Кібер-злочинці завжди шукають нові способи подолання систем захисту, встановлених на комп'ютерах, для того щоб уникнути виявлення і вкрасти дані користувача. У цьому сенсі хакери «Black Hat» завжди зверталися до шкідливих атак (фішинг, мережеві черв'яки або страшні трояни з шифрувальниками як найстрашніший приклад) для досягнення своїх цілей: проникнути в компанії для крадіжки облікових записів або величезних обсягів даних в обмін на викуп… принаймні, так було до цих пір.

Антивірусна лабораторія PandaLabs нещодавно виявила досить розумне напад на одну з компаній в Угорщині. Що зробило цю атаку такою особливою? Отже, атака зовсім не використовує зловмисне програмне забезпечення як таке, але при цьому використовує скрипти і інші інструменти, що належать самій операційній системі, щоб обійти сканери систем безпеки. Це всього лише ще один приклад зростання самовпевненості і професіоналізму хакерів, який ми спостерігаємо у кіберзлочинців в останні місяці.
Читати далі →



В останні місяці антивірусна лабораторія PandaLabs компанії Panda Security спостерігає значний ріст шкідливих програм, які встановлюються з використанням Remote Desktop Protocol (RDP). Щодня ми бачимо тисячі спроб зараження з використанням вимагачів (ransomware), зламували системи для майнінг биткоинов та інших цілей. В цілому всі такі загрози мають загальний підхід: доступ до комп'ютера через віддалений робочий стіл (RDP) після підбору реєстраційних даних за допомогою методу brute force.

Виявлена нова атака використовує таку ж техніку входу, але її мета повністю відрізняється від тих атак, що ми аналізували раніше. В цей раз, після проникнення в систему, загроза фокусується на пошуку POS-терміналів і ATM.
Читати далі →

Як боротися з кіберзлочинами, отримуючи при цьому непоганий прибуток

Зло «бореться» зі злом або як одні злочинці роблять вигляд, що борються з іншими
Їли хто пам'ятає, на початку 2000-х була така приказка: «Бабло перемагає зло», яка потім перетворилася на «Добро перемагає бабло». У нашій же історії «Зло перемагає добро, борючись зі злом».



Онсе упон е тайм ми вирішили створити черговий школохост хостингову компанію з надання в оренду VPS та інших виділених серверів. Інвестори до проекту поставилися обережно. Сказали:
«Ідея, звичайно, класна, свіжа, на ринку нічого подібного немає (якщо раптом читає Шелдон Купер — sarcasm)… Але так, як тема нова, великих грошей дамо тільки після того, як переконаємося, що робочий проект».
І зрозуміти їх, звичайно, можна. Скільки було стартапів, які після отримання інвестицій та купівлі кльові офісів з секретарками, кава-машини та потужними ігровими компами розуміли, що їх продукт чомусь нікому не потрібен, і дурні клієнти не шикуються в чергу за геніальним додатком. Уклали договір з дата-центром (робота дата центру це окремий роман на тему «як не треба будувати бізнес в області телехауса», і, можливо, я навіть напишу про це пізніше). Закупили сервера, сховища, «циски», купили ліцензії на софт, уклали договори з апстримами, взяли в оренду у друзів 22-ю мережу і почали працювати, показуючи інвесторам, наскільки крутий бізнес в області «хмар» та інших вигадок маркетологів. Сервера були свіжі, сховища швидкі, ціни доступні і народ пішов. Все, здавалося б, добре. Знай, закупай нові блейд-кошики і збільшуй частку на ринку.

Читати далі →

Киберпреступная група Carbanak пов'язана з російською компанією у сфері безпеки?

Brian Krebs написав у себе в блозі об'ємний матеріал, який показує цікавий погляд на те, хто і як пов'язаний з групою Carbanak, нашумілої у зломі близько 100 фінансових установ, що викрали близько 1 мільярда доларів США.

Нижче переклад цієї статті (зауваження прохання писати в особисті повідомлення).


Найбільш відомою киберпреступной групою є група Carbanak. Цих хакерів зі Східної Європи звинувачують у крадіжці понад мільярда доларів з банків. Сьогодні ми розглянемо деякі переконливі докази, що вказують на зв'язок між Carbanak і російською фірмою з безпеки, яка претендує на роботу з деякими найбільшими брендами у сфері кібербезпеки.

Група Carbanak отримала свою назву від шкідливого банківського програмного забезпечення, використовуваного в незліченних кібер-крадіжках. Ця група, мабуть, є найвідомішою за проникнення в банківські мережі з допомогою заражених файлів Microsoft Office, використовуючи потім цей доступ для видачі готівки банкоматами. За оцінками Лабораторії Касперського, Carbanak-му, швидше за все, вкрадено понад 1 млрд. дол. США, – але, в основному, з російських банків.

image

Читати далі →

Бійтеся онлайн-рахунків з шифрувальником: недавно виявлена загроза вже проявилася в різних країнах



Всього кілька днів тому ми отримали повідомлення від іспанської електроенергетичної компанії Endesa, в якому нас попередили про новий онлайн-шахрайство, вражаючому жертви з допомогою підроблених електронних листів. Кібер-злочинці відправляли помилкові рахунки іспанським користувачам нібито від імені компанії Endesa, при відкритті яких вони зазнавали кібер-атаці. На жаль, кібер-злочинцям вдалося успішно почати свої атаки, і навіть продовжити їх в інших країнах. Зараз дуже важко оцінити кількість людей, які отримали такі «листи щастя», і частку тих, хто став жертвою цієї атаки.

