Архив тегов: malware

Мир уже третий, а где-то и в четвертый (в зависимости от географии) месяц сидит на карантине.

Хочется съязвить что-то на тему «кто сидел на карантине, тому «День сурка» совершенно не смешное кино». Особенно если погода за окном с марта вообще никак не поменялась! (в Москве как минимум). Короче, бытие наше «подтверждает старый тезис, что сегодня тот же день, что был вчера» (с). Но верно ли это утверждение по отношению к мировому кибер-злодейству? Интересно же, как у них там дела обстоят в наши неспокойные, но при этом совершенно однообразные карантинные времена? Чем там сейчас заняты кибернегодяи, пока мы все сидим по домам? Про это уже рассказывал две недели назад, но пора и обновить нашу кибер-стенгазету. // Кстати, если кто интересуется всей архивной подшивкой ай-новостей – тыкать вот сюда.

Для начала немного статистики. Позитивная динамика (в хорошем смысле этого слова) явно присутствует, и это радует. За прошедшие месяцы наблюдения апрель оказался самым вредоносным месяцем, когда мы действительно наблюдали наибольший всплеск киберпреступной активности. В мае цифры значительно снизились и вернулись плюс-минус к своим обычным среднемесячным значениям.

*Базы данных «Лаборатории Касперского» за 26.05.2020

Заодно мы видим и постепенный спад по всякой «коронавирусной» малваре:

*Базы данных «Лаборатории Касперского»

// Под «короновирусным» зловредством понимаются кибератаки, которые так или иначе маскируются под или ассоциируют себя с темой этого самого злобного биовируса, который уже несколько месяцев кошмарит популяцию хомосапиенсов на всей планете.

Дальше: браузер с сюрпризом…

Один из самых частых вопросов, который мне задают в эти непростые самоизоляционные времена – как изменилась кибер-эпидемиологическая обстановка? Как отразился на «среднем градусе по больнице» переход миллионов людей на удалённую работу? Какие новые трюки изобрели кибер-негодяи и где пользователям нужно «подкрутить» и «прокачать», чтобы не стало мучительно больно?

Рассказываю и показываю.

Разумеется, криминал всегда следует за наживой и приспосабливается к изменяющейся обстановке, чтобы максимизировать прибыль. Пользователь перевёл большинство своих операций (работа, досуг, общение, покупки и т.д.) на «удалёнку» — и к ней тотчас же присосалась жирная кибер-пиявка.

А именно. Очень многие вынужденно проводят эти весенние дни по домам-квартирам-дачам. Дела все поделаны, книжки перечитаны, умения новые освоены, все иностранные языки выучены, пресс и бицепс прокачан до невозможности. Так?

Да и нет – конечно же большинство (подавляющее или очень многие) значительную часть времени проводят в интернетах – гораздо больше, чем до того. Что это означает для общего фона кибер-злодейства и безопасности? Правильно! В сети стало больше потенциальных жертв, которые проводят в сети всё больше времени.

Плюс к тому, большинство все из тех, кто с городостью называет себя «офисным планктоном» (а таких в эпоху непрекращающихся промышленных революций становится всё больше и больше) – вынужденно работают из дома. Увы, не все компании могут обеспечить надёжную защиту своих сотрудников. Что означает, что у кибер-преступников появляются новые шансы хакнуть офисные сети через домашние компы-мобилы. Чем они, увы, и не ленятся пользоваться.

Эту живописную тенденцию мы наблюдаем прежде всего по резко возросшему количеству брутфорс-атак на серверы баз данных и RDP (технология удалённого подключения к компьютерам).

Дальше: они возвращаются!…

Зубры-динозавры-айтишники с минимум-20-летним опытом работы должны хорошо помнить одну из самых громких цифро-вирусных пандемий начала 2000-х. Сетевой червь LoveLetter (ILOVEYOU) в течение одного дня поставил раком парализовал весь мир. Хотите узнать где и чем сейчас живёт автор этого глобального перформанса?

