Новостной обозреватель “skynetzone” - хакеры, законы ук рф , новости теневых площадок и прочие интересные факты

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Ботнет Smominru заразил 90 000 устройств только за последний месяц


Ботнет Smominru (он же MyKings, WannaMine или Hexmen)

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

с 2017 года, а в 2018 году многие компании провели детальный анализ этой угрозы. Напомню, что уже тогда ботнет насчитывал более 520 000 машин, а его операторы на тот момент «заработали» 8900 Monero (порядка 2 млн долларов по курсу на момент публикации отчетов).


Smominru примечателен тем, что для распространения использовал не только брутфорс RDP, MSSQL, Telnet и других открытых служб, но и эксплоиты EternalBlue (CVE-2017-0144) и EsteemAudit (CVE-2017-0176), направленные против уязвимых Windows-машин. Названия этих эксплоитов хорошо знакомы не только ИБ-специалистам, но даже рядовым пользователям, так как именно EternalBlue весной 2017 года применялся для распространения нашумевшего

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.



Согласно

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, опубликованному на этой неделе компаний Guardicore Labs, ботнет по-прежнему активен и в настоящее время: только в августе 2019 года его жертва стали 90 000 машин (это 4700 новых заражений в день). Хуже того, примерно 25% скомпрометированных устройств подверглись повторному заражению более одного раза, то есть машины не были должным образом пропатчены и защищены после очистки от заражения.
stats.jpg

Как только Smominru получает доступ к целевой машине, он пытается удалить конкурирующую малварь, обезопасить систему от дальнейших заражений, а затем устанавливает майнинговую малварь, крадет учетные данные для входа в систему, устанавливает бэкдоры и стремится распространиться на другие машины в той же сети подобно червю.


Большинство зараженных операционных систем — это Windows 7 и Windows Server 2008 (в общей сложности это 85% всех заражений), которые по-прежнему уязвимы перед атаками с использованием EternalBlue. Также атакам подверглись Windows Server 2012, Windows XP и Windows Server 2003.
Smominru_pie.png
Больше всего от атак Smominru пострадали Китай, Тайвань, Россия, Бразилия и США. Среди пострадавших исследователи обнаружили американские вузы, медицинские фирмы и компании, занимающиеся кибербезопасностью.
nexmen-3.png
Текущая версия малвари использует огромную коллекцию пейлоадов в процессе атаки. Так, Smominru загружает и запускает почти двадцать различных скриптов и бинарников. Исследователи пишут, что инфраструктура операторов ботнета включает в себя более 20 серверов, каждый из которых обслуживает несколько файлов, и каждый файл ссылается на еще 2-3 дополнительных сервера. Кроме того, многие файлы размещены на нескольких серверах, что повышает гибкость и устойчивость инфраструктуры.
Smominru_infra.png
 

Serggik00

Местный житель
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА

Serggik00

Местный житель
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
31 Май 2018
Сообщения
957
Реакции
738
Репутация
22
1569018808597.png
💳 Банк Америки тестирует новые карты, в которых CVV меняется каждые 4 часа, как вам такая тема?
 

Kleiman

Постоянный участник
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
PREMIUM USER
ЮБИЛЕЙНАЯ ЛЕНТА

Kleiman

Постоянный участник
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
PREMIUM USER
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Апр 2019
Сообщения
195
Реакции
187
Репутация
16
Serggik00 @Serggik00 , в таком случае задача отработать картонку Банка Америки становиться невозможной)
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Лев Матвеев: «Видим новость про утечку данных по вине хакера, а на самом деле там жирный след инсайдера»
3aeb2ae33a354b2a81088a0baf32a0a1.jpg

Ранее мы уже

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

со Львом Матвеевым, председателем совета директоров

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

. Его компания создает ПО для защиты от внутренних угроз — корпоративного мошенничества, утечек данных и рисков, связанных с действиями сотрудников. Сейчас «СёрчИнформ» вывела на рынок сразу два новых продукта и, кажется, пытается заменить ими целые классы отдельных решений. О том, зачем DLP-вендору ломиться сразу во все двери — DCAP, DAM, SIEM, аутсорсинг информационной безопасности, — поговорили в интервью ниже.

— Начнем издалека. Вы в свое время решили сосредоточиться на разработке решений для защиты от внутренних угроз, хотя защита от кибератак была «на пике». Рынок сформирован, спрос стабильный. Почему не пошли в эту область, а занялись «непопулярными» DLP?


— Хотелось применить то, что мы уже хорошо умели, на новом для себя рынке. К моменту, когда мы начали разработку DLP-системы, за плечами уже был долгий путь создания решений на основе технологий поиска по неструктурированной информации, анализа данных. Этот опыт как нельзя лучше подошел для защиты от внутренних угроз.



— Насколько в тот момент был оформлен спрос на защиту данных и как быстро он менялся?


— Спрос был, но маленький. И понятно почему. Сами решения на тот момент были громоздкими, но имели скромные возможности. Чтобы настроить систему, нужно было привлекать лингвистов, все это занимало до полугода, а за триал один из первых игроков на рынке просил — оцените цифру — 5 тысяч долларов. Сейчас это невозможно себе представить. В общем, DLP тогда — это долго, дорого, с непонятным эффектом. Такой «космический корабль», который попробовать решались только единицы.


Мы пришли на рынок с другим подходом, и это позволило расширить его во много раз за короткое время. Изначально сделали ставку на развитие аналитики в DLP-системе. Также создали отдел внедрения, который был на связи с клиентом постоянно и аккумулировал все запросы на доработки. Сосредоточились на контроле корпоративных мессенджеров, первыми среди вендоров научились полноценно контролировать Skype, вводили в DLP функционал, нетипичный для этого класса систем, чем очень раздражали конкурентов. «Зачем клиентам контроль AD в DLP-системе, это же должна делать SIEM?!» — пока они говорили, мы делали то, что необходимо заказчику, потому нас и выбирали.


— Какие угрозы были актуальны на заре становления рынка DLP в России? А какие — сегодня?


— Базовые угрозы остались те же, но поменялась степень их выраженности. 15 лет назад, когда мы начинали, интернет не был так развит и работал на существенно меньших скоростях. Соответственно, никто не мог переслать гигабайты данных, слить базу на 4 млн адресов или скачать в облако чертеж секретной разработки.


Как только интернет стал массовым, он породил множество новых каналов перемещения данных. В результате вся критическая информация ушла в электронный вид. Сегодня соцсети — это мало того, что самый доступный канал передачи информации, так еще и, по сути, СМИ, которое может влиять на репутацию компании.


Но новые технологии позволяют и быстрее распознать мошенничество, успешнее его расследовать. Раньше могли договариваться об откате по домашнему телефону или при встрече. Сейчас в мессенджерах и почте, а это общение уже оставляет цифровые следы.


