Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

WannaCry продолжает собирать десятки тысяч жертв

Информационная безопасность *

Минувшее воскресенье отметилось второй годовщиной эпидемии шифровальщика WannaCry, охватившей 150 стран по всему миру. Эксперты по информационной безопасности, которые продолжают следить за активностью зловреда, предупреждают — угроза остаётся актуальной, а счёт жертвам растёт по сей день.
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 4.2K
Комментарии 5

Несколько больниц в США заразил вирус-криптовымогатель Ryuk; больницы платят выкуп

Информационная безопасность *Антивирусная защита *


Больницы DCH в Алабаме решили выплатить выкуп за программу-вымогатель Ryuk для того, чтобы получить расшифровщик и вернуть свои компьютерные системы в рабочее состояние.

1 октября 2019 года система здравоохранения DCH Health System, которая включает в себя региональный медицинский центр DCH, медицинский центр Northport и медицинский центр Fayette в Tuscaloosa, Northport и Fayette в Западной Алабаме, подверглась нападению вируса-криптовымогателя под названием Ryuk. Нападение парализовало работу их компьютерных систем и заставило больницы прекратить прием новых пациентов, не находящихся в экстренном состоянии.

На выходных DCH выпустила заявление об инциденте, в котором было сказано, что некоторые системы восстанавливаются из резервных копий, но больницы всё-таки платят выкуп и покупают ключ расшифровки Ryuk для восстановления доступа к другим зашифрованным системам.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 6.6K
Комментарии 6

WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению

Блог компании Cisco Системное администрирование *Антивирусная защита *IT-инфраструктура *Cisco *
В прошлую пятницу, аккурат под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаке WannaCry. По истечении пары дней уже можно сказать, что не зря название этой атаки ассоциируется с песней Кита Урбана «Tonight I Wanna Cry» («Сегодня я хочу плакать»). Ее масштабы оказались достаточно зловещими — на момент написания число жертв превысило 230 тысяч и это число может вырасти, когда многие вернутся с выходных и отпусков и включат свои домашние и рабочие компьютеры. Мы, в нашем подразделении Cisco Talos, еще в пятницу опубликовали свое исследование данной вредоносной программы и сейчас хотели бы поделиться отдельными ключевыми моментами с пользователям Хабра.

WannCry
Читать дальше →
Всего голосов 42: ↑39 и ↓3 +36
Просмотры 87K
Комментарии 58

Анализ шифровальщика Wana Decrypt0r 2.0

Информационная безопасность *

 
Анализ шифровальщика Wana Decrypt0r 2.0 для выявления функционала, анализа поведения и способов распространения вредоноса.

Читать дальше →
Всего голосов 126: ↑120 и ↓6 +114
Просмотры 105K
Комментарии 351

WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужно правильное решение для надежного бэкапа

Блог компании Acronis Резервное копирование *Хранение данных *Хранилища данных *
Как мы уже рассказывали, на прошлой неделе, в пятницу, 12 мая более чем 75000 компьютеров на Windows по всему миру пострадали от атаки червя-вымогателя, известного как WannaCry, WCry или WanaCrypt0r 2.0. Данная атака была довольно хорошо спланирована киберпреступниками и осуществлена в пятницу прямо перед выходными на крупные телекоммуникационные и транспортные компании, правительственные и правоохранительные органы, больницы и образовательные учреждения.

Всего голосов 28: ↑17 и ↓11 +6
Просмотры 28K
Комментарии 71

Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам

Блог компании Panda Security в России и СНГ Антивирусная защита *


Ситуация с атакой шифровальщика WannaCry всколыхнула весь мир: от экспертов по информационной безопасности до руководителей ряда крупных стран. И хотя мы слышим о том, что существенного ущерба не было, все же данная атака вызывает множество вопросов. Как развивается ситуация? Какие последствия? К чему готовиться? Представляем текущий технический анализ экспертов PandaLabs.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 20K
Комментарии 19

WannaCry vs. Adylkuzz: кто кого опередил?

Антивирусная защита *Сетевые технологии *Восстановление данных *Резервное копирование *Хранение данных *


Все уже в курсе про многоликий вирус-вымогатель WannaCry, известный также как WanaCryptor, WanaCrypt0r, WCrypt, WCRY или WNCRY. Вирус этот наделал много шума, да. Несмотря на отсутствие дешифраторов, находятся предприимчивые граждане, которые оказывают услуги по расшифровке WNCRY-файлов. Но пост не об этом.

Неожиданное заявление сделали на днях исследователи из Proofpoint. Оказывается вирус WannaCry хоть и стал известным, но всё же не был первым, кто активно эксплуатировал уязвимости в Windows, используя EternalBlue и DoublePulsar.
Серьёзно?
Всего голосов 33: ↑31 и ↓2 +29
Просмотры 21K
Комментарии 39

Регистрация на вебинар «От WannaCry к WannaSaveU». Видимость атаки и восстановление

Блог компании Panda Security в России и СНГ Антивирусная защита *
18 мая в 14:00 (мск) приглашаем Вас на наш специальный вебинар, посвященный экспертному анализу шифровальщика WannaCry: что это такое, этапы заражения, средства восстановления. Анатомия этапов выполнения атаки и ее распространение.

Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 2.3K
Комментарии 4

Не только WannaCry: эксплойт EternalBlue порождает новые атаки

Блог компании Panda Security в России и СНГ Антивирусная защита *
Перевод


После того как EternalBlue был опубликован, кто-нибудь еще воспользовался им? Или только создатели WannaCry? Прежде чем ответить на данный вопрос, давайте взглянем на историю уязвимости, которая дала путь эксплойту EternalBlue.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 16K
Комментарии 12

Security Week 20: Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее

Блог компании «Лаборатория Касперского» Информационная безопасность *
WannaCry успел прославиться так, что даже неграмотная часть населения планеты что-то где-то слышала, а уж те, кто имеет хоть какое-то отношение к информационной безопасности, успели досконально изучить многочисленные исследования троянца и FAQ по нему. Такого ажиотажа по поводу вредоносного ПО еще не было, так что у нас есть первая троянская суперзвезда. И у этой популярности уже появились последствия.

Даже самые ленивые админы закрыли доступ к порту 445 из Интернета (у кого был зачем-то открыт) и накатили обновления, то же сделали многие обычные пользователи, наши и британские ресерчеры синкхольнули стоп-домены нескольких вариантов WannaCry, однако полностью остановить эпидемию пока не удается. Теперь выяснилось, что кто-то очень предприимчивый лихо прицепляется к этому поезду прямо на ходу, и пытается намыть себе копеечку.

Шон Диллон из RiskSense рассказал, что они там выявили несколько новых версий WannaCry, которые почти не отличаются от изначальной, только не радуют – вот только адрес биткойн-кошелька, на который требуется переводить выкуп, нагло перебит в хекс-редакторе. И еще одно крохотное изменение: подражатели, с помощью все той же грубой правки файла, отключили механизм самоуничтожения троянца, то есть стоп-домены для этих версий отсутствуют.
Читать дальше →
Всего голосов 34: ↑28 и ↓6 +22
Просмотры 20K
Комментарии 17

Более пристальный взгляд на кибер-атаки 3.0 (видео-обзоры WannaCry)

Блог компании Panda Security в России и СНГ Антивирусная защита *
Перевод


Глобальная атака WannaCry, от которой в последние две недели пострадало свыше 200 000 компьютеров как минимум в 150 странах мира, стала значительной вехой в истории кибер-преступлений. В свою очередь, предприятия и организации всех типов узнали о необходимости наличия эффективных средств информационной безопасности для предотвращения компрометации их деловой репутации, имиджа и финансового ущерба.
Всего голосов 12: ↑8 и ↓4 +4
Просмотры 4.5K
Комментарии 0

Wannacry — икс-команда, на выезд

Блог компании КРОК Системное администрирование *IT-инфраструктура *Серверное администрирование *


Мы тут немного поработали ассенизаторами.

Около 66% атак первой волны пришлось на российские сети. И здесь есть огромное заблуждение: почему-то все называют механизм поиска определённого домена killswitch'ем. Так вот, возможно, нет. В случае российских сетей госкомпаний, финансов и производств — это механика обхода песочниц. Основные песочницы на входе в защитный периметр имеют множество тестов. В частности, при запросе определённых сайтов изнутри песочницы они умеют отдавать, например, 200 ОК или 404. Если приходит подобный ответ, зловред мгновенно деактивируется — и таким образом проходит динамический анализатор кода. От статического анализа он защищён несколькими свертками сжатия-шифрования. Таким образом, это не killswitch, а одна из новых механик обхода песочниц.

Об этом я тоже расскажу, но куда интереснее другой практический вопрос: какого чёрта полегло столько машин от троянца? Точнее, почему все вовремя не запатчились или не отключили SMB 1.0? Это же просто как два байта переслать, правда же?
Читать дальше →
Всего голосов 66: ↑62 и ↓4 +58
Просмотры 34K
Комментарии 51

Внимание! Linux-версия эксплойта EternalBlue

Блог компании Cloud4Y Настройка Linux *Системное администрирование *Антивирусная защита *Сетевые технологии *
Перевод


В сетевом программном обеспечении Samba обнаружена критическая уязвимость 7-летней давности, обеспечивающая возможность удалённого выполнение кода. Эта брешь может позволить злоумышленнику взять под контроль уязвимые машины Linux и Unix.

Samba — это программное обеспечение с открытым исходным кодом (иная реализация сетевого протокола SMB), которое работает в большинстве доступных сегодня операционных систем, включая Windows, Linux, UNIX, IBM System 390 и OpenVMS.

Samba позволяет другим операционным системам, отличным от Windows, таким как GNU / Linux или Mac OS X, совместно использовать общие сетевые папки, файлы и принтеры с операционной системой Windows.

Недавно обнаруженная уязвимость удаленного выполнения кода (CVE-2017-7494) затрагивает все версии новее, чем Samba 3.5.0, которая выпущена 1 марта 2010 года.
Читать дальше →
Всего голосов 64: ↑64 и ↓0 +64
Просмотры 52K
Комментарии 101

Итоги WannaCry: подборка основных материалов на «Хабрахабре» и не только

Блог компании Университет ИТМО Информационная безопасность *
История показывает, что исключать повторения WannaCry в том или иной вариации нельзя, но нужно понимать, что оперативное противодействие подобным атакам — достаточно сложная задача. Для подготовки, укрепления «защиты» и принятия соответствующих профилактических мер очень важно не упускать из вида разборы наиболее заметных (как минимум) инцидентов в сфере ИБ.

Для этого мы решили взять наиболее рейтинговые материалы, которые выходили на Hacker News, и все, что было опубликовано по теме WannaCry на «Хабрахабре» и Geektimes.ru. Итоговую тематическую подборку мы дополнили комментариями экспертов Университета ИТМО.

Читать дальше →
Всего голосов 16: ↑13 и ↓3 +10
Просмотры 12K
Комментарии 10

Security Week 21: BlueDoom защищает от WannaCry, криптолокер угрожает медтехнике, субтитры – новый вектор атаки

Блог компании «Лаборатория Касперского» Информационная безопасность *
Благотворительный марафон сливов ShadowBrokers продолжает приносить плоды. Вслед за WannaCry в Сеть ворвался еще один червь, под завязку накачанный эксплойтами. Один семпл забрел к хорватам из местного CERT, и получил имя EternalRocks, второй такой же попался Heimdal Security и был назван не менее пафосно – BlueDoom. На целевую машину они заходили точно так же, как WannaСry, через порт 445.

Новый червяк любопытен большим числом интегрированных в него эксплойтов: он использует EternalBlue, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch, SMBTouch, и DoublePulsar – все это благодаря доброте ShadowBrokers.

Заразив машину, EternalRocks на протяжении суток не делает ничего (видимо, на случай попадания запуска в песочнице – авторы полагают, что исследователи не будут так долго ждать, пока пойманная особь задергается), а потом стучится на сервер управления через сеть Tor. Но ничего особо вредоносного, помимо эксплойт-пака для дальнейшего распространения, сервер ему так ни разу и не прислал, чем изрядно озадачил исследователей.
Читать дальше →
Всего голосов 18: ↑16 и ↓2 +14
Просмотры 9.3K
Комментарии 3

Security Week 22: В Samba нашлась уязвимость, ShadowBrokers открыли подписку на эксплойты, фишеры массово освоили HTTPS

Блог компании «Лаборатория Касперского» Информационная безопасность *
Говорят, что если долго смотреть в 445-й порт, оттуда выглянет сетевой червь. В последние недели он привлек столько внимания, что на свет вышли уязвимости даже в НЕУЯЗВИМОМ (как всем известно) Linux. Точнее, в популярной сетевой файловой системе Samba, без которой Linux с Windows в сети не подружиться.

Напрямую найденный баг к известному набору эксплойтов отношения не имеет, однако сравнения напрашиваются – тот же протокол и похожий сценарий использования. Злоумышленнику достаточно найти Linux с SMB-ресурсом, открытым на запись из Интернета, загрузить туда библиотеку, которую сервер радостно запустит. Сей процесс элементарно автоматизируется, то есть от уязвимости явственно пахнет сетевыми червями.

Ксавье Мертенс из SANS Internet Storm Center указал, что уязвимость можно использовать тривиально, «эксплойтом в одну строчку кода». Rapid7 просканировали Сеть, как это сейчас модно, и нашли там 104 тысячи систем с уязвимой Samba. Потом вспомнили про порт 139, просканировали еще и его, и нашли уже 110 тысяч систем.
Читать дальше →
Всего голосов 16: ↑11 и ↓5 +6
Просмотры 9.2K
Комментарии 9

Внимание! Хакеры начали использовать уязвимость «SambaCry» для взлома Linux-систем

Блог компании Cloud4Y Настройка Linux *Системное администрирование *IT-инфраструктура *Сетевые технологии *
Перевод


Помните SambaCry?

Две недели назад мы сообщали об обнаружении в сетевом программном обеспечении Samba (иная реализация сетевого протокола SMB) критической уязвимости 7-летней давности. Она обеспечивает возможность удалённого выполнение кода и позволяет злоумышленнику взять под контроль уязвимые Linux- и Unix-машины.

Чтобы узнать больше об уязвимости SambaCry (CVE-2017-7494), вы можете прочитать нашу предыдущую статью.

В то время было обнаружено, что в Интернете существует около 485 000 компьютеров с поддержкой Samba и открытым портом 445. Исследователи предсказывали, что атаки на основе уязвимости SambaCry могут распространяться так же как WannaCry ransomware.

Предсказание оказалось довольно точным. Компьютер-приманка, созданный командой исследователей из «Лаборатории Касперского», подцепил вирус, который использует уязвимость SambaCry для заражения компьютеров Linux — загрузки инструкций и криптомайнера.
Читать дальше →
Всего голосов 33: ↑32 и ↓1 +31
Просмотры 31K
Комментарии 25

Security Week 25: В *NIX реанимировали древнюю уязвимость, WannaCry оказался не доделан, ЦРУ прослушивает наши роутеры

Блог компании «Лаборатория Касперского» Информационная безопасность *
Земля, 2005 год. По всей планете происходят загадочные события: Nokia выводит на рынок планшет на Linux, в глубокой тайне идет разработка игры с участниками группы Metallica в главных ролях, Джобс объявил о переходе Маков на платформу Intel.

Тем временем на конференции CancSecWest Гаэль Делалло из Beijaflore представил фундаментальный доклад об уязвимостях системы управления памятью в разнообразных NIX-ах, и проиллюстрировал свои находки эксплойтами для Apache. Все запатчились. Прошло несколько лет.

2010 год. Рафаль Войтчук продемонстрировал эксплуатацию уязвимости того же класса в сервере Xorg. В том же году Йон Оберайде опубликовал пару забавных сообщений о своих невинных играх с никсовым стеком ядра. Все снова запатчились.

2016 год. Гуглевский Project Zero разродился исследованием эксплуатации уязвимостей стека ядра под Ubuntu. Оберайде передает в комментах привет. Убунта запатчилась.

2017 год. Никогда такого не было, и вот опять. Qualys научилась мухлевать со стеком юзермода в любых никсах, согласно идеям Делалло.
Читать дальше →
Всего голосов 19: ↑17 и ↓2 +15
Просмотры 13K
Комментарии 11

«Лаборатория Касперского»: Правильная защита «облаков»

Блог компании RUVDS.com Хостинг IT-инфраструктура *Хранение данных *
Мы продолжаем публиковать материалы форума «Совместная безопасность облачных решений для бизнеса», который мы провели совместно с «Лабораторией Касперского» и HUAWEI 31 мая в Москве.

Сегодня, когда Petya и Misha вовсю шагают по планете, данный материал становится особенно актуальным для пользователей виртуальных серверов. Представляем доклад Владимира Островерхова, «Лаборатория Касперского», «Правильная защита «облаков»».

Всего голосов 14: ↑13 и ↓1 +12
Просмотры 5K
Комментарии 10

Как победить вирус Petya

Блог компании Positive Technologies Информационная безопасность *
Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.


Читать дальше →
Всего голосов 29: ↑18 и ↓11 +7
Просмотры 62K
Комментарии 36
1