Лаборатория 009
Информационных технологий

28 июня 2017

Кража данных в Eaze

Американский стартап Eaze, который легально занимается продажей марихуаны по интернету в медицинских целях, допустил утечку данных своих клиентов, пишет ресурс TechCrunch. Скомпрометированными оказались их имена, номера телефонов и медицинские записи. Данные были украдены бывшим работником медицинского онлайн-сервиса Donald D. Davidson, M.D., с которым сотрудничает Eaze. По сведениям инсайдеров, преступники требуют за похищенную информацию выкуп в размере $70 млн.

Eaze продает марихуану клиентам только в лечебных целях, исключительно по предписанию врача. Ресурс Donald Davidson проводит с пациентами удаленные консультации по телефону и видеосвязи. По итогам консультации сотрудник сервиса имеет право выписать покупателю рекомендацию к употреблению марихуаны. Сама консультация стоит $19, еще $10 клиент платит за документ с рецептом.

Ссылка на Donald Davidson размещена на главной странице сайта Eaze, чтобы пациент, желающий приобрести продукт, мог сразу же пройти консультацию. В App Store и Google Play можно скачать приложение EazeMD, которое облегчает доступ к услугам Donald Davidson. После консультации Eaze всего за $25 доставляет с водителем на адрес пациента стандартную меру конопли – 1/8 унции, то есть около 3,5 гр.

Стартап Eaze продает марихуану исключительно по предписанию врача

В официальном обращении к пациентам Donald Davidson признал факт несанкционированного доступа к их данным и подтвердил, что медицинские записи были скомпрометированы. Сейчас компания уточняет детали произошедшего.

Кто пользуется услугами Eaze

Eaze базируется в Сан-Франциско, штат Калифорния, США. В ноябре 2016 г. жители Калифорнии проголосовали за легализацию марихуаны на территории штата, при условии, что она употребляется в медицинских или рекреационных целях. Таким образом, деятельность Eaze считается легальной.

Недавно Eaze провела опрос среди 10 тыс. своих клиентов. Как выяснилось, большинство покупателей имеют хорошее образование и хорошо оплачиваемую работу. Более половины из них получили высшее образование, хотя в среднем по Калифорнии этот показатель составляет 39%. Около 91% клиентов сообщили, что трудоустроены, причем 19% из них – в ИТ-отрасли. Это не удивительно, учитывая, что Eaze находится рядом с Кремниевой долиной, пишет издание Fortune. 49% клиентов Eaze зарабатывают более $75 тыс. в год, причем 16% – от $100 тыс. до $150 тыс.

40% опрошенных заменяют марихуаной выписанные им болеутоляющие на основе опиатов. В общем же 66% покупателей составляют мужчины. 57% интервьюируемых принадлежат к возрастной категории от 22 до 34 лет, 21% находится в возрасте от 35 до 52 лет, 15% – от 18 до 21 года и 7% – от 53 до 71 года. Примерно 21% клиентов уже успели стать родителями.

Источник: www.cnews.ru

28 июня 2017

Прямая и косвенная угрозы

По итогам изысканий российского программиста компания Npm Inc., занимающаяся развитием платформы Node.js для трансляции JavaScript в машинный код, запустила массовую смену паролей участников проекта. Накануне выяснилось, что около 52% аккаунтов в системе управления пакетами Node.js — npm — находятся под прямой или косвенной угрозой компрометации со стороны злоумышленников. Источником проблемы стала слабая защита самих аккаунтов, в частности, примитивные, интегрированные в код или ранее украденные пароли.

На данный момент Npm Inc. внедрены новые средства проверки паролей. Так что если пароль слишком слабый или совпадает с ранее утекшим, владельца попросят оперативно его сменить.

Заслуга россиянина

Российский программист, член технического комитета проекта Node.js Никита Сковорода исследовал утечки паролей к npm с мая 2017 г., хотя еще в 2015 г. обратил внимание на то, что беззаботные разработчики небрежно хранят свои пароли, оставляя их либо прямо в коде своих приложений, или в другом легкодоступном месте.

Слабые пароли поставили под угрозу множество разработчиков JavaScript

«Изначально я работал над совсем другой темой, — рассказал Сковорода. — Я хотел создать грубый сканер кода для всех пакетов npm, чтобы проверить, как часто и где используются API Node.js — для нужд самого проекта [Node.js]... Тогда же я обратил внимание на логины и пароли в самих пакетах. Я сообщил о проблеме в Npm Inc.». В ответ Npm Inc. добавили в свою платформу функцию, позволяющую выявлять логины и пароли внутри пакетов и отзывать их.

«Последняя проверка стартовала в начале мая на саммите разработчиков Node.js... в основном в свободное время, с использованием инструмента, который собирал опубликованные на GitHub регистрационные данные и автоматически сравнивал их с данными из npm», — пояснил разработчик. Впоследствии он усовершенствовал этот инструмент так, чтобы обнаруживать самые популярные пароли, такие как «123456» или «password», а затем добавил функцию сопоставления с базами паролей, ранее украденных из таких ресурсов как Adobe, Last.fm и т. д.

«Я занимался всем этим довольно неторопливо, в свободное время, пока в результате сканирования утекших паролей не обнаружил множество регистрационных данных к действующим аккаунтам [npm], — заявил Сковорода. — Изначально я ничего подобного не ожидал».

Удручающая картина

Всего Сковороде удалось найти 15,6 тыс. случаев действующих регистрационных данных для 15,5 тыс. аккаунтов. По данным разработчика, злоумышленник мог бы получить доступ на публикацию к 66,9 тыс. пакетам npm, что составляет примерно 13% всей экосистемы JavaScript npm. И это очень крупная проблема. Дело в том, что разработчики давно уже не загружают библиотеки JavaScript в свой код вручную: в основном они используют для этого npm и его систему управления зависимыми объектами. Это означает, что если разработчик загружает себе пакет A, то с ним он загружает и все зависимые объекты — пакеты B, C, D, E и так далее.

Таким образом, через зависимые объекты вредоносный код, попавший в один пакет, может распространиться на большое количество других. Тем самым, по подсчетам Сковороды, под угрозой оказываются около половины всех пакетов npm.

Дополнительные подробности

По словам Сковороды, он обнаружил среди утекших регистрационных данных 15 568 логинов и паролей, которые по-прежнему подходили к 15 495 активным аккаунтам. С большей их части (15 343) что-то публиковалось. Всего Скворода насчитал 125 665 аккаунтов в системе npm со слабыми или утекшими паролями, — 12% от общего числа учетных записей.

Среди них были 40 разработчиков, у каждого из которых насчитывалось более 10 млн скачиваний в месяц и 13 разработчиков с 50 млн скачиваний. Один разработчик с 20 млн скачиваний после принудительной смены пароля ограничился добавлением к старой комбинации восклицательного знака.

Среди уязвимых оказались аккаунты четырех разработчиков из верхней двадцатки. Один из них после принудительной смены пароля вернулся к прежнему, уже давно утекшему паролю (и снова получил принудительную смену).

1409 пользователей использовали в качестве пароля свой логин, 10% использовали пароли, которые уже применяли где-то в других местах.

«Нарушение базовых правил работы с паролями перестает быть личным делом пользователей, находящихся в тесно интегрированной системе, такой как npm, — отмечает Георгий Лагода, генеральный директор компании SEC-Consult Services. — Это тот самый случай, когда несоблюдение информационной гигиены подвергает серьезной опасности работу множества других людей. Жаль, что проблема была поднята только сейчас, определенно появилась она далеко не вчера».

Источник: www.cnews.ru

28 июня 2017

Специалисты Eset установили источник эпидемии трояна-шифратора Win32/Diskcoder.C Trojan (Petya.С). Злоумышленники скомпрометировали бухгалтерское программное обеспечение M.E.Doc, широко распространенное в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало атаке, охватившей страны Европы, Азии и Америки.

