«Лаборатория Касперского» помогла поймать фишеров

«Лаборатория Касперского» помогла поймать фишеров

«Лаборатория Касперского» приняла участие в расследовании уголовного дела о компьютерном фишинге, которое завершилось вынесением обвинительного приговора всем его фигурантам. Экспертами компании, оказывавшими правоохранительным органам помощь на всех этапах расследования, была собрана необходимая доказательная база, которая позволила впервые в российской практике, возбудить и довести до суда уголовное дело о фишинге, а суду – вынести обвинительный приговор.

История рассматриваемого дела о компьютерном фишинге началась весной 2011 года. Тогда злоумышленники приобрели вредоносную программу семейства Qhost, которую использовали для заражения компьютеров и последующей кражи кодов доступа к системе онлайн-банкинга: пользователь программы «банк-клиент» на зараженном компьютере перенаправлялся на поддельную страницу, где ему предлагалось ввести логин, пароль и код для совершения операций. Полученные данные фишеры использовали для перевода денег на другие счета и обналичивания. По данным следствия, жертвами преступников стали более 170 человек, у которых похитили около 13 миллионов рублей.

«К большому сожалению, в российской практике уголовные дела, связанные с компьютерными преступлениями, редко доходят до суда, – считает Игорь Чекунов, заместитель генерального директора «Лаборатории Касперского» по юридическим вопросам и безопасности. – Причины тому – отсутствие доказательной базы, необходимого опыта работы, технических возможностей, компетенции со стороны следственных органов, особенно, когда речь идет о таком специфическом преступлении как компьютерный фишинг. Однако нам удалось переломить ситуацию, оказав всестороннюю экспертную поддержку на всех этапах данного расследования. В результате наших совместных со следственными органами действий удалось установить всех фигурантов уголовного дела, предоставить необходимые доказательства, которые и легли в основу обвинительного судебного решения. Причем, стоит отметить, что данные прецедент является первым в российской практике».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Более половины атак через уязвимости 0-day проводятся с целью шпионажа

В 2024 году специалисты Google выявили 75 уязвимостей нулевого дня под атакой. На 56% это были дыры в браузерах, мобильных устройствах, десктопных ОС, остальные содержались в продуктах корпоративного класса.

Более половины эксплойт-атак, авторство которых удалось определить, были проведены группировками с господдержкой или пользователями коммерческих продуктов для шпионажа и слежки.

Аналитики особо отметили сдвиг в предпочтениях злоумышленников в пользу продуктов, используемых в корпоративном окружении. Из 33 обнаруженных в них 0-day 20 присутствовали в комплексных СЗИ и сетевых устройствах.

Сокращение числа атак на конечные точки эксперты объясняют успехами вендоров по повышению безопасности браузеров и мобильных устройств, а также эффективностью мер, принимаемых против эксплойта. Примечательно, что три из семи атакуемых 0-day в Android крылись в сторонних компонентах.

 

Между тем использование уязвимостей в бизнес-продуктах Ivanti, Palo Alto Networks (PAN-OS), Cisco (ASA) способно открыть злоумышленникам привилегированный доступ к корпоративным сетям. К тому же надзор за такими системами со стороны традиционных EDR сильно ограничен.

Наиболее часто эксплойту подвергались три типа 0-day: use-after-free, инъекция команд и XSS. Список вендоров, продукты которых засветились в подобных атаках, возглавили Microsoft (26 уязвимостей), Google (11), Ivanti (7) и Apple (5).

Более 45% эксплойтов удалось связать с групповой вредоносной активностью:

 

Цепочки 0-day по-прежнему в основном (~90%) применяются в атаках на мобильные устройства.

Отчет Google Threat Intelligence Group также содержит результаты анализа целевых атак CIGAR, она же UNC4895 or RomCom. В прошлом году она предпочитала использовать связку эксплойтов CVE-2024-9680 (для Firefox) и CVE-2024-49039 (к уязвимости в Планировщике Windows). Этот же тандем чуть позже помог еще одной кибергруппе провести атаку на посетителей сайта новостей криптовалютного рынка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru