Прошлой осенью где-то в Европе в одном из центров мониторинга ИБ (SOC) заметили кое-что странное. Основная задача SOC — следить за происходящим. Они защищают организации путем отслеживания людей, использующих корпоративные сети. Сотрудники SOC часто напоминают ночных охранниковЧитать полностью »
В сети появился новый шифровальщик Nemty, который предположительно является преемником GrandCrab или Buran. Вредоносное ПО главным образом распространяется с поддельного сайта PayPal и обладает рядом интересных особенностей. Подробности о работе этого ransomware – под катом.
Здравствуй. Мы бы хотели представить тебе краткую версию годового отчета по кибер- и инфобезопасности за 2017 год, написанный нами совместно с главным партнером — Wallarm, предоставившим информацию по наиболее заметным уязвимостям и взломам.
В 2017 году компании Qrator Labs и Wallarm отметили растущую диверсификацию угроз из-за увеличивающегося множества возможных векторов атаки. Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать из различные способы создания проблем для практически любой организации. И все большее количество инструментов может работать автоматически, делая централизованное управление излишним.
Если 2016 год можно назвать годом ботнетов и терабитных атак, то 2017 год был годом сетей и маршрутизации. Такие инциденты как спровоцированная Google утечка маршрутов сетей Японии, перехват чужого трафика Level3 в Соединенных Штатах и «Ростелекомом» в России, как и многие другие, демонстрируют устойчивые и высокие риски, связанные с человеческими факторами, основанные на бесхозяйственности и недостаточной автоматизации процессов. Храбрый инженер, уверенно останавливающий важный автоматический сценарий, может создать серьезные проблемы в доступности сетевых ресурсов.
Динамика количества атак за 2016–2017 гг
Читать полностью »
Новость
Среди авторов вредоносного ПО тоже попадаются романтики. К примеру, некий деятель под ником iCoreX0812 любовно назвал свой троян-шифровальщик Annabelle — в честь проклятой куклы, звезды вот уже двух фильмов ужасов сомнительной художественной ценности. Как и киноперсонаж, программа призвана приводить жертву в ужас, вот только получается у нее как-то не очень.
Читать полностью »
Не так давно в сети появился доклад инженера Google Даррена Билби «Защита Гибсона в эпоху Просвещения», посвящённый фейлу антивирусов и другим бесполезным методам информационной безопасности.
В двух словах, речь в нем идет о том, что взломанные почтовые ящики стали ключевой темой предвыборных президентских дебатов, что трояны-вымогатели шифруют файлы на корпоративных компьютерах, а «тостеры контролируют большие участки интернета» (возможно, под «тостерами» Даррен имел в виду видеокамеры наблюдения, которыми заддосили одного из крупнейших DNS-провайдеров).
И что противопоставляет этим методам кибератак индустрия компьютерной безопасностью? Да практически ничего нового, констатирует Билби, всё те же убогие и неэффективные старые инструменты. По его мнению, продавцы таких решений просто «впаривают магию», вешая лапшу на уши наивных покупателей.
Что, по сути, нам предлагает классический антивирус? В подавляющем большинстве сканер файлов для поиска вируса по сигнатуре и эвристический анализатор для файлов, против которых бессилен сканер (например, сжатых или зашифрованных). У каждого из этих методов свои достоинства и недостатки, но в общем Билби прав, на протяжении многих лет используется устаревшая технология, а с другой стороны и предложить что-то принципиально новое тоже достаточно сложно. Но можно. К примеру, за последнее десятилетие получили развитие «песочницы», но особого распространения по определенным причинам не снискали, возможно из-за сложностей в обслуживании, ведь массовое решение должно быть простым как сковородка и надежным как лом. Все гениальное просто, хоть и не все простое – гениально.
Читать полностью »
Обычно мы ничего и никому не рассказываем про расследования. Уж больно это тема тонкая. Но обстоятельства практически вынуждают :) Вчера вы могли прочитать новость простыми словами, а сегодня мы расскажем, как же это всё было устроено технически. Если вы пропустили: речь идёт об апдейте в посте про Trojan. Encoder.12544, известного также как Петя, неПетя и т.п. В двух словах:
Еще в 2012 году вирусные аналитики компании «Доктор Веб» выявили целенаправленную атаку на сеть российских аптек и фармацевтических компаний с использованием вредоносной программы BackDoor.Dande. Этот троянец-шпион похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. В момент запуска бэкдор проверял, установлены ли в системе соответствующие приложения для заказа и учета закупок лекарств, и, если они отсутствовали, прекращал свою работу. Заражению подверглись более 2800 аптек и российских фармацевтических компаний. Таким образом, можно с определенной уверенностью утверждать, что BackDoor.Dande использовался в целях промышленного шпионажа.
Специалисты компании «Доктор Веб» провели расследование, длившееся целых 4 года. Проанализировав жесткие диски, предоставленные одной из пострадавших от BackDoor.Dande фирм, вирусные аналитики установили дату создания драйвера, который запускает все остальные компоненты бэкдора.
О ransomware, получившем название Petya/PetrWrap, сейчас пишут многие. И в этом нет ничего удивительного, ведь именно он является центральным элементом мощнейшей кибератаки, которая затронула компьютеры и компьютерные сети коммерческих компаний, правительственных организаций и частных лиц Украины, России, Беларуси и многих европейских стран. Внешне Petya выглядит, как обычный криптовымогатель, авторы которого обещают расшифровать данные пользователя, если тот пришлет выкуп.
Но реальность несколько иная. Дело в том, что под личиной криптовымогателя прячется вирус-вайпер (т.е. «стиратель), создатели которого преследуют лишь одну цель — уничтожение данных компьютера жертвы. Да, все это маскируется требованием прислать денег, но платить все же не стоит. И не только потому, что электронную почту, на которую нужно отправлять информацию о платеже, заблокировал оператор. Но и потому, что это все равно бессмысленно, функция расшифровки данных здесь просто не предусмотрена.
Читать полностью »
В этот раз Технический директор антивирусной лаборатории PandaLabs Луис Корронс поговорил с Эдди Виллемсом, евангелистом по безопасности в компании G Data Software AG. Речь шла о безопасности в эпоху Интернета вещей.Читать полностью »
