо рішення безпеки не дозволяли йому зв'язатися з сервером, що надає пароль для шифрування.

На додаток до традиційних технік зараження через експлойти і спам,
є і деякі інші вельми ефективні техніки, спеціально спрямовані на підприємства.


Ми бачили це у вересні, коли група хакерів успішно встановила шифрувальник Crysis на сервері однієї французької компанії.



Після розслідування події було встановлено, що у сервера служба Remote Desktop Protocol була підключена до Інтернету. Хакери намагалися проникнути на сервер, перебираючи можливі варіанти пароля протягом чотирьох місяців. У підсумку, здійснивши понад 100 000 спроб, вони змогли підібрати реєстраційні дані.

Кіберзлочини
Дуже складно оцінити рівень кіберзлочинності. Фахівці з ІБ, хто щодня бореться з цими загрозами, розуміють його масовість і знають, що ця сфера продовжує рости і розвиватися.

Але чи так це все небезпечно?
Хтось може подумати, що великі компанії у сфері ІБ, як Panda, дуже зацікавлені в тому, щоб показувати зростання кібер-злочинності, оскільки ці проблеми приносять нам додаткові прибутки. Однак дані говорять самі за себе. Все більше незалежних організацій надають статистику, яка допомагає нам оцінити поточну ситуацію.

Національне кримінальне агентство великої Британії опублікувало звіт, який показує, що в даний час кібер-злочинність становить понад 50% всіх злочинів в країні.

Одне з найбільших биткоин-пограбувань в історії сталося 2 серпня. Сума в биткоинах, рівна 60 млн. доларів, була вкрадена у Bitfinex — компанії, яка продає або обмінює криптовалюту. Ці гроші належали клієнтам, які тримали їх на депозитах у банку». Досі немає доказів того, хто вчинив цю атаку, а Bitfinex не надав даних про те, як вона могла трапитися. В даний час правоохоронні органи ведуть розслідування.

У вересні відомий журналіст у сфері інформаційної безпеки Брайан Кребс розкрив vDOS — «бізнес», який пропонує сервіси DDoS-атак. Незабаром після цього хакери vDOS були заарештовані (вони могли запустити 150 000 атак і заробити 618 000 $ за два роки). Відразу після їх арешту сайт Кребса зазнав масованої DDOS-атаки, що призвело до збою в її роботі на тиждень. Зрештою, втрутився Google і захистив його веб-сайт через Project Shield, після чого сайт знову став працювати. Кребс розповів про можливі наслідки цих атак у своїй статті під назвою Демократизація цензури.



Сервери Battle.net компанії Blizzard були атаковані групою під назвою PoodleCorp, яка зламала три гри (World of Warcraft, Overwatch, Diablo 3). Протягом кварталу було багато подібних атак. Детальніше ми поговоримо про них в розділі «Інтернет речей», оскільки більшість з них були запущені з використанням бот-мереж на основі таких смарт-пристроїв як IP-камери, роутери та ін

За останні три місяці було багато випадків крадіжок даних, від яких постраждали мільйони людей у всьому світі. У липні були зламані форуми Ubuntu, де користувачі обговорюють всі аспекти цієї відкритої операційної системи на базі GNU/Linux, в результаті чого були вкрадені адреси пошти, логіни і IP-адреси, що належать 2 мільйонам людей. Black Hats також звернули свої погляди на форуми, пов'язані з популярною грою для мобільних пристроїв Clash of Kings, бачачи, що вони могли б зламати їх аналогічним чином. У цьому випадку хакери вкрали персональні дані 1,6 мільйона користувачів.

Користувачі гри Dota 2 компанії Valve також стали жертвами атаки в цьому кварталі. Був зламаний їх форум, де була вкрадена персональна інформація 1,9 мільйонів користувачів (реєстраційні дані, адреси пошти тощо). Ці ж хакери вкрали 9 мільйонів ігрових кодів після злому веб-сайту DLH.net.

Хакери «озолотилися», коли стали зламувати ігрові сайти.

Додайте ще: крадіжка даних у 200 000 користувачів GTAGaming.com; атака на www.minecraftworldmap.com, після чого хакери опублікували інформацію про 71 000 користувачів.

Ще одна спірна атака на порнографічний сайт Brazzers, в результаті чого буливкрадені дані 800 000 користувачів. Ще одна видатна атака сталася з сервісом обміну миттєвими повідомленнями QIP.ru, де були вкрадені дані 33 мільйонів користувачів.

Навіть Dropbox не зміг уникнути проблем. Відомий файлообмінник нещодавно виявив, що в 2012 році був підданий атаці. Результат: втрата даних, що належать 68 мільйонів користувачів. Але є одне пограбування, про яке неможливо забути — це випадок з Yahoo. Хоча це трапилося в 2014 році, але про це не було відомо до сих пір. було зламано 500 мільйонів акаунтів, що зроблено її найбільшою крадіжкою в історії.

POS-термінали — ще одна зона інтересів кіберзлочинців в наші дні.

PandaLabs виявила атаку, від якої постраждали 200 американських установ, більшість з яких ресторани. В результаті були вкрадені дані банківських карт за допомогою шкідливої програми PunkeyPOS.


Популярна мережа ресторанів швидкого харчування wendy's стала жертвою аналогічної атаки: за допомогою іншого варіанту PunkeyPOS були заражені термінали оплати в більш ніж 1000 торгових точках.

Наша лабораторія виявила ще одну подібну атаку, І знову жертвами стали ресторани в США, але в цьому випадку 300 POS-терміналів були заражені з допомогою шкідливої програми PosCardStealer.

Ще одна критична сфера — це готелі.

У цьому кварталі був атакований ряд готелів HEI Hotels. Шахраї використовували шкідливу програму для крадіжки даних банківських карт в їх PoS-терміналах. Серед постраждалих готелів виявилися готелі Sheraton, Westin, Hyatt і Marriot.

Але кібер-злочинці кинули свій погляд на щось більш амбітне, ніж платіжні термінали. У липні були обкрадені банкомати First Bank (Тайвань). Цей злочин було скоєно в організованій формі. Хакери перебували поруч з кожним банкоматом, вилучивши в загальній складності понад 2 мільйонів доларів. Ми знаємо, що вони встановили на ці банкомати шкідливі програми (звичайно, після злому внутрішньої мережі банку), а потім вони отримали гроші без фізичного контакту з ними, використовуючи віддалені команди, що підтверджується записами з камер відеоспостереження.

Успішна атака на фінансова установа може принести мільйони доларів.

У серпні SWIFT розповсюдила заяву про здійснення низки атак, подібних з нагоди банком Бангладешу. Правда, вони не повідомили про кількість атакованих банків та суми викраденого. Однак згадується про те, що ці банки не вживали достатніх заходів безпеки.

Програми винагороди для тих, хто знаходить вразливості.

Технологічний гігант Apple — одна з найбільших компаній в світі, хто пропонує програму винагород. Компанія пропонує до 200 000$ тим, хто зможе знайти уразливості в продуктах Apple. Дивно те, що Apple довгий час не мала такої програми, в той час як інші технологічні гіганти вже пропонували винагороди за пошук вразливостей.

Цікаво, що такі програми винагород мають різні типи організацій. Хоча, як правило, вони виплачують грошима, але є й такі, які надають їх в натуральній формі, наприклад, United Airlines. В серпні компанія нагородила одного з фахівців з безпеки мільйоном миль, який виявив у їх ПО 20 дірок безпеки. «Білі» хакери Offensi.com також були нагороджені 1 000 000 миль, які вони щедро пожертвували трьом благодійним фондам.

У липні п'ять членів банди по відмиванню грошей було заарештовано в Лондоні. Всі вони були росіянами, а лідерами банди були 30-річний Аслан Абазов (отримав 7,5 років в'язниці) і 29-річний Аслан Гергов (7 років і 3 місяці).

Едвард Майерчик визнав себе винним у крадіжці фотографій знаменитостей, в результаті отримав 9 місяців тюремного ув'язнення (спочатку прокуратура просила 5 років). Майерчик зізнався, що він отримав доступ до акаунтів своїх жертв в iCloud в результаті запуску фішингової атаки, яка дозволила йому отримати їх реєстраційні дані.

Для деяких людей злом таких знаменитих людей вважається високим досягненням. Наприклад, 44-річний румун Марчел Лехел Лазар був засуджений до 52 місяців тюремного ув'язнення за злом ряду впливових людей.

Серед приблизно 100 його жертв виявилися Хілларі Клінтон, Джордж Буш (батько і син), Колін Пауел, Ніколь Кідман і Роберт Редфорд.

Мобільні загрози
Пристрої з Android, як і раніше, «на лінії вогню». Люди продовжують купувати смартфони, а кібер-злочинці продовжують їх атакувати. Т. к. операційна система Android має найбільшу частку ринку і дозволяє користувачам встановлювати програми не тільки з офіційного магазину, то це робить її легкою мішенню для зловмисників, хоча, на щастя, Google посилює безпеку. Різні заходи захисту (які слідують з останньої версії ядра Linux) будуть активовані в Nougat (7 версія Android).

