Малуер

Последен ъпдейт на 28 декември 2018 в 11:50 ч.

Киберзаплахи; кражба на лични данни; малуер, който нанася щети за милиони; това е само част от пейзажа в света на информационната сигурност през 2018 г.

Изминалата година беше динамична, но следващата с нищо не подсказва, че ще е по-спокойна. Компанията за информационна сигурност ESET прави прогноза за основните трендове, които ще оформят сектора през следващата година.

GDPR на глобално ниво

GDPR е европейска директива за защита на личните данни. Според ESET тя ще послужи като пример за изграждането на подобна законодателна рамка на световно равнище. Компанията дава пример със страни като Бразилия и Япония, както и американския щат Калифорния, които вървят към законодателство, подобно на GDPR. „Има силни аргументи в подкрепа на тезата, че и други региони по света ще последват примера на ЕС“, коментират от ESET.

За бизнеса съществуването на законодателна рамка в стила на GDPR може да означава съществени проблеми. Евродирективата предвижда тежки глоби за компаниите, които оперират на европейския пазар и не могат да пазят данните на клиентите си.

Ако подобни наказателни мерки се въведат и в други региони по света, това може да се превърне в тежко финансово бреме за компаниите. Само банковият сектор се очаква да плати глоби за 4.7 млрд. евро през първите три години след влизането в сила на GDPR според прогноза на Consult Hyperion. Големи глоби могат да се натрупат и в други сектори, доминирани от международни играчи, като телекомуникациите или сред интернет компаниите като Facebook или Google.

Койнмайнърите остават заплаха

Ако 2017 г. беше годината на рансъмуера, то 2018 г. безспорно е белязана от популярността на койнмайнърите. Този зловреден софтуер, който се настанява на компютъра на жертвата и използва ресурсите му, за да копае криптовалути, се превърна в явление. През първата половина на 2018 г. компанията за киберсигурност TrendMicro е засякла над 787 хил. опити за атаки с копачи на криптовалути, което е почти 10 пъти повече от същия период на 2017 г.

Копачите на криптовалути ще останат заплаха за бизнеса и потребителите и през 2019 г. Да, те не криптират файловете ви и не водят до изтичане на данни. Но криптомайнърите амортизират хардуера, увеличават разходите за електричество и могат да натоварят информационните системи, довеждайки ги до срив.

Умни устройства, глупаво безразличие

Все повече уреди в домовете ни са свързани с интернет. Това е голямо удобство, но също така представлява заплаха. Рутери, принтери, умни домакински уреди могат да бъдат хакнати и свързани в голяма бот мрежа, с която се извършват компютърни престъпления. Колкото повече умни устройства се свързват към интернет, толкова по-ясно изразен ще става този тренд.

През 2020 г. свързаните към интернет устройства ще са причина за една четвърт от атаките срещу институции, прогнозира Gartner. Въпреки това компаниите разходват сравнително малка част от бюджетите си за информационна сигурност (около 10%) за защита на тези устройства. Очаква се и бум на DDOS атаките, осъществени чрез умни устройства. Това е логично предвид факта, че се очакв аброят на свързаните към интернет устройства да надхвърли 20 млрд. още през 2020 г.

Всички онези умни домашни асистенти, които са свързани към интернет, също са заплаха. Микрофоните им улавят всичко, което се случва у дома. Дали наистина осъзнаваме колко много данни споделяме с тези умни устройства и какви заплахи произлизат от това?

Обучаващи се машини на страната на хакерите

Машинното самообучение(machine learning) ще играе все по-важна роля в осъществяването на кибератаки. И сега голяма част от тях са автоматизирани, но машинното самообучение дава изцяло нов арсенал в ръцете на хакерите. Използвайки алгоритми, те могат да направят много по-детайлен анализ на уязвимите устройства и информационни системи. „Машинното самообучение може да се използва от престъпници, за да откриват по-лесно целите си и да увеличат пораженията от всяка проведена атака“, коментират от ESET.

Последен ъпдейт на 12 ноември 2018 в 11:09 ч.

Нова кампания за разпространяване на банковия троянец Emotet е започнала през ноември, показват данните на команията за киберсигурност ESET. Опасният малуер е бил засечен още в края на октомври, но случаите на атаки с Emotet са зачестили рязко след 4 ноември.

Според ESET малуерът е бил засечен в страни от целия свят, като най-много са случаите в САЩ, Мексико, Великобритания, Турция и Южна Африка.

Новата кампания разчита основно на имейли, съдържащи зловредени Word документи или PDF файлове. Имейлите са представени като фактури, известия от банки и извлечения.

Това са обичайните похвати, с които киберпрестъпниците се опитват да накарат потенциалните жертви да отворят зловредния файл в имейла. Според ESET кампанията е насочена предимно към англо- и немскоговорящи потребители.

„Рязкото увеличение на случаи на Emotet показва, че този малуер продължава да е активна заплаха“, коментират от ESET.

За пик в разпространението на Emotet към края на октомври съобщават и други компании за информационна сигурност като TrendMicro. През юли предупреждение за активността на Emotet отправи и американския център за борба с кибератаките US-CERT.

Emotet съдържа в себе си няколко модули, които се използват за извличане на данни от заразената машина. Малуерът може да записва интернет адреси и пароли, използвани за онлайн банкиране. Сред модулите могат да се открият напълно легални инструменти за възстановяване на пароли и извличане на имена и адреси от Outlook.

„Emotet продължава да е сред най-унищожителните и разходоемки заплахи, засягащи местните правителства. Неговата функционалност на червей му позволява бързо да се разпространи в мрежата, а с това е трудно да се пребориш. Инфектирането с Emotet струва до 1 млн. долара на местните власти, които са били атакувани“, коментират от US-CERT.

Функцията за вмъкване на онлайн видеа в Word документи може да бъде използвана за разпространяване на малуер. Твърдението е на израелската компания Cymulate, която е публикувала и клип, показващ как уязвимостта може да се експлоатира.

Всеки файл с разширение .docx всъщност е архив от различни папки и файлове, един от които е document.xml. Когато вмъкнете онлайн видео вWord документ, линкът към видеото се добавя в document.xml.

Този файл обаче може да бъде модифициран, а линкът към видеото – подменен с линк към зловреден код. Когато жертвата отвори Word документа и реши да изгледа видеото, това може да стартира свалянето на зловредния код.

В публикувания от Cymulate пример се вижда, че вграденото в документа видео всъщност води към .exe файл, представен като ъпдейт на Flash Player. Появява се предупреждение, че потребителят е напът да стартира инсталационен файл от непознат източник.

Тези предупреждения обаче често се пренебрегват от потребителите и именно на това ще разчитат авторите на евентуална атака. Ако потребителят реши да стартира инсталационния файл, той може да зарази устройството си с малуер.

На подобен принцип действат и атаките с макро вируси. Но докато Microsoft Office изрично предупреждава, че отварянето на файл с вграден макро скрипт в него може да е опасно, при гореописаната атака такова предупреждение липсва.

Според Cymulate уязвимостта засяга всички потребители, използващи Microsoft Office 2016 и по-стари версии на продукта, които поддържат функцията за вграждане на онлайн видеа. Компанията е съобщила за откритието си на Microsoft.

От там обаче не считат това за уязвимост: поне ако се вярва на Джеф Джоунс, старши директор в Microsoft. В интервю за SC Media той посочва, че „продуктът правилно интерпретира HTML и работи по същия начин, както и други подобни продукти“.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребители и администратори

Cymulate предлага като решение за системните администратори да блокират отварянето .docx файлове, в които има вмъкнати видеа;

Индивидуалните потребители следва да внимават с отварянето на вмъканти видеа, както и да не отварят имейли, получени от непознат източник;
[/box]

Компютърната мрежа на Геологическия топографски институт на САЩ е била заразена с малуер заради служител, който е разглеждал порнографско съдържание. Използвайки служебния си компютър, той е посетил над 9000 страници с порнографско съдържание, част от които са били заразени с малуер.

Вътрешен одит е установил, че малуерът първо се е инсталирал на лаптопа на служителя, откъдето е плъзнал в мрежата на института. Освен това служителят е запазил инфектирани с малуер изображения на USB памет, както и в смартфона си.

Хиляди страници с непозволено съдържание

„Одитът ни установи, че служителят посещава често порнографски сайтове. Много от посетените 9000 страници са били част от руски сайтове, заразени с малуер. Анализът ни потвърждава, че много от порнографските изображения са били запазени на непозволено USB устройство, както и на личния смартфон на служителя. Смартфонът също е бил инфектиран“, се казва в доклада.

Случаят е пример за това как дори само един служител може да представлява риск за информационната сигурност на цялата организация. Геологическият топографски институт на САЩ изрично забранява на служителите си да разглеждат порнографски сайтове и да използват USB флашки. Това очевидно не спира някои от тях да го правят.

Служителите: най-слабото звено

Около 52% от фирмите смятат, че служителите им са най-големия риск за информационната сигурност според проучване на Kaspersky Lab от 2017 г. Общо 44% от анкетираните компании казват, че непозволеното използване на информационни ресурси – например достъп до порно или използване на флашки – е водеща заплаха за бизнеса. Единствено споделянето на данни през мобилен телефон (47%) и загубата на преносими устройства (46%) се считат за по-големи рискове.
[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за бизнеса

• Създайте политика и правила за достъп на служителите до информационните ресурси в компанията. Трябва да е ясно кои служители до какви ресурси имат достъп;
• Използвайте софтуер за налагането на тези политики. По този начин ще можете да ограничите достъпа на служителите до съдържание, окоето не им трябва за изпълнение на служебните им задължения;
• Обучавайте служителите си да разпознават зловредни сайтове, опити за фишинг и имейли, инфектирани с малуер;

[/box]

Последен ъпдейт на 13 ноември 2018 в 16:06 ч.

Google Play продължава да е източник на малуер, таргетиращ банковите сметки на потребителите. В рамките на само два месеца анализаторите на ESET са засекли 29 банкови троянци, маскирани като мобилни приложения. Те вече са отстранени от Google Play, но преди това са били свалени от около 30 хил. души.

Тази статистика показва, че зловреден софтуер продължава да се появява в официалния магазин за приложения за Android въпреки всички превантивни мерки. Освен това зловредният код не имитира легитимни приложения за онлайн банкиране, каквато е практиката в повечето случаи. Вместо това той е представен като на пръв поглед безобиден софтуер: например приложения за почистване паметта на телефона, намаляване на разходда на батерията или дори дневен хороскоп.

Така се приспива бдителността на потребителите и те са по-склонни да инсталират някое от зловредните приложения.
[tie_index]Нищо общо с безобидни[/tie_index]

Нищо общо с безобидни

Този подход показва, че киберпрестъпниците използват все по-сложни методи за атака. Те създават зловредни приложения, които могат да проверят дали на смартфона ви има легитимно приложение за банкиране; и да пласират фишинг форма за въвежда на потребителско име и парола.

„Тези троянци могат да четат и пренасочват SMS съобщения, за да прескочат двуфакторната автентикация. Те могат да следят списъците с обаждания, да свалят и инсталират други приложения на компрометираното устройство. Всички тези зловредни приложения са качени от разработчици с различни имена, но имат сходства в кода и споделят един команден сървър. Това предполага, че са дело на един и същ хакер или група хакери“, коментира за Welivesecurity.com Лукаш Стефанко, анализатор в ESET.

[tie_index]Как работят троянците[/tie_index]

Как работят троянците

След като бъдат инсталирани, приложенията показват съобщение за грешка или предоставят някаква функционалност (например  сканират паметта на устройството). На заден план обаче те инсталират на устройството зловреден код. Работата на този код е да установи дали на смартфона има приложения за мобилно банкиране.

Според ESET най-забележителната функция на зловредния софтуер е, че може да копира HTML кода на логин страницата на легитимното приложение за банкиране, създавайки по този начин фишинг форма. Тя се зарежда, когато потребителят стартира легитимного приложение за банкиране.

Google Play изтрива всяко приложение, докладвано като зловредно. Но както конкретният пример показва, някои заплахи успяват да се задържат в магазина достатъчно, за да достигнат до хиляди потребители.

[box type=“success“ align=“alignleft“ class=““ width=““]
[tie_index]Как да предпазвате смартфона си от малуер[/tie_index]

Как да предпазвате смартфона си от малуер

Не сваляйте приложения за Android от неофициални хранилища. Обикновено там няма никакъв контрол и вероятността да се заразите с малуер е много по-голяма;

Проверявайте рейтинга, броя на свалянията и потребителските отзиви на всяко приложение, дори и когато се намира в Google Play;

Използвайте и обновявайте софтуер за защита на смартфони; [/box]

Хакерите, които през 2015 г. оставиха стотици хиляди в Украйна без електричество, си имат наследник. Новооткритият зловреден код и групировката зад него носят името GreyEnergy. Според продължило три години проучване на компанията за киберсигурност ESET, организацията вероятно се занимава с шпионаж и подготвя нови кибератаки.

GreyEnergy е засечен от анализаторите на ESET при таргетирани атаки срещу организации в Украйна и Полша, които обаче не са нанесли значими щети. Името на заплахата е заигравка с BlackEnergy – зловреден код, който през декември 2015 г. предизвика авария в електроразпределителната мрежа на Украйна и остави 230 хил. души без електричество. „През последните 3 години забелязахме, че GreyEnergy таргетират организации в Украйна и Полша“, коментира Антон Черепанов, който оглавява разследването на ESET срещу хакерската организации.

Прочетете още: GreyEnergy: една от най-големите кибер заплахи се завръща с нов арсенал

Според Черепанов има редица сходства между зловредния код, използван от BlackEnergy и GreyEnergy. И в двата случая той е съставен от модули, целта му са едни и същи ораганизации и следите му са прикрити чрез Tor мрежата.

ESET вече предостави доказателства, че BlackEnergy има връзка с TeleBots, която таргетира организации не само в Украйна, но и по целия свят. През 2017 г. TeleBots влезе в новините заради рансъмуера NotPetya, който парализира дейността на компании в Украйна, Европа, Азия и Америка.

Засега GreyEnergy действа значително по-скрито в сравнение с BlackEnergy и TeleBots. Групата се ограничава основно до шпионаж и разузнаване, без да нанася поражения от мащабите, в които го правят BlackEnergy и TeleBots. Според ESET това означава, че в момента GreyEnergy проучва потенциални цели и се подготвя за бъдещи атаки.

Последен ъпдейт на 15 октомври 2018 в 15:33 ч.

IQY файловете се използват за сваляне на данни от интернет и зареждането им в таблица в Excel. От средата на 2018 г. обаче те се използват и в спам и спиър фишинг кампании за инсталирането на малуер.

Такива кампании започват да се превръщат в тренд според Quick Heal. Фирмата за информационна сигурност анализира една от последните кампании, които разчитат на IQY файл, за да атакуват компютри. Атаката протича по следния начин:

1.Жертвата получава имейл с прикачен PDF файл, в който има вграден IQY файл;

2.Когато жертвата отвори PDF файла се задейства и отварянето на IQY файла;

3.Жертвата вижда предупреждение да потвърди, че желае да отвори IQY файла;

4.Ако потвърди се отваря ново предупреждение. То е част от вградената защита на Microsoft Office срещу потенциално опасни файлове и скриптове;

5.Ако жертвата пренебрегне и това предупреждение и натисне Enable се задейства PowerShell скрипт, който сваля на устройството инсталационни файлове за FlawedAmmyy;

FlawedAmmyy е троянизирана версия на софтуера за отдалечен достъп Ammyy. FlawedAmmyy действа като RAT (Remote Administration Tool) и за съществуването му се знае от 2016 г. Зловредният код позволява да се установи контрол върху заразеното устройство, да се преглеждат и управляват файловете на твърдия диск, да се прави скрийншот на екрана и др.

