Trend Micro рапотрует об угрозах хищения данных

Trend Micro рапотрует об угрозах хищения данных

В своем первом отчете Focus Report компания Trend Micro отмечает рост числа вредоносных программ для хищения данных, исследует их особенности, их истоки и подпольную экономику киберпреступности.

Хотя понятие «хищение данных с помощью вредоносных программ» появился относительно недавно, он описывает всем известную проблему: кражу конфиденциальной информации (банковских реквизитов, номеров кредитных карт, номеров социального страхования, паролей и т. д.) из сетей и персональных компьютеров в целях незаконного извлечения прибыли. Этой деятельностью занимаются подпольные криминальные организации, чья структура выходит далеко за пределы геополитических границ.

Троянские кони: восходящая звезда на небосклоне мошенничества
По данным TrendLabs(SM), глобального центра исследований, услуг и поддержки Trend Micro, занимающегося постоянным отслеживанием и обезвреживанием вредоносных атак, троянские программы (или трояны) развиваются быстрее других инструментов хищения информации. Такие приложения представляют серьезную угрозу компьютерной безопасности. Как видно из их названия, они обычно появляются под видом безобидной программы, например заставки, игры или шутки. Согласно исследованию TrendLabs:
В 2007 году 52% всех вредоносных программ для хищения информации были троянами; в 2008 году это число выросло до 87%, а на момент окончания первого квартала 2009 года оно составляло уже 93%.
Троянские программы и программы-шпионы составляют наибольшую часть от общего количества вредоносных программ в регионах, за которыми наблюдает TrendLabs, включая Австралию, Азию, Африку, Европу, Северную и Южную Америку.

 «Рост числа вредоносных программ принимает все более угрожающие масштабы, снабжая мошенников самым ценным, что можно получить из Интернета ― информацией», ― говорит Джемс Янедза, менеджер отдела по исследованию угроз Trend Micro.

Политика транснациональной киберпреступности
Политика и киберпреступность стали появляться вместе в заголовках новостей. По данным Министерства национальной безопасности США, только в США с 2006 по 2008 год количество известных атак на государственные компьютеры выросло более чем вдвое.  

По словам Пола Фергюсона, старшего специалиста по исследованию угроз Trend Micro, не исключено, что кибертеррористы уже внедрили вредоносные программы в систему электроснабжения США, чтобы в какой-то момент удаленно нарушить ее работу.

Киберпреступность стала значительно мобильнее в международном масштабе. В 2007 году атаки DDoS на гражданские и правительственные сайты Эстонии привели к нарушению работоспособности компьютерных сетей. Эксперты полагали, что эти атаки осуществлялись с территории России. На тот момент между этими странами разрешались разногласия по поводу демонтажа советского военного мемориала в Эстонии. После полномасштабной кибератаки, последовавшей за встречей президента Николя Саркози с тибетским духовным лидером Далай-Ламой, сайт французского посольства в Пекине не работал несколько дней. Многие эксперты считают, что эта атака была организована группой хакеров для достижения националистических целей.

«Теоретически, любой человек с компьютером и доступом в Интернет может нанести разрушающий удар. В США наблюдались атаки хакеров, направленные на сайты региональных и федеральных государственных органов, ― говорит Фергюсон. ― Небольшие организации не всегда располагают достаточными средствами и персоналом, и поэтому нередко поручают создание сайтов сторонним компаниям. Со временем сайту требуется обслуживание или обновление, и в эти моменты он становится уязвим для хакеров, которые затем с его помощью пытаются выразить свои политические взгляды».

Новости об электронном шпионаже также занимают первые полосы печатных средств массовой информации. Ежегодно компании теряют миллиарды долларов на потерях интеллектуальной собственности и хищении коммерческих тайн с последующей перепродажей конкурентам с целью вымогательства и незаконного извлечения прибыли. Корпоративные сети по всему миру представляют прекрасную мишень для преступников, которые способны добраться до информации, минуя все системы защиты.

 «Киберпреступники пользуются вредоносными программами для извлечения прибыли и достижения геополитических целей, ― говорит Фергюсон. ― Мы даже сталкивались с попыткой хищения коммерческих тайн у подрядчиков Министерства обороны США. Предположительно, эти атаки исходили с китайской стороны. Однако из-за анонимности Интернета очень трудно найти людей, стоящих за всем этим».

Традиционные методы защиты уже не способны остановить киберпреступников
Многие годы все внимание было сфокусировано на защите конечных точек, откуда большинство людей получает доступ к данным. Теперь, когда угроза может прийти с любой стороны, нужна новая стратегия защиты. Инфраструктура Trend Micro™ Smart Protection Network обеспечивает многоуровневый подход к предотвращению угроз, основанный на блокировании вредоносных программ, направленных на хищение информации, пока они еще находятся в Интернете и не проникли в корпоративную или частную сеть.

Эта технология позволяет предотвращать современные многоуровневые атаки, несущие в себе сразу несколько различных угроз. Технология корреляции событий и поведенческий анализ позволяют оценить потенциальный характер опасности. В инфраструктуре Smart Protection Network осуществляется анализ электронной почты, ссылок, приложений и вложенных файлов. По результатам анализа в репутационные базы данных добавляются новые IP-адреса, домены, адреса URL и файлы, что позволяет оперативно блокировать новые угрозы.

Инфраструктура Smart Protection Network анализирует отношения между разными компонентами и составляет общую картину потенциальных угроз.

Комплект Data Protection Pack для защиты от внутренних угроз
Главный актив компании, ее персонал, может оказаться и источником угроз. Особенно это касается сотрудников, имеющих доступ к корпоративным данным. Компания Trend Micro предлагает решения для защиты не только от внешних, но и от внутренних атак. В комплект Data Protection Pack вошли продукты Trend Micro™ LeakProof Standard, Trend Micro™ Email Encryption Gateway и Trend Micro™ Message Archiver. Он обеспечит защиту сообщений электронной почты и предотвратит утечку конфиденциальной информации во время ее использования, передачи и хранения. Этот комплект предлагается пользователям систем Trend Micro™ NeatSuite Advanced и Client Server Messaging.

Дополнительная информация о системе Trend Micro Smart Protection Network и решениях, с которыми ее можно применять, приведена на сайте http://www.smartprotectionnetwork.com

Полный текст отчета Focus Report о вредоносных программах для хищения информации находится по адресу http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibra...

Компания Trend Micro продолжает делать крупные инвестиции в исследование и анализ угроз. Библиотека отчетов об угрозах находится по адресу http://us.trendmicro.com/us/threats/enterprise/security-library/white-pa...

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru