Show content

Хакерские атаки

Системы безопасности / Информационная безопасность /

16.06.2015 13:32:19

Визуализация кибер атак в реальном времени http://map.ipviking.com/#

16.06.2015 22:13:22

Независимый исследователь под ником Kafeine опубликовал описание обнаруженной им крупномасштабной атаки, осуществляемой путем подмены адреса DNS-сервера в настройках домашних маршрутизаторов. Атака совершается, когда пользователь заходит на вредоносный сайт с помощью браузера Chrome.

Взлом происходит путем межсайтовой подделки запроса — этот метод при наличии определенных брешей позволяет обратиться к веб-интерфейсу управления машрутизатором, обычно доступному только из локальной сети. Главный DNS-сервер заменяется на адрес, принадлежащий злоумышленникам, а дополнительный — на DNS-сервис Google: таким образом, если фальшивый временно недоступен, сбоев в обслуживании нет. По сведениям исследователя, на сегодня для атаки уязвимы 55 моделей маршрутизаторов ASUS, Belkin, D-Link, Linksys, Netgear, TP-Link,Trendnet, ZyXEL и других компаний.

Часть брешей, используемых в атаке, достаточно старые, и для них доступны заплаты, но многие не обновляют прошивки маршрутизаторов, так как это не всегда просто, и большое число устройств остаются уязвимыми. Что касается масштабов атаки, по сведениям исследователя, в начале мая у сервера атакующих было до миллиона посетелей в день. Больше всего пострадавших — в США, России, Австралии, Бразилии и Индии.

http://www.osp.ru/news/2015/0601/13028820/

25.07.2018 17:25:29

Сообщение компании Positive Technologies

Рынок преступных киберуслуг: спрос втрое превышает предложение

Эксперты Positive Technologies исследовали более 10 000 предложений теневого рынка киберуслуг. Анализ выявил, что спрос на услуги по созданию вредоносного ПО втрое превышает предложение. Самым дорогим из доступного на преступном киберрынке в виде готовых, «пакетных» предложений является ВПО для банкоматов. Также проведенный анализ продемонстрировал тенденцию к усложнению атрибуции атак в будущем.

Специалисты изучили 25 русско- и англоязычных площадок дарквеба с общим числом зарегистрированных пользователей около 3 млн человек. В ходе анализа оценивались полнота представленных инструментов и услуг, их достаточность для проведения реальной кибератаки. Это позволило, в числе прочего, оценить, насколько необходим киберпреступнику широкий спектр специализированных знаний, или для реализации любого типа атаки достаточно обратиться к представителям теневого рынка.

Специалисты оценили минимальную и среднюю стоимость различных инструментов и услуг, которые продаются на таких площадках. Так, например, взлом сайта с получением полного контроля над веб-приложением обойдется злоумышленнику всего в 150 $, а стоимость целевой атаки на организацию в зависимости от сложности может превысить 4500 $. Наиболее дорогим оказалось ВПО для проведения логических атак на банкоматы. Цены на готовое ВПО этого класса начинаются от 1500 $.

Эксперты выяснили, что на рынке преступных киберуслуг широко распространены криптомайнеры (20%), хакерские утилиты (19%), ВПО для создания ботнетов (14%), RAT (Remote Access Trojans, троянские программы для удаленного доступа) и трояны-вымогатели (доля каждого ― 12%), а основным спросом закономерно пользуются услуги, связанные с разработкой и распространением ВПО (55%).

Проведенное исследование показало, что спрос на услуги по созданию ВПО на сегодняшний день превышает предложение в три раза, а по его распространению ― в два раза. Такое положение дел позволяет говорить о востребованности среди киберпреступников новых инструментов, которые становятся все доступнее благодаря партнерским программам, сервисам по аренде ВПО и моделям распространения «как услуга».

Как сообщают эксперты, большая часть запросов на взлом в дарквебе имеет отношение к поиску уязвимостей на сайтах (36%) и получению паролей от электронной почты (32%). Среди предлагаемых услуг лидируют взлом учетных записей социальных сетей (33%) и электронной почты (33%). Аналитики Positive Technologies связывают эти данные с желанием одних людей получить доступ к переписке других. С другой стороны, эти взломы меньше других требуют от атакующего каких-либо технических навыков.

«Активность теневого рынка, которую продемонстрировал данный анализ, заставляет нас постоянно адаптировать используемые подходы к расследованию киберинцидентов, ― отметил руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. ― Результаты такого мониторинга учитываются при детальном анализе техник и тактик, которые применял преступник в каждом конкретном случае. Глубокое понимание инструментария злоумышленника невозможно без его детального изучения, в том числе и за счет исследования трендов теневого рынка, то есть до того, как соответствующие артефакты встретятся в ходе расследования. Возможно, это даже позволит понять, на что будут нацелены атакующие в ближайшее время, в зависимости, например, от частоты покупки того или иного инструмента».

27.07.2018 16:04:54

CERT Group-IB: обнаружена сеть фальшивых бухгалтерских сайтов, «заразивших» около 200 тыс. пользователей

«Тактика атакующих изменилась: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов, на которых злоумышленники размещали код, предназначенный для загрузки троянов, — замечает Ярослав Каргалев, заместитель руководителя CERT Group-IB. — В итоге невнимательность одного сотрудника компании может привести к серьезным потерям для всего бизнеса: по нашим данным ежедневно происходит минимум по 2 успешных атаки на компании с использованием вредоносных программ для ПК, в результате которых в среднем злоумышленники похищают 1,2 млн рублей. Кроме того, мы не исключаем, что таких ресурсов могло быть больше».

22.08.2018 10:56:50

Из сообщения компании Positive Technologies.

Проблемы безопасности выявлены в контроллерах Modicon Premium, Modicon Quantum, Modicon M340 и Modicon BMXNOR0200.

«Наличие этих уязвимостей на критически важных производственных объектах повышает риск нарушения непрерывности технологических процессов, аварий, мошенничества и других неприятных последствий», — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Наиболее опасная уязвимость (CVE-2018-7760, оценка 7,7 по шкале CVSS) была опубликована в уведомлении Schneider Electric от 22 марта. Она позволяет атакующему с помощью CGI-запросов обойти механизм авторизации на встроенном веб-сервере перечисленных контроллеров. Вторая уязвимость CVE-2018-7761 (оценка 7,3) дает возможность выполнить произвольный код на веб-сервере контроллеров линейки BMXNOR0200. Еще две уязвимости, CVE-2018-7759 и CVE-2018-7762, с оценкой 5,9, позволяют переполнить буфер, что может привести к отказу в облуживании; им подвержены все упомянутые ПЛК.

Кроме того, Schneider Electric выпустила второе уведомление, в котором описывались три другие уязвимости, обнаруженные специалистами Positive Technologies. Два недостатка получили оценку 5,9. Первая уязвимость CVE-2018-7241 связана с наличием жестко закодированных учетных записей на контроллерах. Во втором случае уязвимость CVE-2018-7242 связана со слабым алгоритмом хеширования пароля. В результате алгоритм, используемый для шифрования пароля, подвержен коллизиям, что может помочь злоумышленнику подобрать пароль.

Третья уязвимость CVE-2018-7240 (оценка 4,8) позволяет получить несанкционированный доступ к файловой системе, однако ей подвержены только контроллеры серии Modicon Quantum. Команда FTP для обновления прошивки модуля может быть использована неправильно, что позволяет атакующему вызвать отказ контроллера или загрузить вредоносную прошивку.

23.08.2018 12:14:58

Из сообщения компании Positive Technologies.

"По нашим наблюдениям, в 9 из 10 банкоматов установлены устаревшие и уязвимые версии Windows (XP или 7), для которых создано множество общедоступных эксплойтов, — отмечает специалист отдела анализа защищенности Positive Technologies Артем Ивачев. — Поэтому крайне важен контроль разрешенных приложений, а способы обхода белого списка софта представляют большую опасность. Для запуска нелегитимного ПО злоумышленник может использовать недостатки защиты сервисной зоны банкомата и доступ к USB или CD-ROM. Затем с помощью подходящего вредоносного ПО атакующий может получить права администратора на компьютере банкомата и загрузить специализированное ПО, такое как Alice, GreenDispenser, Padpin (Tyupkin), Ripper, позволяющее похищать наличные".

Обойти список авторизованных приложений позволяют три уязвимости. Так, ошибка CVE-2018-13014 дает возможность получить пароль, который ограничивает доступ к настройкам конфигурации. В результате атакующий может свободно менять настройки конфигурации продуктов SoftControl, например полностью отключить защиту на локальном компьютере.

