Жертвами киберпреступников все чаще становятся домашние пользователи

Корпорация Microsoft опубликовала десятый выпуск глобального отчета по информационной безопасности Security Intelligence Report. В нем отмечается поляризация в поведении киберпреступников и значительное увеличение использования ими тактик обмана, имеющих своей целью кражу денег у пользователей.



Как показало исследование, взломщики продолжают использовать социальные приманки, которые кажутся пользователям маркетинговыми кампаниями и продвижением продуктов. Шесть из десяти наиболее распространенных семейств вредоносного ПО во второй половине 2010 г. перешли именно в эти категории методов атак. Используя такое ПО, злоумышленники получают деньги за счет обмана пользователей при помощи схем оплаты за клик, ложных рекламных объявлений, распродажи поддельного ПО для безопасности. В дополнение к этому, в отчете отмечается значительный рост фишинга с использованием социальных сетей в качестве приманки. По данным Microsoft, последнее исследование зафиксировало рост атак с использованием социальных сетей более чем на 1200%.

Согласно отчету, объем фишинга с использованием социальных сетей возрос с 8,3% от общего уровня использования фишинга в январе до 84,5% в декабре 2010 г. Популярность сайтов соцсетей открыла киберпреступникам широкие возможности, позволив привлечь не только ничего не подозревающих пользователей, но также их друзей, коллег и членов семьи за счет персонализации, говорится в отчете Microsoft.

Security Intelligence Report также показал, что обнаружение по всему миру вредоносного рекламного ПО выросло в период со второго по четвертый квартал 2010 г. на 70%. По данным Microsoft, это обусловлено, в том числе, появлением новой пары семей вредоносного рекламного ПО — JS/Pornpop и Win32/ClickPotato. ClickPotato является программой, отображающая всплывающие окна и рекламу в стиле уведомлений, которые обычно появляются при работе с браузером. Pornpop является семейством вредоносного рекламного ПО, которое предпринимает попытки отобразить в браузерах пользователей выскакивающую рекламу заднего плана, которая, как правило, содержит контент для взрослых.

Кроме того, мошенническое ПО для обеспечения безопасности, называемое «scareware» (от англ. scare — пугать), быстро стало одним из наиболее распространенных способов, с помощью которых киберпреступники по всему миру крадут деньги и личную информацию у пользователей ПК. Представители семейства мошеннического ПО для обеспечения безопасности, включая самый распространенный Win32/FakeSpypro, маскируются под легальные программы. Если пользователь кликнет на такое ПО, оно загрузится на его ПК автоматически. Пять ключевых мошеннических программ для обеспечения безопасности стали причиной 70%, или около 13 млн, обнаруженных преступных действий, сообщили в Microsoft.

«В то время как мошенники развивают методы атак, Microsoft и вся отрасль продолжает сотрудничать с партнерами и пользователями для улучшения безопасности и сохранности личных данных и увеличения осведомленности аудитории о существующих опасностях. Объединенные усилия помогут защитить более широкий круг онлайн-пользователей от распространенных угроз и будут способствовать разработке более безопасных программных решений для предотвращения получения мошенниками прибыли», — убежден Винни Галлотто (Vinny Gullotto), генеральный директор Центра по обеспечению защиты от вредоносного программного обеспечения Microsoft Malware Protection Center (MMPC).

Отметим, что отчет Security Intelligence Report содержит аналитику данных от более чем 600 млн систем во всем мире в период с июля по декабрь 2010 г.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Операторы шифровальщика LockBit 3.0 запустили программу bug bounty

Создатели LockBit выпустили третью версию шифровальщика и обновили свой сайт в сети Tor, который теперь содержит раздел для баг-хантеров. Хакерам всех мастей предлагают денежное вознаграждение от $1 тыс. за вклад в повышение качества вредоносного кода и надежности веб-ресурсов, используемых для вымогательства.

Атаки с использованием LockBit проводятся в интернете с 2019 года. Со временем на основе зловреда был создан RaaS-сервис (Ransomware-as-a-Service, шифровальщик как услуга); его операторы охотно вступают в партнерские отношения с другими криминальными элементами и даже пытаются наладить контакты с ИБ-сообществом.

По итогам мая LockBit возглавил список наиболее активных вымогателей по версии NCC Group — на его долю пришлось 40% таких атак, зафиксированных экспертами. Бета-тестирование LockBit 3.0, как выяснил BleepingComputer, продолжалось два месяца, в настоящее время обновленного зловреда уже используют в атаках.

Какие изменения внесены в шифратор, пока неизвестно. Файл с требованием выкупа, который вредонос создает в зараженной системе, теперь именуется [id].README.txt, где id — персональный идентификатор жертвы. (Ранее записка называлась Restore-My-Files.txt.)

Беспрецедентная для ransomware-сообщества программа bug bounty предполагает выплату премий не только за найденные уязвимости, но также за предложения по совершенствованию вымогательских операций.

 

Потенциальным участникам LockBit bug bounty предлагаются следующие категории на выбор:

  • уязвимости сайта (XSS, SQLi, возможность получения шелл-доступа, но в первую очередь проблемы, позволяющие получить декриптор без оплаты либо доступ к переписке с жертвами заражения);
  • ошибки в коде шифратора, приводящие к порче файлов или позволяющие восстановить данные без выкупа;
  • уязвимости мессенджера TOX, грозящие перехватом сообщений, выполнением вредоносного кода, раскрытием IP-адреса участника беседы и т. п.;
  • уязвимости, позволяющие получить IP-адрес сервера с сайтом LockBit 3.0 либо root-доступ к серверу базы данных и хостингу, к которому привязаны onion-домены;
  • «гениальные идеи» — предложения по улучшению сайта и повышению конкурентоспособности вредоносного софта;
  • доксинг руководителя партнерки (участник bug bounty может указать в TOX-сообщении настоящее имя босса и получить за это $1 млн в биткоинах или монеро; (подобный эксперимент по деанонимизации команда LockBit уже ставила на хакерском форуме XSS — в минувшем апреле).

Сайты LockBit 3.0 для публикации краденых данных и ведения переговоров о выкупе украшены анимацией — логотипом, вокруг которого вращаются иконки Bitcoin, Monero и Zcash. По всей видимости, операторы шифровальщика будут принимать плату не только в биткоинах и монеро, как прежде, но также в ZEC.

 

Посетителям сайта утечек LockBit 3.0 предоставляется возможность купить информацию, украденную у жертв. Встроенный с этой целью JavaScript отображает модальное окно HTML; небольшую порцию данных можно после оплаты скачать непосредственно с сайта, более объемный файл — через торрент-обменник. Список жертв LockBit 3.0 на новом сайте пока отсутствует.

К слову, в мае мы обсуждали тему программ по поиску уязвимостей на одном из эфиров AM Live. Эксперты рассказали, какие возможности предоставляют заказчикам российские платформы Bug Bounty в сравнении с ушедшей HackerOne и сколько реально могут заработать хакеры. Подробнее читайте в статье «Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru