Dridex, один из самых активных троянов, наращивает свою активность в очередной раз после почти полного исчезновения около двух месяцев назад, отмечают исследователи в области безопасности Proofpoint.
Начиная с июня, распространение Dridex было очень незначительным – только тысячи сообщений. Однако совсем недавно исследователи наблюдали всплеск активности трояна, что позволяет предположить, что он готовится к новым массивным кампаниям.
Proofpoint , что в сравнении с прошлыми кампаниями, где количество сообщений исчислялось миллионами, новые кампании достаточно скромны по масштабам - всего несколько десятков тысяч сообщений. Пик пришелся на начало этой недели и был ориентирован на организации в сфере финансовых услуг.
Большинство кампаний были направлены на Швецарию, с этими атаками были связаны ботнеты Dridex 1124, 144, 1024, 124 и 38923. Соединенное Королевство, Австралия и Франция были также в числе целей.
Одна из последних кампаний наблюдалась 15 и 16 августа, в ней участвовал ботнет Dridex под идентификатором 228. Ботнет содержал конфигурацию для банковских сайтов Великобритании, Австралии, Франции и Соединенных Штатах, в то время как сообщения, рассылаемые по электронной почте, содержали во вложениях Word -файлы DOCM с вредоносными макросами.
Исследователи Proofpoint говорят, что экземпляр Dridex, наблюдаемый в этой кампании, ориентирован на различные серверные системы обработки и передачи платежей, точки продаж (POS) и удаленные системы управления приложениями. Dridex ранее тоже атаковал приложения, но его список значительно расширился в августе, объясняют исследователи.
Кампания по распространению Dridex, замеченная 11 августа также использовала DOCM- вложения, загружала и устанавливала ботнет под идентификатором 144 и была направлена на банковские сайты, включая некоторые в Швейцарии. Сообщения, используемые в этой кампании были на немецком языке - одном из основных языков, используемых в Швейцарии.
Эксперты Proofpoint также отмечают, что в дополнение к использованию вредоносных рассылок, операторы Dridex также полагаются на использование наборов эксплоитов для распространения своего трояна. 9 августа в распространении был замечен набор Neutrino, на данный момент самый популярный.
«Замеченный недавно всплеск распространения, а также растущие возможности этого вредоноса позволяют предположить, что Dridex может получить новую жизнь. Злоумышленники пытаются монетизировать свою деятельность, атакуя организации в сфере финансовых услуг» - говорят в Proofpoint.
Программно-аппаратный комплекс электронной подписи Jinn Server версии 1.3 (сборка 1.3.7.218) прошёл инспекционный контроль ФСБ России и получил два сертификата соответствия. Первый — по классу КС1 для исполнения 1 (№ СФ/111-5166), второй — по классу КС2 для исполнения 2 (№ СФ/111-5167). Оба действуют до 17 мая 2028 года.
Продукт «Кода Безопасности» подтвердил соответствие требованиям к средствам криптографической защиты информации и электронной подписи — для работы с информацией, не содержащей сведений, составляющих гостайну.
В новой версии Jinn Server появились доработки, связанные с усилением электронной подписи: в CMS-формате теперь к полю подписанта добавляется дата и время создания подписи.
Это касается как пользовательских подписей, так и штампов времени, применяемых в форматах CAdES и XAdES.
Также появились новые правила обработки полей сертификатов — в зависимости от даты их выпуска, и добавлена поддержка расширения IdentificationKind в квалифицированных сертификатах.
Эти изменения позволяют соответствовать требованиям приказов ФСБ № 795 и № 476, что необходимо для использования решения в системах юридически значимого ЭДО.
Кроме того, Jinn Server теперь поддерживает российскую операционную систему РЕД ОС 7.3.1 МУРОМ.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
