­­­­

Ось 15 надійних ознак того, що вас зламали, і що робити у випадку компромісу. 

1.1. Ви отримуєте повідомлення про викуп 

2.2. Ви отримуєте підроблене антивірусне повідомлення 

3.3. У вас є небажані панелі інструментів браузера 

4.4. Ваші пошукові запити в Інтернеті перенаправляються 

5.5. Ви бачите часті випадкові спливаючі вікна 

6.6. Ваші друзі отримують від вас запрошення в соціальних мережах, яких ви не надсилали 

7.7. Ваш онлайн-пароль не працює 

8.8. Ви спостерігаєте несподівані встановлення програмного забезпечення 

9.9. Ваша миша переміщається між програмами та робить вибір 

10.10. Антивірусні програми, диспетчер завдань або редактор реєстру вимкнено 

11.11. У вашому обліковому записі в Інтернеті бракує грошей 

12.12. Вас повідомив хтось, кого ви зламали 

13.13. Конфіденційні дані просочились 

14.14. Ваші облікові дані містяться в дампі пароля 

15.15. Ви спостерігаєте дивні схеми мережевого трафіку 

Зверніть увагу, що у всіх випадках рекомендація номер 1 полягає у тому, щоб повністю відновити систему до відомого хорошого стану, перш ніж продовжувати. На початку це означало форматування комп’ютера та відновлення всіх програм та даних. Сьогодні це може просто означати натискання кнопки «Відновити». У будь-якому випадку, компрометованому комп’ютеру більше ніколи не можна повністю довіряти. Дотримуйтесь рекомендованих кроків відновлення, перелічених у кожній категорії нижче, якщо ви не хочете виконувати повне відновлення. Знову ж таки, повне відновлення завжди є кращим варіантом з урахуванням ризику.

(7 июня 2021 г.) 

 ФБР вернуло 2,3 миллиона долларов из 4,4 миллиона долларов в биткойнах, уплаченных программе-вымогателю Colonial Pipeline операторы. Colonial Pipeline предприняла первые шаги, чтобы уведомить ФБР, которое помогло им отследить платеж на конкретный кошелек криптовалюты. ФБР конфисковало биткойн с помощью судебных документов.  

Хотя нет никаких гарантий положительного результата В результате раннее сотрудничество с такой группой, как ФБР, может позволить им нарушать и отслеживать транзакции с криптовалютой. Хотя это только часть общего решения, отключение возможности легко обрабатывать и отмывать криптовалюту - это шаг в правильном направлении для предотвращения или прекращения выплат выкупа.

Ваша организация должна иметь активное и надежное партнерство с правоохранительными органами ДО того, как произойдут инциденты. Ежеквартально приглашайте местное ФБР на обед и знакомьтесь с ними; это вложение, за которое можно окупить буквально миллионы. Это особенно актуально для финансовых атак, таких как мошенничество со стороны генерального директора, когда правоохранительные органы часто могут вернуть (вернуть) украденные средства, если они будут сообщены в течение 72 часов после инцидента. 

Хотя пока неясно, как ФБР получило доступ к закрытому ключу, это явно важный успех и показывает, как правоохранительные органы могут вернуть часть средств. Более важным, чем денежные потери для преступников, является тот факт, что они действительно подрывают хрупкое доверие между участниками программ-вымогателей, если они не могут оплатить часть своей цепочки поставок. 

По мере того как двухфакторная аутентификация становится все более распространенной, преступники ищут новые способы ее подорвать. Вот что вам нужно знать.

5 основных методов атаки MFAАтаки типа "злоумышленник посередине" на основе SMS . 

Самая большая проблема с MFA связана с его наиболее распространенной реализацией: использованием одноразовых кодов доступа по SMS. 

Слабость связана с легкостью, с которой хакеры могут взломать смартфоны пользователей и временно присвоить номер телефона телефону, находящемуся под их контролем. Хотя это может быть крайним случаем, компрометация SMS продолжает подрывать общую полезность входа в MFA.

Есть несколько способов выполнить эту атаку. Один из них - подкупить или убедить оператора сотовой связи переназначить телефон. Другой метод был предложен одним из репортеров, который использовал коммерческую услугу, чтобы получить доступ к своему сотовому аккаунту. Заплатив за услугу 16 долларов, он смог перенаправить все свои SMS-сообщения, продемонстрировав, насколько легко было бы взломать его учетные записи.