Однак у більшості випадків таких заходів захисту недостатньо. Виробник рішень безпеки компанія Checkpoint виявила чотири проблеми безпеки, які потенційно можуть скомпрометувати 900 моделей пристроїв з Android, оснащених процесорами Qualcomm Snapdragon.

Gugi, троян під Android, здатний подолати бар'єри безпеки в Android 6: він може красти банківські дані та інформацію з інших програм, встановлених на цих пристроях.

Як він це робить? Коли користувачі використовують легітимний додаток Gugi накладає інший екран і запитує інформацію, яка без відома жертви буде відправлена безпосередньо хакерам.

останнім часом зростає кількість атак шифрувальників на iPhone і iPad. Але на відміну від атак під Windows, для атак на дані пристрої кібер-злочинці не використовують шкідливі програми. Замість цього вони використовують дотепність. Для виконання атаки вони використовують AppleID жертви і пароль (які вони, можливо, отримують в результаті фішингових атак або в силу того, що користувачі використовують однакові дані з іншими онлайн-сервісами), а потім активують режим Lost з програми «Знайти мій iPhone» і додають повідомлення про те, щоб жертва заплатила викуп у биткоинах замість того, щоб надати пароль для розблокування.

У серпні Apple терміново опублікував версію iOS 9.3.5 своєї операційної системи для мобільних пристроїв. Дана версія виправляла три уразливості «нульового дня», які використовувалися шпигунською програмою Pegasus. Pegasus був розроблений ізраїльською компанією NSO Group, яка пропонує хакерські продукти, подібні тим, що пропонує Hacking Team.

Інтернет речей
В ході конференції DefCon, що проходила в серпні в Лас — Вегасі (США), дослідник Ендрю Тірні показав, як можна зламати термостат, який він сам модифікував. Після того як він отримав контроль над ним (вставивши в нього SD-карту), температура піднялася до 99 градусів за Фаренгейтом (приблизно 37 градусів за Цельсієм), скасувати яку можна було лише з допомогою PIN-коду. Термостат, підключений до IRC-каналу, запитував биткоин за отримання PIN-коду. Хот це було всього лише доказ концепції, а до пристрою все ж був необхідний фізичний доступ, але ми можемо зрозуміти, що атаки, з якими ми зіткнемося в найближчому майбутньому, безпосередньо спрямовані на величезну кількість побутових пристроїв, підключених до Мережі.

Не варто чекати, тому що вже мільйони пристроїв з «Інтернету речей» були скомпрометовані. Бот-мережу LizardStressed, створена групою Lizard Squad, запустила руйнівну DDoS-атаку одночасно проти Playstation і Xbox, при цьому в основному вона складалася з подібного роду пристроїв.

За даними Arbor Networks, більшість таких пристроїв є IP-камерами, і вони можуть бути зламані просто за рахунок перебору комбінацій «ім'я користувача, пароль». Оскільки багато користувачів не змінюють реєстраційні дані, встановлені виробниками за замовчуванням, то отримати до них доступ досить просто. Вже запускалися атаки до 400 Гбіт/сек. Інше улюблене пристрій, що використовується для такого роду атак, — це роутери, причому вони використовуються вже досить тривалий час.

В кінці вересня французька хостингова компанія OVH зіткнулася з масивної DDoS-атакою, сягала 799 Гбіт/сек. А в кінці атаки трафік перевищив 1 Тбіт/с. Дивлячись на дані, надані OVS, атака була запущена з 152000 пристроїв, а більшість з них належали до категорії «Інтернет речей» (IP-камери, відеореєстратори тощо).


Що стосується автомобільної сфери, то дослідники з Університету Бірмінгема продемонстрували, як вони змогли зламати системи відкриття дверей на будь-яких автомобілях, проданих Volkswagen Group за останні 20 років. Через зворотний інжиніринг, вони зуміли зробити це з допомогою криптографічного ключа, що використовується всіма машинами VW. Як не дивно, після отримання ключа їм довелося стояти на відстані 300 метрів від зламували автомобіля в очікуванні певної команди на радиоустройстве, щоб перехопити інший ключ, унікальний для кожного автомобіля. Після отримання цієї інформації вони змогли легко клонувати пульт дистанційного керування, який відкриває і закриває двері машини.