Об этом чуть позже. На десерт. А сначала, для тех, кто не застал те «веселые» деньки, — почему и зачем LoveLetter получил такое название.

Эта зверюга очень быстро расползалась по электронной почте. Пользователю приходило письмо с, якобы, любовным посланием от знакомого человека…

источник

…он(а) кликал(а) на аттач с VBS-скриптом, вредонос получал управление и пересылал себя от имени владельца заражённого компьютера всем получателям из его адресной книги. Вот так, в безумной прогрессии LoveLetter за пару часов распространился по всему миру, вызвав неимоверно колоссальные убытки (ага, он ещё некоторые файлы портил). Любопытный факт: код рассылки писем был позаимствован у другого червя, Melissa, который годом ранее ничем  не меньше нагнул весь мир (Microsoft пришлось на время отключить корпоративную почту – читай уйти на самоизоляцию – чтобы приостановить распространение заразы).

Интересна и другая особенность LoveLetter: червяк скачивал из Интернета троянскую программу, которая тырила с заражённого компьютера логины-пароли доступа к Интернету (а тогда это был в основном dial-up соединение по космическим авиационным ценам и почасовой тарификацией) и отсылал их на заданный адрес. Кстати, до этого практически всё кибер-зло было сделано исключительно из хулиганства, геростратовой мании величия или по причине детского идиотизма (16 forever). Автор же этого червя впоследствии признался, что его целью была кража кодов доступа к Интернету. Вот так коммерческая кибер-преступность делала свои первые шаги.

В общем, обозревая события тех лет с высоты 2020, невольно посещают очень противоречивые чувства и соображения от «какие же идиоты» до «как молоды мы были» :)

Дальше: незаслуженное неправосудие…

Сегодня в рубрике «Ай-да-новости» новая порция IoT-страшилок.

Во-первых, не могу не прокомментировать нашумевшую дрон-атаку на Saudi Aramco. Имхо что это лишь первая ласточка среди множества подобных атак, о которых нам предстоит узнать в будущем. В Саудовской Аравии так ещё и не разобрались, кто виноват, а мы тем временем уже решили, что делать. И выпустили новый программно-аппаратный комплекс Kaspersky Antidrone.

Как сей зверь будет работать?

Устройство считывает координаты движущегося объекта, нейросеть определяет является ли он дроном, в положительном случае после этого блокируется его связь с пультом управления. В результате дрон самостоятельно возвращается к точке старта, либо совершает мягкую посадку. Система может быть стационарной или передвижной — например, для установки на автомобилях. Основное предназначение антидрона — защита критически важной инфраструктуры, аэропортов, промышленных объектов, а также частной и коммерческой собственности. Случай с Saudi Aramco – яркое подтверждение насущной необходимости во внедрении подобных технологий. В 2018 году мировой рынок беспилотников оценивался в $14 млрд, а к 2024 году, по прогнозам аналитиков, достигнет $43 млрд. Одновременно с рынком беспилотников будет расти и рынок решений, защищающих от их вторжения. Но наш Kaspersky Antidrone — пока единственный вариант на отечественном рынке, умеющий детектировать объекты по видео с помощью нейросети и первый в мире использующий лазерное сканирование для обнаружения дронов.

Дальше: IoTмагеддон…

Всем привет!

Как вы думаете, какой самый частый вопрос, который мне задают на интервью и пресс-конференциях? Отвечать на него у меня набилась оскомина ещё в далёкие 90-е, но потом как-то привык, начал импровизировать и насыщать эту историю новыми подробностями. И хотя ответ на этот вопрос прозвучал, наверное, уже во всех масс-медиа всех стран мира (а кое-где и по нескольку раз), его продолжают задавать. А мне уже даже стало приятно вспоминать те времена :)

Речь о том самом самом первом вирусе, который, волею судеб оказавшись на моём компьютере, сподвиг меня резко сменить траекторию профессионального развития, создать лучший в мире антивирус, вырастить одну из крупнейших частных компаний по кибербезопасности и ко многому чему другому. Это вирус Cascade.

Почему я вдруг вспомнил эту тему?

Очень просто — в 2019м году сему знаменательному событию отлова «Каскада» исполняется… 30 ЛЕТ! Иными словами — 30 лет моей профессиональной деятельности! Дааа, годовщина кругленькая, приятная (любопытно — а сколько топовых экспертов до сих пор на передовой?), а ещё она провоцирует на ностальгически-статистический анализ. А действительно ведь интересно посмотреть на развитие кибер-зловредства в максимальной исторической перспективе?

Дальше: восстанавливаем хронологию событий…

Конец августа принёс несколько очень интересных связанных новостей на предмет кибербезопасности мобильных операционок. Точнее об их небезопасности.

Кратко напомню: во-первых, серия дыр в iOS, которые позволяли заражать вредоносами умные Apple-девайсы (зашёл на сайт ⇒ ой), а во-вторых, симметричные атаки тех же хакеров против той же группы жертв, но уже через уязвимости в Android и Windows.

Ситуация, казалось бы, рабочая: идеальных продуктов не бывает, зато бывает жгучее желание определённых лиц, групп лиц и даже государств этой неидеальностью злоупотребить. «Казалось бы» – потому что, на самом деле, этот случай снова возвращает нас к дискуссии о преимуществах-недостатках закрытых платформ вроде iOS. И для начала хочу процитировать вот этот твит, который очень точно характеризует статус кибербезопасности в яблочной экосистеме:

«Итак, кто-то в течение многих лет незаметно заражал айфоны. Почему-то меня это не удивляет. Я всегда говорил, что иллюзия безопасности iOS основана на том, что никто не может исследовать эти девайсы и поэтому у пользователей практически нулевые шансы узнать о заражении»

В данном случае Apple сильно повезло: атаку обнаружили цивилизованные «белые» хакеры из Google, которые приватно передали подробности разработчикам, те пофиксили свой софт и через полгода, когда большинство пользователей обновились, рассказали об произошедшем миру.

Вопрос#1: как быстро компания смогла бы решить проблему, если бы информация ушла в «паблик» до выпуска патча?

Вопрос#2: на сколько месяцев или лет раньше эти дыры нашли бы независимые эксперты, допущенные к нужным диагностическим свойствам операционной системы?

По сути дела, мы наблюдаем «монополию на исследования» в iOS. Поиск уязвимостей и анализ приложений сильно осложнён избыточной закрытостью системы, из-за чего в эфире стоит практически полная тишина, и кажется, что «в Багдаде всё спокойно». Но тишина эта иллюзорная – что там на самом деле творится в этой красивой стеклянной коробочке за 50-100тыс.рублей просто никто не знает! И даже сама Apple…

С одной стороны, такое положение вещей позволяет Apple двигать маркетинговую отстройку о самой безопасной ОС, а с другой сотни миллионов пользователей живут буквально на пороховой бочке. Примерно вот так:

Причём Apple, надо отдать ей должное, действительно вкладывает большие усилия и деньги в повышение безопасности и конфиденциальности своих продуктов и экосистемы в целом. Но никакая, даже самая мощная компания, не сможет сделать больше, чем всё мировое сообщество исследователей кибербезопасности. Самый убийственный аргумент в пользу закрытости iOS для сторонних специализированных средств защиты состоит в том, что «доступ независимых разработчиков к системе = потенциальный вектор атаки». Фигня!

Обнаружение уязвимостей и плохих приложений можно проводить при помощи read-only диагностических технологий, которые смогут выявлять вредоносные аномалии при анализе системных событий. Но нет. Такие приложения жёстко изгоняются из AppStore. Я не вижу другой причины такой позиции, кроме как опасение потерять «монополию на исследования» и маркетинговую отстройку.

Начнём с благостных новостей.

Недавно уважаемая независимая тестовая лаборатория AV-Comparatives выпустила результаты своего ежегодного опроса. Он проводился в конце 2018, участие в нём приняли 3000+ респондентов по всему миру. Отвечая на вопрос «Каким защитным продуктом вы чаще всего пользуйтесь?», большинство пользователей (из аудитории AV-Comparatives) в Европе, Азии и Южной Америке назвало наш бренд. На втором месте мы оказались только в США (уверен, что второе место временно!). Кроме того, в Европе нас выбрали самым часто используемым защитным решением для смартфонов. Мы также возглавили список компаний, продукты которых пользователи чаще всего просят затестить, как в «домашнем» сегменте, так и среди антивирусных продуктов для бизнеса. И пусть тестят, мы готовы! Про независимые тесты и обзоры, которые проходят наши продукты можно почитать тут.

Дальше новость из рубрики «бревна-то я и не заметил».

В мае был обнаружен уженепомнюкакойпосчёту бэкдор с функциями очень полезными для шпионажа. У кого нашли бэкдор? У русских, китайцев? Ба, снова у Cisco! Слышали ли мы громкие разборы этого случая в СМИ, разговоры про угрозы нацбезопасности, обсуждение отказа от использования оборудования Cisco за пределами США и т.п.? Не-а! Хотя одновременно полным ходом идёт громкое международное линчевание Huawei, причём не только без подобных бэкдоров, но и убедительных доказательств вообще.

Источник

Дальше: Большой Брат подкрался незаметно…

Сегодняшний выпуск «ай-да-новостей» (с) — по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.

Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая «рекламная пауза перед главным выпуском новостей». А именно: по версии компании HeadHunter, которая ежегодно представляет «Рейтинг работодателей России», в этом году мы заняли почётное первое место среди работодателей отрасли «IT и интернет» и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.

А теперь – главные новости о SAS-2019.

Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы «благой» целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.

Our cybersecurity research makes a lot of people unhappy. It’s tough job but somebody got to do it. @craiu at #TheSAS2019 pic.twitter.com/iEPoxZVzhT

— Eugene Kaspersky (@e_kaspersky) April 10, 2019

Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.

1. TajMahal

Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.

Дальше: доппельгангеры атакуют!…

Мальчики и девочки, всем привет!

С вами наша регулярная рубрика «удивительное рядом» или выжимка самых интересных, абсурдных, громких IT-новостей и находок.

Японское правительство планирует взломать 200 млн IoT девайсов граждан. Это не заголовок из научной фантастики. Так японцы готовятся к проведению Олимпиады. Госслужащим законодательно разрешили взламывать гаджеты граждан любимым методом киберпреступников — подбором паролей. Обнаружив девайс со слабым паролем, госслужащие внесут его в специальный список небезопасных гаджетов, который передадут интернет-провайдеру, а владельца попросят сменить пароль. Делают это, чтобы проверить, хорошо ли защищены IoT устройства в стране и предотвратить их использование для атак на олимпийскую инфраструктуру. О методах защиты можно поспорить, но сам факт подготовки очень правильный. Напоминаю, что случилось на последних Играх у их соседей.

Дальше: Ну, тюлень!…

Как известно читателям этого блога, я неравнодушен ко всякому хитрому и незаурядному современному искусству. А когда случается интересное скрещивание на тему искусства и IT, уж точно не могу пройти мимо. Именно такая выставка сейчас идёт в Московском музее современного искусства – Daemons in the Machine, а мы с удовольствием выступили её партнёром. Художники при научной поддержке учёных размышляли на злободневные темы – искусственный интеллект (который, на мой взгляд, конечно, никакой не интеллект, а умные алгоритмы), блокчейн, нейросети, робототехника. В итоге вышел любопытный замес из вопросов футурологии, этики, и, конечно, искусства. Спешите видеть цифровых демонов! Выставка работает до 11 ноября.

Сразу отвечаю на вопрос: нет, сам пока не был, только что вернулся из очередной поездки, надеюсь найти время в коротком промежутке до следующего отъезда.

Рекомендую: перед посещением такой вот выставки обязательно подготовиться и изучить матчасть по книге В.Пелевина iPhuck 10 :-)

От демонов высокохудожественных переходим к демонам бытовым.

Дальше: теперь вы видели всё…