По данным системы телеметрии Eset, большинство срабатываний антивирусных продуктов Eset NOD32 пришлось на Украину, Италию и Израиль.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты Eset детектируют ее как Win32/Diskcoder.C Trojan. Если Win32/Diskcoder.C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.     

Продукты Eset детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Источник: www.cnews.ru

27 июня 2017

Новый вирус-шифровальщик

Российские и украинские компании атакованы вирусом-шифровальщиком Petya, говорится в сообщении компании Group-IB. Вирус поражает компьютеры под управлением ОС Windows и шифрует их содержимое, требуя перевести выкуп за «расшифровку» в размере $300 в виде битйконов.

Атака через кадры

Атака началась примерно в 14:00 по московскому времени. Вирус распространяется через ложные («фишинговые») электронные письма. Как рассказал CNews один из экспертов в области информационной безопасности, чаще всего ложные письма отправляют в отделы кадров крупных организаций.

Письмо якобы содержит резюме потенциальных соискателей, которое приложено в виде ссылки на Dropbox. По ссылке вместо резюме загружается исполняемый файл, который и устанавливает вредоносное ПО. Далее идет заражение всей корпоративной сети.

Россия и Украина атакованы вирусом-вымогателем Petya

Руководитель глобального центра анализа и угроз «Лаборатории Касперского» Костин Райю написал в своем Twitter, что новый вирус подделывает электронную подпись Microsoft. В результате во время запуска вредоносного ПО пользователю не выдается предупреждение, что данная программа может быть опасной.

Кто пострадал в России

В России вирусом были атакованы нефтяные компании «Роснефть» и принадлежащая ей «Башнефть». В середине дня их сайты были недоступны. В «Роснефти» сообщили, что нефтедобыча компании не пострадала, так как она была переведена на резервную систему управления, и обратились в правоохранительные органы по факту совершенной атаки.

В России о проблемах из-за вируса сообщила представительства компании Mondelez (производит шоколад Alpen Gold и Milka) и Mars, а также ХКФ-банк. У данного банка не доступен сайт; организация сообщила о приостановлении своих операций. Сеть клиник «Инвитро», осуществляющая медицинские анализы, сообщила, что вирус парализовал работу ее call-центра, в связи с чем клиентам клиники рекомендовано обращаться в нее через соцсети. Кроме того, клиника приостановила осуществление исследований Cito (срочных анализов).

«Кибер-катастрофа» для Украины

Наиболее серьезные последствия от вирусной атаки наблюдаются на Украине. Здесь пострадали десятки государственных и коммерческих организаций. В частности, оказались недоступны сайты правительства страны, МВД, Минздрава, Минкультуры и ряда других министерств. Вице-премьер Украины Павел Розенко сообщил на своей странице в Facebook, что зараженными оказались все компьютеры в правительстве.

В банковской сфере среди «жертв» Petya называются Ощадбанк, «Пивденный», ОТП, Приватбанк. В Национальном банке Украины сообщили, что пострадавшие банки испытывают трудности с обслуживанием, и проинформировали финансовые организации страны о данной угрозе.

В транспортной сфере пострадали аэропорт «Борисполь» (основной аэропорт страны) и Киевский метрополитен. В метро из-за вируса не работает оплата банковскими картами. На сайте аэропорта не доступно онлайн-табло с расписанием, в самом аэропорту возможны задержки рейсов.

Также вирус Petya атаковал «Укрпочту», «Новую почту», «Укрэнерго», «Киевэнерго», сеть заправок ТНК, «24 канал», телеканал ATR, «Киевводоканал», сайт Чернобыльской АЭС, авиапроизводителя «Антонов» и госпредприятие «Документ» (занимается оформлением документов).

По следам WannaCry

По данным руководителя отдела антивирусных исследований «Лаборатории Касперского» Вячеслава Закоржевского, хотя большинство заражений от нового вируса-шифровальщика приходятся на России и Украину, жертвы есть и в других странах. Новый вирус не относится к ранее известным семействам вредоносного ПО.

В то же время вирус Petya распространяется в локальной сети так же, как и другой вирус-шифировальщик — WannaCry, эпидемия которого произошла в середине мая 2017 г. WannaCry также требовал выкуп за расшифровку информации в биткойнах. Вирус действовал по всему миру, но наибольшие последствия от его деятельности были в России: вирус поразил компьютеры МВД, Следственного комитета, Минздрава, МЧС, «Мегафона», Yota и других организаций.

Источник: www.cnews.ru

27 июня 2017

«Доктор Веб» сообщила о о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Как рассказали CNews в компании, новый энкодер детектируется продуктами Dr.Web.

По имеющейся у специалистов Dr.Web информации, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет. 

В настоящее время аналитики исследуют нового троянца. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.

Сегодня, 27 июня, в 16:30 по московскому времени, этот шифровальщик был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544.

«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.

Источник: www.cnews.ru

27 июня 2017

Уязвимость в Skype

В Skype обнаружена критическая уязвимость, которая позволяет злоумышленнику удаленно вызвать сбой приложения и запустить на компьютере жертвы исполнение вредоносного кода. Уязвимость, получившая название CVE-2017-9948, присутствует в версиях Skype 7.2, 7.35 и 7.36. Она была обнаружена исследователем кибербезопасности Бенджамином Кунц-Мейри (Benjamin Kunz-Mejri), основателем компании Vulnerability Lab. По шкале Общей системы оценки уязвимостей (CVSS) баг получил 7,2 балла.

Vulnerability Lab сообщила Microsoft о наличии уязвимости 16 мая 2017 г. Microsoft признала существование проблемы и разработала патч, который был развернут 8 июня. Уязвимость была устранена в версии Skype 7.37.178. Пользователям следует убедиться, что их приложение обновлено, чтобы избежать угрозы, советует компания.

Технические особенности

CVE-2017-9948 представляет собой ошибку переполнения буфера в стеке, которая позволяет злоумышленнику удаленно обрушить Skype на компьютере жертвы с помощью неожиданной ошибки исключения, а также перезаписать регистр активных приложений и исполнить вредоносный код на компьютере. Проблема возникает, когда Skype обращается к файлу MSFTEDIT.DLL в процессе выполнения запроса на копирование в локальной системе.

В Skype обнаружена критическая уязвимость

Чтобы подтвердить наличие уязвимости в MSFTEDIT.DLL, команда Vulnerability Lab скопировала из буфера и вставила в окно сообщения Skype специально сгенерированный файл-изображение. Когда изображение было размещено одновременно в буфере удаленной и локальной системы, непосредственно в момент его передачи возникло переполнение буфера в стеке, которым может воспользоваться злоумышленник. Для этого ему не нужно взаимодействовать с аккаунтом жертвы, достаточно иметь свой пользовательский аккаунт с низким уровнем привилегий. У удаленного буфера нет никаких ограничений безопасности на размер и количество передаваемых файлов.

Другие проблемы Skype

Это не единственная проблема Skype, проявившаяся в последнее время. Несколько дней назад приложение испытало глобальный сбой, длившийся два дня. Пользователи из разных стран массово жаловались на то, что к сервису нет доступа, невозможно получить или отправить сообщение. У некоторых пользователей приложение не показывало продолжающийся групповой звонок, другие не могли добавить новый контакт. Проблема затронула все европейские страны, сильнее всего проявившись в Великобритании, Франции, Германии, Бельгии и Португалии. Также сбой наблюдался в Израиле и США.

По данным ресурса DownDetector, сильнее всего ситуация обострялась 19 июня 2017 г. около 22:00 и 20 июня в районе 10:00 по британскому времени. В эти периоды было зарегистрировано до 650 сообщений о сбое в работе Skype. Примерно половина пользователей не могли авторизоваться в системе, 12% жаловались на сбои в видео- и голосовой связи, 33% — на проблемы с передачей сообщений. В соцсетях, в том числе в Twitter, пользователи отмечали, что отказ мессенджера негативно сказывается на их работе и других делах.

Источник: www.cnews.ru

26 июня 2017

Человек с паролем посередине

Эксперты по безопасности из Израиля представили исследование, посвященное новому типу кибератак — «Сброс пароля человеком посередине». «Человек посередине» (Man-in-the-Middle, MitM) — распространенная разновидность атак, когда злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причем ни один из последних не догадывается о его присутствии в канале. В данном случае в качестве одного из корреспондентов выступает легитимный сервер, на котором авторизуется пользователь — сервер электронной почты или социальной сети.

Злоумышленнику для успешной атаки потребуется заманить пользователя на вредоносный сайт, внешне имитирующий легитимный ресурс. Также понадобится серверное приложение, которое будет перехватывать отправляемые пользователем данные, менять их и перенаправлять на регистрационные формы системы управления паролем на другом сайте.

Например, если потенциальная жертва вводит имя пользователя или почтовый адрес в регистрационной форме на вредоносном сайте, эта информация перенаправляется на легитимный ресурс — Google, Yandex, Yahoo и т. д. — для запуска процесса смены пароля.

Если сервер присылает секретный вопрос безопасности, активирует тест Captcha или пересылает SMS с кодом верификации, то злоумышленник эти данные перенаправляет пользователю (то есть, на вредоносном сайте могут появляться дополнительные поля с запросами на заполнение Captcha и т. п.). Что касается SMS, то здесь злоумышленнику достаточно выяснить телефонный номер жертвы, а затем перехватить код верификации. Визуально алгоритм обмана показан на рисунке.

Схема MitM-атаки

Как видно из схемы, сайт злоумышленника лишь немного изменяет данные, направляемые жертвой на легитимный сервис, и перехватывает контроль над полем ввода нового пароля.

Исследователи указывают, что веб-сайты, полагающиеся на отправку кода на смену пароля через SMS, особенно уязвимы. Как ни странно, перед атакой PRMitM чрезвычайно уязвимы Google, Facebook, Yahoo, «Яндекс» и LinkedIn. Проблемы могут возникнуть и с Whatsapp и Snapchat.

Противодействие атаке

Исследователи указывают, что любые сообщения, содержащие код или ссылки для смены пароля, должны быть максимально информативными, просто для того, чтобы у пользователя появились причины заподозрить неладное. Исследователи предлагают также высылать не коды в SMS, а именно ссылки; не полагаться на одни только секретные вопросы, а запрашивать дополнительные сведения от пользователя, а также указывать имя получателя в почтовых сообщениях с ссылками на смену пароля и SMS.

«В военном деле применяется термин "глубоко эшелонированная оборона", обозначающая многочисленные защитные рубежи. Этот термин весьма неплохо применим и для киберзащиты, — считает Дмитрий Гвоздев, заместитель генерального директора компании ИТБ. — Проблема в том, что коммерческие сервисы вынуждены искать баланс между удобством пользователей и надежностью защиты и часто предпочитают первое второму. В принципе, возможно обезопасить любой сервис от атак, подобных описанным, но это потребует от пользователей усилий на грани неприемлемости. Поэтому оптимальный вариант — минимизировать использование уязвимых методов, таких как отправка текстовых кодов через SMS для авторизации. И конечно же, от внимательности пользователей тоже очень многое зависит».

Источник: www.cnews.ru

26 июня 2017

Librem поступили в продажу

Сверхзащищенные ноутбуки Librem 13 и Librem 15 запущены в широкую продажу, сообщает компания-производитель Purism. До этого устройства изготовлялись только по получении заказа. Готового запаса у компании не было, поэтому пользователям приходилось месяцами ждать свою покупку. Теперь Librem 13 и Librem 15 можно купить так же, как и любой другой ноутбук.

Как поясняет Purism, решение создать готовый запас было вызвано ростом популярности продукта. В течение последнего года спрос на Librem 13 рос в среднем на 38% в месяц, на Librem 15 – на 35% в месяц. Готовый Librem 13 обойдется покупателю от $1699, а Librem 15 – от $1999.

