Немецкий почтовый провайдер Posteo закрыл почтовый ящик wowsmith123456@posteo.net хакера, ответственного за вирусную эпидемию криптовымогателя Petya/PetrWrap. Со вчерашнего дня вирус поразил тысячи компьютеров на предприятиях и у частных пользователей в Украине, России, Польше, Италии, Германии, Беларуси (страны указаны в порядке уменьшения количества заражений) и других странах. Таким образом, жертва даже отправив запрошенную сумму в биткоинах, не сможет сообщить об этом хакеру — и не сможет получить от него ключ.

«Мы не терпим злоупотреблений нашей платформой: немедленная блокировка почтовых аккунтов со злоупотреблениями — необходимая мера со стороны провайдеров в таких случаях», — сказано в сообщении Posteo.

Согласно инструкции криптовымогателя, жертва должна отправить биткоины стоимостью около $300 на указанный адрес 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX и сообщить автору по электронной почте свой идентификатор кошелька и «персональный ключ установки». Теперь связаться с ним невозможно.

Эксперты Group-IB предупреждают пользователей о росте активности вируса-шифровальщика Troldesh (Shade). Цель злоумышленников — запустить программу в локальной сети компании, зашифровать файлы и запросить выкуп.

Во время прежних атак операторы ботсети рассылали письма от имени банков и компаний ритейла. Сейчас идёт массовая рассылка от имени сотрудников крупных авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).

Несколько дней назад власти города в штате Флорида, США, заплатили громадную сумму в $600 тыс. создателям криптовымогателя. Это один из крупнейших известных выкупов, произведенных городскими властями злоумышленникам. При этом незадолго до заражения вся компьютерная инфраструктура городских систем была обновлена.

Проблема возникла 29 мая 2019 года, но о ней стало известно только сейчас. Все началось с банальной неосторожности — сотрудник администрации открыл электронное сообщение со приложением, которое было заражено зловредом. В итоге шифровальщик быстро распространился по административным сетям, поразив систему коммуникаций. Службе 911 даже пришлось перейти на ручную регистрацию вызовов.

По информации Record и Bleeping computer, хакерская группировка Babuk Locker смогла проникнуть в компьютерную сеть полицейского управления Вашингтона и скачать более 250 ГБ данных. После инцидента криптовымогатели дали полицейским несколько дней на оплату выкупа. В противном случае злоумышленники угрожают передать представителям незаконных группировок города утекшие данные о полицейских информаторах.

Исследователями в области информационной безопасности был обнаружен новый тип ransomwave — вредоносной программы, шифрующей пользовательские файлы и требующей выкуп в bitcoin. Новый криптовымогатель, который сами создатели назвали «locky», распространяется не совсем стандартным для подобного ПО способом — при помощи макроса в Word-документах.

По словам специалиста по информационной безопасности Лоуренса Абрамса, криптовымогатель маскируется под выставленный пользователю счет и приходит жертве по почте:


Кликабельно

Прикрепленный файл имеет имя вида invoice_J-17105013.doc, а при его открытии пользователь увидит только фарш из символов и сообщение о том, что «если текст не читабелен, включите макросы».

Центральное отделение библиотеки Сент-Луиса

Западные коммерческие компании и государственные учреждения продолжают страдать от программ-криптовымогателей. В 2016 году зафиксирован многократный рост популярности таких программ у представителей криминального мира. Современный транснациональный рэкет гораздо безопаснее, чище и прибыльнее, чем аналогичный бизнес 90-х годов в России.

Злоумышленникам гораздо выгоднее инфицировать компьютеры коммерческих компаний, потому что с них можно получить более крупные суммы выкупа. Но иногда жертвами заражений (случайно?) становятся некоммерческие организации и частные лица. Им не позавидуешь.

Неприятная история на днях произошла с библиотекой Сент-Луиса, которая столкнулась с заражением ransomware. В результате жители Сент-Луиса не могли ни взять, ни вернуть книги ни в одном из 16 городских отделений библиотеки.