За останні кілька годин виявлений новий осередок подібної атаки. Державна електрична компанія PGE (Польща) також потрапила під увагу даній мережі кібер-злочинців, які використовували цей метод атаки вже на міжнародному рівні. Подібно до інциденту в Іспанії, в цьому випадку злочинці також вражають важливу і чутливу інформацію, що належить домашнім і корпоративним користувачам, після того як відкрити заражений файл, в якому, як передбачається, повинен бути рахунок за електрику (який виявляється занадто дорогим для користувачів).
Читати далі →

Як крадуть гроші, яких немає. Або дещо новеньке про криптовалютах

Привіт, Хабр!

Безумовно, ти знаєш про криптовалютах дуже багато, але сьогодні ми принесли тобі дещо новеньке: дослідження вредоноса, створеного для крадіжки гаманців 80 криптовалют, включаючи біткойн разом з усіма реквізитами доступу до них.

Ми виявили його в ході програми безперервного моніторингу безпеки мережі Інтернет і тут же розібрали на запчастини декілька семплів вредоноса. Таких комбайнів з автоматизованого відведенню криптокошельков у власників поки мало, але буде більше, ми впевнені.

Нижче ми розповімо про те, як шкідлива програма працює, і як не опинитися в групі ризику. І звичайно ще раз підсумуємо інформацію про самих криптомонетах і їх родичів.

До речі, фінансові регулятори вважають біткойн і всіх його друзів валютними сурогатами, і ми ні в якому разі не пропагуємо їх використання, а навпаки, закликаємо користуватися фиатными грошима як надійним і стабільним платіжним інструментом. (Тут міг би бути смайл)

Читати далі →

Технічний звіт про діяльність злочинної групи, що займається цільовими атаками - Anunak

У другій половині 2014 року ми вже неодноразово згадували про цільові атаки на великі фінансові установи як новий щабель шахрайства. Адже тепер грошові кошти викрадають не у «дрібних юросіб», а у великих фінансових компаній, в яких, здавалося б безпека повинна бути на вищому рівні і складність вчинення злочину наближається до «Hell». Однак, враховуючи не стихають потік подібних злочинів, а також особливої актуальності на тлі поточного фінансового стану країни, ми вирішили оновити посаду і додати нових подробиць відносно групи Anunak, яка використовує однойменного трояна, також відомого як Carbanak. Назва Carbanak походить від склеювання двох слів Anunak+Carberp.

Короткий екскурс

Після затримань членів групи Carberp в Росії, деякі учасники залишилися без роботи, однак, отриманий за довгі роки роботи досвід дозволив їм зайняти нову нішу. Один з учасників швидко зрозумів, що можна вкрасти тисячу разів по $2 000 і заробити 2 мільйони доларів, а можна вкрасти всього лише один раз і відразу всю суму.

З 2013р. активізувалася організована злочинна група, націлена на банки та електронні платіжні системи Росії і пост радянського простору. Особливістю є те, що шахрайство відбувається всередині корпоративної мережі, з використанням внутрішніх платіжних шлюзів і банківських систем. Таким чином грошові кошти викрадаються не у клієнтів, а у самих банків і платіжних систем. Якщо доступ був отриманий зловмисниками в мережі державного підприємства, метою зловмисників є промислове шпигунство.

Основний кістяк злочинної групи складають громадяни Росії та України, однак є особи, які надають їм підтримку з Білорусії.
Середня сума розкрадання на території Росії і пост радянського простору становила 2 мільйони доларів США за курсом осені 2014р. З 2013 року ними були успішно отримані доступи в мережі понад 50 Російських банків та 5 платіжних систем, деякі з них були позбавлені банківської ліцензії. На поточний момент загальна сума розкрадань становить більше 1 мільярда рублів (близько 300 мільйонів доларів США), велика частина якої припадає на друге півріччя 2014р.

Середній час від моменту проникнення у внутрішню мережу фінансової організації до моменту розкрадання становить 42 дні.
В результаті доступу у внутрішні мережі фінансової організації хакерам вдавалося отримувати доступ до серверів управління банкоматами і заражати їх своїми шкідливими програмами, що дозволяло в подальшому спустошувати їх по команді. Також результатом проникнення в мережу був доступ до управління платіжними шлюзами (у разі платіжних систем) та рахунками банку.

З 2014 року учасники злочинної групи почали активно проявляти інтерес до Європейських рітейл компаніям.

Для проникнення у внутрішню мережу використовуються цільові розсилки по електронній пошті, або через інші бот-мережі, для чого постійно підтримується контакт з власниками великих бот-мереж. З серпня 2014 року вони почали створювати свою велику бот-мережу використовуючи масові розсилки по електронній пошті, а не Driveby.

Атаки в Росії

Перше успішне пограбування банку було скоєно ними в січні 2013 року. У всіх перших випадках зловмисники використовували для віддаленого доступу в мережу банку програму RDPdoor, а для видалення слідів і виведення Windows комп'ютерів і серверів з ладу програму MBR Eraser. Обидві програми використовувалися учасниками злочинної групи Carberp, якою керував Germes. Для зниження ризиків втратити доступ у внутрішню мережу банку, крім шкідливих програм, зловмисники використовували і легітимні програми для віддаленого доступу як Ammy Admin і Team Viewer. Надалі від використання RDPdoor і Team Viewer зловмисник повністю відмовилися.

Крім самих банківських та платіжних систем хакери отримували доступ до серверів електронної пошти, для контролю всіх внутрішніх комунікацій. Це дозволяло їм з'ясувати, що в мережі банку була зафіксована аномальна активність як вона була встановлена і які заходи будуть вживатися співробітниками банку для вирішення проблеми. Контроль над поштою успішно встановлювався незалежно від того, був це MS Exchange або Lotus. Це дозволяло їм брати зворотні заходи, дозволяючи співробітникам банків і платіжних систем отримати відчуття що проблема була вирішена.

Основні етапи розвитку атаки:
1. Первинне зараження комп'ютера рядового співробітника.
2. Отримання пароля користувача з адміністративними прорвами на деяких комп'ютерах. Наприклад, фахівець технічної підтримки.
3. Отримання легітимного доступу до серверів.
4. Компрометація пароля доменного адміністратора сервера.
5. Отримання доступу на контролер домену і компрометація всіх доменних активних облікових записів.
6. Отримання доступу до серверів електронної пошти і документообігу.
7. Отримання доступу до робочих станцій адміністраторів серверів і банківських систем.
8. Установка програмного забезпечення для контролю активності операторів цікавлять їх систем. Зазвичай це фото і відео фіксація.
9. Налаштування віддаленого доступу до потрібних серверів включаючи зміни на міжмережевих екранах.


Читати далі →

Хакери вкрали мільйони з банків з допомогою шкідливого ПЗ

У кінці 2013-го банкомат в Києві почав видавати гроші в довільні моменти. Ніхто не вставляв у нього картки і не доторкався до кнопок. Камери зафіксували, що гроші забирали люди, які випадково опинилися поруч у той момент.

Але коли для розслідування залучили «Лабораторію Касперського», вона виявила, що «сбрендившее» пристрій — найменша з проблем банку.

На банківських комп'ютерах, з допомогою яких співробітники здійснювали щоденні перекази і вели бухгалтерський облік, було злоблива, що дозволяло кіберзлочинцям реєструвати кожен крок. Згідно з результатами розслідування, ЗА ховалося там місяцями, відправляючи відео та зображення, які повідомили злочинної групи — в яку входили росіяни, китайці, європейці — як банк здійснював свої щоденні операції.

Потім зловмисники видавали себе за співробітників банку, не лише включаючи пристрої для видачі грошей, але і переводячи мільйони доларів з банків в Росію, Японію, Швейцарію, США та Голландії на підставні рахунки.

У звіті, який планується опублікувати в понеділок і який заздалегідь надали The New York Times, «Лабораторія Касперського» каже, що масштаб цієї атаки на більш ніж 100 банків та інших фінансових організацій в 30 країнах може зробити це одним з найбільших пограбувань банків в історії — і при цьому позбавленим звичайних ознак пограбування.


Читати далі →

Опублікований рейтинг країн, більше всього страждають від хакерів

Великобританія і Німеччина очолили рейтинг країн Європи, Африки і Близького Сходу (EMEA), найбільш піддаються атакам хакерів, йдеться в 19-сторінковій доповіді міжнародної компанії FireEye, що займається інформаційною безпекою.



Близько 17% всіх атак з боку кіберзлочинців були спрямовані проти Великобританії, і ще 12% — проти різних установ Німеччини. На третьому місці — Саудівська Аравія (10%).
Читати далі →

Поліція заарештувала двох російських хакерів, які використовували функцію Find my iPhone для вимагання

    У Москві заарештували двох хакерів, нагострив використовувати функцію Find my iPhone для блокування чужих айфонів і Айпад та вимагання грошей.
 
 
 
По ідеї, можливість віддалено блокувати і виводити на екран повідомлення призначалася для зв'язку власника гаджета з його викрадачем або знайшли. Але, перехоплюючи контроль над учеткой Apple ID, хакери блокували пристрої і відправляли вимога викупу в 50-100 доларів під загрозою видалення особистих даних вже самим власникам.
 
Читати далі →