антивирусна защита

  • Как таргетираните атаки с рансъмуер се превърнаха в нелегален бизнес за милиони

    Приключващата 2018 г. ще бъде запомнена като годината на таргетираните кибератаки с рансъмуер. Ако преди няколко години престъпниците залагаха на масирани рансъмуер кампании, насочени към стотици хиляди потребителите, днес те предпочитат да атакуват отделни организации.

    Тази тактика се отплаща. Всъщност това е най-печелившата форма на компютърно престъпление според доклад на английската компания за киберсигурност Sophos. Тя дава за пример SamSam – опостушителен рансъмуер, който през първата половина на 2018 г. парализира дейността на няколко държавни институции в САЩ.

    Печалби за милиони

    Авторите на SamSam са спечелили поне 6.5 млн. долара от началото на 2016 г. досега, показват данните на Sophos. Но което е по-важно: те създадоха нов доходоносен модел на компютърно престъпление, който вече се копира и от други престъпници.

    Повечето видове рансъмуер искат като откуп суми между няколкостотин и хиляда долара. От появата си през 2016 г. SamSam вдигна мизата и  започна да иска между 10 и 50 хил. долара. Атакувайки слабозащитени машини и получавайки през тях достъп до цялата мрежа на организацията, престъпниците правят така, че жертвите да са склонни да си платят. „Атаката е толкова сериозна, че голяма част от жертвите предпочитат да платят откупа“, коментират от Sophos.

    Този модел бързо се разпространи. Хакерите започнаха да атакуват конкретни институции срещу петцифрени и дори шестцифрени суми. Авторите на рансъмуера BitPaymer например искат суми от 50 хил. долара до 1 млн. долара. Заразените с Ruyk институции получават искане за суми от порядъка на 100 хил. долара.

    Слабите места са навсякъде

    Някога защитата от вируси беше сравнително проста. Достатъчно беше антивирусната програма да засече зловреден инсталационен файл и да му попречи да се инсталира или разпространи към други устройства в мрежата.

    Сега инсталационният файл е само част от процеса на заразяване. Атаката може да започне с Word документ, прикачен в имейл. Сам по себе си документът е безобиден, но скритият в него макро скрипт сваля от интернет истинския малуер.

    Някои видове рансъмуер имат функционалността на компютърни червеи. Други използват уязвимости в операционнаата система или определени софтуерни продукти.

    Подобна сложност на атаките изисква комплексно решение за сигурност. То включва в себе си не само антивирусен софтуер, но и решение за политики за сигурност. С него могат да се налагат права и ограничения на всички устройства в мрежата, за да се намали риска от заразяване.

    Вектор на атака са и слабозащитените устройства, използващи Remote Desktop Protocol (RDP). Хакерите ги откриват, получават достъп до тях, а така и до цялата мрежа на организацията. Успехът им се дължи основно на факта, че самите организации не защитават добре сървърите си. Достъпът до тях става с лесни за отгатване пароли, а допълнителни защитни мерки като многофакторна автентикация се използват рядко.

    Всичко това показва, че бизнесът все още не е подготвен да се справи с таргетирани рансъмуер атаки. Превенцията изисква инвестиции в решения за сигурност, но преди всичко осъзнаване на мащабите на проблема. Докато това не се случи, престъпниците ще продължават да правят пари на гърба на чуждото нехайство.

  • Зловредно приложение е стояло почти година в Google Play

    В продължение на 11 месеца зловредно приложение е успяло да прескочи политиките за сигурност на Google Play. За този период то е било свалено над 5000 пъти, без да бъде засечено и свалено. Твърдението е на Лукаш Стефанко, анализатор на ESET.

    Google Play има стриктна политика, която забранява на разработчиците да качват зловредни приложения със скрити функционалности. Такива приложения се свалят веднага, за да се минимизират щетите за потребителите. В този случай обаче зловредното приложение е останало в хранилището в продължение на почти година и е било свалено от хиляди потребители.

    Приложението се казва Simple Call Recorder и основната му функция е била да записва обаждания. Но при инсталирането на смартфона то сваля и допълнителен файл flashplayer_update.apk от външен сървър. Това е изрично забранено от правилата на Google Play.

    Не е ясно каква е била функцията на допълнителния файл, тъй като той вече е изтрит от сървъра, на който се е намирал. „От личен опит знам, че когато едно приложение имитира Flash Player, това е признак, че то най-вероятно е зловредно“, коментира Стефанко.

    Лукаш Стефанко е в основата на по-голямо проучване, което наскоро откри 29 троянизирани приложения в Google Play. Те се отличават с това, че могат да четат SMS-и и да прескачат двустепенна автентикация. Били са използвани за достъп до онлайн банкиране.

    Android е доминиращата операционна система за смартфони; по данни на Google над 2 млрд. души по света я използват. Статистиката на компанията показва, че около 0.66% от потребителите с Android Lollipop имат поне едно потенциално опасно приложение на устройството си. Същото важи за 0.56% от потребителите с KitKat и 0.51% от потребителите с Marshmallow.

  • IQY: нов и неочаквано ефективен начин за разпространение на малуер

    Последен ъпдейт на 15 октомври 2018 в 03:33 ч.

    IQY файловете се използват за сваляне на данни от интернет и зареждането им в таблица в Excel. От средата на 2018 г. обаче те се използват и в спам и спиър фишинг кампании за инсталирането на малуер.

    Такива кампании започват да се превръщат в тренд според Quick Heal. Фирмата за информационна сигурност анализира една от последните кампании, които разчитат на IQY файл, за да атакуват компютри. Атаката протича по следния начин:

    1.Жертвата получава имейл с прикачен PDF файл, в който има вграден IQY файл;

    2.Когато жертвата отвори PDF файла се задейства и отварянето на IQY файла;

    3.Жертвата вижда предупреждение да потвърди, че желае да отвори IQY файла;

    4.Ако потвърди се отваря ново предупреждение. То е част от вградената защита на Microsoft Office срещу потенциално опасни файлове и скриптове;

    5.Ако жертвата пренебрегне и това предупреждение и натисне Enable се задейства PowerShell скрипт, който сваля на устройството инсталационни файлове за FlawedAmmyy;

    FlawedAmmyy е троянизирана версия на софтуера за отдалечен достъп Ammyy. FlawedAmmyy действа като RAT (Remote Administration Tool) и за съществуването му се знае от 2016 г. Зловредният код позволява да се установи контрол върху заразеното устройство, да се преглеждат и управляват файловете на твърдия диск, да се прави скрийншот на екрана и др.

    „Хакерите постоянно откриват нови начини да заразяват потребителите с малуер и IQY файловете са един от тях. Предпазливостта е най-доброто средство да се избегне заразяване. Потребителите трябва да внимават, когато отварят прикачени файлове от имейли, идващи от съмнителен източник“, коментират от Quick Heal.

    IQY файловете добиха популярност като средство за разпространение на малуер сравнително скоро. Една от първите големи спам кампании с прикачен IQY файл, се появи през май 2018 г.

    IQY могат да се разпространяват като прикачен файл в имейла, но могат и да са вградени в PDF файл, който от своя страна е прикачен към имейла. Такъв е и горепосоченият пример. Този тип атаки разчитат на една и съща уязвимост: потребителите неглижират системните предупреждения да не отварят файлове, които свалят данни от интернет.

    Excel разполага с филтър за такива файлове. По подразбиране той е включен на Prompt user about Data Connections. Това означава, че ще получавате предупреждение всеки път, когато се опитвате да отваряте файл, който сваля данни от интернет. Можете да промените филтъра на Disable all Data Connections, което ще забрани отварянето на външни връзки от документа.

    За да настроите филтъра, влезте в Excel и изберете:

    File > Options > Trust Center > Trust Center Settings > External Content

    Съвети за бизнеса и потребителите

    Обучавайте служителите си да не отварят имейли и прикачени файлове от неизвестен източник;

    Използвайте антивирусен софтуер и антиспам филтри;

  • Рансъмуер атаките все по-често са насочени към критично важна инфраструктура

    Последен ъпдейт на 4 октомври 2018 в 05:11 ч.

    Пристанището на Сан Диего е поредната организация, пострадала от рансъмуер атака. За нея беше съобщено най-напред на 25 септември, но последствията от нея все още не са напълно ясни. Известно е, че атаката не е спряла напълно работата на пристанището. Засегнати са някои от информационните системи, свързани с администрацията му.

    „Тъй като някои от информационните системи на пристанището са компрометирани, служителите изключиха и други системи като превантивна мярка… Можем да потвърдим, че беше поискан откуп в биткойн, но не можем да посочим конкретната сума“, коментира Ранда Кониглио, главен изпълнителен директор на пристанището. Тя допълва, че е мобилизиран екип, който да минимизира щетите от атаката. Откуп не е плащан.

    Въпреки че атаката не е блокирала дейността на пристанището, тя все пак е оказала влияние върху системата за паркиране, заявките за достъп до публична информация и някои бизнес услуги.