„Хакерите постоянно откриват нови начини да заразяват потребителите с малуер и IQY файловете са един от тях. Предпазливостта е най-доброто средство да се избегне заразяване. Потребителите трябва да внимават, когато отварят прикачени файлове от имейли, идващи от съмнителен източник“, коментират от Quick Heal.

IQY файловете добиха популярност като средство за разпространение на малуер сравнително скоро. Една от първите големи спам кампании с прикачен IQY файл, се появи през май 2018 г.

Necurs delivering Flawed Ammy RAT via IQY Excel Web Query files https://t.co/0GhJka2K00 pic.twitter.com/xDCWg4aEKB

— My Online Security (@dvk01uk) May 25, 2018

IQY могат да се разпространяват като прикачен файл в имейла, но могат и да са вградени в PDF файл, който от своя страна е прикачен към имейла. Такъв е и горепосоченият пример. Този тип атаки разчитат на една и съща уязвимост: потребителите неглижират системните предупреждения да не отварят файлове, които свалят данни от интернет.

Excel разполага с филтър за такива файлове. По подразбиране той е включен на Prompt user about Data Connections. Това означава, че ще получавате предупреждение всеки път, когато се опитвате да отваряте файл, който сваля данни от интернет. Можете да промените филтъра на Disable all Data Connections, което ще забрани отварянето на външни връзки от документа.

За да настроите филтъра, влезте в Excel и изберете:

File > Options > Trust Center > Trust Center Settings > External Content

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за бизнеса и потребителите

Обучавайте служителите си да не отварят имейли и прикачени файлове от неизвестен източник;

Използвайте антивирусен софтуер и антиспам филтри; [/box]

Последен ъпдейт на 4 октомври 2018 в 17:11 ч.

Пристанището на Сан Диего е поредната организация, пострадала от рансъмуер атака. За нея беше съобщено най-напред на 25 септември, но последствията от нея все още не са напълно ясни. Известно е, че атаката не е спряла напълно работата на пристанището. Засегнати са някои от информационните системи, свързани с администрацията му.

„Тъй като някои от информационните системи на пристанището са компрометирани, служителите изключиха и други системи като превантивна мярка… Можем да потвърдим, че беше поискан откуп в биткойн, но не можем да посочим конкретната сума“, коментира Ранда Кониглио, главен изпълнителен директор на пристанището. Тя допълва, че е мобилизиран екип, който да минимизира щетите от атаката. Откуп не е плащан.

Въпреки че атаката не е блокирала дейността на пристанището, тя все пак е оказала влияние върху системата за паркиране, заявките за достъп до публична информация и някои бизнес услуги.

[tie_index]Все повече атаки[/tie_index]

Все повече атаки

Случаят е поредният пример за това как рансъмуерът може да бъде заплаха дори за големи организации, които управляват критично важна инфраструктура. По-малко от седмица преди инцидента в сан Диего пристанището в барселона също съобщи, че е пострадало от кибератака, без обаче да уточнява от какво естество е тя. Два дни след първоначалното съобщение в официалния профил в Twitter на пристанището беше публикувана информация, че атаката не е попречила на ежедневните операции.

[UPDATE]#PortofBarcelona has responded actively to the attack received, operating normally and without altering its seaside and land operations.

The Information Systems Department continues working to recover the functionalities, only internal, which have been affected.

— Port of Barcelona (@portofbarcelona) September 22, 2018

Управата на американския град Атланта нямаше този късмет. През март 2018 г. градът пострада от масирана атака с рансъмуер, наречен SamSam, който засегна някои от електронните системи, с които гражданите си плащат сметки и задължения към общината. Организаторите на атаката поискаха откуп от 51 хил. долара (сумата варира, тъй като откупът беше поискан в биткойн). От последвали публикациите в медиите стана ясно, че Атланта е отделила почти 2.7 млн. долара от бюджета си, за да покрие щетите от рансъмуера.

SamSam беше причина и за блокиране на работата на Колорадския департамент по транспорта през февруари 2018 г. Около 2000 служители на ведомството не можеха да използват компютрите си. Достъпът им до интернет беше спрян, за да се предотврати разпространение на заразата. Служителите трябваше да разчитат на лични лаптопи и смартфони, както и безплатни облачни услуги за споделяне на файлове.

[tie_index]Парализа на ключова информационна инфраструктура[/tie_index]

Парализа на ключова информационна инфраструктура

Всички тези случаи показват, че рансъмуерът вече не се използва само за събиране на откупи от порядъка на 400 долара от индивидуални потребители, каквато беше практиката преди 2 години. Атаките с рансъмуер стават все по-мащабни и таргетират определени организации, която управляват ключова за обществото и бизнеса инфраструктура. Това може да е държавна администрация, пристанище, електроцентрала и т.н. Целта на организаторите на атаката е да парализират тази инфраструктура, за да увеличат шансовете си да получат откуп.
[tie_index]Какво могат да направят организациите[/tie_index]

Какво могат да направят организациите

Атака с рансъмуер може да се осъществи по различни начини. Най-тривиалният е чрез имейл кампания, насочена срещу служители на организацията. Случаят с Атланта показа, че зловреденият код може да бъде „доставен“ до компютрите и чрез отдалечен достъп (Remote Desktop Protocol).

[box type=“success“ align=“alignleft“ class=““ width=““]
[tie_index]Съвети за бизнеса:[/tie_index]

Съвети за бизнеса:

• Обучавайте служителите си да разпознават рансъмуер;
• Не отваряйте имейли от непроверен източник;
• Използвайте антивирусен софтуер с вградена защита от рансъмуер;
• Използвайте трудни за познаване пароли и двуфакторна автентикация за отдалечен достъп до компютри и сървъри в офиса;

[/box]

Последен ъпдейт на 6 декември 2018 в 09:34 ч.

В началото на 2016 г. стотици хиляди потребители по цял свят получиха на служебните си имейли писмо със заглавие “Фактура” и прикачен към него документ за Word. Всеки опит да се отвори документа приключваше по един и същ начин: съдържанието на файла беше неразбираемо, а потребителят получаваше предупреждение да активира зареждането на макроси в Word, за да види какво има в документа.

Това обаче не беше нищо повече от социално инженерство. Потребителите, които последваха инструкциите, се заразиха с Locky – един от най-опасните криптовируси в световен мащаб.

Locky е пословичен пример за опасностите, които могат да се крият в един най – обикновен на пръв поглед Word документ или таблица за Excel. Това са файлове,с които всички бизнеси работят и които се разпращат масово по имейл. Хакерите използват този факт, за да разпращат зловредни файлове. В тях те скриват макро скриптове: код, написан на Visual Basic for Applications (програмен език). който при отварянето на документа сваля малуер на устройството на потребителя.

Макро вируси, макропроблеми

Макро скриптовете бяха гигантски проблем, затова от години зареждането им по подразбиране е забранено в Microsoft Office. Това намали честотата на атаки със зловредни .DOC и .XLS файлове. Въпреки това те все още представляват опасност и случаят с Locky го доказва.

Някои експерти по информационна сигурност определят макро вирусите като отживелица от 90-те години на миналия век. Но през 2016 г. американският държавен център за борба с киберзаплахите US-CERT излезе с предупреждение за ръст в случаите на макро вируси, засягащи организации и индивидуални потребители.

[box type=“success“ align=“alignleft“ class=““ width=““]

Как да предпазите бизнеса си:

• Обучавайте служителите си да не отварят прикачени файлове от имейли с неизвестен произход;
• Позволявайте използването на макро скриптове само за документи, които сте получили от доверен източник;
• Използвайте и обновявайте редовно антивирусния си софтуер;

[/box]