Хакери зламали DNS-сервери крупного провайдера кабельного телебачення в США
DNS-сервери Charter Communications, четвертого за величиною провайдера кабельного телебачення і інтернет-послуг у США, зазнали хакерської атаки.В результаті інциденту безпеки тисячі абонентів компанії в 29 штатах країни залишилися без інтернет-підключення.
За повідомленнями абонентів компанії на форумах DownDetector і Reddit, інтернет-підключення може бути відновлено самостійно шляхом зміни налаштувань DNS-сервера і зміни IP-адреси DNS-Charter Communications альтернативою сервера в IP-адресу сервера Google Public DNS або OpenDNS в Інтернет.
Nesmotrâ в численних дзвінків vozmuŝennyh користувачів та повідомлення на офіційному сторінку компанії в соціальних мережах, Charter Communications Poka НЕ predostavila nikakoj ситуацій конкретну інформацію kasatel'no složivšejsâ.Як повідомила представник Charter Кім Хаас, на даний момент компанія займається відновленням роботи сервісу і з'ясовує причини, з яких стався збій.
У той же час, за словами одного з клієнтів компанії, який посилається на інформацію, отриману від співробітника Charter Communications,збій в роботі сервісу відбувся в результаті хакерської атаки на DNS-сервери компанії. Імовірно, атака могла бути здійснена зловмисниками з Іраку або Сирії.
Хакери атакували офіційний сайт уряду Киргизії
Невідомі зловмисники зламали офіційний сайт уряду Киргизії в неділю,повідомив представник прес-служби киргизького кабміну.
При спробі відкрити державний сайт на екрані з'являється попередження про небезпеку, а потім сторінка валютних котирувань ринку FOREX. Мотиви дій зловмисників поки невідомі.
"Можливо, це просто комп'ютерні хулігани", - зазначили в прес-службі.В даний час фахівці намагаються з'ясувати причини проблеми і усунути її наслідки. У преc-службі додали, що даний випадок буде ретельно розслідуваний.
Сайти державних відомств Киргизії регулярно піддаються атакам хакерів, повідомляє РІА Новини. Найскандальнішим був взлом офіційного сайту Центрвиборчкому республіки,який відбувся менш ніж за дві доби до парламентських виборів у 2007 році. Тоді фахівцям вдалося за кілька годин відновити роботу сайту ЦВК, де в режимі реального часу повинні були відбиватися результати голосування громадян республіки.
У 2012 році зловмисники зламали сайт уряду,повісивши на сторінку кадри хроніки масових заворушень "арабської весни".

ukrprof:(Хакери експлуатують уразливості в механізмах авторизації через соціальні мережі
Фахівці підрозділу IBM X - Force виявили спосіб отримання легкого доступу до облікових записів інтернет-користувачів використовуючи недоробки в механізмах авторизації деяких соціальних мереж.
Ці механізми дозволяють користувачеві увійти в систему будь-якого web -сервісу , використовуючи , наприклад , свої облікові дані в LinkedIn.Таким чином відвідувач може створювати новий обліковий запис , використовуючи вже існую інформацію.
Фахівцям IBM вдалося отримати доступ до облікових записів на ресурсах Slashdot.org , Nasdaq.com , Crowdfunder.com та інших за допомогою експлуатації механізму авторизації LinkedIn.
За словами експертів , зловмисник може створити обліковий запис в LinkedIn , використовуючи електронну адресу жертви.Після створення аккаунта злочинець заходить на ресурс Slashdot.org і використовує функцію авторизації , вказуючи LinkedIn в якості провайдера ідентифікації.

ukrprofУ трояни Turla з'явився функціонал для компрометації Linux- систем:(

Як повідомляють дослідники з «Лабораторії Касперського» , на базі трояна , поширення якого стало причиною заснування Кібернетичного командування США ( US Cyber ​​Command ) , було розроблено нове шкідливий додаток .При цьому в оновленій версії шкідливої ​​програми , орієнтованої на Windows, реалізований функціонал зараження комп'ютерів під управлінням Linux.
« Нещодавно виявлений зразок Turla являє собою особливий інтерес, оскільки це перший зразок вірусу , орієнтований на операційну систему Linux », - випливає зі звіту дослідників.
Мова йде про вірус Turla , можливості маскування якого дозволяли йому залишатися непоміченим на деяких заражених системах протягом чотирьох років.За словами дослідника Курта Баумгартнера , саме здатність трояна до висококласної маскування не дозволяє судити про масштаби скоєних з його допомогою атак.
Відзначимо, що раніше експерти з G Data стверджували, що за допомогою Turla державні структури (імовірно російські ) здійснили серію атак на урядові посольства , військові, фармацевтичні та освітні, а також на науково- дослідницькі компанії 45 країн світу.

ukrprof:(У Мережі зафіксована хвиля замовних атак

Спеціально для зловмисників , які для проведення своїх атак потребують ботнетах , проте не хочуть створювати їх самостійно, тепер з'явилася Vawtrak - порівняно велика мережа інфікованих систем .При цьому ботнет може бути розбитий на більш дрібні , що підтримують безліч різних web - ін'єкцій.
Як випливає зі звіту SophosLabs , Vawtrak являє собою « реалізацію сервісу , що працює за схемою Crimeware - as - a -Service ( CaaS ) , де частина мережі може бути орендована , наприклад, для підвищення ефективності фінансових атак» .
Крім того, Vawtrak (відомий також , як NeverQuest і Snifula ) може бути встановлений на мобільні пристрої, використаний в цілях блокування антивірусного ПЗ і в разі необхідності адаптований до специфічних умов .
На думку експертів Sophos , Vawtrak є однією з найбільш серйозних загроз серед усіх активних ботсеті .При цьому більша його частина використовується для проведення атак на банки Німеччини і Японії .
Найпотужніший ЦОД Білорусі не пройшов перевірку