Дослідники Чарлі Міллер і Кріс Валашек, які в минулому році показали, як можна віддалено зламати Jeep Cherokee, в цьому році пішли ще далі, показавши, як можна перехопити сигнали і вимкнути стоянкове гальмо, відключити кермо або по команді повернути кермо на будь-якій швидкості. На відміну від попередньої ситуації, щоб отримати контроль над машиною, їм довелося безпосередньо підключити до неї комп'ютер. Важливо, що ми звертаємо окрему увагу на ці зломи, що загрожують життю: Ваше життя може бути в небезпеці, якщо хакери зможуть маніпулювати керованої Вами машиною.

У вересні китайські вчені з Keen Security Labs показали, як віддалено зламати машину Tesla, будь вона припаркована або перебуваючи в русі. В їх відео Ви можете побачити, як можна віддалено контролювати машину без фізичного контакту з нею: можна відкрити або закрити двері, при русі машини можна відкрити багажник, вони навіть змогли віддалено контролювати гальма. Вчені заздалегідь відправили інформацію виробникам, щоб вони змогли виправити виявлені проблеми в останній версії своєї прошивки.



Кібер-війни
В середині передвиборної кампанії в США сталася атака проти Національного комітету Демократичної партії (DNC). Під час цієї кібер-атаки були викрадені і опубліковані всі види конфіденційних даних. Дуже складно, а іноді й неможливо, визначити, хто стоїть за атаками, але в даному випадку відразу ж звинуватили російських хакерів, за якими стоїть Уряд Росії, що намагається нашкодити успіхам Демократичної партії на виборах Президента США. Мабуть, за атакою стоять дві різні групи хакерів (обидві з Росії), і одна з них опублікувала 20 000 електронних листів у WikiLeaks.

У продовження теми виборів,ФБР попередило про те, що були зламані два сайту виборчої кампанії, і як мінімум один із зарубіжних хакерів зміг отримати інформацію про реєстрацію виборців.

Уряди розуміють усю важливість кібер-безпеки. Президент США Б. Обама визнав, що попереду ще багато роботи, особливо якщо згадати, що мережа Білого дому в минулому вже була зламана. У вересні він назвав першого Керівника Служби інформаційної безпеки в історії США.

У серпні група під назвою «The Shadow Brokers» заявила, що вони зламали Агентство національної безпеки (АНБ). Вони розповіли про деякі викрадених видах кібер — зброї і обіцяли продати їх за високою ціною. Досі невідомо, хто стояв за цією атакою, але було припущення, що, швидше за все, як завжди, винна Росія. У кожному разі, здається, що вони використовували такі ж інструменти для запуску своєї атаки на АНБ.

У багатьох випадках ми обговорюємо атаки, які, можливо, спонсоруються урядами різних країн, але як і у випадку з кібер-злочинцями, практично неможливо визначити винних. Ми були здивовані, дізнавшись, що Google повідомляє своїх користувачів в тому випадку, коли вони виявляють такий тип атаки, про що заявила Пані Грін. Зараз вони відправляють близько 4 000 повідомлень кожен місяць.
Прокуратура Південній Кореї вважає, що північнокорейці були відповідальні за злом десятків акаунтів електронної пошти, що належать державним чиновникам.

І знову критичні інфраструктури стали головними новинними темами після того як з'ясувалося, що Іран видалив шкідливі програми з двох нафтохімічних заводів. Загальновідомо, що на цих двох заводах перед цим відбулися пожежі, так що тепер ведеться розслідування, за підсумками якого стане зрозуміло, чи мають до неї якийсь стосунок знайдені шкідливі програми.

Заключение
Кінець 2016 року вже не за горами, і ми повинні продовжувати звертати увагу на еволюцію DDoS-атак. Поєднання мільйонів взламываемых IoT-пристроїв і все більш швидкого Інтернет-підключення будинку може перетворити одну з таких атак в один з найбільших Інтернет — кошмарів, здатних нашкодити кожного Інтернет — користувача, особливо компаніям, на які спрямовані ці професійні викрадачі.

Зростає кількість випадків крадіжок даних, перевищивши рівень попереднього кварталу. В 3 кварталі були вкрадені дані 500 мільйонів користувачів Yahoo. Так що в наші дні дуже важливо вживати відповідні заходи захисту: ніколи не забувайте про двоетапну авторизацію, коли Ви входите в онлайн-сервісах, тому що вона дозволить запобігти злом Вашого облікового запису, навіть якщо Ваші реєстраційні дані були вкрадені.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.