В результате DLP-системы, которые изначально работали только как инструмент защиты от утечек информации, сейчас используются гораздо шире. Например, сейчас одна из задач — формирование групп риска. DLP собирает массу информации, и не анализировать ее глупо. Совсем недавно заказчик поделился историей: увидел среди алертов, как сотрудники обсуждают в рабочем мини-чате совместно проведенные выходные. Сработало оповещение по тематике «наркотики». Действительно, двое менеджеров обсуждали, как принимали запрещенные вещества и кто что при этом чувствовал. Что делать в таких случаях, каждый работодатель решает сам. Однако иметь в штате сотрудника-наркомана, игромана или нарушителя закона — риск, о котором нужно знать.


— Вендоры идут по одному из двух путей: все разрабатывают сами или интегрируют чужие решения в собственное. Вы выбрали первый путь?


— Не совсем так. Мы разрабатываем сами то, в чем имеем компетенции. Наше — это контроль информации, обработка, анализ, поиск. А, например, распознавание текста на изображении — это не наше. Есть давно работающие инструменты, и мы не будем тратить годы разработки, чтобы повторить чужой опыт. Потому мы встроили в наши продукты OCR от ABBYY, а также бесплатный аналог. Клиентам есть из чего выбрать.


— На чем основываются решения по дальнейшему развитию продукта?


— По большому счету все, что выходило за последние годы, — это ответ на потребности заказчиков. Мы не считаем себя умнее тех, кто каждый день работает с системой, кто видит, как она будет лучше решать задачи защиты бизнеса.



Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

появилась после множественных запросов. Клиентов не устраивало, что в классическом понимании SIEM — это «игрушка» для айтишников, что сотрудники ИБ не могут настроить систему под себя без привлечения IT-специалистов — собственных или вендора. Под эти потребности сначала мы дорабатывали функционал «СёрчИнформ КИБ», а после приняли решение выпустить отдельный продукт. В результате появилась система, которая легко разворачивается, настраивается — да еще и бесшовно интегрирована с DLP. Заказчиков это привлекает.



Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

— ответ на желание клиентов предотвращать, а не отрабатывать уже случившийся инцидент. Мы первыми создали рабочий модуль, который позволяет просчитывать риски там, где еще нет видимых признаков нарушений.
untitled.png

На

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

было много предзаказов: рынок нуждался в отечественном решении с широким функционалом по приемлемой цене. До сих пор были представлены только иностранные аналоги, которые этим требованиям не соответствовали. Один из заказчиков пришел с конкретным кейсом. Он увидел дорогостоящее исследование рынка, которое стоило его компании около 100 тысяч долларов, в интернете. Как выяснили, права доступа к файлу были у нескольких десятков человек, но кто-то переложил документ в общую папку, и исследование оказалось в доступе у 300 сотрудников. Так от запросов конкретных клиентов появился новый продукт для всего рынка.


Все последующее развитие тоже будет происходить от задач клиентов. До нового года мы выпустим в релиз еще один новый продукт — «СёрчИнформ Database Monitor», который решит проблему контроля действий с базами данных.


Тут отмечу, что мы не просто делаем защитные решения: наша цель — построить полноценный контур информационной безопасности компании. Это комплексный подход к ИБ, о котором много говорят, но мало кто делает. Мы избавляем заказчика от «зоопарка» решений в части внутренней безопасности и даем ему несколько классов решений в едином интерфейсе.


— Как оцениваете защищенность отечественных компаний сегодня?


— Картина очень разношерстная. Даже в банках, где, как принято считать, все хорошо, ситуация бывает плачевной. Но если пытаться нарисовать какую-то общую картину, тяжелая ситуация в компаниях со штатом до 250 человек. Бизнесы уже не маленькие, угроз хватает, но оснащенность ИБ-решениями еще недостаточная. При этом с развитием цифровизации число утечек и инцидентов будет увеличиваться просто из-за того, что самой цифровой информации становится больше.


Госорганы наши — вообще отдельная тема для разговора. Утекает отовсюду, при этом зачастую никто даже не планирует разбираться. После утечек в МФЦ в Москве руководящие работники переложили ответственность на самих граждан — мол, это они должны были понимать все и удалять с компьютеров персональные данные. Вообще, проблема с госорганами системная: они обладают самой критичной информацией о гражданах, а защищать ее не спешат. Пока директивно не введешь конкретные меры и инструменты защиты, никто не зашевелится. Это нужно сделать, ИБ-эксперты много лет об этом твердят, но воз и ныне там.


Справедливости ради нужно отметить, что даже в бизнес-компаниях, которые вооружены до зубов ИБ-решениями, есть проблемы. Они часто используют не все функции защитных программ, у них много рутины, есть проблема кадрового голода — в компаниях просто нет достаточного количества ИБ-специалистов.


В том числе чтобы помогать решать эту задачу, в этом году мы открыли направление

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

. Мы забираем на себя самое трудоемкое: технический аудит, настройку оборудования, анализ данных, расследования. Аутсорсинг подойдет и тем компаниям, где вообще нет ИБ-специалиста, и тем, где отдел нужно усилить.


— И как, доверяют аутсорсингу?


— Когда выводили продукт на рынок, опасались, что встретим сопротивление. Это нормальная настороженность: как это взять и отдать на сторону контроль над критической информацией? Но мы сами верили в эту услугу, и рынок встретил аутсорсинг приветливо. Первые результаты хороши, клиенты видят, что мы экономим им время и деньги, закрываем большой пласт работы.


У первого же клиента на пилоте обнаружили десятки фактов злоупотребления служебным положением и воровства, в том числе среди топ-менеджмента. Одна только оптимизация штата принесла ощутимый эффект в реальных деньгах. А там кроме простых бездельников был топ-менеджер с собственной фирмой-боковиком, куда он уводил клиентов; был еще начальник отдела закупок, погрязший в откатах, и масса рядовых сотрудников, которые в рабочее время выполняли задачи для других компаний, в том числе для конкурентных организаций. И ведь руководитель этой компании-заказчика искренне недоумевал, почему бизнес в последнее время затормозился, «болеет и чихает».


— Каковы ваши прогнозы по угрозам и путям развития ИБ-рынка?


— Пока растет цифровизация и данные продолжают переходить в цифру, будет нарастать и число угроз. А этот процесс продолжается и в бизнесе, и в госсекторе. В последнем вообще заявлены мегапроекты, например сервис «Цифровой профиль», в котором государство объединит вообще все данные о человеке — от персональных данных, включая биометрию, до диагнозов. И если от хакерских атак все худо-бедно научились защищаться, то инсайдерские угрозы, судя по текстам законов, вообще не учитывают. В госпрограмме цифровизации нет директив на использование решений eDiscovery, DLP-систем, решений для контроля активности сотрудников, инструментов расследования.


Так что настораживает, что информатизация идет быстрее оснащенности защитными средствами. Поэтому видим новость про утечку данных по вине хакера, а на самом деле там жирный след инсайдера.


С 24 сентября по 21 ноября «СёрчИнформ» проводит серию конференций RoadShow SearchInform, где будут продемонстрированы 50 реальных инцидентов, которые были расследованы с помощью ИБ-программ. Посмотреть программу и

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Иранские хакеры Tortoiseshell атакуют отставных американских военных

1790251_800.jpg
Эксперты Cisco Talos обнаружили вредоносный сайт, созданный иранскими хакерами, через который устройства бывших американских военных пытаются заразить малварью.


Ресурс расположен по адресу hiremilitaryheroes[.]com и якобы предлагает работу отставным военным (см. иллюстрацию выше). Для получения доступа к предложениям о работе нужно загрузить специальное десктопное приложение. Оно, разумеется, является фейком и лишь устанавливает на машину малварь, при этом показывая пользователю поддельное сообщение об ошибке при установке.
ts-iran-veterans-app.png

Проникнув в систему, вредонос собирает информацию о технических характеристиках зараженной машины и передает собранные данные на почтовый ящик Gmail, контролируемый злоумышленниками. Так, малварь собирает информацию об операционной системе, количестве процессоров, конфигурации сети, периферийном оборудовании, версиях прошивок, контроллере домена, имени администратора, списке учетных записей, системных дате и времени, драйверах и так далее. Очевидно, эти данные могут пригодиться злоумышленникам для организации дальнейших атак.


Кроме того, в систему устанавливается троян удаленного доступа, который способен запускать файлы, загруженные извне, выполнять sell-команды и, при необходимости, может удалить себя с компьютера хоста.


Исследователи Cisco Talos пишут, что им неизвестно, какие методы хакеры могли использовать для распространения ссылок на этот сайт, так как эксперты ничего не обнаружили. Предполагается, что ресурс могли обнаружить до того, как злоумышленники начали активно рекламировать его среди военных.


Эксперты связывают эту кампанию с недавно замеченной хак-группой Tortoiseshell, которую, предположительно, направляет иранское правительство. Об этой группе пока известно не так много, если не считать

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, опубликованного на прошлой неделе.


По информации Symantec, ранее эта группировка участвовала в атаках на цепочку поставок, нацеленных на 11 ИТ-провайдеров из Саудовской Аравии. Считается, что целью этих атак было использование инфраструктуры скомпрометированных компаний для доставки малвари в сети их клиентов.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Avast: 57% россиян не смогли отличить фишинговый сайт от настоящего

Специалисты Avast провели опрос среди 1011 российских пользователей, предложив им отличить фальшивую версию страницы входа «ВКонтакте» от настоящей. Более половины респондентов (57%) выбрали в итоге фишинговую версию, тогда как 43% выбрали скриншот реальной страницы входа.
image006.png
Фишинговая версия
image007.png
Настоящая страница входа


Кроме того, Avast спросил респондентов, знают ли они, что такое фишинг: более половины (55%) ответили, что не знают. После объяснения, что такое фишинг, пользователей спросили, становились ли они когда-либо жертвами фишинг-атак: 14% россиян ответили «да», а 34% оказались в замешательстве/затруднились ответить.



Виды фишинговых мошенничеств, жертвами которых стали респонденты:


  • 46% фишинговые сайты;
  • 22% email-фишинг;
  • 17% смишинг (SMS-фишинг);
  • 16% телефонные мошенничества.
«Фишинг продолжает быть очень популярным, поскольку позволяет злоумышленникам создавать масштабные атаки, используя методы социальной инженерии — тактику, которая обманом заставляет людей выполнять определенные действия. Киберпреступники используют социальную инженерию, так как предсказать поведение человека и обмануть его легче, чем взломать систему. В августе 2019 года мы заблокировали 1 942 770 попыток фишинга, направленных на 216 364 наших российских пользователей», — рассказал Алексей Федоров, глава представительства Avast в России и СНГ. — Фишинг-атаки принимают разные формы — по телефону, с помощью SMS-сообщений и даже лично. Тем не менее, наиболее распространенная форма — онлайн-мошенничества. Фишинговые ссылки, ведущие на вредоносные веб-сайты, могут доставляться в электронных письмах, поступающих от легальных отправителей. Они также могут быть прикреплены к сообщениям, отправленным в социальных сетях и приложениях, таких как Facebook и WhatsApp, или же появляться в поисковой выдаче».


Исследователи напомнили, что с целью снижения рисков пользователям не стоит переходить по ссылкам или загружать файлы из подозрительных писем, а также лучше самостоятельно вводить URL-адреса в браузере. Кроме того, иконка зеленого замка HTTPS в строке URL-адреса браузера вовсе не означает, что сайт безопасен. Хотя это значит, что соединение зашифровано, сайт все равно может быть вредоносным. Согласно данным Avast, шесть из десяти фишинговых сайтов используют HTTPS-шифрование, чтобы ввести пользователей в заблуждение.

 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Штраф в 30 тыс. евро за незаконное использование cookies
fhyefnzvbrbi2j2rkdm2n6_qyhc.jpg

Испанское агентство по защите данных (

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

) оштрафовало авиакомпанию

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

на 30 тыс. евро за незаконное использование cookies. Компанию обвинили в том, она использует необязательные cookies без согласия пользователей, а политика использования cookies на сайте не предусматривает возможность отказаться от использования таких cookies. Авиакомпания же заявила, что пользователь даёт согласие на использование cookies, продолжая использовать сайт, и может отключить их использование в настройках браузера, а также отозвать согласие на их использование.

Регулятор установил, что такой тип согласия не является явным, и возможность запрета использования cookies через настройки браузера не означает выполнение требований закона. Размер штрафа в 30 тыс. евро был определён с учётом преднамеренного характера действий компании, длительности нарушения и количества затронутых пользователей. Такое решение регулятора соответствует недавнему

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

от 1 октября 2019 года, из которого следует, что для использования cookies необходимо активное согласие пользователя, и согласие в форме заранее установленной отметки (“галочки”) не является законным.


Требования к использованию cookies по нормам GDPR


Агентство по защите данных при принятии решения ссылалось на местные законы Испании о защите данных, но фактически действия компании нарушают ст. 5 и 6 GDPR.

Можно выделить следующие ключевые требования к использованию cookies по нормам GDPR:

  • у пользователя должна быть возможность отказаться от использования cookies, которые не требуются для функционирования сервиса, как до начала их использования, так и после;
  • каждый тип cookies может быть принят или отклонен независимо от остальных, без использования одной кнопки с согласием на все типы cookies;
  • согласие на использование cookies путём продолжения использования сервиса не считается законным;
  • указание на возможность отключить cookies через настройки браузера может дополнять механизмы отказа от их использования, но отдельно не считается полноценным механизмом отказа;
  • каждый тип cookies должен быть описан с точки зрения функционала и срока обработки.

Другие подходы к работе с cookies

В России регулирование cookies по ФЗ “О персональных данных” имеет свои особенности. Если считать cookies персональными данными, то для их использования требуется уведомление и согласие пользователя. Это может отрицательно сказываться на конверсии сайта либо полностью заблокировать работу отдельных инструментов аналитики. В отдельных случаях может считаться допустимым использование cookies без согласий и уведомлений. В любом случае, для каждой модели работы с cookies можно подобрать правовые механизмы с наименьшим влиянием на эффективность взаимодействия сайта и пользователя.

Наиболее прогрессивным подходом к работе с cookies является подход, при котором сайт не формально уведомляет пользователя об их использовании, а объясняет необходимость cookies и мотивирует добровольно дать согласие на их использование. Большинство пользователей даже не догадываются, что именно благодаря cookies они могут сохранить нужные данные при закрытии страницы сайта — заполненные формы или корзины с товарами интернет-магазинов.

Подход, при котором сайты стеснительно уведомляют пользователей о cookies и даже не пытаются запросить согласие, не даёт преимуществ ни сайтам, ни пользователям. У многих пользователей сайтов сложилось мнение, что использование cookies на сайте означает недобросовестное использование персональных данных, которое пользователи вынуждены терпеть, чтобы пользоваться сервисом. И редко бывает очевидным, что cookies работают на пользу не только владельца сайта, но и самого пользователя.
 

Serggik00

Местный житель
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА

Serggik00

Местный житель
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
31 Май 2018
Сообщения
957
Реакции
738
Репутация
22
Штраф в 30 тыс. евро за незаконное использование cookies
Посмотреть вложение 10810

Испанское агентство по защите данных (

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

) оштрафовало авиакомпанию

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

на 30 тыс. евро за незаконное использование cookies. Компанию обвинили в том, она использует необязательные cookies без согласия пользователей, а политика использования cookies на сайте не предусматривает возможность отказаться от использования таких cookies. Авиакомпания же заявила, что пользователь даёт согласие на использование cookies, продолжая использовать сайт, и может отключить их использование в настройках браузера, а также отозвать согласие на их использование.


Регулятор установил, что такой тип согласия не является явным, и возможность запрета использования cookies через настройки браузера не означает выполнение требований закона. Размер штрафа в 30 тыс. евро был определён с учётом преднамеренного характера действий компании, длительности нарушения и количества затронутых пользователей. Такое решение регулятора соответствует недавнему

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

от 1 октября 2019 года, из которого следует, что для использования cookies необходимо активное согласие пользователя, и согласие в форме заранее установленной отметки (“галочки”) не является законным.


Требования к использованию cookies по нормам GDPR

Агентство по защите данных при принятии решения ссылалось на местные законы Испании о защите данных, но фактически действия компании нарушают ст. 5 и 6 GDPR.

Можно выделить следующие ключевые требования к использованию cookies по нормам GDPR:


  • у пользователя должна быть возможность отказаться от использования cookies, которые не требуются для функционирования сервиса, как до начала их использования, так и после;
  • каждый тип cookies может быть принят или отклонен независимо от остальных, без использования одной кнопки с согласием на все типы cookies;
  • согласие на использование cookies путём продолжения использования сервиса не считается законным;
  • указание на возможность отключить cookies через настройки браузера может дополнять механизмы отказа от их использования, но отдельно не считается полноценным механизмом отказа;
  • каждый тип cookies должен быть описан с точки зрения функционала и срока обработки.

Другие подходы к работе с cookies

В России регулирование cookies по ФЗ “О персональных данных” имеет свои особенности. Если считать cookies персональными данными, то для их использования требуется уведомление и согласие пользователя. Это может отрицательно сказываться на конверсии сайта либо полностью заблокировать работу отдельных инструментов аналитики. В отдельных случаях может считаться допустимым использование cookies без согласий и уведомлений. В любом случае, для каждой модели работы с cookies можно подобрать правовые механизмы с наименьшим влиянием на эффективность взаимодействия сайта и пользователя.

Наиболее прогрессивным подходом к работе с cookies является подход, при котором сайт не формально уведомляет пользователя об их использовании, а объясняет необходимость cookies и мотивирует добровольно дать согласие на их использование. Большинство пользователей даже не догадываются, что именно благодаря cookies они могут сохранить нужные данные при закрытии страницы сайта — заполненные формы или корзины с товарами интернет-магазинов.

Подход, при котором сайты стеснительно уведомляют пользователей о cookies и даже не пытаются запросить согласие, не даёт преимуществ ни сайтам, ни пользователям. У многих пользователей сайтов сложилось мнение, что использование cookies на сайте означает недобросовестное использование персональных данных, которое пользователи вынуждены терпеть, чтобы пользоваться сервисом. И редко бывает очевидным, что cookies работают на пользу не только владельца сайта, но и самого пользователя.
Потому что уже просто оборзели! Я сам недавно не смог прродолжить пользоваться сайтом одним , пока не согласишься с условиями использования куков, дальше не тронешься!
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Akamai: 90% фишинговых сайтов остаются онлайн менее суток


Phishing-Attack-680x400.png

Бренд Microsoft

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

безусловным фаворитом у организаторов фишинговых кампаний. Как рассказали эксперты Akamai, по количеству поддельных страниц американский IT-гигант в разы обгоняет Paypal, DropBox и DHL, которые также заняли верхние строчки рейтинга.


Такие данные содержатся в очередном исследовании State of the Internet, которое посвящено фишинговым технологиям. Авторы вывели на первый план значение

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

— готовых к работе решений, которые позволяют разворачивать вредоносные страницы и красть пользовательские данные.

Анализ фишинговых пакетов

Содержание подобных пакетов варьируется от простых HTML-форм до многофункциональных продуктов, способных скрываться от защитных систем и атаковать цели по точным настройкам таргетинга. Фишинг-паки можно взять в аренду — злоумышленники разворачивают полноценные интернет-сервисы с возможностью анализировать и настраивать кампании, отслеживать обновления ПО.


За неполные девять месяцев исследования эксперты обнаружили тысячи вредоносных доменов, на которых использовались десятки различных наборов. Чаще всего преступники оформляют посадочные страницы под сайты Microsoft — специалисты увидели этот бренд в 62 пакетах, развернутых на 3,9 тыс. сайтов. На втором месте по популярности оказался сервис PayPal (14 фишинг-паков, 1,7 сайтов). Далее идут социальная сеть LinkedIn (6 пакетов, 1,6 тыс. доменов) и система цифровых подписей DocuSign (4 пакета, 400 доменов).

akamai-phishing-2019-1024x565.png
Помимо технологического сектора, от фишинговых атак страдают пользователи интернет-магазинов, банковских систем и развлекательных сервисов

Применение фишинговых пакетов в атаках

По словам аналитиков, у злоумышленников есть два пути — они могут выкладывать фишинг-паки на собственных площадках или встраивать их в чужие веб-ресурсы.


Второй вариант помогает преступникам дольше избегать блокировки. Аналитические системы постоянно отслеживают и блокируют домены, на которые поступают жалобы о нежелательной активности, причем новые площадки привлекают особое внимание. Прикрываясь чужим сайтом, фишеры получают некоторый запас времени за счет его положительной репутации.


Однако чтобы взломать интернет-ресурс, преступникам нужно найти уязвимость в его CMS или веб-сервере, а это может быть непросто. Поэтому чаще фишеры предпочитают вести кампании на множестве собственных доменов, которые они закупают в оптовых масштабах. Исследователи подсчитали, что около 90% таких адресов оказываются заблокированы в первые сутки. Преступникам хватает этого времени, чтобы окупить затраты на создание сайта и даже выйти в плюс. Еще 5% ресурсов прекращают работу в течение трех дней.