Вчора тривалий час спостерігалися проблеми з доступом до білоруським сайтам . " Лежали " такі ресурси як : TUT.by і Onliner.by , сайти банків та інші сайти з фінансової інформаціей.Ресурси стали недоступні через годину -два як опублікували прес-реліз про 30%податок на купівлю валюти .
"Белтелеком" коментував ситуацію так: "У зв'язку з DDoS- атакою на обладнання ЦОД РУП« Белтелеком » можливі труднощі з доступом до ряду інформаційних ресурсів національного сегменту мережі Інтернет. "
Відзначимо, що ЦОД Белтелекома має найширший в Білорусі канал доступу до міжнародної мережі ( 1 Гбіт / с), а також підключений до локального пірінга білоруських провайдерів ( 1 Гбіт / с).
Сімейство троянів Boleto поповнилося новим вірусом

У сімействі троянів Boleto виявлено новий шкідливий , що міняє спосіб атаки в залежності від того , який браузер використовує жертва.Про це повідомляє компанія RSA у своєму отчете.Троян Onyx являє собою вдосконалену версію шкідливий Eupuds , яка відрізняється лише способом інфікування жертв .
У той час як Eupuds вставляє шкідливий код в пам'ять браузера під час його виконання, Onyx використовує більш гнучкий спосіб атаки.Якщо жертва використовує для платежу у банку Boleto брузер Chrome або Firefox, шкідливий вбудовує себе в програму під виглядом розширення і виконує шкідливий JavaScript- код .При використанні Internet Explorer атака виконується за допомогою інтерфейсу COM всередині браузера .
На відміну від Eupuds , Onyx не змінює банківський код Boleto .Він пошкоджує штрих- код , який додається до платіжного документа , завантажуючи власну версію зображення з шкідливого сервера або генеруючи випадкові чорно-білі смуги.
Небезпечна уразливість Misfortune Cookie може вразити мільйони домашніх маршрутизаторів

Компанія Check Point Software Technologies виявила критичну уразливість Misfortune Cookie , здатну вразити десятки мільйонів домашніх маршрутизаторів у всьому світі.Пролом CVE - 2014-9222 дозволяє зловмисникам отримати контроль над мережевими пристроями та адміністративні привілеї, після чого здійснити атаки на всі пристрої в домашній мережі .
Уразливість існує через помилку в механізмі управління cookie - файлами в протоколі [Ссылки могут видеть только зарегистрированные и активированные пользователи]Віддалений користувач може за допомогою спеціально сформованого cookie - файлу викликати пошкодження пам'яті і отримати адміністративні привілеї і повний контроль над пристроєм.
Пролом зачіпає більше 200 моделей маршрутизаторів від D -Link , Edimax , Huawei , TP -Link , ZTE , ZyXEL та інших виробників.На момент проведення дослідження експерти виявили як мінімум 12 млн вразливих мережевих пристроїв по всьому світу.Дослідники вважають, що вразливість викликана помилкою у вбудованому web - сервері RomPager .
Розробники RomPager виправили пролом ще в 2005 році, але виробники маршрутизаторів в більшості випадків не включили виправлення в оновлені версії прошивок .Дослідники рекомендують підключити міжмережевий екран або використовувати вразливе пристрій як моста між домашньою мережею і захищеним маршрутизатором , які приймають сигнали з інтернету .Просунуті користувачі можуть встановити модифіковані версії прошивок з вбудованим виправленням .
Експерти виявили новий різновид шкідливого ПЗ Alina

Дослідник безпеки Ерік Меррит з компанії Trustwave повідомляє про шкідливі програми Dubbed Spark , різновиди шкідливий Alina .Dubbed Spark відрізняється від основної версії насамперед тим, що створений на мові програмування AutoIt .
Зазвичай скомпільовані сценарії дуже примітивні .Але в даному випадку ми спостерігаємо досить витончену техніку експлуатації.Через простоту використання AutoIT зловмисники можуть без праці змінити сигнатури шкідливого файлу і обійти виявлення антивірусним ПЗ .
Згідно з аналізом , проведеним співробітниками Trustwave , сценарій на AutoIt містить функції для виділення простору в пам'яті і використання його для розміщення бінарного коду.Потім сценарій вносить зміни в таблицю адрес імпорту і виконує шкідливий код .
Шкідливий бінарник вбудовується в змінну розміром 4000 байт , а функції сценарію забезпечують його завантаження і виконання .Сценарій перетвориться в виконуваний файл Windows за допомогою утиліти Aut2Exe .Виконуваний файл, в свою чергу, створює новий бінарник з шкідливим кодом.
Прес-секретар Trustwave Еббі Росс повідомляє про те, що шкідливий був виявлений в ході вивчення множинних інцидентів безпеки , що мали місце в платіжних системах станцій автосервісу.За даними компанії, шкідливий інфіковані множинні PoS -термінали на території США.
Шкідливе ПЗ Alina було виявлено в кінці 2012 року.Trustwave асоціює Spark з Alina по ряду причин.Перш за все, вірус Alina веде реєстр процесів , які не призначені для карткових даних.Шкідливий Spark веде аналогічний реєстр з додаванням деяких додатків.Шкідливе ПЗ і його основна версія володіють однаковим алгоритмом пошуку платіжних даних, а для маскування перехоплення карткових даних використовують схожі схеми шифрування .Як і всі інші версії Alina , Spark додає себе в ключ реєстру HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run \\ hkcmd , що забезпечує запуск після перезавантаження системи, повідомляють експерти .
Крім того , шкідливе ПЗ Spark має спільні схожості з шкідливий JackPOS , яке полягає у використанні сценарію AutoIt в якості завантажувача .
[CODE]Критично важливі системи IСANN не постраждали від хакерської атаки

Корпорація з управління доменними іменами і IP -адресами ( Internet Corporation for Assigned Names and Numbers , ICANN ) повідомила про підсумки внутрішнього розслідування кіберінцідента , пов'язаного c цільової фішинговою атакою, в результаті якої постраждали користувача дані співробітників корпорації .
Як заявила ICANN , системи , які забезпечують функціональність організації , не постраждали, оскільки знаходяться під посиленим захистом . « Під час і після атаки ICANN залишалася повністю функціональною.Наші найбільш важливі служби перебувають під багаторівневим захистом і, як показало розслідування, від дій зловмисників не постраждали », - йдеться в додатковому повідомленні організації.
В результаті дій зловмисників , які мали місце ще наприкінці листопада цього року, скомпрометованими виявилися Централізована система файлів зон ( Centralized Zone Data , CZDS ) і дані Державного консультативного комітету ICANN ( Governmental Advisory Committee , GAC ) .Кіберпреступнікам вдалося отримати адміністративний доступ до всіх файлів CZDS, у тому числі копіям зонових файлів.Крім цього, в руках хакерів виявилися дані користувача - імена , поштові та електронні адреси, номери факсів та телефонів, а також дані облікових записів.

ukrprof:(Хакери викрали персональні дані 20 млн користувачів сайту знайомств Невідомі хакери викрали персональні дані (реєстраційні імена і паролі 20 млн користувачів) якогось великого сайту знакомств.Об це повідомило сьогодні агентство Bloomberg. За його даними, близько половини постраждалих є жителями Росії, ще 40% проживають у країнах Європейського союзу. Як зазначає Bloomberg, кіберзлочинці вже виставили викрадену інформацію на продаж на спеціальному інтернет-сайті. Купивши її зможуть спробувати отримати доступ, наприклад, до банківських рахунків потерпілих. Який саме сайт знайомств піддався хакерській атаці, поки не повідомляється.

Зловмисники поширюють шкідливе ПЗ на Facebook через фальшивий плагін Flash Player
Спеціаліст ІБ-компанії Pricewaterhouse Coopers Мохаммад Фаганья попередив про атаку, здійснюваної в даний час на користувачів соціальної мережі Facebook. За словами Фаганья, зловмисники розповсюджують шкідливе ПЗ під виглядом фальшивого плагіна Flash Player.
Поширення шкідливий відбувається досить звичайним способом: користувач Facebook отримує відеоповідомлення, імовірно містить контент для «дорослих». Для того щоб переглянути відеоролик, жертві пропонується завантажити оновлення плагіна спалах, яке насправді є шкідливим ПЗ.
Після інфікування ПК користувача, шкідливий розсилає свої копії контактам зі списку друзів жертви і інсталює кейлоггер для збору конфіденційної інформації, такої як адреси електронної пошти і паролі банківських рахунків. Потім троян встановлює зв'язок з віддаленим сервером зловмисників і очікує подальших вказівок.
Даний шкідливий, відомий як Chromium.exe і Google Хром, є універсальним дроппер, який крім кейлоггера може встановлювати й інші шкідливі програми. Він використовує системний реєстр ОС Windows для запуску кожен раз, коли користувач здійснює вхід в систему.

ukrprof:(Шпигунське ПЗ поширюється під виглядом голосового чату для
Steam

Спільнота для любителів онлайн ігор Steam в черговий раз стало мішенню для зловмисників, які розповсюджують шкідливе ПЗ. Цього разу хакери використовують підроблену версію голосового чату Razer Comms, призначеного для гравців на ПК.
За даними Malwarebytes, з метою підвищення ефективності кампанії ними була створена копія web-сайту Steam Community. При цьому URL порталу шахраїв (steamccommynity.com) був максимально схожий на оригінальний. Дана сторінка в точності повторювала дизайн сайту Razer Comms, проте не використовувалася для фішингових атак.
«Функціонал web-сайту ідентичний оригіналу, в тому числі це стосується до розміщення посилання на легітимне додаток для гравців у Google Play, - пояснює дослідник Крістофер Бойд. - Однак скачування інсталяційний файл для Windows обертається появою на системі жертви шкідливого файлу ».
Дослідник також підкреслив, що з метою приховування шкідливого функціоналу у файлі міститься безліч помилок, що перешкоджають його аналізу.

ukrprof:(Троян CTB-Locker поширюється під виглядом оновлень для Google Chrome

Експерти компанії Malwarebytes попередили про фішинговою кампанії, орієнтованої на користувачів Google Chrome. Жертвам приходять спам-листи з помилковим попередженням про те, що використовувана ними версія браузера є застарілою і вразливою.
Листи містять посилання, за допомогою яких нібито можна завантажити оновлення для web-оглядача. Тим не менш, незважаючи на назву виконуваного файлу ChromeSetup.exe, насправді він являє собою троян-шифрувальник CTB-Locker. Шкідливий шифрує певні файли на комп'ютері жертви і вимагає викуп за їх розшифровку в розмірі 2 біткоіни (близько $ 450), який повинен бути виплачений протягом 96 годин.
Нагадаємо, що раніше про появу CTB-Locker повідомляли експерти компанії «Доктор Веб».

Хакери зламали мережу страхової компанії Anthem і викрали дані про її клієнтів

Медична страхова компанія Anthem попередила своїх клієнтів про те, що деякий час тому її внутрішня комп'ютерна мережа зазнала хакерської атаки. Як повідомляє агентство Associated Press, зловмисникам вдалося отримати доступ до персональних даних клієнтів, включаючи інформацію про їх доходи і місце проживання.
Компанія запевнила, що платіжні дані постраждалих не були скомпрометовані. Як повідомляється в офіційній заяві Anthem, хакери не цікавилися медичною інформацією клієнтів - наприклад, результатами їх аналізів і страховими відшкодуваннями.
Розслідування справи передано ФБР США. У той же час компанія вирішила скористатися послугами фахівців Mandiant для поліпшення захисту своєї внутрішньої мережі.
Викрадена хакерами інформація включала ініціали, дати народження, номера соцзахисту, адреси проживання та електронної пошти, а також дані про працевлаштування клієнтів, включаючи їх рівень доходів. ФБР рекомендує всім постраждалим негайно зв'язатися з правоохоронними органами у разі, якщо зловмисники скористаються викраденими даними в злочинних цілях. Відомство схвалило оперативну реакцію страхової компанії.

ЛК розкрила першу арабську кампанію по кібершпіонажу
Займається кібершпигунством, арабська група хакерів здійснювала кібератаки на тисячі важливих об'єктів в Ізраїлі, Єгипті та Йорданії. Про це повідомили в своєму звіті експерти з «Лабораторії Касперського».
Перша група арабських хакерів під назвою Desert Falcons викрала близько мільйона файлів більш ніж в 50 країнах світу. У число країн, які найбільш піддавалися кібератакам, входять Алжир, Ліван, Туреччина, Об'єднані Арабські Емірати, США, Росія, Франція і Швеція.
У заявах ЛК говориться, що зловмисники почали працювати ще з 2011 року. Цілями кібернапади найчастіше ставали промислові об'єкти та політичні діячі. ІБ-експерти з ЛК повідомили, що арабську групу хакерів не цікавили гроші, їх головне метою була секретна інформація, яку можна використовувати при державних переговорах і політичних маніпуляціях.
Зловмисники використовували фішинг-атаки на електронну пошту і соціальні мережі, щоб отримати доступ до цікавлять їх організаціям. Потім хакери інфікували комп'ютерні системи компаній за допомогою бекдора, що дозволяло хакерам завантажувати і викачувати файли Word і Excel з жорсткого диска жертви. Desert Falcons найчастіше заражали вірусом системи на ОС Windows і Android.
Експерти з ЛК також повідомили, що хакери використовували інструменти, які застосовують спецслужби США для впровадження в ключові організації в Ірані та Росії.
У Мережі з'явився чорний ринок Darkleaks, що продає конфіденційну інформацію через ланцюжок блоків Bitcoin

У Мережі з'явився спеціалізований чорний ринок Darkleaks, що використовує ланцюжок блоків Bitcoin для передачі конфіденційних даних, експлойтів вразливостей в ПО та іншої нелегальної інформації.
Про це повідомляється на сторінці Зоза Куди на сайті medium.com.Для передачі даних Darkleaks використовує ланцюжок блоків Bitcoin. Спочатку ця технологія призначалася для усунення подвійної витрати монет в децентралізованих P2P-системах, але надалі її стали використовувати в інших проектах. Однією з платформ, що використовує ланцюжок блоків Bitcoin, став чорний ринок Darkleaks.
Darkleaks являє собою анонімну децентралізовану платформу, що дозволяє купувати і продавати різноманітну інформацію. Чорний ринок оснащений системою автоматичної перевірки документів перед здійсненням платежу. Вона дозволяє користувачеві отримати випадкову вибірку фрагментів з метою демонстрації вмісту файлів.
Передача зашифрованого контенту відбувається за допомогою ланцюжка блоків. Розшифрування файлів відбувається, як тільки покупець оплачує товар.
З технічного боку процес виглядає досить цікаво. Цільовий файл розбивається на кілька фрагментів, які в подальшому хешіруются, а їх хеши використовуються як секретних ключів для створення біткоіни-адрес. З ключів генеруються окремі ключі, за допомогою яких відбувається шифрування фрагментів. Після цього вони публікуються у відкритому доступі зі списком біткоіни-адрес.
Вірусний троян дістався до Тули
Туляки зіткнулися з новим вірусним трояном.Как повідомили читачі, користувачам по електронній пошті приходить повідомлення, в якому відправник, стверджує, що не може додзвонитися до адресата і пропонує йому подивитися документ з архіву. Однак при його скачуванні комп'ютер заражається вірусом і користувач може позбутися декількох документів.
За відновлення роботи комп'ютера зловмисники вимагають від 1000 до 4500 рублей.Кроме того, про подібну небезпеку своїх користувачів попереджає і портал держпослуг.
«Останнім часом почастішали випадки розсилання зловмисниками e-mail, що посилаються на Єдиний портал держпослуг і містять віруси або іншої шкідливий контент.
У зв'язку з цим, нагадуємо:
1. Нікому і ні за яких обставин не повідомляйте ваш пароль від порталу держпослуг.
2. При введенні пароля від порталу держпослуг в браузері, завжди перевіряйте адресу сторінки, на якій вводиться пароль. Він неодмінно повинен починатися з [Ссылки могут видеть только зарегистрированные и активированные пользователи]
3. E-mail повідомлення від порталу держпослуг приходять тільки з адрес [Ссылки могут видеть только зарегистрированные и активированные пользователи] і [Ссылки могут видеть только зарегистрированные и активированные пользователи].
4. Sms-повідомлення від порталу держпослуг приходять тільки від відправника gosuslugi або номера 0919.
5. Портал держпослуг не висилати користувачам ніякі повістки, в тому числі вимоги з'явитися на судові засідання.
6. Не відкривайте архіви і не запускайте виконувані файли, надіслані вам невідомими відправниками. Там можуть міститися віруси або шкідливі програми », - наголошується на сайті держпослуг.

ukrprofВірус на Android поширюється Вконтакте і краде:( гроші
Соцмережа "Вконтакте" атакує новий вірус для мобільної операційної системи Android. Шкідливу програму зафіксували фахівці "Лабораторії Касперського".
Якщо користувач випадково "зловив" вірус на Android, який отримав назву Podec, на свій смартфон, він починає відправляти повідомлення на короткі номери, при цьому підписуючи власника гаджета на платні сервіси.
Вірус на Android також обходить механізм "Капчі", який не може відрізнити реального користувача від бота.
Podec поширюється через групи Вконтакте, які пропонують завантажити додатки заражені вірусом.
Щоб убезпечити себе від вірусу на Android, не рекомендується завантажувати додатки з груп Вконтакте.

ukrprofТоп 5 найбільш небезпечних :(
комп'ютерних вірусів в
історії
Conficker (2008)
Мій Дум (2004) Nimda (2001)
ILOVEYOU (2000)
Меліса (1999)

ukrprofЖертви мережевого криміналу:(
Згідно зі звітом Group-IB, навесні минулого року хакерських нападів зазнавали: Ощадбанк, Газпромбанк, Альфа-банк, "ВТБ 24", веб-сайти російських органів влади - Роскомнадзора, Центробанку, адміністрації президента, а також сайти ЗМІ - Lifenews, Першого каналу, RussiaToday, «Комсомольської правди».
Всього експерти виділяють сім основних методів розкрадань в системах інтернет-банкінгу. Це різні комбінації троянських програм, так званих фішингових сайтів (створені шахраями сайти, зовні копіюють ресурси відомих брендів або затягають жертви помітними рекламними оголошеннями) і компрометація банківської мережі (розкрадання якими способами реквізитів власників банківських карт). Останній метод дозволяє здійснювати розкрадання як з рахунків самого банку, так і з рахунків його клієнтів.
«Зловмисники не всі зібрані дані використовують для здійснення власне шахрайських операцій, - йдеться в доповіді Group-IB за 2014 рік. - Частина шкідливих програм автоматично збирає відомості про всі наявні рахунках на комп'ютері і балансах на цих рахунках. Зокрема, зловмисники збирають інформацію про рахунки для клієнтів системи Ibank2 і Ощадбанку ». Потенційний обсяг збитків від всіх цих дій (враховуючи, що лише мала частина жертв кіберзлочинів розуміє, що їх обікрали, і звертається до правоохоронних органів), за підрахунками експертів Group-IB, склав 12 млрд 155 млн 785 тис. 399 рублів.
Експертами Group-IB вперше була проведена оцінка чорного ринку банківських карт. За останні 10 років, згідно з наведеними даними, він остаточно структурувався, що виразилося в «організації масових автоматизованих каналів збуту у вигляді електронних торговельних майданчиків». Масові розкрадання карткових даних в торгових мережах і онлайн-ритейлі здійснюють професійні оптові продавці, оптом ж і поставляють ці дані на віртуальний чорний ринок.
На такому ринку можна купити або текстові дані про картки (номер, термін дії, ім'я власника, адреса, CVV), або так звані дампи - вміст магнітних смуг карт. Дампи стоять в 10 разів дорожче, але зате з їх допомогою можна виготовити дублікат карти і користуватися нею оффлайн, «купуючи дорогу електроніку, люксові товари, медикаменти та інші товари, що підлягають згодом збуту на вторинному ринку».
Один з найбільших віртуальних чорних ринків називається SWIPED. Як встановила Group-IB, там продаються картки з 148 країн світу. З великим відривом лідирували США - викрадених звідти карт налічувалося 5 млн. На другому місці Малайзія з 225 тис. Викрадених карт, на третьому - Великобританія (101 тис. Карт). На щастя, Росія в топ-10 країн з найбільшою кількістю розкрадань не ввійшла.
Російський держсектор також піддавався нападам хакерів. Так, минулого року відправлене електронною поштою лист з шкідливим файлом призвело до зараження комп'ютерів адміністрації Республіки Башкортостан. Лист замаскували під відомчу розсилку, і тому воно не викликало підозр. «Шкідливе програмне забезпечення було виявлено на п'яти комп'ютерах, - йдеться у звіті Group-IB. - Кінцевою метою зловмисників була фінансова інформація в системі «БашФін».
З минулої весни було зафіксовано зростання кількості мережевих атак на банки. За підсумками року достовірно було відомо про напади на 35 банків і «кілька юридичних осіб». Такі грабежі, відзначають експерти, найчастіше відбуваються за умови змови когось із співробітників банку з кіберзлочинцями - схеми відпрацьовані чітко і займають мінімальну кількість часу.
Постійним джерелом загроз для банків залишається електронна пошта. Шахраї відправляють листи з реквізитами «клієнтів» для здійснення яких-небудь стандартних банківських операцій, а у вкладенні знаходиться файл з вірусом. Шкідливі програми маскують і під лист з Банку Росії із зазначенням всім співробітникам кредитних і фінансових організацій провести перевірку на предмет виконання федерального закону «Про протидію легалізації доходів, одержаних злочинним шляхом, і фінансуванню тероризму».
Еволюціонували також мобільні троянські загрози. Якщо раніше використання онлайн-банкінгу могло стати причиною розкрадання тільки в тому випадку, якщо заражений сам клієнт банку, то тепер злочинцям достатньо запустити троян на телефон або планшет. «Згідно з дослідженнями мобільних бот-мереж, 40% користувачів мобільних пристроїв мають рахунок у банку, прив'язаний до зараженого мобільному телефону, - повідомляють експерти Group-IB. - Наявність бот-мережі в 100 тисячах мобільних пристроїв дозволить хакеру викрасти 16 мільйонів доларів в короткі терміни ».
Рескатор з Одеси та інші «російські хакери»
Віртуальний характер скоєних злочинів робить кіберкрімінала невловимішим і не тільки не формує до себе негативного ставлення в суспільстві, але навіть, навпаки, деяким чином романтизує. Але експерти і правоохоронці в один голос переконують: хакери - звичайні злодії і грабіжники, ними рухає лише спрага наживи. І не за горами той час, коли ринок високотехнологічної злочинності за своїм оборотом зрівняється з наркоторгівлею, говорить Ілля Сачков.
«Інформаційні технології дозволяють злочинності діяти швидко і анонімно, - пояснює він. - У неї відсутні правила і бюрократія. Злочинність отримала можливість не дивитися на кордони держав і безперешкодно порушувати закон. Використання Криптовалюта і тіньового інтернету сприяє розвитку високотехнологічної злочинності ».
«Російські хакери» здобули собі «авторитет» і «славу» у всьому світі. Правда, саме це поняття сильно розмито. Для російських правоохоронців «російські хакери» - це громадяни РФ, які вчинили злочини на території РФ. Так наказує їм російський КК. Однак в усьому іншому світі під «російськими хакерами» мають на увазі людей, об'єднаних колись країною походження - СРСР. «У західних країнах терміном« російські хакери »позначають комп'ютерних зловмисників, наприклад, з Прибалтики, України або країн Середньої Азії», - говорить Сачков.
Згідно з дослідженнями Group-IB, в 2013 році кіберхіщеніямі в системах дистанційного банківського обслуговування активно займалися вісім злочинних угруповань. Згодом дві з них переключилися на іноземні банки, одна після затримання ватажка розвалилася, і «в обоймі» на даний момент залишається п'ять банд. Саме стільки кіберграбежей в середньому здійснюється в банках щодня.
Середня сума успішних розкрадань зменшилася з $ 54,7 тис. До $ 40 тис. Але при цьому, підкреслюють експерти, з 2013 року стали з'являтися все нові хакери, «що використовують у своїй роботі мобільні банківські троянські програми». Віртуальні їх іпостасі відомі. Наприклад, угрупування Cork, Lurk, Shiz, Infinity через атаки на операційну систему Windows за допомогою троянських програм грабують юридичних осіб, а фізичними в Android займаються Reich, Greff, March, Ada.
Першим в десятці кращих постачальників вкрадених карток на SWIPED, як встановили експерти, виявився теж «російський хакер». Понад 5 млн даних в період з грудня 2013-го по лютий 2014-го завантажив на чорний ринок Rescator. Всі карти об'єднані загальною закономірністю - операціями в американській роздрібній мережі Target. Розслідування привело до розкриття ще кількох його віртуальних іпостасей - Rescator, він же Helcern, він же ikaikki. Він же, як говориться в доповіді Group-IB, імовірно проживає в даний час в Одесі Андрій Ходиревскій.
Кібершерлокі і кіберкопи
Приватно-державне партнерство - одна з ключових умов розкриття кіберзлочинів, упевнені в управлінні «К» МВС РФ. І воно вже принесло свої плоди.
12 квітня поліція повідомила про затримання угруповання, учасники якої, як підозрюється, заразили вірусом 340 тис. Мобільних пристроїв, що працюють на платформі Android. Вірусу дали звучне ім'я - «5-й рейх». Розслідування управління «К» проводило спільно з Group-IB і службою безпеки Ощадбанку. Суму запобігання шкоди в поліції оцінили в 50 мільйонів рублів.
У грудні 2,5 роки умовно отримав 19-річний житель Тольятті (його ім'я не було розголошено). PumpWaterReboot (як називав себе сам злочинець) був визнаний винним у хакерській атаці на банк «Тінькофф» і вимаганні $ 1 тисячі за припинення цієї атаки. Розслідування проводили співробітники федерального і столичного управління «К» спільно зі службою безпеки банку і Group-IB. «Злочинної діяльністю він займався з 2011 року, - йдеться у звіті Group-IB, - був зареєстрований на безлічі хакерських форумів, у тому числі присвячених кардингу, де використав псевдоніми Gymlex, DTos, Dr.vantus, Merfy12 і kolip».
У березні-квітні минулого року PumpWaterReboot скоїв хакерські атаки на ряд інших компаній, у тому числі Альфа-банк, Промсвязьбанк, «Лабораторія Касперського», «рутрекере», соціальне ЗМІ про IT «Хабрахабр», онлайн-мегамаркет «Озон.ру».
У жовтні минулого року співробітники управління «К» знешкодили угруповання, яке за допомогою шкідливих програм отримувала особисту інформацію громадян, а потім вимагала гроші, погрожуючи її розповсюдженням. Злочинці діяли на території Москви і Самарської області, суми їхніх вимог досягали десятка мільйонів рублів.

ukrprofНовий вид шкідливого ПЗ «замітає сліди» при спробі його виявлення:(

Експерти з Cisco повідомили про новий вид шкідливого ПЗ, яке при скануванні зараженого комп'ютера на віруси виводить його з ладу. Програма, що отримала назву Rombertik, поширюється за допомогою спам-повідомлень і фішингових листів і перехоплює будь незашифрований текст, що вводиться у вікні браузера.
Цим шкідливий нагадує банківський троян Dyre, проте на відміну від нього викрадає не лише фінансову інформацію, а й інші вводяться жертвою дані.
Для того щоб змусити жертву завантажити, розархівувати і запустити Rombertik, зловмисники використовують соціальну інженерію. Після запуску на комп'ютері з Windows шкідливе ПЗ здійснює кілька перевірок для того щоб визначити, детектується воно антивірусними рішеннями.
Така поведінка вельми незвично для певних типів шкідливий. Тим не менш, Rombertik унікальний саме тим, що, виявивши ознаки сканування системи на віруси або спроби його видалення, знищує головний завантажувальний запис. Спочатку шкідливий намагається переписати її або PhysicalDisk0, а в разі відсутності прав на переписування головного завантажувального запису знищує всі файли в домашній папці користувача (наприклад, C: \ Documents and Settings \ Administrator \), шифруючи їх ключем RC4. Після цього комп'ютер перезавантажується.
У ході реверс-інжинірингу Rombertik дослідники виявили безліч шарів обфускаціі і функціонал, що дозволяє обходити виявлення інструментами статичного і динамічного аналізу.
Подібне ПЗ під назвою Wiper застосовувалося для здійснення торішньої атаки на Sony Pictures Entertainment, а також в ході шкідливої ​​кампанії DarkSeoul проти південнокорейських організацій, що мала місце в 2013 році. Передбачається, що відповідальність за інциденти лежить на Північній Кореї.
Хакери активно експлуатують XSS-пролом в популярних плагінах WordPress

Як повідомляють фахівці компанії Sucuri, зловмисники активно експлуатують уразливість в двох популярних плагінах WordPress, ніж піддають значну загрозу користувачів web-ресурсу.
Мова йде про плагіни JetPack - інструменті, використовуваному для кастомізації і продуктивності і Twenty Fifteen, вживаному для здійснення нескінченної прокрутки. Останній WordPress встановлює за замовчуванням, що підвищує число вразливих сайтів. Обидва плагіна використовують пакети іконічного web-шрифту genericons, створеного з векторних символів. У пакеті міститься незахищений файл під назвою example.html, через якого сам пакет стає вразливим.
За словами дослідника Sucuri Девіда Деде, уразливість в genericons досить складно виявити. Вона являє собою XSS-пролом в DOM-моделі, яка реалізується через DOM (Document Object Model) - не залежний від платформи і мови програмний інтерфейс, що дозволяє програмам і сценаріями отримувати доступ до вмісту HTML і XML-документів, а також змінювати контент, структуру та оформлення таких документів. Як зазначив Деде, це означає, що код виконується виключно у браузері, тому міжмережеві екрани не можуть виявити і зупинити його.
Фахівці Sucuri знайшли віртуальний спосіб виправлення проломи, але, як вони самі зізнаються, XSS-вразливості в DOM досить підступні і заблокувати їх не так легко. Відзначається, що атака буде успішною тільки в тому випадку, якщо жертва перейде по шкідливої ​​посиланням.

ukrprofХакерська атака на «Лабораторію Касперського» обійшлася в $ 50 млн
Про те, що «Лабораторія Касперського» зазнала хакерської атаки, компанія розповіла в офіційному повідомленні 10 червня. Увечері того ж дня глава і засновник компанії Євген Касперський провів прес-конференцію в Лондоні, під час якої відповів на питання журналістів. За його словами, як правило, великі організації приховують інформацію про те, що стали жертвою таких інцидентів через репутаційних ризиків. Але публічність такої інформації може допомогти розслідувати кіберзлочини, підкреслив Касперський.
Шпигунська кіберпрограмма, жертвою якої стала «Лабораторія Касперського», є вдосконаленою версією вірусу Duqu, який вперше був виявлений в 2011 році угорською компанією CrisysLab. Duqu допомагає красти конфіденційну інформацію, чотири роки тому вірус був знайдений в Угорщині, Австрії, Індонезії, Великобританії, Судані та Ірані.
За даними Kaspersky Lab, атакуючі хотіли отримати інформацію про технології, дослідженнях і внутрішніх операціях компанії. Хакери цікавилися розробками компанії для виявлення і аналізу націлених атак і кібершпіонажу, а також інформацією про поточні розслідуваннях. Перше зараження в корпоративній мережі «Лабораторії Касперського» відбулося в кінці 2014 року, а виявити атаку вдалося тільки навесні 2015 року. «Інформація, доступ до якої могли отримати організатори атаки, не є критичною для роботи наших продуктів», - йдеться в повідомленні компанії.
Фахівці «Лабораторії Касперського» підрахували, що вартість розробки і підтримки шкідливої платформи Duqu досягає $ 50 млн. «Є підстави вважати, що ця кампанія спонсорується на державному рівні», - сказано в повідомленні компанії.
Крім «Лабораторії Касперського» в 2014-2015 роках хакери атакували майданчик для переговорів щодо іранської ядерної програми групи «5 + 1» та заходів, присвячених 70-й річниці звільнення в'язнів Освенціма, повідомила компанія. За даними Wall Street Journal програма була виявлена у трьох європейських готелях, в яких йшли переговори щодо іранської ядерної програми. Діючі та колишні американські чиновники, а також експерти у сфері кібербезпеки вважають, що Duqu була розроблена для проведення секретних операцій Ізраїлю по збору розвідувальної інформації, відзначає видання. Євген Касперський відмовився назвати держава, яка могла стояти за атаками в ході прес-конференції в Лондоні. Але звіт «Лабораторії Касперського» про нову загрозу називається The Duqu Bet, а Bet - друга буква ізраїльського алфавіту, вказує видання. За словами представника Kaspersky Lab Юлії Кривошеїн, The Duqu Bet - робоча назва звіту, а наявність в ньому букви з єврейського алфавіту є збігом.
Фахівці Kaspersky Lab визнають, що поки невідомо, як вірус використовувався під час переговорів у готелях і яку інформацію він міг викрасти. Можливо, зловмисники змогли підслуховувати розмови і вкрасти електронні файли з системи готелю, яка приєднується до комп'ютерів, телефонами, ліфтів і системі оповіщення: це дозволило б «включати» і «вимикати» ці пристрої для збору інформації, відзначило WSJ.

