Исследователи обнаружили в Азии новый ботнет Jaku

Александр Панасенко 06 Мая 2016 - 10:46

Общее

Forcepoint

DDoS-атаки

Вредоносные программы

Ботнет

Спам

...

Исследователи обнаружили в Азии новый ботнет Jaku

Специалисты компании Forcepoint сообщают, что в азиатских странах растет новый ботнет, получивший имя Jaku. Хотя порядка 73% зараженных находятся в Японии и Южной Корее, исследователи пишут, что суммарно Jaku уже атаковал пользователей из 143 стран мира.

Первые признаки образования нового ботнета исследователи Forcepoint заметили в сентябре 2015 года. Теперь, спустя полгода, эксперты отмечают, что Jaku демонстрирует значительный рост, особенно в сравнении с другими аналогичными угрозами. По данным компании, заражению уже подверглись более 19 000 машин.

Контроль над ботнетом осуществляется с разных управляющих серверов, расположенных в Сингапуре, Малайзии и Тайланде. Чтобы не привлекать к себе лишнего внимания и усложнить работу экспертам, операторы Jaku работают с тремя разными C&C механизмами, а также применяют обфускацию баз SQLite, которые хранят файлы конфигурации на клиентской стороне, пишет xakep.ru.

Jaku может применяться для осуществления DDoS-атак или рассылки спама, но также используется как средство для доставки сторонней малвари. Во время вторичного заражения, злоумышленники подключают к делу стеганографию, так как вредоносный код скрывается в файлах изображений.

Исследователи Forcepoint отмечают, что операторы ботнета в основном нацелены на крупные цели, однако это не значит, что от их рук не страдают простые пользователи. По данным компании, большой интерес для злоумышленников представляют международные общественные организации, машиностроительные компании, научные учреждения, а также ученые и правительственные служащие.

Преимущественно инфекция распространяется через различные варез-сайты, а также торрент-трекеры. Кроме того, исследователи отмечают, что Jaku определенно использует ту же инфраструктуру и те же методы работы, которые в 2014 году применяла группа Darkhotel, чью деятельность детально изучала «Лаборатория Касперского».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 18 Апреля 2024 - 12:30

Корпорации Соответствие требованиям регуляторов ГК «Солар»

Солар запустил сервис защищённого доступа к веб-сайтам ГОСТ TLS

ГК «Солар» запустила сервис защищённого доступа к веб-ресурсам ГОСТ TLS. Разработка может обеспечить безопасное подключение к сайту с помощью сертифицированных средств криптографической защиты информации (СКЗИ).

Как отмечают в ГК «Солар», новый сервис работает на отечественных алгоритмах при наличии совместимости с зарубежными решениями.

Таким образом, владельцы веб-сайтов смогут успешно защищать данные посетителей, даже если зарубежные удостоверяющие центры отзовут сертификаты.

До 2022 года SSL-сертификаты выдавали зарубежные УЦ, но после известных событий ряд российских организаций столкнулся с отзывом таких сертификатов. Например, это коснулось крупных банков и государственных компаний.

Сегодня российские организации могут получить сертификаты от Минцифры РФ, однако там используется международный криптографический алгоритм RSA. В ГК «Солар» учли этот момент, чтобы гарантировать полноценное импортозамещение: ГОСТ TLS от вендора использует отечественный алгоритм шифрования с сертификатом российского коммерческого УЦ.

Предусмотрено даже отсутствие поддержки отечественного алгоритма. В этом случае соединение будет защищаться с помощью зарубежного аналога. «Солар» берёт на себя получение сертификаты TLS и подключение криптошлюза.

Клиент может воспользоваться вариантом сервиса, развёрнутым как на инфраструктуре «Солара», так и в облаке или в виртуальном дата-центре заказчика.

Сервис уже прошёл проверку на внутренних веб-ресурсах «Солар» и в настоящее время развёрнут на одном из крупных федеральных порталов.