В целом, да, уязвимости, угрозы, техники, подходы и пр — это общее.
Вопрос в другом: в данной статье мы пытались отдельно обратить внимание пользователей именно на безопасность здравоохранения, потому что ущерб наносится (и может быть причинен) огромный. На кону — жизни людей. Вот почему мы отдельно написали статью именно про безопасность учреждений здравоохранения. Т.е. различие в прикладной части: помимо компьютеров угрозы поражают медицинские приборы, от работы которых зависит жизнь людей.
Ну вот видимо этот тот случай, когда каждый для себя определяет, что наворот, а что полезная вещь.
Авторы исследования как раз и говорят о том, что очень сложно найти этот баланс между функциональностью (возможностями) и безопасностью. Скорее всего, свои выводы авторы исследования делают именно с точки зрения некоего среднестатистического пользователя.
Я думаю, что основная цель исследования заключалась в том, чтобы не предъявлять четкий вердикт, что вредно, а что полезно, а только обратить внимание рядовых обычных пользователей на то, что далеко не все дополнительные функции, компоненты и дополнения следует устанавливать в свой браузер, если они в большинстве случаев не будут востребованы, хотя с точки зрения безопасности могут представлять серьезный риск.
Если бы все браузеры поддерживали данную функциональность — то и распространение было бы больше. А если никто первый не опубликует реализацию, с которой могут поиграться разработчики и применить хотя бы для части пользователей, то мы никогда не увидим большинство новой функциональности в вебе вообще.
Вы правы отчасти: раз браузеры по умолчанию эти новые фичи не поддерживают, то и разработчики сайтов не спешат под них что-то делать. Однако, вопрос, почему браузеры по умолчанию не внедряют их? Видимо, разработчики браузеров не считают их необходимыми, по крайней мере, на текущий момент :)
Ну и потом, какие-то разработчики сайтов (много или мало? непонятно) не внедряют эти новые фишки не потому, что браузеры по умолчанию их не поддерживают, а потому, что они либо не хотят перегружать и усложнять свои сайты, либо сами также видят бессмысленность этих наворотов. Зачем наворачивать сайт, если все эти навороты, например, не способствуют росту продаж (или достижению каких-то других KPI).
Так что тут вопрос спорный насчет причины и следствия. Хотя и там и там есть свои вполне разумные аргументы.
Авторы исследования посчитали таким образом, как представлено в статье.
Спасибо за Ваши вопросы, уточнил в лаборатории, корректировки в статью уже внес.
А поподробнее нельзя? Где нажимается кнопка — в браузере или почтовом клиенте? Каком именно и на какой платформе? Что значит «ложная кнопка»? Каким именно образом запускается шифровальщик? Используется какая-то zero-day уязвимость? При чём тут Zip-файл? При чём тут Java-скрипт?
В общем, все происходит таким образом:
1. Пользователь получает письмо по почте якобы от известной компании (стиль, логотип и пр. сохранены). Все выглядит как легитимное письмо
2. В самом письме нет вложений, а только суммарная информация о сумме и потреблении и кнопка для получения подробной информации по счету.
3. Когда пользователь нажимает на кнопку, он переходит на ложный веб-сайт, который выглядит как веб-сайт той компании, от лица которой якобы выступают злоумышленники
4. На сайте пользователя просят заполнить поле Captcha, чтобы получить доступ к информации.
5. После того как пользователь заполняет поле, ему предлагается скачать zip-файл.
6. В этом zip-файле содержится файл с java-скриптом, и если пользователь открывает, то скрипт скачивает и запускает шифровальщик
Данная угроза актуальна только для Windows.
Если пользователь использует другую ОС (Android, Mac, Linux), то при попытке скачивания с ложного сайта не осуществляется проверка операционной системы.
Никаких уязвимостей нулевого дня нет, используются только техники социальной инженерии.
По поводу терминалов, подключенных к системе SWIFT. На самом деле, это одна из проблем, с которой SWIFT должна столкнуться. Насколько нам известно, они лишь дают определенные рекомендации по таким терминалам, подключенным к этой системе. Конечно, было бы намного лучше, если бы SWIFT выставлял крайне жесткие требования к ним или предоставлял их, чтобы можно было обеспечить максимально возможные меры безопасности. Например, как это делают Mastercard или Visa. Поэтому на таких терминалах может быть установлен Panda Adaptive Defense.
Конечно, лучше, чтобы Panda Adaptive Defense (или другой аналогичный продукт, доступный на рынке) был установлен на всех машинах банка. Это помогло бы предотвратить различные инциденты на более ранних стадиях и более эффективно. В этом случае хакеры не смогли бы скомпрометировать те машины, которые стоят до терминала SWIFT.
Кстати, в некоторых случаях вредоносные программы изменяют легитимный dll, используемый на самом терминале SWIFT, а это означает, что для полноценного проведения ограбления им требовалось запустить вредоносное ПО на самом терминале. Конечно, без другой скомпрометированной машины в банке это вряд ли удалось бы сделать, но и без запуска определенного зловреда на самом терминале им было не обойтись.
Т.е. в идеале Panda Adaptive Defense должен стоять на всех машинах в банке (он может работать параллельно текущему корпоративному антивирусу), включая и сам терминал.
AppLocker, по сути своей, это контроль приложений.
Panda Adaptive Defense 360 не имеет функции контроля приложений.
Он предоставляет автоматическую расширенную защиту от неизвестных угроз и целенаправленных атак, APT и т.д.
1. Режим такой расширенной защиты работает полностью в автоматическом режиме, т.е. администратору не требуется создавать какие-либо правила
2. Он блокирует ВСЕ вредоносные или неклассифицированные исполняемые процессы, а не какие-то конкретно. При этом облачная база знаний содержит информацию о более чем 1,5 миллиардах невредоносных процессов, ежесекундно обновляясь.
3. Ресурсоемкий анализ процессов работает в облаке, поэтому нет нагрузки на ресурсы компьютера
4. Система позволяет отслеживать развитие каждого процесса и взаимосвязь между его подпроцессами. В этом случае в зависимости от такой «контекстности» поведение защиты может быть разной в зависимости от ситуации, чтобы исключить ложные срабатывания.
Если в целом прокомментировать данную ситуацию с этой гостиничной сетью, то хочу обратить внимание на следующее:
1. Сотрудник отеля отправляет формы для бронирования номеров сотням (если не тысячам) потенциальных клиентов в месяц. И эта процедура поставлена на поток. Поэтому, получив письмо с архивом, в котором был «его» файл с формой бронирования, он его смело открыл без каких-либо «задних» мыслей (я сейчас не говорю, правильно это или нет, просто констатация факта).
При этом, опять же, убеждаться в подлинности отправителя в данной ситуации нереально:
1) сотни или тысячи потенциальных клиентов, для проверки писем от которых потребуется много времени;
2) отправитель был один из тех, кто якобы и хотел забронировать отель
2. В данной статье мы не претендуем на что-то такое оригинальное, о чем никто еще не знал. Мы на конкретном примере показали, как осуществлялась попытка заражения. Кстати, для кого-то, возможно, такая схема будет новостью. Все зависит от глубины познаний, профессионального уровня и сферы деятельности читателя. Тут главное другое: обычная повседневная ситуация, а в результате — заражение.
3. Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware). В этом режиме каждый исполняемый процесс в режиме реального времени автоматически анализируется и классифицируется в облаке. Более того, решение отслеживает взаимосвязи между всеми процессами, что позволяет отслеживать весь жизненный цикл каждой конкретной угрозы, каждого конкретного процесса. и такой «контекстный» характер мониторинга позволяет с большей точностью анализировать процессы, чтобы более аккуратно принимать решение относительно каждого процесса (и составляющих его подпроцессов). Не буду сейчас останавливаться на всех нюансах работы технологий, но могу сказать, что в этом случае уровень защиты повышается на порядок, особенно если речь идет о неизвестных и целенаправленных атаках. Вы можете попробовать решение и проверить. Поэтому в описываемом случае ряд процессов был заблокирован, а потому атака сорвалась и не достигла своей цели.
Adaptive Defensive 360 обнаруживает вредоносное ПО не на POS-терминалах, а обнаруживает и блокирует скрытые и целенаправленные атаки на сеть предприятия, в котором эти терминалы стоят и/или к локальной сети которого они подключены. В большинстве случаев атака на эти терминалы осуществляется через сеть, к которой подключены эти терминалы.
PandaLabs после обнаружения внесла в свои базы данный образец.
Соответственно, решения безопасности Panda должны блокировать запуск эксплойтов.
Про другие антивирусы ничего не могу сказать.
Рекомендация по защите одна:
поддерживайте Ваш антивирус или решение безопасности в обновленном состоянии и убедитесь, что у Вас имеются резервные копии Ваших самых важных файлов.
Лекарство от шифровальщиков — это расшифровка, которую делают (могут и не делать) преступники после получения оплаты…
Информации по уязвимости всех браузеров пока нет, но вопрос изучается в лаборатории.
Шифровальщик внедряется на ВСЕ устройства, к которым он может получить доступ в сети.
Каких-то дополнительных подробностей от аналитиков по этому поводу, в настоящий момент, нет.