ukrprofХакери несподівано змінили текст публікації про швидкий вихід джейлбрейка iOS 9.2

Над джейлбрейком iOS 9.2 незалежно один від одного працюють як мінімум дві команди хакерів - Pangu і TaiG. Днями китайська компанія 3K Assistant, яка співпрацює з першою групою розробників, оголосила, що вони досягли великого прогресу у підготовці джейлбрейка iOS 9.2. Як з'ясував Стефан Чан з Superphen, сьогодні текст анонса несподівано був змінений - з нього зникли слова про швидкий вихід експлоїта.
До цього сполучення 3K Assistant говорило про те, що команда TaiG успішно зламала iOS 9.2, проте це все ще прив'язаний джейлбрейк, тобто після кожної перезавантаження iPhone і iPad потрібно підключати до комп'ютера для успішного запуску ОС. При цьому наголошувалося, що готовий інструмент для джейлбрейка iOS 9.2 вийде найближчим часом.
Перша версія анонсу:
«Офіційна версія iOS 9.2 вийшла більше восьми днів тому і всі вісім днів 3K Assistant старанно працювала над джейлбрейком iOS 9.2. Нарешті, наші старання були винагороджені: після восьми днів боротьби ми досягли великого прогресу в джейлбрейка iOS 9.2.
Хоча процес створення експлоїта ще не завершений, ми вважаємо, що загальнодоступна версія джейлбрейка iOS 9.2 з'явиться в найближчому майбутньому. Ласка, наберіться терпіння.
Інструмент для джейлбрейка iOS 9.2 вийде дуже скоро. Це лише питання часу ».
Нова версія публікації:
«Минуло багато днів з моменту офіційного релізу iOS 9.2. Команди розробників старанно працювали над зломом ОС. Тим не менш, на даний момент, успішного джейлбрейка iOS 9.2 досягти не вдалося. Користувачі, які очікують інструменти для злому, будь ласка, наберіться терпіння. Якщо з'являться хороші новини, ми повідомимо про них першими ».
Таким чином, 3K Assistant прибрали з поста всі слова про успішне джейлбрейк iOS 9.2 і швидке релізі утиліти. Судячи з усього, анонс був зроблений передчасно і хакерам з Pangu поки нічим порадувати користувачів.
Тому тепер всі надії на TaiG. Pangu свого часу випустила джейлбрейк для операційних систем iOS 7.0.6-7.1.2, iOS 8.0-8.0.2 і iOS 9-9.0.2. Розробники з TaiG здійснили злом iOS 8-8.4.

ukrprofХакери атакували користувачів браузер-Opera

Користувачі браузера Opera стали отримувати від компанії листи з попередженням про те, що сервіс Opera Sync був зламаний, в результаті чого особиста інформація людей, включаючи їх логіни і паролі, могла потрапити в руки третім особам.
Всього Opera Software розіслала близько 1,7 млн ​​таких листів своїм користувачам. Нагадаємо, що сервіс Opera Sync дозволяє синхронізувати облікові записи Opera на різних пристроях.
У компанії уточнили, що атака була здійснена ще минулого тижня, але співробітникам Opera вдалося оперативно виявити кібератаку і заблокувати її. Однак це все одно не допомогло зберегти всі дані користувачів в цілості й схоронності. Особливо це стосується логінів і паролів. Фахівці компанії відзначають, що хакери, які здійснили цю атаку, могли отримати доступ до цих даних, що дає їм можливість надалі використовувати їх у своїх цілях.
У Opera Software відзначили, що абсолютно всі дані користувачів зберігаються на серверах в зашифрованому вигляді, тому зловмисникам навряд чи вдасться розшифрувати цю інформацію. Так що всі дані користувачів знаходяться під надійним захистом, однак щоб люди не боялися за збереження своїх особистих даних і були впевнені в тому, що вони надійно захищені, Opera рекомендує все таки всім, хто користується сервісом Opera Sync, змінити свої логіни і паролі, щоб позбавити зловмисників можливості отримати доступ до особистий обліковий запис.
Фахівці Opera Software продовжують працювати над розслідуванням інциденту. Навіть якщо встановити винних в атаці не вдасться, то хоча б вийде виявити пролом, через яку був здійснений злом.
Варто відзначити, що останнім часом атаки такого масштабу повторюються все частіше. Так, нещодавно з аналогічним закликом замінити свої логіни і паролі звернулася до своїх користувачів компанія Dropbox. Вона порекомендувала всім, хто зареєструвався в сервісі раніше 2012 року, змінити дані для входу в свій аккаунт.
Відзначимо, що деякі користувачі самі ставлять під загрозу свої особисті дані, вибираючи занадто прості паролі. Щоб убезпечити себе від злому і зберегти свої дані під надійним захистом. Для цього не варто вибирати один і той же пароль для різних сервісів. Це тільки полегшує хакерам завдання, адже зламавши один акаунт, вони зможуть отримати доступ до всіх облікових записів.
Крім цього пароль повинен бути якомога складніше. Не варто в якості нього вказувати свою дату народження, кличку улюбленого домашньої тварини, імена родичів, своє прізвище та ін. Тобто в паролі варто уникати тих даних, які хакер зможе прочитати на сторінках в соціальних мережах або месенджерах. Найкраще, якщо пароль буде містити в собі букви, цифри і спеціальні символи, які дозволені сервісом. Зламати такий пароль навіть досвідченому хакеру буде дуже складно.