    Все повече атаки

    Случаят е поредният пример за това как рансъмуерът може да бъде заплаха дори за големи организации, които управляват критично важна инфраструктура. По-малко от седмица преди инцидента в сан Диего пристанището в барселона също съобщи, че е пострадало от кибератака, без обаче да уточнява от какво естество е тя. Два дни след първоначалното съобщение в официалния профил в Twitter на пристанището беше публикувана информация, че атаката не е попречила на ежедневните операции.

    Управата на американския град Атланта нямаше този късмет. През март 2018 г. градът пострада от масирана атака с рансъмуер, наречен SamSam, който засегна някои от електронните системи, с които гражданите си плащат сметки и задължения към общината. Организаторите на атаката поискаха откуп от 51 хил. долара (сумата варира, тъй като откупът беше поискан в биткойн). От последвали публикациите в медиите стана ясно, че Атланта е отделила почти 2.7 млн. долара от бюджета си, за да покрие щетите от рансъмуера.

    SamSam беше причина и за блокиране на работата на Колорадския департамент по транспорта през февруари 2018 г. Около 2000 служители на ведомството не можеха да използват компютрите си. Достъпът им до интернет беше спрян, за да се предотврати разпространение на заразата. Служителите трябваше да разчитат на лични лаптопи и смартфони, както и безплатни облачни услуги за споделяне на файлове.

    Парализа на ключова информационна инфраструктура

    Всички тези случаи показват, че рансъмуерът вече не се използва само за събиране на откупи от порядъка на 400 долара от индивидуални потребители, каквато беше практиката преди 2 години. Атаките с рансъмуер стават все по-мащабни и таргетират определени организации, която управляват ключова за обществото и бизнеса инфраструктура. Това може да е държавна администрация, пристанище, електроцентрала и т.н. Целта на организаторите на атаката е да парализират тази инфраструктура, за да увеличат шансовете си да получат откуп.

    Какво могат да направят организациите

    Атака с рансъмуер може да се осъществи по различни начини. Най-тривиалният е чрез имейл кампания, насочена срещу служители на организацията. Случаят с Атланта показа, че зловреденият код може да бъде „доставен“ до компютрите и чрез отдалечен достъп (Remote Desktop Protocol).

    Съвети за бизнеса:

    • Обучавайте служителите си да разпознават рансъмуер;
    • Не отваряйте имейли от непроверен източник;
    • Използвайте антивирусен софтуер с вградена защита от рансъмуер;
    • Използвайте трудни за познаване пароли и двуфакторна автентикация за отдалечен достъп до компютри и сървъри в офиса;
  • Три начина да предпазите бизнеса от макро вируси

    Последен ъпдейт на 6 декември 2018 в 09:34 ч.

    В началото на 2016 г. стотици хиляди потребители по цял свят получиха на служебните си имейли писмо със заглавие “Фактура” и прикачен към него документ за Word. Всеки опит да се отвори документа приключваше по един и същ начин: съдържанието на файла беше неразбираемо, а потребителят получаваше предупреждение да активира зареждането на макроси в Word, за да види какво има в документа.

    Това обаче не беше нищо повече от социално инженерство. Потребителите, които последваха инструкциите, се заразиха с Locky – един от най-опасните криптовируси в световен мащаб.

    Locky е пословичен пример за опасностите, които могат да се крият в един най – обикновен на пръв поглед Word документ или таблица за Excel. Това са файлове,с които всички бизнеси работят и които се разпращат масово по имейл. Хакерите използват този факт, за да разпращат зловредни файлове. В тях те скриват макро скриптове: код, написан на Visual Basic for Applications (програмен език). който при отварянето на документа сваля малуер на устройството на потребителя.

    Макро вируси, макропроблеми

    Макро скриптовете бяха гигантски проблем, затова от години зареждането им по подразбиране е забранено в Microsoft Office. Това намали честотата на атаки със зловредни .DOC и .XLS файлове. Въпреки това те все още представляват опасност и случаят с Locky го доказва.

    Някои експерти по информационна сигурност определят макро вирусите като отживелица от 90-те години на миналия век. Но през 2016 г. американският държавен център за борба с киберзаплахите US-CERT излезе с предупреждение за ръст в случаите на макро вируси, засягащи организации и индивидуални потребители.

    Как да предпазите бизнеса си:

    • Обучавайте служителите си да не отварят прикачени файлове от имейли с неизвестен произход;
    • Позволявайте използването на макро скриптове само за документи, които сте получили от доверен източник;
    • Използвайте и обновявайте редовно антивирусния си софтуер;
Back to top button