По поводу наборов эксплойтов. Заражение пользователя может осуществляться следующим образом:
• пользователь посетил вредоносный сайт
• пользователь посетил невредоносный сайт, но который был взломан и заражен или на этом сайте показывались вредоносные рекламные объявления, через которые мог загрузиться вредоносный эксплойт.
Т.е. получается, что сценарий заражения может быть таким: пользователь посетил какой-то сайт, откуда в скрытом режиме загрузился эксплойт. Далее через него уже в скрытом режиме загрузился троян, в котором был упакован шифровальщик. Все это происходит незаметно для пользователя.
Наши коллеги из PandaLabs продолжат анализировать шифровальщика, возможно, мы сможем узнать и какие-то другие способы распространения.
Кстати, в этом году ряд читателей сайта The New York Times оказались заражены также через вредоносные рекламные объявления.
Вопрос в другом: в данной статье мы пытались отдельно обратить внимание пользователей именно на безопасность здравоохранения, потому что ущерб наносится (и может быть причинен) огромный. На кону — жизни людей. Вот почему мы отдельно написали статью именно про безопасность учреждений здравоохранения. Т.е. различие в прикладной части: помимо компьютеров угрозы поражают медицинские приборы, от работы которых зависит жизнь людей.
Авторы исследования как раз и говорят о том, что очень сложно найти этот баланс между функциональностью (возможностями) и безопасностью. Скорее всего, свои выводы авторы исследования делают именно с точки зрения некоего среднестатистического пользователя.
Я думаю, что основная цель исследования заключалась в том, чтобы не предъявлять четкий вердикт, что вредно, а что полезно, а только обратить внимание рядовых обычных пользователей на то, что далеко не все дополнительные функции, компоненты и дополнения следует устанавливать в свой браузер, если они в большинстве случаев не будут востребованы, хотя с точки зрения безопасности могут представлять серьезный риск.
Вы правы отчасти: раз браузеры по умолчанию эти новые фичи не поддерживают, то и разработчики сайтов не спешат под них что-то делать. Однако, вопрос, почему браузеры по умолчанию не внедряют их? Видимо, разработчики браузеров не считают их необходимыми, по крайней мере, на текущий момент :)
Ну и потом, какие-то разработчики сайтов (много или мало? непонятно) не внедряют эти новые фишки не потому, что браузеры по умолчанию их не поддерживают, а потому, что они либо не хотят перегружать и усложнять свои сайты, либо сами также видят бессмысленность этих наворотов. Зачем наворачивать сайт, если все эти навороты, например, не способствуют росту продаж (или достижению каких-то других KPI).
Так что тут вопрос спорный насчет причины и следствия. Хотя и там и там есть свои вполне разумные аргументы.
Авторы исследования посчитали таким образом, как представлено в статье.
https://ru.wikipedia.org/wiki/JavaScript
В общем, все происходит таким образом:
1. Пользователь получает письмо по почте якобы от известной компании (стиль, логотип и пр. сохранены). Все выглядит как легитимное письмо
2. В самом письме нет вложений, а только суммарная информация о сумме и потреблении и кнопка для получения подробной информации по счету.
3. Когда пользователь нажимает на кнопку, он переходит на ложный веб-сайт, который выглядит как веб-сайт той компании, от лица которой якобы выступают злоумышленники
4. На сайте пользователя просят заполнить поле Captcha, чтобы получить доступ к информации.
5. После того как пользователь заполняет поле, ему предлагается скачать zip-файл.
6. В этом zip-файле содержится файл с java-скриптом, и если пользователь открывает, то скрипт скачивает и запускает шифровальщик
Данная угроза актуальна только для Windows.
Если пользователь использует другую ОС (Android, Mac, Linux), то при попытке скачивания с ложного сайта не осуществляется проверка операционной системы.
Никаких уязвимостей нулевого дня нет, используются только техники социальной инженерии.
Конечно, лучше, чтобы Panda Adaptive Defense (или другой аналогичный продукт, доступный на рынке) был установлен на всех машинах банка. Это помогло бы предотвратить различные инциденты на более ранних стадиях и более эффективно. В этом случае хакеры не смогли бы скомпрометировать те машины, которые стоят до терминала SWIFT.
Кстати, в некоторых случаях вредоносные программы изменяют легитимный dll, используемый на самом терминале SWIFT, а это означает, что для полноценного проведения ограбления им требовалось запустить вредоносное ПО на самом терминале. Конечно, без другой скомпрометированной машины в банке это вряд ли удалось бы сделать, но и без запуска определенного зловреда на самом терминале им было не обойтись.
