За компютър

Все по-често попадате на новини за големи изтичания или кражба на данни и то не само в специализираните сайтове за киберсигурност, а и във вечерните новини по телевизията. Жертвите обикновено са големи корпорации или държавни институции – дали само при тях има висок риск от пробив или в новините попадат само случаите, при които има големи финансови загуби?

Всъщност, никой бизнес не е твърде малък за хакерите. Затова е важно да направите преглед на мерките за сигурност на данните във вашата фирма и да се уверите, че не сте допуснали някоя от най-популярните грешки:

Грешка 1: Не сте наясно със слабостите в защитата на данните ви

Оценете пълния потенциален размер на вредата, която нарушението на сигурността на данните може да причини на вашата компания. Проверете дали прилагате подходяща защита на всички ваши данни и дали защитавате всички възможни канали за атака.

Само ако признаете за съществуването на проблем, ще можете да преминете към решение. Сигурността на данните е непрекъснат процес, тъй като постоянно се появяват нови и все по-сложни за откриване заплахи, а извършителите намират нови начини за достъп до вашите ценни данни.

Затова помислете, какви защитни средства използвате във вашата компания. Трябва да имате антивирусни софтуери и защитни стени, но те отдавна не са достатъчни за една цялостна и адекватна защита.

Грешка 2: Подхождате грешно при организиране на превенцията

Повечето малки и средни фирми организират сигурността на данните си, все едно, че привеждат дейността си в съответствие с изискванията на нов закон или разпоредба: Изготвят списък със задължителни изисквания, на които се стараят да отговорят с възможно най-малко ресурси и усилия. Този подход със сигурност ще остави пролуки в сигурността ви, които атакуващите ще намерят и ще използват.

Когато говорим за киберсигурност е задължително да вземете предвид съществуващите „модерни“ заплахи: Идентифицирайте ценните си данни, очертайте потенциалните заплахи и възможни начини за атака и оценете доколко вашата компания е уязвима към конкретен сценарий. Използвайте тази обширна оценка на риска, за да допълните вашите мерки за съответствие и да отстраните всички пропуски в сигурността на данните.

Грешка 3: Не обучавате персонала си

Служителите ви са вашият най-голям актив, но те може да се окажат най-слабото звено в защитата на данните ви. Един клик върху злонамерен линк от страна на служител във вашата мрежа може да застраши целия ви бизнес. Ето защо трябва да въведете програми за повишаване на осведомеността, така че персоналът ви да осъзнае своята роля и да се запознае с най-добрите практики в сферата на киберсигурността.

Прочетете още: Как да предпазим бизнеса си от човешка IT грешка?

Информирайте персонала си относно новостите в прилаганите от организацията ви стандарти и политиките за сигурност. Само когато обучавате персонала си правилно и периодично, ще имате силна система за сигурност на данните.

Грешка 4: Не правите регулярни архиви

Създаването на резервни копия на вашите системи е абсолютно задължително, за да сте подготвени за спирането на хардуер, кражба или злонамерена киберактивност. Те ще ви помогнат да се възстановите при евентуален инцидент. Особено, предвид бурните темпове на нарастване на броя на успешните криптоатаки по целия свят.

Съществуват различни видове резервиране на данни, така че трябва да изберете това, което работи най-ефективно за вашия бизнес. Освен това винаги е добра идея да съхранявате копие от данните си на безопасно място офлайн. Нещо повече, налични са приложения за резервиране, които напълно или частично автоматизират процеса, така че това да не ви коства усилия.

Още по темата: 3 причини да правите бекъп на данните във фирмата си

Създайте стратегия, относно това какво ще бъде резервирано, честотата която ви устройва и планове за възстановяване след атака. Тествайте плановете си за възстановяване регулярно, за да сте сигурни, че те ще ви върнат в бизнеса бързо и безпроблемно.

Грешка 5: Не инвестирате достатъчно в сигурността на вашите данни

По-лошо: Това е сред първите пера, които съкращавате, когато трябва да ограничите бюджета на компанията си. Резултатът: Изтичане на данни, увреждане на репутацията на бизнеса ви, съдебни дела, плащане на глоби, загуба на клиенти и т.н.