Чтобы продлить жизнь вредоносной страницы, их создатели проверяют, не связаны ли сетевые данные очередной жертвы с ИБ-компаниями и крупными интернет-организациями вроде Amazon или Google. Многие вредоносные пакеты автоматически генерируют URL и прочие данные, затрудняя блокировку по черным спискам.

Чем опасны фишинговые атаки и как от них защититься

Как указали исследователи, угрозы фишинговых кампаний не ограничиваются компрометацией частной и корпоративной информации. Зачастую такая атака оказывается лишь первым звеном в цепочке вредоносных действий, а преступники стремятся не просто перепродать украденные данные, а установить долгосрочную слежку за жертвой.


Так, почти 80% случаев кибершпионажа так или иначе связаны с фишинговой активностью. Авторитарные государства используют эти методы, чтобы заразить устройства диссидентов, недобросовестные компании пытаются узнать секреты конкурентов. В других сценариях фишинговый инцидент помогает взломщикам собрать данные об инфраструктуре целевой организации, получить доступ к ее партнерам и контрагентам, подготовить почву для атаки

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


Менее очевидные угрозы связаны с особенностями разработки фишинг-паков. Как рассказали исследователи, создатели такого ПО не гнушаются плагиатом — в продуктах встречаются идентичные участки кода. Таким образом ошибки и баги оригинального фишинг-пака распространяются на его копии. Если такой пакет попадает на легитимный веб-ресурс, пораженная площадка становится уязвимой перед возможными атаками.


Эксперты подчеркивают, что в нынешних условиях для защиты от фишинга уже недостаточно обучения пользователей. Преступники учитывают растущую цифровую грамотность жертв и постоянно развивают методы атак. Чтобы не пострадать от их действий, компаниям следует использовать специализированные защитные решения, которые автоматически блокируют подозрительную активность внутри инфраструктуры.


Ранее аналитики «Лаборатории Касперского»

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что в 2019 году пользователи стали меньше поддаваться на уловки фишеров. По их словам, в январе-марте попыток пройти по вредоносным ссылкам было на 35 млн меньше, чем в последнем квартале 2018-го.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Группировка Platinum снова атакует и обзавелась новым бэкдором

«Лаборатория Касперского»

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что хак-группа Platinum, активная в Азиатско-Тихоокеанском регионе (APAC), вновь демонстрирует активность и новый инструмент — бэкдор, получивший название Titanium (таким паролем был зашифрован один из SFX-архивов, обнаруженный во время анализа).


Напомню, что APT Platinum

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

специалистами компании Microsoft еще в 2016 году. Тогда сообщалось, что группировка активна как минимум с 2009 года и атакует в основном организации в странах Южной и Юго-восточной Азии.
titanium-the-platinum-group-strikes-again-1.png
Titanium — это финальный этап заражения в многоуровневой схеме установки трояна на атакуемую систему. Все этапы успешно скрываются на компьютере жертвы благодаря тому, что каждый из них выдает себя за популярное ПО (антивирусные продукты, утилиты из дистрибутива со звуковыми драйверами, программы для создания DVD-видео).


Как уже было сказано, Titanium представляет собой последовательность из нескольких этапов внедрения вредоносного ПО на компьютер жертвы, где конечным результатом атаки является троян-бэкдор. В каждом конкретном случае для осуществления атаки обычно используется следующий набор вредоносного ПО:

  • эксплоит, позволяющий исполнять вредоносный код с правами SYSTEM;
  • шеллкод, который должен загрузить на атакуемую систему следующий компонент схемы заражения;
  • загрузчик, скачивающий защищенный паролем SFX-архив с командного сервера. Архив содержит файлы, необходимые для добавления задачи в планировщик задач Windows. Благодаря созданной задаче, зловред закрепляется в системе;
  • защищенный паролем SFX-архив, содержащий установщик трояна-бэкдора;
  • скрипт-установщик бэкдора в систему (PowerShell);
  • DLL-библиотека COM-объекта (загрузчик бэкдора);
  • собственно, сам троян-бэкдор (Titanium).

По мнению исследователей, для распространения на компьютеры жертв Titanium использует локальные веб-ресурсы. Еще одним известным способом распространения малвари является использование шеллкода, который внедряется в память какого-либо процесса. В рассматриваемой аналитиками кампании использовался системный процесс winlogon.exe, однако неизвестно, каким образом шеллкод попадал на компьютеры жертв.


Для общения с управляющим сервером вредонос применяет стеганографию. Так, при формировании запроса к управляющему серверу используются параметр UserAgent из конфигурации и специальный алгоритм генерации cookie-строки. Также, малварь может использовать системные настройки прокси из Internet Explorer.


В ответ на этот запрос командный сервер отдает PNG-файл, который содержит спрятанные с помощью стеганографии данные. Эти данные зашифрованы тем же ключом, что используется в запросах управляющему серверу. Расшифрованные стеганографические данные содержат команды для бэкдора и аргументы к ним.
titanium-the-platinum-group-strikes-again-7.png
В итоге бэкдор может принимать множество различных команд, приводим только самые интересные из них:

  • чтение любого файла на компьютере жертвы и отправка его на управляющий сервер;
  • загрузка (или удаление) файла на компьютер жертвы;
  • загрузка и запуск файла;
  • запуск командной строки с последующей отправкой результатов работы на управляющий сервер;
  • обновление параметров конфигурации (кроме ключа шифрования трафика);
  • интерактивный режим. Позволяет принимать от злоумышленника данные для ввода в консоль с отправкой результатов на сервер.

Таким образом, Titanium представляет собой довольно сложную и многоуровневую схему из загружаемых и устанавливаемых на компьютеры жертв компонентов. Такой подход требует хорошей координации действий между каждым из компонентов. Вдобавок, ни один из загружаемых и устанавливаемых на файловую систему компонентов не может быть определен как вредоносный, ведь авторы Titanium применяют шифрование для каждого из загружаемых на диск файла в сочетании с «бесфайловыми» техниками запуска кода. Другим ключевым моментом является использование имен каталогов и файлов реально существующего и популярного ПО.

 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Эксперты нашли связь между вымогателем PureLocker и хак-группами Cobalt и FIN6

Специалисты Intezer и IBM X-Force

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, который написан на PureBasic и способен атаковать Windows, Linux и macOS. Интересно, что операторы малвари, похоже, пользовались услугами того же MaaS-провайдера, что и хак-группы Cobalt и FIN6.


PureLocker оставлялся незамеченным на протяжении нескольких месяцев, так как авторы малвари различными способами уклонялись от внимания исследователей. К примеру, образец для Windows маскировался под криптографическую библиотеку C++ под названием Crypto++, и использовал функции, обычно встречающиеся в библиотеках для воспроизведения музыки. В итоге малварь оставалась незамеченной антивирусными решениями на VirusTotal в течение нескольких недель. Кроме того, PureLocker не проявляет вредоносное и подозрительное поведение, если работает в песочнице или отладочном окружении. Более того, в таком случае пейлоад вообще удаляется после выполнения.
pasted-image-0-4.png

Если говорить о шифровании файлов, здесь PureLocker мало отличается от других вымогателей, хотя и стремиться заразить не максимальное количество жертв, а используется для скрытных, направленных атак. Он меняет расширение файлов на .CR1 и использует алгоритмы AES и RSA, не оставляя жертвам возможности восстановления данных, удаляя теневые копии. Вредонос не блокирует все файлы в скомпрометированной системе, избегая исполняемых файлов.