Пятничная атака криптовымогателя WannaCry (WannaCrypt) поразила более 200 000 компьютеров в 150 странах, сказал руководитель Европола Роб Уэйнрайт (Rob Wainwright). Атака стала «беспрецедентной по своему размеру», а полный масштаб заражений пока неизвестен. По словам Уэйнрайта, многие пользователи найдут свои компьютеры заражёнными в понедельник утром. Среди стран наиболее пострадали Россия и Великобритания.

Как известно, WannaCry (WannaCrypt) сочетает функциональность криптовымогателя и червя, распространяясь по случайным IP-адресам после заражения компьютера, используя критическую уязвимость во всех версиях Windows и эксплойт от АНБ. По счастливой случайности глобальное распространение инфекции удалось остановить в тот же день, когда она началась.

В эти дни все только и говорят о криптовымогателе WannaCry/Wcry/WannaCrypt, который в пятницу поразил десятки тысяч компьютеров по всему миру, но затем его распространение внезапно прекратилось.

Microsoft оперативно выпустила патчи для исправления уязвимости (патч может снести пиратскую Windows):

• Microsoft Security Bulletin MS17-010
• Патч, для старых систем (Windows XP, Winows Server 2003R2)

Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

По последней информации, криптовымогателю удалось поразить более 75 000 Windows-компьютеров как минимум в 99 странах мира. Но масштаб распространения WannaCrypt мог быть на порядок больше, если бы не действия одного специалиста по безопасности, автора блога MalwareTech Blog. Он рассказывает, как всё было.

Сегодня днем, 27 июня, крупные украинские компании заявили об очередных проблемах, обусловленных новой волной вируса-вымогателя. В последствии сообщения о блокировках начали поступать из России, США и Европы.

В списке жертв по состоянию на 17:00:

• Кабинет министров Украины;
• Укрпочта и Новая почта;
• Мобильные операторы Vodafone и Киевстар;
• Банки «Ощадбанк», «Укргазбанк», «Пивденный», «Такскомбанк», «ОТП Банк»;
• Издания «Корреспондент», «24 канал»
• Киевский метрополитен;
• Украинские железные дороги;
• Укртелеком;
• Эпицентр.

Степень доверия к таким сообщениям и вложениям к ним гораздо выше, чем к обычному вредоносному спаму



Фишинг существует уже много лет, это один из наиболее популярных приемов, который используют злоумышленники для получения каких-либо данных пользователей Сети. Существует интересная разновидность технологии — целевой фишинг (spear phishing). Атаки такого рода ограничены по масштабу, поскольку обычно данные пользователя, которые можно использовать для целевого фишинга, достать не так просто (если речь идет о топ-менеджерах, высокопоставленных чиновниках и т.п.). В течение многих лет целевой фишинг применялся только в случае, если овчинка стоила выделки — то есть выгода от получения определенной информации была выше трудовых и финансовых затрат злоумышленников по получению личных данных пользователей. Но теперь ситуация изменилась.

С начала года разные пользователи из многих организаций различных стран стали получать письма с malware-вложениями, где адрес, тема, обращение — все было целевым. Человек видит свое имя в заголовке (не ник из почтового адреса, а настоящее имя), номер телефона, должность. В большинстве случаев к таким сообщениям доверие выше, чем к обычным «Дорогой друг, смотри вложение — там мои фотки на пляже». Сейчас именно в таких, персонифицированных, письмах стал распространяться криптовымогатель TA530. Его создатели явно рассчитывают на атаки банковских служащих, инженеров различных мастей и пользователей других категорий, для которых личные данные, порой, важнее любых денег.

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.

Зловред удаляет файлы раз в час и при попытках перезагрузить ПК



Зловредных программ, угрожающих сохранности данных пользователя, становится все больше. Не успели решить проблему с криптовымогателем Petya, шифрующим жесткий диск пользователя вместо отдельных файлов, как появилось еще одно ransomware — криптовымогатель Jigsaw. Это ПО не просто шифрует файлы пользователя и требует выкуп за их дешифровку. Каждые 60 минут удаляется один файл пользователя, также данные уничтожаются вымогателем и при попытке перезагрузить ПК. Через некоторое время ежечасная «экзекуция» затрагивает уже не один, а больше файлов. При перезагрузке же удаляется не один и не два файла, а сразу тысяча.