Планирайте бюджета си за сигурност след като изчерпателно сте отчели всички рискове, пред които е изправена вашата компания. Изчислете колко ще трябва да похарчите за сигурност на данните и колко повече ще загубите, ако оставите това перо недофинансирано. Ефективното планиране ще ви помогне да създадете надеждна ИТ сигурност за вашия малък или среден бизнес, и не е задължително цената за това да е висока. Ако нямате нужните знания и умения, можете да се обърнете към външен експерт – често това дори е по-изгодно.

Грешка 6: Подценявате вътрешните заплахи

Не пренебрегвайте възможността в екипа ви да има злонамерени лица. По-малките фирми често фокусират всички усилия върху защитата на т. нар. периметър, и пропускат да предотвратят кражби и злоупотреба с ценни фирмени данни от страна на вътрешни за компанията хора.

Ще ви бъде интересно още да прочетете: Пет начина да предпазите бизнеса си от вътрешни заплахи

Подходящите предпазни мерки за откриване и реагиране на вътрешни заплахи включват политика за ограничаване на достъпите до ниво Least Privilege, регистриране на активността на потребителите и поне минимални периодични проверки на поведението в мрежата.

Грешка 7: Системите ви използват остарял софтуер

Малкият бизнес трябва да бъде гъвкав при надграждане на съществуващите и въвеждане на нови решения. Служителите ви може да са свикнали със софтуера, който използват, но нарушаването на рутината не може да се сравни с последиците дори от най-малко поразяващата кибератака.

Прочетете още: Над 50% от софтуера не се обновява и е уязвим на атаки

Производителите на софтуер се стараят за закърпват уязвимости и да отговарят на новите изисквания за киберсигурност със всяка нова версия на решението си, която пускат на пазара. Затова прилагането на актуализации е от критично значение за сигурността на данните ви.

Грешка 8: Давате излишни привилегии на потребителите в мрежата ви

Предоставянето на предварително определен набор от привилегии на един потребител е чудесен начин да се установи обхвата на достъп, който потребителят трябва да има. Този подход е полезен за защита на вашите данни и предотвратява по-сериозни поражения ако един акаунт е компрометиран.

Най-правилният подход е да се предоставят минимални привилегии на нови потребители, по подразбиране, и в последствие да увеличава обхватът на достъпа им, само когато това е абсолютно необходимо.

Грешка 9: Не боравите правилно с паролите за достъп

Когато създавате вашата стратегия за сигурност на данните, трябва да подсигурите достъпа до тях по правилен начин. Използвайте пароли, винаги когато е възможно и ги съхранявайте внимателно. Не използвайте слаби пароли или пароли по подразбиране.

Малко статистика: LastPass: използването на слаби пароли продължава да бъде пречка пред сигурността на бизнеса

Не е добра идея няколко служителя да споделят един акаунт. Забранете споделянето на пароли между служителите ви и ги научете колко важно е правилното използване и съхранение на паролите.

Грешка 10: Не деактивирате своевременно акаунтите на напуснали служители

Често в по-малките фирми няма изчерпателна процедура за действие при напускане на персонал. След като служител бъде освободен, акаунтът му в системите понякога остава активен и дори  се предава на друг, без да бъдат променени привилегиите или сменена паролата. Злонамерен бивш служител би могъл да злоупотреби с подобна небрежност.

По същата тема прочетете:  Пазете се от напускащи служители

Заключение

Не твърдим, че добрата киберсигурност струва малко. Настояваме обаче, че не трябва да правите компромиси с нея. Обзалагаме се, че колкото повече от изброените тук грешки успеете да елиминирате, толкова по-добре ще оптимизирате бюджета, нужен за осигуряване на защита на ценната ви фирмена информация.

Последен ъпдейт на 16 януари 2021 в 03:56 ч.

През 2021 все още е възможно да преминете от Windows 7 или Windows 8 към Windows 10 безплатно. Ето как:

1. Първо и най-важно – вашето копие на Windows 7 или Windows 8 трябва да е оригинално и активирано
2. Изтеглете Windows Media Creation от уебсайта на Microsoft
3. Стартирайте инструмента и изберете опцията Upgrade this PC now
4. Следвайте инструкциите на екрана, за да актуализирате операционната си система – вече трябва да имате инсталиран Windows 10
5. Проверете дали системата ви е активирана (Settings -> Update & Security -> Activation) – ако не е, кликнете върху бутона Активиране, за да завършите процеса

Препоръка:

Винаги използвайте ъпдейтната операционна система, за да елиминирате уязвимостите за сигурността ви, които остарелите версии създават.

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Често срещаме въпроса „разумно ли е да имам повече от един антивирус на компютъра/смартфона/таблета си?“. В този текст ще ви дадем нашето мнение по въпроса, защо наличието на повече от едно решение за защита от вируси на едно устройство може да е по-скоро вредно и ненужно, отколкото полезно.

Има три основни причини, поради които едновременното използване на няколко антивирусни решения не е добра идея:

1. Всяко приложение ще използва системните ви ресурси – и ще намалява производителността на устройството ви. Инсталирането на повече от едно антивирусно решение най-вероятно няма да увеличи драматично нивото на защитата ви, но ще се отрази на производителността на компютъра ви. Това означава, че рискувате да не можете да вършите нормално работата си или дори да имате допълнителни проблеми.Сблъсъкът на антивирусни програми може да накара компютъра да се държи нередно и да работи по-бавно – това е така, защото тези приложения се борят за едни и същи системни ресурси, които иначе биха отишли за програмите, с които работите или се забавлявате.
2. Отделните антивирусни приложения ще се опитат да се неутрализират взаимно. Повечето софтуери за защита в реално време са написани, без да се отчита възможността за наличието на друга антивирусна програма на системата. Така има голяма вероятност да се стигне до ситуации, в които единият антивирусен продукт смята поведението на другите стартирани антивирусни програми за действителна заплаха или дори да ги засече като зловреден код.Това е така, защото съвременните решения за защита на работни станции и сървъри все по-малко разчитат на предварително зададени характеристики и сигнатури за разпознаване на вируси (signatures). Повечето от тях разчитат на анализиране на поведенческите модели и аномалии, създадени от зловредните кодове. За да предпази ефективно системата от заразяване, антивирусната програма трябва да “бръкне” надълбоко в операционната система и дори отвъд нея (например, още на ниво UEFI).

   Тази дълбока интеграция със системата няма как да не “събуди подозрението” на останалите стартирани антивирусни решения, чиято работа е да предотвратят именно такова, иначе подозрително поведение.

3. Различните приложения ще извършват излишни операции при спирането на вируси. Представете си следната ситуация: Имате две антивирусни приложения на компютъра си. Първото засича потенциално опасно приложение и го поставя под карантина. Второто не знае за това действие, вижда, но не може да направи нищо с файла, защото той вече е поставен под карантина от първото приложение. Резултатът: ще имат един файл под карантина от приложение 1 и много известия за потенциална заплаха на компютъра ви, която не може да бъде отстранена, от приложение 2. Ако не искате непрекъснато да получавате неверни предупредителни съобщения, наличието на повече от един антивирусен софтуер ще бъде проблем за вас.Ето и още един подобен пример. Приемаме, че двете приложения, които ползвате, имат активирано сканиране в реално време. Ако изтеглите потенциално опасен и заразен файл, ще се получи конфликт в действията им – едното приложение може да е настроено директно да трие такива файлове, а другото – да ги поставя под карантина.И така, докато първото директно трие файловете, второто ще се опитва да постави карантина на вече несъществуващи файлове. И отново ще видите множество съобщения за грешки. А най-лошият сценарий е нито един от антивирусните продукти да не е в състояние успешно да премахне и неутрализира заплахата.

Антивирусните решения използват голяма част от вашата оперативна памет за извършване на системни сканирания и други свързани операции. Ако имате две от тях едновременно, производителността на вашият компютър може да бъде значително намалена или напълно заличена и без никаква полза, тъй като двата софтуера  извършват излишни операции.

Windows Defender е изключение

Когато операционната система на Windows види друг антивирусен продукт, който иска да защити машината, тя автоматично изключва вграденият Windows Defender.

Някои приложения за сигурност могат да включват функция за защитна стена, за да блокират посегателства онлайн, но ако антивирусния софтуер не предлага тази защита, трябва да се използва защитната стена Microsoft.

И още нещо от нас. Този материал не е съвет да доверите цялата си киберсигурност само на едно средство за защита! Напротив, изградете многопластова система за защита, в която антивирусът е само основата. Добавете технологии като защитна стена, защита от източване на данни (DLP) и други, с които да надградите защитата на работните си станции. Колкото повече механизми за отбрана имате, толкова по-добре !

А, ако все пак решите да имате две или повече антивирусни решения, то спазвайте следните условия при конфигурирането и настройването им:

• Не трябва да си пречат;
• Не трябва да дублират своите функции;
• Не трябва да прекалявате, в противен случай рискувате да станете жертва на собствената си хитрост

Последен ъпдейт на 8 април 2020 в 10:13 ч.

Ставаме свидетели на безпрецедентно глобално събитие. Пандемията с COVID-19 (или както е популярното му название – коронавирус) стана причина за промяна в начина, по който живеем, работим и комуникираме помежду си. Стремежът на потребителите да са в крак с новините около разпространението на вируса не остана незабелязан от киберпрестъпниците.

Събрахме за вас списък с най-популярните измами, свързани с COVID-19, на които попаднахме. Пазете се, защото те най-вероятно не са единствените.

Фалшиви новини

Обикновено идват от името на водещи световни институции – Световната Здравна Организация (СЗО), например, или копират водещи световни медии (в случая – Wall Street Journal – WSJ). Представени са под формата на съветници за предпазване от вируса или лекуването му.

Фалшиви призиви за дарения

Киберпрестъпниците не се колебаят да експлоатират добрината на хората и призовават към мними дарения – като включително копират легитимни кампании.

Оферти за маски

Маските за лице се превърнаха в силно търсена и почти невъзможна за намиране стока. Затова заваляха фалшиви оферти за тях. Не се подлъгвайте, пазарувайте само от легитимни магазини.

 

Как да разпознаете измамите

Водете се от правилото, че ако нещо е твърде хубаво, за да е истина, то най-вероятно не е. Подлагайте всичко на съмнение и следвайте правилата:

• Не кликайте на съмнителни линкове и не сваляйте файлове – дори и привидно да идват от доверен източник. Потвърдете автентичността на мейла, преди да предприемете действие.
• Игнорирайте комуникация, в която ви искат лични данни. Ако, все пак, имате съмнения, потвърдете автентичността и преди да продължите.
• Внимавайте за мейли, които ви принуждават да предприемете спешни действия
• Пазете се от фалшиви благотворителни организации или crowdfunding кампании
• Използвайте проверено и ефективно  антивирусно решение (ако сте фирма и имате нужда от такова, възползвайте се от кампанията на CENTIO #Cybersecurity – #ЗаедноМожем. Безплатна защита за всички фирми в нужда)

Прочетете повече по темата тук

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Първият UEFI руткит, използван в кибер атака, е засечен от анализаторите на компанията за киберсигунрост ESET.

Зловредният код е използван от руската хакерска група Sednit за придобиване на контрол върху компютри от държавни институции в Централна и Източна Европа. Няма информация дали България е сред засегнатите от атаката държави.

Вижте пълната публикация в блога на ESET >>

Какво е UEFI?

UEFI е спецификация за софтуерен интерфейс между операционната система и хардуера. UEFI заменя вече остарялата технология BIOS.

Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност. Според ESET това е първият случай, в който организирана хакерска група злоупотребява с такъв руткит.

Защо LoJax e опасен?

LoJax е особено опасен, тъй като може да прескача някои традиционни защитни мерки като преинсталиране на операционната система или смяна на твърдия диск. Друг проблем е, че се открива трудно, защото повечето антивирусни програми не сканират UEFI.

“Вече няма причина да не сканирате фърмуеъра на компютъра си. Да, атаките срещу UEFI са изключително редки, и до този момент бяха възможни при физически достъп до компютъра. Но ако една таква атака се осъществи, тя ще доведе до пълен контрол над устройството”, коментира Жан-Ян Бутин, анализатор в ESET.

Кой е автор на атаката

Според ESET най-вероятният извършител е хакерската група Sednit, за която се предполага, че имa връзки с руското разузнаване. Известна още като APT28, STRONTIUM, Sofacy или Fancy Bear, тя често е посочвана като извършител на известни в медиите атаки като хакването на френската телевизиознна група TV5Monde или публикуването в интернет на имейли от Световната антидопингова агенция.

Според информация на “Капитал” Sednit е сочена като вероятен извършител на DDoS атаката срещу сайта на Централна избирателна комисия през ноември 2015 г.

Вероятно познавате CCleaner като – софтуерът, който позволява да вършите бързо трудоемки задачи по поддръжката на системата ви.

Доскоро функционалността на приложението беше „чиста“ от събиране на лични данни на начина, по който потребителите ѝ работят с програмата. Това вече не е така, което не се понрави на потребителската база.

Едно от подобренията в новата версия 5.45 на CCleaner е „added more detailed reporting for bug fixes and product improvements“. Уви, това не описва пълната активност на програмата, която събира и изпраща данни за системата ви и активността ви в софтуерния интерфейс на фонов режим. Изключването на това събиране на данни не е част от настройките на новата версия.

Това не е първото провинение на CCleaner, който се разпространява под марката Piriform, но се притежава от Avast. Преди година, програмата намери пътя си до новинарските заглавия след като стана жертва на сериозна хакерска атака. Атакуващите директно замениха софтуера с негово инфектирано копие, което мнозина изтеглиха и инсталираха.

След остра критика от потребителската си база, Piriform съобщиха, че в следващата версия ще адресират всички изисквания и притеснения. Излизането на следващата версия предстои в идните седмици, но надали корекцията в нея ще върне потребителското доверие.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Опазването на личните ни данни (трябва да) е приоритет номер едно за всеки от нас. Затова ще ви разкажем как да намалите риска за прекомерно споделяне или дори източване на информация за вас чрез конфигурация на браузъра ви или чрез инсталиране на допълнителни добавки. 

В първия ни материал по темата ви показахме как да използвате външни добавки, за да подобрите сигурността си и да опазите личните си данни. Това, обаче, не е всичко, което браузърът ви може да ви предложи – има още някои малки детайли, които вероятно не искате да пропуснете.

Ето няколко съвета за това как да вземете максимума от вградените функционалности на браузъра ви за сигурност.

Mozilla Firefox

За да достъпите настройките на браузъра, въведете about:config в адресната лента и приемете предупреждението.

Препоръчителни настройки:

privacy.firstparty.isolate = true

Въведено като част от Tor Uplift проекта, тази настройка изолира идентификаторите на браузъра ви (примерно – бисквитки) до първоначалния домейн, предотвратявайки следенето в други домейни.

privacy.resistFingerprinting = true

Отново въведена в Tor Uplift проекта, тази настройка предпазва браузъра ви от fingerprinting.

privacy.trackingprotection.enabled = true

Това е вградената настройка за спиране на следенето на Firefox. Ако вече използвате филтри от трети страни (като от uBlock Origin), настройте този параметър на false, за да използвате филтрите на добавката.

browser.send_pings = false

Този параметър пречи на сайтове да следят кликовете ви.

dom.battery.enabled = false

Този параметър пречи на сайтове да следят нивото на батерията на лаптопа ви (да, вече и това е възможно).

dom.event.clipboardevents.enabled = false

Забранете на сайтовете да проследяват кога и какво сте селектирали и копирали от страницата.

geo.enabled = false

Забранява геолокацията.

media.navigator.enabled = false

Не позволява следенето на статуса на камерата и микрофона ви.

webgl.disabled = true

WebGL е потенциален риск за сигурността. Научете повече

network.IDN_show_punycode = true

Показването на punycode-a на един домейн може да ви позволи да различите оригинален такъв от домейн, използван за фишинг. Това се дължи на факта, че браузърът ви ще показва специалните символи които се използват да наподобят даден домейн.

Google Chrome

Настройки

В случая на Chrome, имаме основни настройки и едно нововъведение, което може би не сте използвали досега – флагове.

За да достъпите до настройките е нужно само да кликнете върху крайния бутон отдясно на адресната лента и да изберете Settings.

Оттам е нужно да стигнете до „Advanced Settings”, където се намира секцията Privacy & security

В нея можете да въведете настройките както са показани на изображението по-долу или да изберете сами за себе си.

Флагове

За да стигнете до флаговете на Chrome e нужно да въведете chrome://flags в адресната лента.

Предупреждение: Някои от тези функции могат да повлияят на стабилността на браузъра ви.

Флагове за по-добра поверителност:

#disable-hyperlink-auditing

Забранява проследяването на линковете, върху които кликате

#reduced-referrer-granularity

Изпраща по-малко информация за сайтът, от който идвате на нова страница

Флагове за подобрение на сигурността

#extension-content-verification – Strict

Проверява съдържанието на браузърни добавки, с цел да предотврати обмена на информация с трети приложения.

#enable-permissions-blacklist

Сравнява сайтовете, които посещавате срещу black list-a на Google и забранява различни типове достъп за тях ако има съвпадение.

Подобрения на сигурността в бета

#enable-site-per-process
Всеки уебсайт се изпълнява в отделен процес, където междусайтовите iframe елементи не могат да си взаимодействат с процесите на други страници.

Заключение

Като цяло, към момента Mozilla Firefox се движи напред към подобряване на потребителската поверителност по достъпен и ясен начин, докато Chrome дълбае на едно място. Това не прави единия браузър по-добър от другия, но е видим показател за интересите на създателите им.

Без значение дали използвате единия или другия, последвайте препоръките ни в предишната част, за да си подсигурите възможно най-много поверителност и сигурност онлайн.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Последен ъпдейт на 12 юли 2018 в 06:13 ч.

Бихме ви разбрали ако лаптопът ви заема по-висок приоритет от четката за зъби при приготвянето на багаж за пътуване. В случай, че планирате да го използвате за служебни цели, то вие не трябва да му позволявате да се превърне в предпоставка да приключите почивката си преждевременно.

Ето какво бихме направили ние преди почивка:

Не носете повече от нужното

Направете същото, което бихте направили с раницата или куфара си – освободете лаптопа и телефона си от ненужния товар чувствителна информация. Оставете файловете, които не са ви нужни и не искате никой да вижда на външен носител вкъщи.

Пълно криптиране на файловата система – в случай, че не използвате такова вече

Ако лаптопът и/или телефонът ви сменят рязко (и принудително или неусетно) собственика си, данните ви ще са безполезни за външен човек. Същото важи и в случай, че бъдат изгубени, изпратени към грешното летище или станат жертва на нечие любопитство.

Достъпен (и криптиран) бекъп на всички важни данни

Най-ниското стъпало на стълбата към готовност за почивка е да подсигурите данните си. В такъв случай, ако нещо се обърка на софтуерно ниво, винаги можете да продължите след изтегляне и декриптиране на файловете. В най-лошия случай ще изгубите някои промени, но ще можете да възстановите всичко нужно, за да продължите.

Не използвайте публични мрежи за служебни цели (…или за каквото и да е)

Няма да се изморим да повтаряме – публичните мрежи не си струват риска. Дори и да е нужно да реагирате, можете да го направите през мобилната си мрежа или чрез преносим хотспот. Ако пътувате в чужбина проверете за предплатени WiFi “бисквитки“, който да носите със себе си.

Използвайте сигурен VPN (или си направете собствен) ако все пак ви се налага да се свържете през отворена мрежа.

Останете информирани във всички случаи

Ако използвате някакъв вид мониторинг и системи за отдалечен контрол, погрижете се да получавате всички известия по поне един начин. Добавете допълнителни мейли/отделни потребители или канали за известяване, в случай, че загубите достъп до основния.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Много от нас могат да си спомнят как в зората на новото хилядолетие „Покемон“ вървеше към върха на популярността си. Преди 18 години група хакери се възползват от това, за да създадат първия вирус, насочен към деца – Pikachu. Вирусът таргетира системи от Windows 95 до Windows 2000.