Т.е. в идеале Panda Adaptive Defense должен стоять на всех машинах в банке (он может работать параллельно текущему корпоративному антивирусу), включая и сам терминал.
Panda Adaptive Defense 360 не имеет функции контроля приложений.
Он предоставляет автоматическую расширенную защиту от неизвестных угроз и целенаправленных атак, APT и т.д.
Нет, это не банальный appLocker.
1. Режим такой расширенной защиты работает полностью в автоматическом режиме, т.е. администратору не требуется создавать какие-либо правила
2. Он блокирует ВСЕ вредоносные или неклассифицированные исполняемые процессы, а не какие-то конкретно. При этом облачная база знаний содержит информацию о более чем 1,5 миллиардах невредоносных процессов, ежесекундно обновляясь.
3. Ресурсоемкий анализ процессов работает в облаке, поэтому нет нагрузки на ресурсы компьютера
4. Система позволяет отслеживать развитие каждого процесса и взаимосвязь между его подпроцессами. В этом случае в зависимости от такой «контекстности» поведение защиты может быть разной в зависимости от ситуации, чтобы исключить ложные срабатывания.
1. Сотрудник отеля отправляет формы для бронирования номеров сотням (если не тысячам) потенциальных клиентов в месяц. И эта процедура поставлена на поток. Поэтому, получив письмо с архивом, в котором был «его» файл с формой бронирования, он его смело открыл без каких-либо «задних» мыслей (я сейчас не говорю, правильно это или нет, просто констатация факта).
При этом, опять же, убеждаться в подлинности отправителя в данной ситуации нереально:
1) сотни или тысячи потенциальных клиентов, для проверки писем от которых потребуется много времени;
2) отправитель был один из тех, кто якобы и хотел забронировать отель
2. В данной статье мы не претендуем на что-то такое оригинальное, о чем никто еще не знал. Мы на конкретном примере показали, как осуществлялась попытка заражения. Кстати, для кого-то, возможно, такая схема будет новостью. Все зависит от глубины познаний, профессионального уровня и сферы деятельности читателя. Тут главное другое: обычная повседневная ситуация, а в результате — заражение.
3. Panda Adaptive Defense 360 в режиме Lock блокирует все исполняемые процессы (exe, dll и пр.), которые не классифицированы в антивирусной лаборатории PandaLabs как НЕвредоносные (goodware). В этом режиме каждый исполняемый процесс в режиме реального времени автоматически анализируется и классифицируется в облаке. Более того, решение отслеживает взаимосвязи между всеми процессами, что позволяет отслеживать весь жизненный цикл каждой конкретной угрозы, каждого конкретного процесса. и такой «контекстный» характер мониторинга позволяет с большей точностью анализировать процессы, чтобы более аккуратно принимать решение относительно каждого процесса (и составляющих его подпроцессов). Не буду сейчас останавливаться на всех нюансах работы технологий, но могу сказать, что в этом случае уровень защиты повышается на порядок, особенно если речь идет о неизвестных и целенаправленных атаках. Вы можете попробовать решение и проверить. Поэтому в описываемом случае ряд процессов был заблокирован, а потому атака сорвалась и не достигла своей цели.
Постараемся помочь.
С кем и когда Вы связывались, на какой адрес отправляли сообщение?
Соответственно, решения безопасности Panda должны блокировать запуск эксплойтов.
Про другие антивирусы ничего не могу сказать.
поддерживайте Ваш антивирус или решение безопасности в обновленном состоянии и убедитесь, что у Вас имеются резервные копии Ваших самых важных файлов.
Лекарство от шифровальщиков — это расшифровка, которую делают (могут и не делать) преступники после получения оплаты…
Информации по уязвимости всех браузеров пока нет, но вопрос изучается в лаборатории.
Каких-то дополнительных подробностей от аналитиков по этому поводу, в настоящий момент, нет.
По поводу наборов эксплойтов. Заражение пользователя может осуществляться следующим образом:
• пользователь посетил вредоносный сайт
• пользователь посетил невредоносный сайт, но который был взломан и заражен или на этом сайте показывались вредоносные рекламные объявления, через которые мог загрузиться вредоносный эксплойт.
Т.е. получается, что сценарий заражения может быть таким: пользователь посетил какой-то сайт, откуда в скрытом режиме загрузился эксплойт. Далее через него уже в скрытом режиме загрузился троян, в котором был упакован шифровальщик. Все это происходит незаметно для пользователя.
Наши коллеги из PandaLabs продолжат анализировать шифровальщика, возможно, мы сможем узнать и какие-то другие способы распространения.
Кстати, в этом году ряд читателей сайта The New York Times оказались заражены также через вредоносные рекламные объявления.
Ответы выше