Прошедшие три месяца стали одними из худших в истории ИТ-взломов

Прошедшие три месяца стали одними из худших в истории ИТ-взломов

Антивирусная лаборатория PandaLabs опубликовала очередной отчёт о вирусной активности, включающий анализ мероприятий и происшествий в сфере IT-безопасности в период с апреля по июнь 2011 года. Как отмечается в докладе, прошедшие три месяца стали одними из худших в истории в результате того, что хакерские группировки Anonymous и LulzSec создали полнейший хаос, жертвами которого в той или иной мере стали такие организации, как RSA Security, Министерство обороны США, Международный валютный фонд, Европейское космическое агентство, Sony, Citigroup, SEGA и многие другие.



В то время как проделки хакеров активно обсуждаются в СМИ, нет абсолютно никаких признаков уменьшения количества появляющегося вредоносного программного обеспечения.

 В течение последних трёх месяцев в значительной мере получили распространение различные виды вредоносного программного обеспечения. По данным PandaLabs, каждую минуту создаётся 42 новых образца угроз. Трояны в очередной раз стали самой популярной угрозой, составив почти 70% от всех новых вредоносных программ. Далее следуют вирусы (16%) и черви (11,6%), передает cybersecurity.

Трояны стали причиной инфицирования в 69% случаев, далее следуют вирусы (10% случаев) и черви (8,53%). Рекламное ПО (adware), которое составило лишь 1,37% от всего обнаруженного вредоносного ПО, привело к 9% заражений – это показывает, какие значительные усилия предпринимают создатели подобного программного обеспечения для его продвижения. Количество поддельных антивирусов, которые также входят в разряд рекламного программного обеспечения, по-прежнему увеличивается.

Что касается конкретных угроз, ставших причинами большинства заражений в этом квартале, очевидно, что образцы, вошедшие в первую десятку, стали причиной более 50% всех случаев заражения. Хотя это может вызвать некоторые недопонимания, поскольку многие угрозы, входящие в первую десятку, являются представителями так называемого generic malware (обнаруженного с помощью технологии Коллективного Разума), включающего различные семейства.

Среди двадцати стран с наиболее высоким уровнем заражения вредоносным ПО, представители Азии по-прежнему занимают лидирующие позиции (Китай, Таиланд и Тайвань). По данным PandaLabs, самый низкий уровень зараженности отмечается в Швеции, Швейцарии и Норвегии.


Основные инциденты в сфере IT-безопасности:

• LulzSec и Anonymous: Новая хакерская группировка LulzSec появилась во втором квартале 2011 года. Она специализируется на краже и публикации персональной информации компаний с низким уровнем безопасности, а также на организации атак, вызывающих сбой в работе систем (например, атака на сайт ЦРУ). Она также опубликовала полный перечень ранее украденной информации, включающей адреса электронной почты и пароли, что привело к взлому аккаунтов различных сервисных систем и другим видам кражи персональных данных. В конце июня LulzSec объединила усилия с организацией Anonymous для проведения операции «Анти-безопасность», призвав своих последователей осуществлять кражу и публикацию персональной информации любых государственных структур. 26 июня LulzSec опубликовали заявление в Twitter о том, что организация завершает свою деятельность. Тем не менее, они призвали хакеров продолжать операцию «Анти-безопасность» (#Antisec) и присоединиться к скрытым каналам Anonymous.

• Корпоративные инциденты: RSA, Департамент безопасности американской компании EMC Corporation, в середине марта сделало заявление о нарушениях в работе собственной системы, которые привели к распространению частной информации о двухфакторной аппаратной системе аутентификации SecurID. В мае Lockheed Martin, крупнейший поставщик IT-услуг для американского правительства и военных структур, пострадал от сетевых вторжений, которые стали следствием кражи данных RSA. Похоже, что кибер-ворам удалось взломать алгоритм, который использует RSA для генерации ключей защиты. RSA придется заменить символы SecurID для более чем 40 миллионов клиентов по всему миру, включая некоторые крупнейшие во всем мире компании.

• Sonygate: Самой печально известной атакой, произошедшей в этом квартале, стала та, от которой пострадала всемирно известная корпорация Sony. Все началось с кражи данных из собственной сети PlayStation Network (PSN), которая отразилась на 77 миллионах пользователей по всему миру. Эта атака привела к крупнейшей в истории краже данных. К сожалению, компания Sony недостаточно хорошо осведомила своих клиентов о случившейся ситуации, а потому проблема оставалась скрытой в течение нескольких дней. После этого компания Sony, наконец, придала огласке случившуюся ситуацию, но в своем заявлении представители компании ограничились лишь тем, что всего-навсего сказали об угрозе кражи некоторых пользовательских данных, хотя они должны были знать о более серьезном характере угрозы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru