Несколько дней назад эксперт по безопасности Тал Либерман из компании enSilo показал новую технику внедрения кода, которая влияет на все версии Windows вплоть до Windows 10. В силу природы данной техники, к сожалению, вряд ли он может быть пропатчен. В данной статье я хотел бы пролить свет на данную атаку и на ее последствия, а также рассказать, что можно сделать, чтобы защитить себя.

Наличие инструментов удаленного доступа недостаточно для эффективного управления ИТ-сетью. Чтобы своевременно выявлять проблемы на конечных точках, нужна система удаленного мониторинга.

В ближайшее время уровень кибер-преступности не снизится. В 3 квартале кибер-преступники стали еще более изобретательными, используя инновационные технологии и новые инструменты для распространения своих «творений».

Антивирусная лаборатория PandaLabs компании Panda Security перехватила в прошлом квартале более 18 миллионов новых образцов вредоносных программ (в среднем свыше 200 000 в день): настораживающие проблемы кибер-угроз были актуальны и в последние месяцы тоже.

Из-за огромного объема обрабатываемых данных IT-отделу зачастую сложно адекватно сфокусироваться на важных аспектах информационной безопасности предприятия. Интеграция корпоративного антивируса в SIEM-систему позволяет перейти от простого получения оперативных данных к полному пониманию ситуации.

Многие предприятия обмениваются документами, которые пикселизированы, чтобы защитить личную информацию: это могут быть номера банковских счетов, фотографии или любая другая персональная информация. Хотя используемая для этого пикселизация должна быть простым и эффективным способом сокрытия конфиденциальной информации, но теперь компьютеры стали достаточно «умны», чтобы «прочитать» такие искаженные образы, даже если Ваш глаз не может этого сделать. Пикселизированные документы более не являются безопасными!

Я встретил Саймона Эдвардса в январе 2007 года на первом заседании AMTSO в Бильбао (Испания). В течение многих лет Саймон посвятил себя тестированию продуктов безопасности для Dennis Publishing, и в то время он также был техническим директором в Dennis Technology Labs. За многие годы он стал признанным авторитетом в своей области. Менее года назад он начал новую карьеру, открыв свой собственный бизнес — SE Labs. Сегодняшнее интервью с ним.

Совсем не праздный вопрос: как можно более качественно и эффективно обслуживать корпоративную сеть, но при этом тратить на ее управление значительно меньше времени и ресурсов? С этим могут помочь полнофункциональные RMM-системы.

Две недели назад мы наблюдали атаку шифровальщика на сервер, принадлежащий одной французской компании. Это был один из вариантов семейства шифровальщиков Crysis. Ежедневно мы видим тысячи попыток заражения со стороны шифровальщиков, но этот случай привлек наше внимание, т.к. файл, каким-то образом, появившийся на компьютере, предположительно никем не использовался и не должен был использоваться, при этом на компьютере не был запущен ни один почтовый агент или Интернет-браузер.

На этой неделе Чад Скиппер из компании Cylance опубликовал статью «Security Testing Houses: Know the Truth!», которую должны прочитать люди, интересующиеся вопросами тестирования решений безопасности. В ней присутствует ряд серьезных обвинений в адрес некоторых тестовых лабораторий и производителей (без указания их названий), например:
– производители платят, чтобы тестовые результаты их продуктов показывали 100% эффективность
– подкуп тестовых лабораторий, чтобы скрыть негативные результаты тестирования.

В этой статье мы рассмотрим приемы одного из наиболее известных семейств шифровальщиков: Locky.

Недавно (наши коллеги из Avira сообщили об этом в июле) авторы шифровальщика добавили новую функцию, которая включает в себя офлайновый режим, а потому теперь зловред может шифровать файлы и без подключения к серверу. В данном случае слабое место – это ключ, который является единым для каждого компьютера, где шифруются файлы, но единый ключ используется только в том случае, если по каким-либо причинам шифровальщику недоступен C&C-сервер.

Но теперь авторы изменили способ, которым они заражают компьютеры. Обычно такие атаки используют небольшой троян-загрузчик, который скачивает и запускает шифровальщик. Например, когда атака использует файл с javascript, то он, как правило, скачивает небольшой исполняемый файл, который нужен только для того, чтобы получить шифровальщик и запустить его. Как я уже писал ранее, кибер-преступники постоянно делают различные изменения, чтобы попытаться избежать обнаружения со стороны решений безопасности.

Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy, которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, — это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.

Два основных вектора заражения шифровальщиками – это эксплойты и спамовые письма. В моей последней статье я показал пару примеров, которые были связаны с эксплойтами, а теперь обращаю внимание на спам, насколько он популярен.

Несколько недель назад мы (антивирусная лаборатория PandaLabs) сообщили об атаке, где пострадали сотни ресторанов в США, в рамках которой использовалась вредоносная программа под названием PunkeyPOS. Мы не сообщили, каким образом была обнаружена PunkeyPOS: на самом деле мы расследуем целую серию PoS-атак, от которых также страдают сотни баров, ресторанов и магазинов в США. Пока мы анализировали одну из таких атакованных систем, она была атакована еще одной кибер-бандой, использующей PunkeyPOS. В этой статье мы собираемся обсудить еще одну атаку, которую мы пока исследуем. В этом случае использовалась вредоносная программа для PoS под названием PosCardStealer.

Multigrain – это вредоносная программа для PoS-терминалов, которая специализируется на краже информации с банковских карт при использовании техник RAM-Scraping (она напрямую обращается к ОЗУ из определенных процессов для получения информации о картах). Это стало очень популярным методом, т.к. международное законодательство запрещает хранить эту информацию на диске (даже временно).

Другая особенность Multigrain заключается в том, что он использует DNS-обращения для общения с внешним миром (и таким образом он может отправлять украденную информацию). В этой статье мы проанализируем саму по себе вредоносную программу, а также, каким образом она выполняет свои коммуникации.

Cerber – это относительно новое семейство шифровальщиков, от которого сильно страдают в последние несколько месяцев. В этой статье мы хотим взглянуть на некоторые техники, которые используются для заражения своих жертв.

Глава 2: Cerber

Кибер-пространство стало неотъемлемой частью нашей повседневной жизни. Цифровая трансформация затронула домашних и корпоративных пользователей, т.к. количество устройств, подключенных к Сети, продолжает расти.

Такие понятия как «цифровой дом» или «BYOD» (Bring Your Own Device) уже являются частью нашей цифровой Вселенной: все больше Интернет-пользователей работают из дома или используют свои собственные устройства как в личных, так и в профессиональных целях. Это означает, что становится все больше дыр безопасности.

По данным антивирусной лаборатории PandaLabs в течение квартала было обнаружено свыше 18 млн. новых образцов вредоносного ПО

Трояны сохранили свою лидирующую позицию в списке выявленных угроз, показав рост числа атак шифровальщиков в этой категории. Среднее количество новых угроз, обнаруживаемых каждый день – 200 000. Этот показатель чуть ниже показателя первого квартала в 227 000 образцов. Наряду с атаками шифровальщиков, большинство других атак в этом квартале было нацелено на кражу персональной информации и регистрационных данных пользователей.

На прошлой неделе антивирусная лаборатория PandaLabs получила вопрос про семейство шифровальщиков, использующих PowerShell– решение Microsoft, которое включено в Windows 10 и которое уже некоторое время используется кибер-преступниками для своих целей.

Подобные вопросы интересны, т.к. PandaLabs целенаправленно занимается предотвращением подобных атак со стороны шифровальщиков. Но должны признать, что мы не делимся всеми нашими «находками» с сообществом. Сейчас мы решили делать это на постоянной основе в рамках серии статей «Сказки Ransomwhere».

Нет другой отрасли, которую можно было бы рассматривать в качестве более благородной и беззаветной, нежели здравоохранение. Это настолько гуманитарная сфера, что даже в конфликтных ситуациях ее представители обязаны уважать и защищать вас любым доступным способом. Сложно поверить, что кто-то хотел бы подорвать общественное значение здравоохранения, не говоря уже о том, что кто-то преднамеренно осуществляет кибер-атаки против медицинских организаций.

Деньги — то, что движет миром, но, к сожалению, для них неважна специфика отрасли. Деньги — это основная мотивация для большинства кибер-преступников, кто смог обнаружить в здравоохранении «кладезь» уязвимостей.

Здравоохранение сфокусировано на других жизненно важных вопросах, возможно по этой причине медицинские организации долгое время не обращали должного внимания на свою IT-безопасность. В итоге данная отрасль обеспечена высокотехнологичными решениями с недостаточным уровнем IT-безопасности, что сильно тревожит.

Антивирусная лаборатория PandaLabs компании Panda Security с мая осуществляет тщательное исследование POS-терминалов в ресторанах США, в рамках которого был обнаружен так называемый PunkeyPOS – вариант вредоносной программы, который способен получать доступ к данным банковских карт. PandaLabs предоставила эту информацию в распоряжении американских правоохранительных органов, чтобы они могли предпринять соответствующие меры. Давайте посмотрим, что это такое и как это работает.

PunkeyPOS работает во всех версиях операционной системы Windows. План кибер-преступников: установить вредоносную программу на POS-терминалы, чтобы осуществлять кражу такой критически важной информации, как номера счетов, содержание магнитной полосы на банковских картах и т.д.

PunkeyPOS кажется простым:
Он устанавливает кейлоггер, который осуществляет мониторинг нажатия клавиш, затем он устанавливает RAM-scraper, который отвечает за чтение памяти всех процессов, запущенных в системе.

Традиционно, браузеры включают в себя утилиты для проверки сертификатов, выданных веб-сайтами, что позволяет им убедиться в их подлинности.

В идеале решения безопасности должны быть полностью прозрачны: они не должны устанавливать какой-либо тип сертификата и не использовать техники перехвата (например, man-in-the-middle через TLS-прокси) для анализа соединений пользователей. Благодаря этому можно избежать инцидентов, связанных с различными соответствующими уязвимостями, сводя к минимуму влияние на производительность соединения для устройств.

Однако не все антивирусные системы являются тем, чем они кажутся, и многие из них часто являются более опасными, нежели полезными для кибер-безопасности пользователей, что было заявлено в недавнем исследовании Университета Конкордия (Монреаль, Канада). Его авторы пришли к выводу, что в наши дни многие антивирусы снижают порог безопасности интернет-браузера.