Куриозната заплаха се разпространява като прикачен файл към мейл, именуван „Pikachu Pokemon”. В него въпросното същество поздравява получателя и заявява, че има да му каже няколко „приятелски думи“.

Към мейла е прикачен файл, с име pikachupokemon.exe. При неговото изпълнение потребителят вижда анимация на подскачащ по екрана покемон, под надслов „Between millions of people I found you. Don’t forget to remember this day every time MY FRIEND!”.

Не звучи особено заплашително, нали?

Но зад цялото представление се случва това, което целят атакуващите – вирусът добавя две нови команди към autoexec.bat, които се изпълняват при рестартиране на машината:

"del C:\WINDOWS"

"del C:\WINDOWS\system32"

Което, както можете да предположите, изтрива основните директории на системата и прави компютъра на всяко излъгало се ентусиазирано дете напълно безполезен.

Pikachu is confused!

Въпреки бурното си разпространение, вирусът успява да нанесе минимални щети поради един основен пропуск – хакерите забравят да изключат изискването за потвърждение. След всяко успешно заразяване и рестартиране, компютърът просто пита човека пред него дали желае да изтрие операционната си система. Можем да предположим (и да се надяваме), че отговорът е бил предимно отрицателен.

Шегата настрана, това се определя като основен фактор за слабото представяне на вируса. В сравнение с това, друг достатъчно широко разпространен вирус по това време е “ILOVEYOU”, който успява да нанесе щети за близо девет милиарда долара. Без значение колко е успешен, обаче, Pikachu поставя началото на все по-опасните вируси, насочени към особено наивна и уязвима част от обществото – децата.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 21 юни 2018 в 04:36 ч.

Нова кампания на небезизвестния вирус MuddyWater, която използва стартиране на PowerShell script в MS-Word документ, бе разкрита от анализаторите на Trend Micro.

Вирусът бе засечен за първи път през 2017 г. и бе насочен срещу правителството на Саудитска Арабия. По-късно нова серия от атаки бяха извършени към други страни като Турция и Пакистан, а през март тази година – и към Таджикистан.

Новото и различно при тази вълна на кампанията е, че атаката не използва VisualBasic Script и PowerShell компонентни файлове, а директно инжектира скрипта, нужен за атаката в самия Word документ.

Как протича заразата

Първата стъпка от атаката обикновено цели да заблуди жертвата. Тя получава мейл с обещания за награда или промоция и бива подмамена да изпълни макрокода в документа, прикачен към лъжливото писмо.

След послушното стартиране на кода, той използва фукнцията Document_Open(), за да стартира автоматично зловредната си част. Задълбочен анализ на малуера показва, че PowerShell скрипта, който декодира съдържанието на зловредния документ, води до изпълненито на втори скрипт.

Изпълнението на втория PowerShell скрипт използва различни зловредни компоненти, намиращи се в %Application Data%\Microsoft\CLR\*, които от своя страна стартират финалния payload – PRB-Backdoor (няма общо с Прокуратурата на Република България :) ). PRB-Backdoor е инструмент, който комуникира с команден център, изпращайки или получавайки специфични команди, чрез които извършва своята зловредна активност.

За улеснения на читателите, прилагаме така наречения IOC (Indicator of Compromise), които може да бъде използван за засичане на атаката.

SHA -1 – 240b7d2825183226af634d3801713b0e0f409eb3e1e48e1d36c96d2b03d8836b

Съвет от специалистите – как да се предпазим

Най-добрият начин за предпазване от този тип атаки е да не се доверявате и да не отваряте съдържанието на съмнителни документи или мейли, които ви обещават промоции, награди или други финансови облаги.

Разбира се, не можем да минем и без да ви посъветваме да използвате лицензиран антивирусен софтуер, за да имате шанс пред атакуващите, в случай че все пак отворите документа.