Все это очень сильно действует на пользователя, и тот, в большинстве случаев, предпочитает заплатить. При этом на экране выдается инструкция о том, сколько нужно заплатить (биткоин-эквивалент $150) и где можно взять биткоины для оплаты «выкупа». Уже страшно? В общем-то, все это может подействовать и на технически подготовленного пользователя… Но выход есть — как и в случае с Petya, нашлись пользователи, которые научились обезвреживать ransomware. Теперь эти пользователи делятся опытом с другими.

Разработчики криптовымогателя TeslaCrypt неожиданно для всех свернули свою деятельность и выложили в общий доступ мастер-ключ, позволяющий расшифровать все файлы, «похищенные» вредоносной программой. Распространители вредоносов плавно переключаются на другие программы, в частности CryptXXX.

Ключ был выложен после вежливой просьбы одного из сотрудников компании ESET, занимающейся компьютерной безопасностью. После того, как в компании заметили, что разработчики TeslaCrypt постепенно сворачивают свою деятельность, сотрудник решил спросить о мастер-ключе в чате поддержки на сайте, работавшем на приём платежей от жертв вымогателя. Удивительно, но команда TeslaCrypt пошла навстречу, извинилась, и выложила ключ в открытый доступ:

440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

Добрый программист с никнеймом BloodDolly, занимавшейся созданием программы TeslaDecoder, помогающей восстанавливать зашифрованные файлы, обновил её с учётом полученной информации. Теперь все жертвы могут спокойно расшифровать драгоценную информацию и не терять своих денег.

На днях пассажиры узкоколейной железной дороги Сан-Франциско получили возможность наблюдать надпись «Вы взломаны, ВСЕ данные зашифрованы» на экранах всех платежных терминалов транспортной компании San Francisco Municipal Transportation Agency (SFMTA). Некоторое время спустя руководство подтвердило факт взлома, заявив, что SFMTA ведет активное расследование инцидента.

«Мы сейчас работаем над решением этой проблемы. Ведется расследование, и мы не можем пока сообщить дополнительные детали», — заявил пресс-секретарь SFMTA. Как оказалось, надпись на экраны выводится зловредным программным обеспечением — криптовымогателем. В результате блокированы оказались не только платежные терминалы, но и большая часть компьютерной инфраструктуры компании. По этой причине оплату за проезд провести невозможно, и пассажирам разрешили на время урегулирования ситуации ездить бесплатно.

Инструкции по оплате выкупа от криптовымогателя «Пила» (Jigsaw)

Нападение на компанию с требованием выкупа по-прежнему остаётся популярным видом заработка в хакерской среде. Раньше было принято устраивать DDoS-атаку и предлагать услуги по защите от DDoS (или «независмый консалтинг»), но это был довольно опасный способ. Ведь приходилось вступать в личный контакт с жертвой, которая наверняка что-то подозревала. Неспроста ведь человек предлагает свои услуги сразу после начала DDoS.

Теперь же появились способы вымогательства, которые не предполагают никакого личного контакта. С оплатой за биткоины риски почти исчезли. И самое главное, что компании послушно платят в большинстве случаев.

Источник: Naked Security — Sophos

Компаний, работающих в сфере информационной безопасности сейчас много. Технологии совершенствуются, а значит, злоумышленники получают все больше инструментов для работы. Им противостоят специалисты по информационной безопасности. Правда, не все из них действуют одинакового профессионально.

К примеру, недавно в сети появилась информация о компании, которая позиционирует себя, как последний шанс для жертв программ-криптовымогателей. Эта компания заявляет, что она в состоянии расшифровать пострадавшие файлы, спасая, таким образом, бизнес и репутацию жертвы.