Антивирусная защита *

Привет, Хабр! Сегодня мы хотим рассказать о новых кибератаках, которые недавно были обнаружены нашими аналитическими центрами киберзащиты. Под катом рассказ о крупной потере данных производителем кремниевых чипов, история об отключении сетей в целом городе, немного об опасности уведомлений Google, статистика о взломах медицинской системы США и ссылка на канал Acronis на YouTube.

Говоря о преимуществах платформы Android, большинство пользователей обычно называют настраиваемость, разнообразие устройств и гибкие цены. И почему-то о безопасности речи нет. Видимо, большинство просто не считает Android безопасным. Самая большая причина может быть в том, что Google Play Store — это открытая площадка: залить туда вредоносное ПО гораздо проще, чем в Apple AppStore. И это действительно случалось. Неоднократно.

Это реальная проблема. Но она связана с недостаточно жёсткой политикой Google на платформе. Хотя, похоже, это постепенно меняется. В любом случае, нужно всегда помнить о том, какому программному обеспечению следует доверять, а какому — нет. На любой платформе.

Привет, Хабр! Сегодня мы хотим поговорить об уязвимостях, которые встречаются в системах безопасности. Поводом для этого поста стали проблемы с ПО в продуктах GeoVision, которые позволяют получить полный контроль над устройствами… безопасности! В этом посте мы разбираем, какие продукты подвержены атакам, а также какие версии прошивок по-прежнему оставляют открытыми обнаруженные эксплойты. Если вы используете сканеры отпечатков пальцев или камеры видеонаблюдения этого производителя, либо просто интересуетесь, какие уязвимости GeoVision не может закрыть с августа 2019 года, просим под кат.

TL;DR если на ваших корпоративных мобильных устройствах нужен антивирус, значит вы делаете все неправильно и антивирус вам не поможет.

Этот пост — результат жарких споров на тему того, нужен ли на корпоративном мобильном телефоне антивирус, в каких случаях он работает, а в каких бесполезен. В статье разбираются модели угроз, от которых в теории должен защищать антивирус.

Продавцам антивирусов часто удается убедить корпоративных клиентов, что антивирус сильно повысит их безопасность, но в большинстве случаев это иллюзорная защита, из-за которой только снижается бдительность как пользователей, так и администраторов.

В конце мая мы обнаружили кампанию распространения ВПО класса Remote Access Trojan (RAT) — программ, которые позволяют злоумышленникам удаленно управлять зараженной системой.

Рассматриваемая нами группировка отличилась тем, что она не выбрала для заражения какое-то определенное семейство RAT. В атаках в рамках кампании были замечены сразу несколько троянов (все в широком доступе). Этой чертой группировка напомнила нам о крысином короле — мифическом животном, которое состоит из грызунов с переплетенными хвостами.


Оригинал взят из монографии К. Н. Россикова «Мыши и мышевидные грызуны, наиболее важные в хозяйственном отношении» (1908 г.)

В честь этого существа мы назвали рассматриваемую нами группировку RATKing. В этом посте мы расскажем подробно о том, как злоумышленники проводили атаку, какие инструменты они использовали, а также поделимся своими соображениями относительно атрибуции этой кампании.

Утечки данных — больной вопрос для службы безопасности. А сейчас, когда большинство работает из дома, опасность утечек оказывается намного выше. Именно поэтому известные киберпреступные группы уделяют повышенное внимание устаревшим и недостаточно защищенным протоколам удаленного доступа. И, что интересно, все больше утечек данных на сегодняшний день связано с Ransomware. Как, почему и каким образом — читайте под катом.

Вирусные аналитики и исследователи компьютерной безопасности стремятся собрать как можно больше образцов новых ботнетов. В своих целях они используют honeypot'ы.… Но что если хочется понаблюдать за зловредом в реальных условиях? Подставить под удар свой сервер, маршрутизатор? А что если подходящего устройства нет? Именно эти вопросы натолкнули меня на создание bhunter — инструмента для получения доступа к узлам бот-сетей.

Всем привет!

Я занимаюсь информационной безопасностью в компании «ЛАНИТ-Интеграция». Пока большинство офисных сотрудников работает из дома, используя сервисы и рабочие столы компании дистанционно, хочу поговорить про то, как бизнес защищает свои активы от внешних угроз. Географически распределённая инфраструктура приумножает риски информационной безопасности, так как увеличивается количество точек входа в информационную систему организации. Эта статья о том, какие инструменты мы можем использовать при расследования инцидентов информационной безопасности.

В сфере компьютерной безопасности IOC — это объект, наблюдаемый в сети или операционной системе, который с большой долей вероятности указывает на компрометацию устройства. К таким объектам могут быть отнесены обнаруженные сигнатуры вирусов, хеш-суммы вредоносных файлов, адреса командных серверов ботнетов. Индикатор компрометации используется для раннего обнаружения попыток проникновения в компьютерные системы и первичной оценки возможной угрозы.

Уровень защищенности инфраструктуры любой компании или предприятия оценивается по наименее защищенному объекту инфраструктуры — это может быть автоматизированное рабочее место или сервер. Поэтому важно находить скомпрометированные узлы в корпоративной или технологической сети организации и устранять причину их компрометации.

Допустим, вы независимый разработчик и выпустили своё приложение. Чтобы упростить установку, вы создаёте установщик и начинаете его распространять. Какой-нибудь смелый экспериментатор загружает, запускает инсталлятор — но видит строгое предупреждение:


Windows SmartScreen блокирует запуск исполняемого файла

Действительно, в текущем окружении Windows активно блокирует запуск бинарных файлов через функцию SmartScreen.

В середине марта резко возросло количество атак типа brute force на RDP-соединения. Цель этих атак состояла в том, чтобы воспользоваться внезапным увеличением числа удаленных работников и заполучить контроль над их корпоративными компьютерами.

Специалисты по информационной безопасности обнаружили новую фишинговую кампанию, «продвигающую» скрытый бэкдор под названием BazarBackdoor (новое вредоносное ПО операторов TrickBot), который может быть использован для взлома и получения полного доступа к корпоративным сетям.

Эксперты по вредоносным программам сообщают, что компаниям следует остерегаться кибератак с использованием вируса-шифровальщик PonyFinal, который будет внедряться в скомпрометированные ИТ-системы. Первые атаки с использованием PonyFinal, написанного на Java были зафиксированы в начале апреля в Индии, Иране и США.  А за последнее время вредонос неоднократно применялся против организаций из сектора здравоохранения.

Злоумышленники продолжают эксплуатировать тему COVID-19, создавая все новые и новые угрозы для пользователей, живо интересующихся всем, что касается эпидемии. В прошлом посте мы уже говорили о том, какие разновидности вредоносного ПО появились на волне коронавируса, а сегодня речь пойдет о приемах социальной инженерии, с которыми уже столкнулись пользователи в разных странах, а том числе и в России. Общие тенденции и примеры — под катом.

На фоне пандемии коронавируса возникает ощущение того, что параллельно с ней вспыхнула не менее масштабная цифровая эпидемия [1]. Темпы роста числа фишинговых сайтов, спама, мошеннических ресурсов, малвари и тому подобной вредоносной активности вызывают серьезные опасения. О размахе творящегося беспредела говорит новость о том, что «вымогатели обещают не атаковать медицинские учреждения» [2]. Да, именно так: те, кто во время пандемии стоит на защите жизни и здоровья людей, также подвергаются атакам вредоносного программного обеспечения, как это было в Чехии, где шифровальщик-вымогатель CoViper нарушил работу нескольких больниц [3].

Тема этой заметки назревала давно. И хотя по просьбе читателей канала LAB-66, я просто хотел написать про безопасную работу с перекисью водорода, но в итоге, по непонятным (вот, да!) мне причинам, образовался очередной лонгрид. Смесь из popsci, ракетного топлива, «коронавирусной дезинфекции» и перманганатометрического титрования. Как правильно хранить перекись водорода, какие использовать средства защиты при работе и как спасаться при отравлениях — ищем под катом.
p.s. жук с картинки на самом деле называется “бомбардир”. И он там тоже где-то затерялся среди химикатов :)

Свойства ультрафиолета зависят от длины волны, а ультрафиолет разных источников отличается спектром. Обсудим, какие источники ультрафиолета и как применять, чтобы максимизировать бактерицидное действие, минимизировав риски нежелательных биологических эффектов.


Рис. 1. На фотографии не дезинфекция излучением UVC, как можно подумать, а тренировка использования защитного костюма с выявлением в лучах UVA люминесцирующих пятен учебных телесных жидкостей. UVA – мягкий ультрафиолет и не оказывает бактерицидного действия. Закрытые глаза – оправданная мера безопасности, так как широкий спектр используемой люминесцентной лампы UVA пересекается с UVB, который опасен для зрения (источник Simon Davis/DFID).

В сети продолжают появляться различные угрозы, использующие тематику коронавируса. И сегодня мы хотим поделиться информацией об одном интересном экземпляре, который наглядно демонстрирует стремление злоумышленников максимизировать свою прибыль. Угроза из категории “2-в-1” так и называет себя CoronaVirus. А подробная информация о зловреде — под катом.

Киберпреступники часто используют для рассылок вредоносных файлов актуальные новости и события. В связи с пандемией коронавируса многие APT-группировки, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, стали использовать эту тему в своих кампаниях. Один из недавних примеров такой активности — атаки южнокорейской группировки Higaisa.

Эксперты PT Expert Security Center обнаружили и проанализировали вредоносные файлы, созданные группировкой Higaisa.

Привет, Хабр! Сегодня мне хотелось бы поговорить о том, как можно защитить процессы от посягательств злоумышленников в macOS. Например, это полезно для антивируса или системы резервного копирования, особенно в свете того что под macOS существует сразу несколько способов “убить” процесс. Об этом и о методах защиты читайте под катом.

Ryuk – это один из самых известных вариантов шифровальщиков за последние несколько лет. С тех пор как он впервые появился летом 2018 года, он собрал внушительный список жертв, особенно в бизнес-среде, которая является главным объектом его атак.