Изучив малварь более детально, эксперты заметили кое-что интересное: вредонос, конечно, не имеет никакого отношения к Crypto++, и хотя по большей части он оказался уникальным, в нем также был замечен код, присущий другим семействам малвари, в основном связанным с хак-группой Cobalt.
pasted-image-0-8.png

Как оказалось, PureLocker использует в работе бэкдор More_Eggs, который продается в даркнете и также известен под названиями Terra Loader и SpicyOmelette. Исследователи давно связывают этот бэкдор с провайдером MaaS (Malware-as-a-Service), чьими услугами пользуются группировки

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

и

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


В итоге аналитики Intezer выдвинули предположение, что за созданием More_Eggs и PureLocker стоят одни и те же люди.Так, компоненты COM Server DLL в обоих случаях написаны на PureBasic, стадия атаки перед пейлоадом выглядит практически идентично (как с точки зрения функциональности, так и с точки зрения кода), да и методы кодирования и декодирования тоже практически одинаковы.
pasted-image-0.png
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Шифровальщик Troldesh стал лидером по количеству атак в первой половине 2019 года

Аналитики Group-IB

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что больше половины (54%) всех почтовых рассылок вредоносных программ в первой половине 2019 пришлась на шифровальщики, при этом самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh.


Исследование, проведенное CERT-GIB, показало, что основным способом доставки вредоносных программ — шифровальщиков, банковских троянов, бэкдоров — по-прежнему остается электронная почта. Так, во второй половине 2018 года доля загрузок малвари с помощью браузера сократилась до самого минимума и составляла не более 5%, а в первой половине 2019 года только каждая 19-я загрузка не была связана с почтовой рассылкой.
1.png


В первой половине 2019 года наблюдается десятикратный рост использования запароленных объектов — документов или архивов. В 2017 году на запароленные архивы приходилось лишь 0,08% от общего количества вредоносных объектов. В 2018 году их количество выросло до 3,6%. В первой половине 2019 года наблюдается аномальный рост до 27,8%.


Другой тенденцией стала маскировка вредоносов в письмах. Чтобы обойти корпоративные средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых шести месяцев 2019 года в архивах доставлялось более 80% всех вредоносных объектов, в основном, для этого использовались форматы zip (32%) и rar (25%) Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива, либо, в ходе дальнейшей переписки с жертвой.


Также злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. Тогда как за весь 2018 год на ссылки приходилось вдвое меньше малвари.
4.png3-400x267.png

Еще одним способом обхода антивирусных решений является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.


Если в 2018 году угроза потерять деньги была связана с атаками банковских троянов и бекдоров, то в первой половине 2019 года существенно ухудшилась ситуация с шифровальщиками: они вновь уверенно вернулись на первое место (54%). В тройку самых массовых атак вошли

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

(53%), RTM (17%), Pony (6%).
5.png
Эксперты отмечают, что Troldesh — самый распространенный шифровальщик, с которым компания сталкивалась за последние несколько лет. Основная задача малвари — зашифровать данные на компьютере жертве и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем постоянно приобретает новую функциональность. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.


На втором месте — банковский троян RTM, созданный одноименной хакерской группой. Появившись в 2016 году RTM привлек особое внимание тем, что получение списка управляющих серверов происходило при обращении к странице профиля на площадке Livejournal. После анализа было установлено, что RTM нацелен на хищение денежных средств через ДБО российских банков. Используя различные схемы распространения, RTM на какое-то время пропал из виду и в середине 2018 года снова заявил о себе, распространяясь через сеть поддельных бухгалтерских сайтов. Далее на протяжении всего отчетного периода использовался в различных атаках на финансовые учреждения и предприятия. С начала 2019 года количество вредоносных рассылок с RTM держится на стабильно высоком уровне.


Закрывает тройку вредоносная программа Pony Formgrabber, задача которой — хищения пользовательских паролей более чем из 100 приложений, в числе которых почтовые клиенты, мессенджеры, браузеры, FTP- и VPN-клиенты. Некоторые версии предоставляют возможности для скрытой загрузки и установки дополнительных вредоносных программ на инфицированном компьютере.

 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Вредонос Dexphot заразил более 80 000 машин
Эксперты Microsoft

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о малвари Dexphot, которая атакует Windows-машины с осени 2018 года. Так, в июне 2019 года активность вредоноса достигла пиковой точки, когда жертвами ботнета стали более 80 000 систем. Но теперь специалисты отмечают, что активность Dexphot снижается, в том числе и благодаря предпринимаемым ими контрмерам.
dexphot-stats.png

Основной целью Dexphot всегда была добыча криптовалюты и обогащение своих операторов. Но, несмотря на некоторую заурядность целей малвари, исследователи отмечают, что ее авторы применяли сложные техники, да и сам вредонс оказался не таким уж простым. Дело в том, что многие использованные вирусописателями техники скорее можно встретить, изучая работу «правительственных хакеров», но не очередной майнер.


Dexphot представлял собой пейлоад второго уровня, то есть заражал компьютеры, уже инфицированные малварью ICLoader, которая проникала в систему вместе с различными пакетами софта, или когда пользователи загружали и устанавливали взломанное или пиратское ПО.


Интересно, что установщик Dexphot был единственной частью малвари, которая записывалась на диск и лишь на короткий период времени. Для прочих файлов и операций Dexphot использовал бесфайловый метод атак, то есть запускал все только в памяти компьютера, делая присутствие малвари в системе невидимым для классических антивирусных решений, полагающихся на сигнатуры.


Также Dexphot применял технику LOLbins (living off the land), чтобы использовать легитимные процессы Windows для выполнения вредоносного кода, а не запускать собственные исполняемые файлы и процессы. К примеру, по данным Microsoft, малварь регулярно злоупотребляла msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe. Используя эти процессы для запуска вредоносного кода, Dexphot фактически становится неотличим от других локальных приложений, которые также использовали эти утилиты для выполнения своей работы.


Кроме того, Dexphot использовал технику, называемую полиморфизмом. Так, операторы Dexphot меняли имена файлов и URL-адреса, используемые в процессе заражения, каждые 20-30 минут. К тому времени, когда антивирусные решения обнаруживали паттерн в цепочке заражения Dexphot, тот менялся и позволял Dexphot оставаться на шаг впереди.
dexphot-modus-operandi.png

Так как ни одна малварь не останется незамеченной вечно, разработчики Dexphot позаботились и о механизме устойчивого присутствия в системе. Вредонос использовал технику, называемую process hollowing, чтобы запустить два легитимных процесса (svchost.exe и nslookup.exe), очистить их содержимое и запустить вредоносный код под их видом. Эти компоненты, замаскированные под легитимные процессы Windows, следили за тем, чтобы все части малвари были запущены и работали, и переустанавливали вредоносное ПО в случае необходимости.


Дополнительно Dexphot использовал серию запланированных заданий (регулярно меняя их имена), так что жертва подвергалась повторному бесфайловому заражению после каждой перезагрузки системы или каждые 90 или 110 минут. Эта функциональность также позволяла регулярно обновлять малварь на всех зараженных хостах. Ведь каждый раз, когда выполнялась одна из задач, файл загружался с сервера злоумышленников, и они могли вносить в него изменения.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Житель Ангарска взломал web-сайт с целью набраться опыта
Преступник понимал незаконность своих действий, но совершил преступление с целью обретения новых знаний.
20d6979388628f563a45f9f5ee97fe19.jpg

3 декабря Ангарской городской суд Иркутской области

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

местного 20-летнего жителя виновным в совершении кибератаки на информационный портал.


Молодому человеку предъявлены в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ (использование компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной программы).


Согласно материалам дела, ангарчанин с помощью программного обеспечения внедрил SQL-код на информационный портал. Преступник понимал незаконность своих действий, но совершил преступление с целью обретения новых знаний и развития своего профессионального уровня, сообщает пресс-служба Ангарского городского суда.


Обвиняемому назначено наказание в виде штрафа в размере 5 тыс. рублей.


Внедрение SQL-кода (SQL injection) — один из распространенных способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Внедрение SQL-кода позволяет атакующему выполнить произвольный запрос к базе данных, получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Британский политик заявил о кибератаке со стороны РФ
По словам специалистов, атака была технически сложной и ее основной целью являлся Бен Брэдшоу.
fdc82253eb061d94ceb6a204ca2b1a65.jpg

Депутат Лейбористской партии Великобритании Бен Брэдшоу (Ben Bradshaw), известный критикой российского правительства, заявил о том, что стал жертвой кибератаки. По словам политика, он получил электронное письмо якобы из России, содержащее сложное вредоносное ПО, сообщает издание The Guardian.


По словам Брэдшоу, отправителем письма являлся некто «Андрей», заявивший, что он обладает инсайдерской информацией, касающейся администрации президента РФ Владимира Путина. Письмо содержало несколько подлинных на вид документов с информацией о подразделении, занимающимся созданием фейковых новостей в России, однако два документа были заражены вредоносным кодом.


«Письмо пришло на мой аккаунт Gmail, который более уязвим, чем парламентский. Информация в письме была потенциально очень полезной и политически важной. Она была грамотно составлена, чтобы не вызывать подозрений», — сообщил Брэдшоу.


Как пишет издание, письмо было написано на грамотном английском языке и включало несколько переводов оригинальных русских документов. Само письмо было отправлено с анонимного аккаунта в ProtonMail.


После получения письма Брэдшоу обратился за помощью к ИБ-экспертам, подтвердившим, что файлы действительно были подозрительными. Затем политик сообщил об инциденте в Национальный центр кибербезопасности (NCSC). По словам специалистов, атака была технически сложной и ее основной целью являлся британский политик.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Власти США пообещали 5 000 000 долларов за российского хакера из Evil Corp, разработавшего Dridex

Министерство юстиции США

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в адрес двух россиян, которые, по информации правоохранителей, стоят за разработкой малвари Dridex и не только.


Обвинительное заключение гласит, что 32-летний

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

и 38-летний

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

были разработчиками известнейшего банковского трояна Dridex, и Якубец выступал лидером группы. Кроме того, Якубца также обвиняют в разработке и распространении еще одного известного банкера, ZeuS, предшественника Dridex, действовавшего в период с 2007 по 2010 годы. Напомню, что впервые Dridex был замечен исследователи в 2011 году, через год после того, как в сети были опубликованы исходные коды ZeuS.
1.jpg2.jpg

По информации правоохранителей, Якубец использовал ZeuS, чтобы похитить у его жертв более 70 000 000 долларов США. Но при этом основной разработкой Якубеца назван именно Dridex, а также построенная вокруг него экосистема, которая принесла хакеру еще около 100 000 000 долларов США.


Изначально название Dridex было присвоено классическому банковскому трояну, который появился в 2011 году и воровал банковские учетные данные с зараженных хостов, внедряя поддельные страницы логина в браузеры жертв. Позже с названием Dridex стали ассоциировать и другую вредоносную активность его операторов, включая ботнет Necurs и вымогателя BitPaymer. По сути, ИБ-исследователи стали обозначать именем Dridex преступную группу, хотя сами хакеры часто назвали себя Evil Corp.


Еще в 2014 году Национальное криминальное агентство Великобритании

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

эту группировку «самой опасной хакерской группой в мире». По данным агентства, опубликованным теперь, Якубец нанимал десятки людей для управления различными операциями Evil Corp и не стеснялся хвастаться своим незаконно нажитым богатством в социальных сетях. Так, он часто публиковал фото дорогих автомобилей (к примеру, расписанную на заказ Audi R8 или Lamborghini Huracan), пачек денег и так далее.
cybergroup.png


Власти США

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, что Якубец и его сообщники не только сами использовали Dridex, но также позволяли другим преступникам распространять малварь от своего имени, при условии получения первоначального взноса в размере 100 000 долларов, а также 50% всех доходов (минимум 50 000 долларов в неделю).


Известно, что второй подозреваемый, Игорь Турашев, был разработчиком Dridex. Минюст США утверждает, что он выполнял разные обязанности, включая системное администрирование, управление внутренними контрольными панелями и наблюдение за операциями ботнета. Кроме того, считается, что именно он организовал спам-кампании и позже использовал Dridex для установки вымогателей на компьютеры жертв.


В настоящее время Якубец и Турашев по-прежнему находятся свободе и, по информации ФБР, проживают в Москве. И теперь власти США предлагают вознаграждение в размере 5 миллионов долларов за любую информацию, которая может привести к аресту Максима Якубца.


Помимо заочного предъявления обвинений и назначения вознаграждения

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в отношении 24 организаций и лиц, которые связаны с Evil Corp и Якубцом. Теперь для них ограничен доступ к активам и международным финансовым системам.


Объявления властей сопровождались видеоконференцией, на которой было объявлено, что, по мнению американских правоохранителей, Якубец с 2017 года сотрудничает с российским правительством. Утверждается, что он помогает российским спецслужбам собирать конфиденциальную информацию с компьютеров жертв Dridex. При этом власти США подтвердили, что в ходе расследования работали с российскими правоохранительным органам, которые ответили на их запросы и «в какой-то степени» помогли.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Преступники создали инструменты для взлома камер Ring

Легче всего взлому поддаются камеры без двухфакторной аутентификации.
59e0f60ba93e559da541d3bb75acaa51.jpg

Киберпреступники создали специальное программное обеспечение для взлома камер компании Ring, специализирующейся на разработке устройств для «умного» дома.


Домашние камеры Ring работают с мобильным приложением, позволяющее наблюдать за происходящим в режиме реального времени и использовать динамик для общения через камеру. Как сообщили местные СМИ, злоумышленник взломал камеру Ring в спальне трех молодых девушек в округе Де-Сото, штат Миссисипи, и общался через динамики устройства с одним из детей. Владельцы камеры не настроили двухфакторную аутентификацию для устройства, что значительно облегчило взлом камеры.


На различных форумах в даркнете преступники обсуждают создание инструментов для взлома учетных записей Ring, подключенные к камерам, сообщает Motherboard. Например, в теме Ring Video Doorbell Config идет речь о файле, используемом для управления ПО для быстрого подбора учетных данных для входа в аккаунты. Подобным образом преступники разработали конфигурации для разных web-сайтов и online-сервисов - от Uber до Facebook.


В другой ветке один пользователь форума предлагает инструмент для подбора учетных данных Ring.com за $6.


Компания Ring начала расследование инцидента и настоятельно рекомендует пользователям включить двухфакторную аутентификацию, а также использовать надежные пароли и регулярно менять их.


Напомним, ранее стало известно, что Ring на протяжении года

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

правоохранительным органам доступ к тепловой карте, позволяющей полиции видеть все установленные видеодомофоны, а также следить за пользователями.
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Ученые придумали, как повысить эффективность и снизить задержки в Tor

Новый метод предполагает оптимизированный и упрощенный подход к передаче трафика в цепочках Tor.
68133aea31d6c499094e1b79780d15f8.png

Группа ученых из Рурского университета, Вуппертальского университета и университета Падерборна

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

способ повысить эффективность и сократить время задержек в Tor и прочих onion-сетях. Новый метод предполагает оптимизированный и упрощенный подход к передаче трафика в цепочках Tor.


Анонимные onion-сети, такие как Tor, работают путем формирования цепочек между клиентом и «пунктом назначения» с помощью узлов, отвечающих за пересылку трафика (relay nodes). На самом высоком уровне Tor работает, перекидывая соединение компьютера с целевыми через несколько компьютеров-посредников, так называемых ретрансляторов тем самым скрывая публичный IP-адрес клиента. С помощью Tor пользователи могут сохранять анонимность в Интернете при посещении сайтов, ведении блогов, отправке мгновенных и почтовых сообщений, а также при работе с другими приложениями, использующими протокол TCP.


Клиент шифрует данные так, чтобы их мог расшифровать только выходной узел, затем эти данные снова шифруются несколько раз при передаче на промежуточный и сторожевой узлы. В процессе происходит обмен криптографическими ключами с помощью протокола Диффи-Хеллмана, что занимает время и полосу пропускания.


Немецкие ученые предложили свое решение проблемы – метод T0RTT (Tor zero Round-Trip-Time), позволяющий уменьшить число этапов для установления цепочки при помощи схемы под названием puncturable encryption. Согласно докладу специалистов, это позволит «отправителю передавать криптографически защищенные данные в первом сообщении без необходимости предварительных сообщений обмена ключами». Таким образом T0RTT позволит существенно уменьшить задержки за счет снижения количества сообщений, необходимых для установки соединения, считают авторы.


Однако у метода есть и недостатки, один из них заключается в том, что из-за сложности передаваемых на узлы данных T0RTT значительно увеличит нагрузку на оперативную память и процессор. Для решения данной проблемы исследователи предлагают оснастить onion-маршрутизаторы более мощным аппаратным обеспечением или улучшить конструкцию PKEM (puncturable KEM).
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Университет вынудил 38 000 человек стоять в очереди ради сброса пароля

На прошлой неделе университет немецкий Гисенский университет имени Юстуса Либиха пострадал от атаки шифровальщика. ИТ-специалисты университета сочли заражение достаточно серьезным, чтобы увести в оффлайн всю инфраструктуру и серверы учебного заведения. Начиная с 8 декабря сеть университета не работает, а все компьютеры отключены от сети и изолированы друг от друга. Также из-за опасений, что заражение повлияет на почтовый сервер университета, в качестве меры предосторожности были сброшены все пароли от учетных записей электронной почты, используемых как студентами, так и сотрудниками.


За прошедшее с момента заражения время ИТ-специалисты использовали антивирусные сканеры, загруженные на более чем 1200 USB-накопителей, которые раздали служащим, чтобы проверить каждый компьютер на наличие малвари. Сотрудники вуза вообще проходили через это два раза: каждый компьютер сканировали на прошлой неделе, а затем еще раз в минувшие выходные. Дело в том, что второе сканирование проводилось другим инструментом и должно было точно выявить вредоносное ПО.



Но из-за особенностей немецкого законодательстве в вузе возникла почти комичная ситуация: университет не мог просто отправить новые пароли на почту пострадавшим. Вместо этого, в силу требований Немецкой национальной научно-образовательной сети, профессора и студенты были вынуждены явиться за своими паролями лично, забрав их у ИТ-специалистов университета, и обязательно предоставив при этом удостоверения личности.


В итоге в социальных сетях появились многочисленные фото происходящего, на которых тысячи людей стоят в очереди за новыми паролями.
EL_xqVAXUAMa58t.jpg
Стоит отметить, что этот необычный сброс паролей все же проходит весьма упорядоченно и организованно — с использованием специального графика, основанного на датах рождения студентов и сотрудников.
giessen.png
 

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА

Black Point

Постоянный участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
10 Мар 2019
Сообщения
147
Реакции
119
Репутация
0
Хакеры, взломавшие РЖД и S7, получили от 10 до 13 лет тюрьмы
На этой неделе Басманный суд города Москвы

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

трем россиянам, взломавшим системы РЖД и S7, и в 2014-2014 годах незаконно оформили более 5000 электронных маршрутных квитанций на общую сумму более 17 000 000 рублей (взломщики занимались фиктивным возвратом билетов).


Максим Матюшев, Андрей Жданов и Кирилл Кулабухов были признаны виновными в организации преступного сообщества, участии в преступном сообществе и мошенничестве в сфере компьютерной информации. Матюшев приговорен к 13 годам лишения свободы с отбыванием в колонии строгого режима, Жданов — к 12,5 года колонии строгого режима, Кулабухов — к 10 годам колонии общего режима.



Сообщается, что в 2013-2014 годах осужденные совершивших более 60 эпизодов мошенничества и действовали на территории Москвы, Санкт-Петербурга, Владимира, Новосибирска, Уфы, Московской области и Алтайского края. Хакеры рассылали организациям, осуществляющим продажу железнодорожных билетов, электронные письма с малварью. Когда адресат открывал письмо, программа устанавливалась в операционную систему, и злоумышленники получали полный доступ к личным кабинетам кассиров организаций.


Получив доступ к интерфейсу кассира, мошенники вводили информацию о подставных пассажирах в электронную квитанцию и осуществляли платеж за счет средств организации, после чего обналичивали денежные средства путем сдачи билетов в железнодорожные кассы.


Сообщается, что в общей сложности по делу был допрошен 31 потерпевший и более 190 свидетелей.

 
Сверху