Свободное ПО

Самая примечательная черта ноутбуков Librem – это отсутствие проприетарного софта. На ноутбуки устанавливается операционная система PureOS, созданная на базе Trisquel GNU/Linux, в основе которой в свою очередь лежит Ubuntu. PureOS не содержит проприетарных компонентов.

Изначально намерение Purism создать ноутбук с полностью свободным ПО на процессорах Intel было встречено разработчиками софта скептически. Ситуацию усугубило то, что первые Librem поставлялись с проприетарным AMI UEFI BIOS. Однако позднее компания заменила его на свободный Coreboot BIOS – устройства с ним начали поставляться с июня 2017 г.

Другие особенности

Librem позиционируются производителем как устройства повышенной защищенности. Камера, микрофон и Wi-Fi в этих ноутбуках отключаются с помощью аппаратных рычагов. Если эти устройства отключены физически, удаленный доступ к ним невозможен, даже если хакеру удалось взять ноутбук под контроль.

Операционная система PureOS создана на базе Trisquel GNU/Linux

Примечательно также то, что средства на Librem 13 и Librem 15 собирались методом краудфандинга, в частности, на площадке Crowd Supply. Кампания по сбору средств стартовала в 2015 г. К концу года Purism собрала в общей сложности $2,5 млн по методу краудфандинга, а также в посевных инвестициях, что позволило изготовить продукт.

Технические характеристики

Первым в производство был запущен Librem 15, отгрузка готовых устройств началась в апреле 2015 г. Ноутбук получил экран с диагональю 15,6 дюйма и разрешением 1920 x 1080 пикселей. Аппаратной основой послужил 4-ядерный процессор Intel Core i7 с тактовой частотой до 3,4 ГГц, за графику отвечал Intel Iris Pro Graphics 5200. Объем оперативной памяти составил 4 ГБ, постоянной – 500 ГБ.

Librem 13, отгрузка которого началась в сентябре 2015 г., был задуман как облегченная версия Librem 15. Он получил экран с диагональю 13,3 дюйма и разрешением 1920 x 1080 пикселей. Устройство создано на базе 2-ядерного процессора Intel Core i5 с тактовой частотой до 2,7 ГГц. Объем оперативной памяти равен 4 ГБ, с возможностью увеличения до 16 ГБ, а жесткого диска – 500 ГБ, с возможностью расширения до 1 ТБ.

Источник: www.cnews.ru

26 июня 2017

Согласно выводам отчета «Как киберпреступники используют программные интерфейсы корпоративных мессенджеров в качестве C&C-инфраструктуры» (How cybercriminals abuse chat platforms APIs as C&C infrastructures), подготовленного компанией Trend Micro, сегодня все больше предприятий предпочитают использовать мессенджеры для общения внутри компании. Так, 77% компаний из списка Fortune 100 используют Slack − один из популярных корпоративных мессенджеров.

Благодаря тому, что такие платформы являются бесплатными и легко интегрируются в клиентские системы и бизнес-процессы, сегодня они представляют интерес не только для бизнеса, так и для киберпреступников.   

Trend Micro изучила наиболее популярные корпоративные платформы, чтобы выяснить, каким угрозам они подвержены. Исследование проводилось на примере таких мессенджеров как Slack, Discord, Telegram, Twitter, Facebook и др. 

Корпоративные платформы оказались уязвимы перед различными видами вредоносного программного обеспечения. В частности, вредоносные программы, файлы, и биткоин-майнеры использовали интерфейс популярной в США платформы Discord,. А разновидности таких вредоносных программ, как KillDisk или программа-вымогатель TeleCrypt используют протоколы Telegram для связи с C&C- сервером. 

Наиболее безопасным для пользователей оказался корпоративный мессенджер Slack – за время подготовки отчета, не было обнаружено никаких вредоносных программ или кибератак, связанных с этой платформой.

Платформа Twitter долгое время оставалась крупной мишенью для злоумышленников, в результате чего социальная сеть адаптировалась к обнаружению учетных записей, зараженных вредоносным ПО, основываясь на данных поведенческого анализа пользователей. 

В скором времени будет появляться все больше примеров того, как киберпреступники используют программные интерфейсы таких приложений в своих целях. Например, вместо создания с нуля специализированного интерфейса для связи с жертвой программы-вымогателя, злоумышленник может использовать уже существующий мессенджер и отправить пользователю сообщение с описанием процесса оплаты выкупа.   

Чтобы не стать жертвой киберпреступников, Trend Micro рекомендует установить четкие правила для безопасного использования корпоративных мессенджеров среди сотрудников, проводить обучение среди сотрудников и информировать о наиболее широко применяемых видах кибератак, таких как фишинг или спам, удостовериться, что IT-команда знает о киберугрозах, которые могут возникнуть при использовании корпоративных мессенджеров, а также постоянно отслеживает подозрительную сетевую активность, оценить, насколько критично использование корпоративных платформ для ежедневного общения. Если не критично – лучше остановить ее использование. 

Источник: www.cnews.ru

26 июня 2017

Взлом почты в Британии

Около 90 электронных почтовых ящиков, принадлежащих британским политикам, подверглись атаке со стороны неизвестных хакеров. Владельцами пострадавших ящиков в основном являются пэры, то есть члены верхней Палаты лордов, а также представители нижней Палаты общин. Парламентарии опасаются, что за взломом последуют случаи шантажа.

Сеть, к которой относятся пострадавшие ящики, насчитывает около 9 тыс. почтовых адресов. Ею пользуются многие чиновники и политики Великобритании, в том числе премьер-министр Тереза Мэй (Theresa May) и ее кабинет министров. В ходе атаки пострадали те ящики, где были слабые пароли. Расследуя инцидент, британские правоохранительные органы ограничили удаленный доступ ко всей сети.

Следствие предполагает, что ответственность за происшествие лежит на иностранном государстве, а не на местной группировке. В список подозреваемых стран входят Северная Корея, Китай, Россия и Иран, наиболее вероятным пока что считается вариант с Россией, пишет The Guardian. Расследование инцидента продолжается.

Инцидент во Франции

Предыдущая крупная утечка переписки политиков имела место во Франции 6 мая 2017 г. накануне заключительного тура президентских выборов. В сети появился архив, содержащий около 9 ГБ писем и документов, принадлежащих соратникам кандидата в президенты Эммануэля Макрона (Emmanuel Macron). Пользователь по имени EMLEAKS разместил архив на ресурсе Pastebin. Сайт WikiLeaks сообщил, что утечка является результатом взлома почтовых ящиков, благодаря которому в руках неизвестных хакеров оказалась переписка штаба Макрона за период по 24 апреля 2017 г.

Электронная почта парламента Векликобритании подверглась хакерской атаке

В список подозреваемых стран входила в том числе Россия: японская компания TrendMicro приписывала атаку группировке российских хакеров Pawn Storm, также известной под названиями Fancy Bear и APT28. Однако в ходе расследования Национальное агентство безопасности информационных систем Франции не нашло подтверждений этой версии. Сама же атака оказалась настолько простой, что не требовала скоординированных действий целой группировки, ее вполне мог совершить одиночный преступник. Всего за время предвыборной кампании хакеры атаковали сайт Макрона около 160 раз.

Происшествие в США

В июне 2016 г. правительство США обнаружило, что компьютерная сеть Национального комитета Демократической партии США была дважды взломана: летом 2015 г. и в апреле 2016 г. Атаки осуществили хакерские группировки Cozy Bear и Fancy Bear. Преступники получили доступ к чатам и почте политиков демократического крыла, а также нашли их досье на кандидата в президенты от республиканцев Дональда Трампа (Donald Trump).

Поскольку хакеры не заинтересовались финансовыми данными демократов, цель взлома определили не как обогащение, а как шпионаж. Самым вероятным кандидатом на роль кибершпиона США посчитали Россию, которая отрицала какую-либо причастность к атакам.

Источник: www.cnews.ru