Атаки на цепочку поставок. Самой печально известной атакой на цепочку поставок программного обеспечения за последнее время была атака SolarWinds , при которой были заражены различные компоненты кода, и целевые компании загружали эти части, не зная, что они были скомпрометированы. Есть множество способов предотвратить эти атаки, включая сканирование исходного кода во время выполнения. 

Имейте в виду, что атака SolarWinds была обнаружена оператором службы безопасности, который задавался вопросом, почему сотрудник хотел, чтобы второй телефон был зарегистрирован для многофакторной аутентификации. Это означало бы, что злоумышленник стремился использовать личность, и в частности MFA, в качестве вектора атаки.

Эти атаки продолжают оставаться проблемой, одна из которых была обнаружена в апреле компанией Codecov для своего инструмента Bash Uploader. Учетные данные для аутентификации были изменены хакером из-за слабой защиты образа Docker. Инструмент изменил переменные среды, вставленные в код, и одним из способов отслеживания этого было отслеживание IP-адресов назначения командных и управляющих серверов.

Взломанный обход рабочего процесса аутентификации MFA . Еще одна лазейка в MFA - это пример уязвимости отказа в обслуживании. Недавно обнаруженная ошибка позволяет любому зарегистрированному пользователю проходить аутентификацию, изменяя одноразовые пароли пользователей, что приводит к блокировке целевого пользователя. С тех пор это было исправлено.

Атаки с передачей cookie. Это еще один метод атаки, в котором используются файлы cookie браузера и сайты, хранящие данные аутентификации в файлах cookie . Первоначально это было сделано для удобства пользователей, чтобы пользователи могли оставаться в своих приложениях. Если хакеру удастся извлечь эти данные, он сможет захватить вашу учетную запись.

Подделки на стороне сервера . Возможно, самый крупный эксплойт в недавней истории, хотя и не исключительно проблема MFA, был назван Hafnium , который использует серию атак, включая подделку на стороне сервера и ошибку записи произвольных файлов, чтобы полностью аннулировать всю аутентификацию на серверах Microsoft Exchange. Атака включает четыре уязвимости нулевого дня в Exchange ( вот некоторые подробности ). Microsoft выпустила серию исправлений.

(20 мая 2021 г.) 

 CNA Financial Corporation, страховая компания из Чикаго, выплатила выкуп в размере 40 миллионов долларов США за свою сеть в начале этого года, так как подверглась атаке программы-вымогателя. CNA выплатила эту сумму через две недели после атаки, в результате которой сотрудники были отключены от сети и были скомпрометированы данные клиентов. Представитель компании сказал, что «CNA не комментирует выкуп». 

 Примечание  

Этот инцидент произошел раньше, чем недавняя атака программ-вымогателей, поразившая AXA, еще одну крупную компанию по страхованию от киберпространства, которая предоставила покрытие Colonial Pipeline, которая также заплатила выкуп. AXA недавно объявила, что прекратит выпуск полисов, покрывающих выплаты выкупа - большенство операторов, вероятно, сделают то же самое. CNA Financial имеет годовой доход более 10 миллиардов долларов и входит в десятку крупнейших эмитентов полисов киберстрахования и предлагает держателям полисов услугу «CyberPrep», «… проактивную программу услуг по предоставлению киберрисков, предназначенную для выявления, смягчения и реагирования на постоянные и возникающие угрозы ». Было бы интересно узнать, использовали ли они свой собственный сервис и что пошло не так. 

Исследователи заявили, что никогда ранее не задокументированный бразильский банковский троян, получивший название Bizarro, нацелен на клиентов 70 банков, разбросанных по Европе и Южной Америке.

Согласно анализу Kaspersky, опубликованному в понедельник, Bizarro - это мобильное вредоносное ПО, предназначенное для сбора учетных данных онлайн-банкинга и перехвата биткойн-кошельков у пользователей Android. Согласно анализу, он распространяется через пакеты установщика Microsoft, которые либо загружаются жертвами напрямую по ссылкам в спам-письмах, либо устанавливаются через троянизированное приложение.

После установки он уничтожает все запущенные процессы браузера, чтобы завершить любые существующие сеансы с веб-сайтами онлайн-банкинга - поэтому, когда пользователь инициирует сеанс мобильного банкинга, он должен снова войти в систему, позволяя вредоносному ПО собирать данные. Исследователи добавили, что для достижения максимального успеха Bizarro отключает автозаполнение в браузере и даже отображает поддельные всплывающие окна для захвата кодов двухфакторной аутентификации.

Bizarro также имеет модуль захвата экрана.

«Он загружает библиотеку magnification.dll и получает адрес устаревшей функции API MagSetImageScalingCallback», - пояснили исследователи «Лаборатории Касперского». «С его помощью троян может захватывать экран пользователя, а также постоянно контролировать системный буфер обмена в поисках адреса биткойн-кошелька. Если он обнаруживается, он заменяется кошельком, принадлежащим разработчикам вредоносного ПО ».

И, наконец, Bizarro также имеет основной модуль бэкдора, который, согласно анализу, способен выполнять более 100 команд .

Полностью функциональный бэкдор 

«Основной компонент бэкдора не запускается, пока Bizarro не обнаружит подключение к одной из жестко запрограммированных систем онлайн-банкинга», - пояснили исследователи. «Вредоносная программа делает это, перечисляя все окна, собирая их имена. Пробелы, буквы с диакритическими знаками (например, ñ или á) и небуквенные символы, такие как тире, удаляются из строк имен окон. Если имя окна совпадает с одной из жестко заданных строк, бэкдор продолжает запускаться ». 

Команды делятся на несколько основных лагерей:

•Команды, которые позволяют операторам командного управления (C2) получать данные о жертве и управлять статусом соединения; например, запрашивается версия Bizarro, имя ОС, имя компьютера, уникальный идентификатор Bizarro, установленное антивирусное программное обеспечение и кодовое имя, используемое для банка, к которому был осуществлен доступ. 

•Команды, которые позволяют злоумышленникам искать и красть файлы, расположенные на жестком диске жертвы, и те, которые позволяют злоумышленникам устанавливать файлы на устройство жертвы.•Команды, позволяющие злоумышленникам управлять мышью и клавиатурой пользователя. 

•Команды, которые позволяют злоумышленникам контролировать работу бэкдора, выключать, перезапускать или уничтожать операционную систему, а также ограничивают функциональность Windows. 

•Команды, регистрирующие нажатия клавиш. 

•Команды, отображающие различные сообщения, которые обманом заставляют пользователей предоставлять злоумышленникам доступ к банковским счетам, включая поддельные всплывающие окна (например, сообщения типа «введенные данные неверны, попробуйте еще раз»; сообщения об ошибках с просьбой ввести код подтверждения; которые сообщают пользователю, что его компьютер необходимо перезагрузить, чтобы завершить операцию, связанную с безопасностью). 

•Команды, позволяющие Bizarro имитировать системы онлайн-банкинга. По словам Касперского, «Для отображения таких сообщений Bizarro необходимо загрузить изображение в формате JPEG, содержащее логотип банка и инструкции, которым должна следовать жертва. Эти изображения хранятся в каталоге профиля пользователя в зашифрованном виде. Прежде чем изображение будет использовано в сообщении, оно дешифруется с помощью многобайтового алгоритма XOR. Поскольку сообщения загружаются с сервера C2, их можно найти только на машинах жертв ». 

•Команды, позволяющие настраивать сообщения. 

«Пользовательские сообщения, которые может показывать Bizarro, - это сообщения, которые замораживают машину жертвы, что позволяет злоумышленникам выиграть некоторое время», - говорится в анализе. «Когда получена команда на отображение такого сообщения, панель задач скрывается, экран становится серым и отображается само сообщение. Пока отображается сообщение, пользователь не может закрыть его или открыть диспетчер задач. Само сообщение сообщает пользователю, что либо система скомпрометирована и, следовательно, ее необходимо обновить, либо устанавливаются компоненты безопасности и производительности браузера. Этот тип сообщения также содержит индикатор выполнения, который со временем меняется ».

Нет призов за то, чтобы догадаться, почему, поскольку отключение Colonial Pipeline требует терпения и, похоже, продлится неделю.Министерство торговли, энергетики и инфраструктуры Южной Кореи приказало провести обзор готовности к кибербезопасности энергетической инфраструктуры страны. Вчера министр торговли, промышленности и энергетики Мун Сын Ук созвал встречу, заявив, что это необходимо, учитывая атаку программ- вымогателей на колониальный трубопровод, закрывший один из основных объектов транспортировки нефти в США. 

«После сбоя необходимо тщательно изучить, правильно ли приняты меры по обеспечению кибербезопасности и меры противодействия нашей энергетической инфраструктуре», - сказал министр, прежде чем обратиться к операторам нефтепроводов, электросетей, газопроводов и системы аварийного реагирования, чтобы проверить состояние своих систем и сообщить о своих выводах.Также в повестке дня на поспешно созванном заседании было обсуждение правительственных мер противодействия нападениям, подобным тем, которые поразили колониальный трубопровод.

В Америке, тем временем, Colonial Pipeline заявляет, что могла проводить ручные операции на небольших участках своей инфраструктуры, но панические закупки привели к нехватке топлива, и цены на топливо выросли. Несколько штатов США приняли меры, чтобы либо разрешить автомобильную перевозку топлива, либо предотвратить взвинчивание цен. Colonial установила пятницу как день, в который надеется восстановить полный спектр услуг. Южная Корея, похоже, надеется, что ей никогда не придется принимать такие меры. 

По данным исследователей Sophos, только 8% жертв программ- вымогателей получают обратно все свои данные после уплаты выкупа.

 Исследователи обнаружили, что в среднем жертвы, которые платят выкуп, восстанавливают около 65% своих данных, в то время как 29% респондентов заявили, что они восстановили менее 50% своих данных. 

Исследователи также обнаружили, что средняя стоимость восстановления после атаки программы-вымогателя выросла более чем на 1 миллион долларов по сравнению с прошлым годом, даже если жертва заплатит выкуп. 

«Выплата выкупа - это лишь часть затрат на устранение атаки», - говорит Sophos. «Хотя количество атак программ-вымогателей и процент атак, в которых злоумышленникам удается зашифровать данные, снизились с прошлого года, общая стоимость устранения атаки программ-вымогателей увеличилась. 

Респонденты сообщили, что средняя стоимость устранения последствий последней атаки с использованием программ-вымогателей (с учетом времени простоя, времени сотрудников, стоимости устройства, стоимости сети, упущенной возможности, уплаченного выкупа и т. Д.) Составила 1,85 миллиона долларов США, что более чем вдвое превышает заявленные расходы в 761 106 долларов США. прошлый год." 

Исследователи подозревают, что рост затрат связан со все более изощренными атаками программ-вымогателей. 

Представители CERT-EU заявили, что только 14 учреждений ЕС использовали версию платформы мониторинга ИТ SolarWinds Orion, которая стала проводником атак на цепочку поставок SolarWinds. 

Осенью 2019 года хакеры, действующие от имени Службы внешней разведки России (СВР), взломали техасского поставщика программного обеспечения SolarWinds и добавили вредоносное ПО в версии приложения Orion, которое было отправлено клиентам в период с марта по июнь 2020 года. 

Отравленное обновление достигло примерно 18 000 клиентов SolarWinds, но хакеры SVR только усилили вторжения внутри сетей важных целей. 

Хотя CERT-EU не назвал шесть агентств ЕС, получивших отравленное обновление, и не сказал конкретно, были ли обнаружены полезные нагрузки второго уровня, они заявили, что для некоторых организаций это было «значительное влияние» и что «некоторые утечки личных данных произошел." 

Разоблачения Великобритании и ЕС подтверждают, что правительство США приняло на себя основную тяжесть атак SolarWinds, при этом количество затронутых федеральных агентств и местных органов власти исчисляется десятками. 

Среди наиболее известных жертв пострадали Государственный департамент, Министерство юстиции, Министерство энергетики, Агентство по кибербезопасности и инфраструктуре и Министерство финансов. 

По данным исследователей из подразделения 42 Palo Alto Networks, за последний год количество фишинговых атак с использованием файлов PDF резко возросло. % рост вредоносных файлов PDF - с 411 800 вредоносных файлов до 5 224 056 », - пишут исследователи. «Файлы PDF - привлекательный вектор фишинга, поскольку они кроссплатформенны и позволяют злоумышленникам взаимодействовать с пользователями, делая их схемы более правдоподобными, чем текстовые сообщения электронной почты с простой ссылкой».

Наиболее распространенная форма фишинговых приманок PDF использует изображение поддельной CAPTCHA, чтобы обманом заставить жертв нажать кнопку «Продолжить», что привело к переходу на вредоносный сайт. В другом варианте использовалось изображение, которое якобы было купоном, и жертвам предлагалось щелкнуть изображение, чтобы получить скидку 50% на продукт.

Третий тип фишинг-атаки PDF использовал изображения, которые выглядели как приостановленные видео, но приводили к фишинговому сайту, когда пользователи нажимали на них.

«Эти фишинговые файлы не обязательно несут в себе конкретное сообщение, так как в основном это статические изображения с врезанным в них изображением кнопки воспроизведения», - говорит Unit 42. «Хотя мы наблюдали несколько категорий изображений, значительная часть из них либо использовала наготу, либо следовала определенным денежным темам, таким как биткойны, биржевые диаграммы и т. Д., Чтобы заманить пользователей нажать кнопку воспроизведения». 

Аналитики угроз Microsoft отслеживают активность, когда контактные формы, опубликованные на веб-сайтах, используются для доставки вредоносных ссылок предприятиям с использованием электронных писем с поддельными юридическими угрозами. В электронных письмах получателям предлагается щелкнуть ссылку, чтобы просмотреть предполагаемые доказательства, лежащие в основе их обвинений, но вместо этого они загружают IcedID, вредоносное ПО для кражи информации. Эта угроза примечательна тем, что:

1.Злоумышленники злоупотребляют законной инфраструктурой, такой как контактные формы веб-сайтов, для обхода средств защиты, что делает эту угрозу очень уклончивой. Кроме того, злоумышленники используют законные URL-адреса, в данном случае URL-адреса Google, которые требуют, чтобы цели входили в систему с учетными данными Google.

2.Электронные письма используются для доставки вредоносного ПО IcedID, которое может использоваться для разведки и кражи данных и может привести к дополнительным вредоносным программам, включая программы-вымогатели.

3.Эта угроза показывает, что злоумышленники всегда ищут пути атаки для проникновения в сети, и они часто нацелены на службы, доступные в Интернете. Организации должны обеспечить защиту от таких угроз.

 В то время как эта конкретная кампания доставляет вредоносное ПО IcedID, этот метод доставки может использоваться для распространения широкого спектра других вредоносных программ, которые, в свою очередь, могут представлять другие угрозы для предприятия. Сам IcedID - это банковский троян, который превратился в точку входа для более сложных угроз, включая программы-вымогатели, управляемые человеком. Он подключается к серверу управления и контроля и загружает дополнительные имплантаты и инструменты, которые позволяют злоумышленникам выполнять атаки с клавиатуры, красть учетные данные и перемещаться по пораженным сетям для доставки дополнительных полезных нагрузок.

Веб-сайты обычно содержат страницы контактной формы, позволяющие посетителям общаться с владельцами сайтов, устраняя необходимость раскрывать свой адрес электронной почты потенциальным спамерам.Однако в ходе этой кампании мы наблюдали приток электронных писем с контактными формами, нацеленных на предприятия, из-за злоупотребления контактными формами компаний. Это указывает на то, что злоумышленники могли использовать инструмент, автоматизирующий этот процесс, в обход защиты CAPTCHA.

В этой кампании мы отслеживали, что вредоносное электронное письмо, которое поступает в почтовый ящик получателя из запроса контактной формы, выглядит заслуживающим доверия, поскольку оно было отправлено из надежных систем электронного маркетинга, что дополнительно подтверждает его легитимность, избегая обнаружения. Поскольку электронные письма исходят из собственной контактной формы получателя на его веб-сайте, шаблоны электронной почты соответствуют тому, что они ожидают от реального взаимодействия с клиентом или запроса.

По мере того как злоумышленники заполняют и отправляют веб-форму, соответствующему получателю контактной формы или целевому предприятию создается сообщение электронной почты, содержащее созданное злоумышленником сообщение. В сообщении используется строгий и неотложный язык («Загрузите его прямо сейчас и проверьте это сами») и заставляет получателя действовать немедленно, в конечном итоге вынуждая получателей щелкать ссылки, чтобы избежать предполагаемого судебного иска.