Вторая уязвимость, CVE-2018-13013, связана с неправильной проверкой запуска msiexec.exe. Локальный злоумышленник может создать конфигурацию, в которой компонент SysWatch не осуществляет проверку сигнатур установочных файлов с расширением .msi, запустить произвольный MSI-файл и выполнить неавторизованный код.

Третья уязвимость (CVE-2018-13012) вызвана особенностями процесса обновления продуктов SoftControl. Обновления каждой версии имеют файл конфигурации lastversion42.xml и набор файлов обновлений. Из-за ошибки проверки целостности файла lastversion42.xml злоумышленник может выполнить атаку «человек посередине» и заменить файлы обновления. Для эксплуатации уязвимости атакующему нужен доступ в настройки SysWatch, который может дать уязвимость раскрытия пароля CVE-2018-13014.

Для устранения уязвимости CVE-2018-13014 необходимо обновить используемые продукты линейки SoftControl до версии 4.3.17 или выше. Также следует обновить все клиенты SysWatch, чтобы переключить компонент «Сервисный центр» в новый режим управления паролями (если клиенты SysWatch управляются с помощью компонента «Сервисный центр»). Уязвимости CVE-2018-13013 и CVE-2018-13012 устранены в продуктах SoftControl версий 4.4.12 и выше .

26.12.2018 12:36:36

Из сообщения компании Positive Technologies.

Positive Technologies: каждая вторая компания в регионах РФ подверглась успешной кибератаке в 2018 году

87% участников опроса признали, что применяемых в их организациях мер защиты недостаточно, а 27% организаций отмечают, что руководство не выделяет необходимые средства на кибербезопасность.

Неудивительно, что каждая вторая из опрошенных компаний-респондентов подвергалась успешным кибератакам. Среди них 43% предприятий сферы энергетики. Эксперты отмечают, что истинное положение дел может быть еще хуже, поскольку 30% респондентов из сферы энергетики признались, что практика выявления инцидентов в их компаниях отсутствует.

Несмотря на то, что подразделение ИБ есть в большинстве компаний, принявших участие в опросе, регулярные тесты на проникновение в корпоративную инфраструктуру проводят только 30% компаний, три четверти которых составляют финансовые организации.

По данным опроса, к помощи сторонних специалистов для расследования инцидентов обращались 16% организаций, бюджет на ИБ в большинстве из них превышает 10 млн рублей. Лишь 6% компаний-респондентов имеют собственный SOC (центр управления безопасностью).

Отсутствие комплексных систем защиты компании пытаются компенсировать внедрением антивирусного ПО и межсетевых экранов — они используются практически во всех опрошенных организациях. По данным опроса, более трети респондентов не смогли отразить атаки с использованием ВПО и предотвратить заражение своих ресурсов, несмотря на использование антивирусного программного обеспечения. Как следствие использования преимущественно базовых решений для обеспечения безопасности можно отметить, что 57% компаний считают причиной успеха кибератак отсутствие или неэффективность средств защиты.

По данным исследования, чаще всего организации сталкивались с попытками заражения рабочих станций сотрудников и серверов различным вредоносным программным обеспечением (шифровальщиками, майнерами и т. п.): доля таких компаний составила 60%. С фишингом столкнулись 57% опрошенных компаний.

Более половины респондентов возможной причиной успеха кибератак назвали неосведомленность персонала в вопросах информационной безопасности, немного меньше респондентов отметили непреднамеренные действия сотрудников. При этом большая часть компаний не видит угрозы в инсайдерах — нелояльных сотрудниках, за деньги раскрывающих конфиденциальную информацию о своей компании или помогающих в проведении на нее атак.

Кроме того, опрос показал, что большинство организаций, раскрывающих информацию о произошедших инцидентах, ограничиваются сообщениями регулятору и не сообщают об атаках своим клиентам и партнерам.

По данным анализа, прямые финансовые потери от кибератак понесли 32% участников опроса. Каждая четвертая компания пострадала от простоя инфраструктуры, в том числе 30% промышленных компаний.

При этом большинство компаний-респондентов уверены, что смогут устранить последствия кибератаки в течение суток — оценка, которую специалисты склонны считать чересчур оптимистичной: в зависимости от вида атаки простой может продолжаться до 10 суток и более, говорится в исследовании.