защита от малуер

Lenovo съобщи за три уязвимости, засягащи Unified Extensible Firmware Interface (UEFI), който е наличен на поне 100 модела лаптопи.

Пробойните  са открити от изследователи на ESET и са докладвани на Lenovo още през октомври 2021 г. Сред засегнатите модели са IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05 – това означава, че устройствата на милиони потребители са в риск.

Проверете дали вашият модел лаптоп е потенциално засегнат ТУК.

ESET отбелязва, че UEFI заплахите могат да бъдат изключително опасни, защото се изпълняват незабелязано от вас, още при зареждане на устройството, преди контролът да се прехвърли към операционната система.

Ако недоброжелател експлоатира уязвимосттите, той може да изпълни произволен код с повишени привилегии и да прави каквото пожелае с вашия лаптоп. Възможно е дори да се стигне до разгръщане и успешно изпълнение на SPI flash или ESP импланти. Можете да се запознаете и с подробния технически анализ на трите открити уязвимости.

Препоръка:

Актуализирайте версията на системния фърмуер до най-новата налична.

Можете да го направите ръчно, от страницата за поддръжка на устройството, или с помощта на помощни програми за актуализиране на системни драйвери.

Хакерска атака предизвика хаос в разпространението на някои от най-големите вестници в САЩ. Причината е малуер, заразил информационните системи на издателството Tribune Publishing. Заради атаката много потребители са получили със закъснение или не са получили въобще съботното издание на вестника, за който са абонирани.

Проблемът е засегнал популярни издания като New York Times, Wall Street Journal, Los Angeles Times, Chicago Tribune Baltimore Sun. Не всички те се издават от Tribune Publishing, но използват софтуер или печатници, които се управляват от издателството.

„Екипите работиха усърдно, за да изолират компютърния вирус, но той се разпространи в мрежата на Tribune Publishing и засегна критично важни за производствените процеси системи. Много вестници са засегнати от атаката, тъй като разчитат на тези производствени процеси“, коментира Los Angeles Times, едно от засегнатите издания.

Все още няма информация каква част от абонатите на засегнатите вестници не са получили своите копия, нито пък на колко се оценяват щетите от атаката. Малко се знае и за самата атака. Според Дейви Уиндър, който е колумнист на Forbes, атаката е осъществена с рансъмуера Ryuk. Официална информация обаче няма.

Таргетираните рансъмуер атаки са едно от най-доходоносните компютърни престъпления според проучване на Sophos.

Един от най-пострадалите вестници е San Diego Union-Tribune. Между 85 и 90% от съботния(29 декември) тираж на вестника не е стигнал навреме до абонатите по данни на Los Angeles Times.

 

Последен ъпдейт на 28 декември 2018 в 11:50 ч.

Киберзаплахи; кражба на лични данни; малуер, който нанася щети за милиони; това е само част от пейзажа в света на информационната сигурност през 2018 г.

Изминалата година беше динамична, но следващата с нищо не подсказва, че ще е по-спокойна. Компанията за информационна сигурност ESET прави прогноза за основните трендове, които ще оформят сектора през следващата година.

GDPR на глобално ниво

GDPR е европейска директива за защита на личните данни. Според ESET тя ще послужи като пример за изграждането на подобна законодателна рамка на световно равнище. Компанията дава пример със страни като Бразилия и Япония, както и американския щат Калифорния, които вървят към законодателство, подобно на GDPR. „Има силни аргументи в подкрепа на тезата, че и други региони по света ще последват примера на ЕС“, коментират от ESET.

За бизнеса съществуването на законодателна рамка в стила на GDPR може да означава съществени проблеми. Евродирективата предвижда тежки глоби за компаниите, които оперират на европейския пазар и не могат да пазят данните на клиентите си.

Ако подобни наказателни мерки се въведат и в други региони по света, това може да се превърне в тежко финансово бреме за компаниите. Само банковият сектор се очаква да плати глоби за 4.7 млрд. евро през първите три години след влизането в сила на GDPR според прогноза на Consult Hyperion. Големи глоби могат да се натрупат и в други сектори, доминирани от международни играчи, като телекомуникациите или сред интернет компаниите като Facebook или Google.

Койнмайнърите остават заплаха

Ако 2017 г. беше годината на рансъмуера, то 2018 г. безспорно е белязана от популярността на койнмайнърите. Този зловреден софтуер, който се настанява на компютъра на жертвата и използва ресурсите му, за да копае криптовалути, се превърна в явление. През първата половина на 2018 г. компанията за киберсигурност TrendMicro е засякла над 787 хил. опити за атаки с копачи на криптовалути, което е почти 10 пъти повече от същия период на 2017 г.

Копачите на криптовалути ще останат заплаха за бизнеса и потребителите и през 2019 г. Да, те не криптират файловете ви и не водят до изтичане на данни. Но криптомайнърите амортизират хардуера, увеличават разходите за електричество и могат да натоварят информационните системи, довеждайки ги до срив.

Умни устройства, глупаво безразличие

Все повече уреди в домовете ни са свързани с интернет. Това е голямо удобство, но също така представлява заплаха. Рутери, принтери, умни домакински уреди могат да бъдат хакнати и свързани в голяма бот мрежа, с която се извършват компютърни престъпления. Колкото повече умни устройства се свързват към интернет, толкова по-ясно изразен ще става този тренд.

През 2020 г. свързаните към интернет устройства ще са причина за една четвърт от атаките срещу институции, прогнозира Gartner. Въпреки това компаниите разходват сравнително малка част от бюджетите си за информационна сигурност (около 10%) за защита на тези устройства. Очаква се и бум на DDOS атаките, осъществени чрез умни устройства. Това е логично предвид факта, че се очакв аброят на свързаните към интернет устройства да надхвърли 20 млрд. още през 2020 г.

Всички онези умни домашни асистенти, които са свързани към интернет, също са заплаха. Микрофоните им улавят всичко, което се случва у дома. Дали наистина осъзнаваме колко много данни споделяме с тези умни устройства и какви заплахи произлизат от това?

Обучаващи се машини на страната на хакерите

Машинното самообучение(machine learning) ще играе все по-важна роля в осъществяването на кибератаки. И сега голяма част от тях са автоматизирани, но машинното самообучение дава изцяло нов арсенал в ръцете на хакерите. Използвайки алгоритми, те могат да направят много по-детайлен анализ на уязвимите устройства и информационни системи. „Машинното самообучение може да се използва от престъпници, за да откриват по-лесно целите си и да увеличат пораженията от всяка проведена атака“, коментират от ESET.

През 2017 г. потребителите на смартфони са направили над 175 млрд. сваляния на мобилни приложения според статистиката на App Annie. Това превръща разработката на мобилни приложения в бизнес за 86 млрд. долара, на колкото се оценяват потребителските разходи в тази индустрия.

Свалянето на мобилни приложения обаче крие рискове. Възможно е да инсталирате приложение, което всъщност е малуер и вреди на вашето устройство. Има случаи, в които зловреден код е маскиран като напълно безобидно приложение, но всъщност краде данните за достъп до вашето онлайн банкиране. Понякога тези приложения могат да прескочат филтрите на официалните магазини като Google Play и да се представят за легитимни софтуерни продукти.

За да се предпазите от зловредни приложения, можете да следвате няколко лесни за спазване съвети.

Сваляйте приложения само от официалните магазини

Избягвайте да сваляте приложения от неофициални хранилища. Контролът там е занижен (или липсва напълно), което означава, че е много по-вероятно да попаднете на зловредно приложение. Наскоро в такова хранилище беше открит опасен малуер, който може да прави PayPal плащания към контролиран от хакера акаунт.

Проверявайте правата за достъп, които приложенията искат

Преди да инсталирате приложение, вие виждате списък с функциите на смартфона, до които то трябва да има достъп. Преглеждайте този списък и си задавайте въпроса дали наистина исканият достъп е необходим за функционирането на приложението. Например приложение- фенерче няма нужда от достъп до вашите SMS-и.

Четете ревютата

Преди да свалите приложение, прочетете потребителските отзиви за него. Тук обаче също трябва да внимавате, защото зловредните приложения могат да имат много положителни ревюта. В повечето случаи те се разпознават, защото звучат твърде добре и използват едни и същи фрази и определения. Като допълнителна мярка може да проверите рейтинга и броя на свалянията.

Сваляйте приложения от разработчици, които познавате

Придържайте се към приложения от разработчици с добра репутация. Добра идея е да направите проучване на конкретния разработчик, да се запознаете с други негови продукти, преди да инсталирате приложението.

Използвайте антивирусен софтуер за смартфони

Има различни софтуерни решения за смартфони, които предлагат антивирусна защита и предпазват срещу зловредни приложения. Те имат и много допълнителни ползи като например антиспам защита или функция за локализиране на откраднато или изгубено устройство.

 

Нова спам кампания с банковия троянец DanaBot инжектира зловреден код в популярни уебмейл продукти като RoundCube и Horde. Това позволява на малуера да се разпространява до контактите в заразените пощенски кутии.

Според анализаторите на ESET това е нова функционалност в DanaBot, която позволява да се нанесат по-големи поражения в сравнение с преди. „Изследването ни показва, че DanaBot има много по-широк обхват от типичния банков троянски кон. Хората, които го управляват добавят постоянно нови функции, тестват различни вектори за заразяване и вероятно си сътрудничат с други компютърни престъпници“, коментират от ESET.

Основната цел на DanaBot е да събере информация за достъпа до онлайн банкиране на заразените потребители. Експертите на ESET са забелязали, че обновената версия на малуера може да инжектира JavaScript код в пощите на потребителите, които използват уебмейл услуга, базирана на Roundcube, Horde и Open-Xchange. Кодът събира имейлите от списъка с контакти на потребителя и ги изпраща до команден сървър.

Ако имейл услугата е базирана на Open-Xchange, кодът може да изпраща имейли до тези контакти от името на заразения потребител. Изпратените зловредни имейли са като отговор на вече получени писма. Тази тактика увеличава вероятността имейлите да бъдат отворени. Имейлите съдържат зловреден PDF файл, в който е скрит VBS скрипт. Той задейства свалянето на малуера.

Според ESET кампанията е насочена предимно към държавни и частни организации в Италия. DanaBot обаче е бил засичан в кампании, таргетиращи потребители в редица други страни като Австралия, САЩ, Германия, Австрия, Полша и Украйна.

След като инфектира устройството, DanaBot започва да следи онлайн активността на потребителя и по-точно порталите за онлйан банкиране. Новата версия на малуера се отличава и с това, че съдържа функция за инфектиране с друг малуер – GootKit.

Това е нетипично, защото GootKit, за който се знае от 2014 г. насам, досега се използваше самостоятелно само от една хакерска група. „Това е първият случай, в който виждаме DanaBot да дистрибутира друг малуер. Досега DanaBot се управляваше от затворена група хакери. Същото важи за GootKit, който се използва само от една определена група хакери и не се продава в нелегалните форуми“, посочват от ESET.

Американското правосъдно министерство обвини двама ирански граждани за организиране на рансъмуер кампанията SamSam, Досега тя е ощетила частни и държавни институции по цял свят с поне 30 млн. долара, твърди обвинението.

Заподозрени за автори на SamSam са Фарамарз Шахи Саванди и Мохамед Мехди Шах Мансури. Според обвинението те са създали първата версия на SamSam в края на 2015 и са започнали да проучват организации, които да атакуват.

„Заподозрените са използвали малуер, за да нанаесат щети за над 30 млн. долара на над 200 институции. Според обвинението заподозрените са пробили компютърни системи в 10 американски щата, както и Канада, и са искали откуп. Криминалната им дейност е ощетила държавни агенции, общински власти, болници и безброй невинни жертви“, коментира зам.главният прокурор Род Розенстийн.

В търсене на слаби места

Голяма част от рансъмуер кампаниите таргетират безразборно десетки и дори стотици хиляди потребители. SamSam се отличава с това, че атакува конкретни организации. За да постигнат това, неговите автори първо намират организации със слабо място. В повечето случаи това е уязвим компютър, който използва RDP(Remote Desktop Protocol) за отдалечен достъп.

Уязвимият компютър се използва като входна точка, през която SamSam се вмъква в компютърната мрежа на организацията и криптира данните, намиращи се на свързаните устройства. За да бъдат декриптирани, жертвите трябва да платят откуп, чийто размер може да варира от няколко хиляди долара до 50 хил. долара.

Обвинението твърди, че следвайки този модел Шахи Саванди и Мехди Шах Мансури са спечелили над 6 млн. долара от събрани откупи.

Нов криминален бизнес модел

SamSam е в основата на нов бизнес модел в компютърната престъпност според едно от последните проучвания на компанията за киберсигурност Sophos. Именно SamSam е дал началото на таргетираните атаки срещу институции, при които размерът на исканите откупи може да стигне стотици хиляди долари и дори да надхвърли 1 млн. долара.

Според американското правосъдно министерство активност на SamSam за последно е засечена на 25 септември 2018 г. На тази дата с рансъмуер беше атакувано пристанището в Сан Диего.

В продължение на 11 месеца зловредно приложение е успяло да прескочи политиките за сигурност на Google Play. За този период то е било свалено над 5000 пъти, без да бъде засечено и свалено. Твърдението е на Лукаш Стефанко, анализатор на ESET.

Google Play има стриктна политика, която забранява на разработчиците да качват зловредни приложения със скрити функционалности. Такива приложения се свалят веднага, за да се минимизират щетите за потребителите. В този случай обаче зловредното приложение е останало в хранилището в продължение на почти година и е било свалено от хиляди потребители.

Приложението се казва Simple Call Recorder и основната му функция е била да записва обаждания. Но при инсталирането на смартфона то сваля и допълнителен файл flashplayer_update.apk от външен сървър. Това е изрично забранено от правилата на Google Play.

Не е ясно каква е била функцията на допълнителния файл, тъй като той вече е изтрит от сървъра, на който се е намирал. „От личен опит знам, че когато едно приложение имитира Flash Player, това е признак, че то най-вероятно е зловредно“, коментира Стефанко.

Лукаш Стефанко е в основата на по-голямо проучване, което наскоро откри 29 троянизирани приложения в Google Play. Те се отличават с това, че могат да четат SMS-и и да прескачат двустепенна автентикация. Били са използвани за достъп до онлайн банкиране.

Android е доминиращата операционна система за смартфони; по данни на Google над 2 млрд. души по света я използват. Статистиката на компанията показва, че около 0.66% от потребителите с Android Lollipop имат поне едно потенциално опасно приложение на устройството си. Същото важи за 0.56% от потребителите с KitKat и 0.51% от потребителите с Marshmallow.

Последен ъпдейт на 12 ноември 2018 в 11:09 ч.

Нова кампания за разпространяване на банковия троянец Emotet е започнала през ноември, показват данните на команията за киберсигурност ESET. Опасният малуер е бил засечен още в края на октомври, но случаите на атаки с Emotet са зачестили рязко след 4 ноември.

Според ESET малуерът е бил засечен в страни от целия свят, като най-много са случаите в САЩ, Мексико, Великобритания, Турция и Южна Африка.

Новата кампания разчита основно на имейли, съдържащи зловредени Word документи или PDF файлове. Имейлите са представени като фактури, известия от банки и извлечения.

Това са обичайните похвати, с които киберпрестъпниците се опитват да накарат потенциалните жертви да отворят зловредния файл в имейла. Според ESET кампанията е насочена предимно към англо- и немскоговорящи потребители.

„Рязкото увеличение на случаи на Emotet показва, че този малуер продължава да е активна заплаха“, коментират от ESET.

За пик в разпространението на Emotet към края на октомври съобщават и други компании за информационна сигурност като TrendMicro. През юли предупреждение за активността на Emotet отправи и американския център за борба с кибератаките US-CERT.

Emotet съдържа в себе си няколко модули, които се използват за извличане на данни от заразената машина. Малуерът може да записва интернет адреси и пароли, използвани за онлайн банкиране. Сред модулите могат да се открият напълно легални инструменти за възстановяване на пароли и извличане на имена и адреси от Outlook.

„Emotet продължава да е сред най-унищожителните и разходоемки заплахи, засягащи местните правителства. Неговата функционалност на червей му позволява бързо да се разпространи в мрежата, а с това е трудно да се пребориш. Инфектирането с Emotet струва до 1 млн. долара на местните власти, които са били атакувани“, коментират от US-CERT.