Лаборатория Касперского подвела итоги 2016 года

Лаборатория Касперского подвела итоги 2016 года

Лаборатория Касперского подвела итоги 2016 года

В 2016 году в кибермире случилось много громких инцидентов, которые эксперты склонны считать не столько новыми, сколько неизбежными тенденциями в развитии информационных угроз.

Огромные ботнеты, состоящие из устройств Интернета вещей, частые взломы популярных сайтов с последующей утечкой данных, ограбления банков и уязвимость критически важных инфраструктур – все эти и другие события случались и ранее или были предсказаны, однако в этом году масштабы инцидентов доказали, что киберугрозы в своем развитии вышли на новый уровень. 

Подводя итоги года, «Лаборатория Касперского» выделила шесть основных тенденций, в значительной мере изменивших наше видение мира киберугроз.

  1. Масштабы и сложность киберпреступной экономики сегодня больше, чем когда-либо раньше. Примером тому служит крупная и активно действующая торговая площадка xDedic, на которой, как выяснили эксперты «Лаборатории Касперского», продаются учетные данные более 70 тысяч взломанных серверов по всему миру.  
  2. Крупнейшие кражи денег теперь осуществляются через межбанковскую сеть SWIFT. Именно с помощью этой системы в феврале 2016 года злоумышленники украли 100 миллионов долларов из Центрального банка Бангладеш. Кстати, этот инцидент заставил многие банки усовершенствовать свою систему аутентификации и процедуру обновления программного обеспечения SWIFT. 
  3. Критически важная инфраструктура пугающе уязвима. Достаточно вспомнить атаку BlackEnergy, которая оказалась уникальной по масштабу причиненного вреда. Сама атака случилась еще в конце 2015 года, однако вся тяжесть последствий стала ясна в начале 2016-го. Действия хакеров привели к отключению систем распределения электроэнергии на западе Украины, а также удалению ПО с зараженных компьютеров и сопровождалась DDoS-атаками на службы техподдержки атакованных предприятий.
  4. Целевые атаки становятся более непредсказуемыми. Например, обнаруженная «Лабораторией Касперского» группировка ProjectSauron создавала полностью новый набор инструментов индивидуально для каждой жертвы и избегала повторного использования одних и тех же тактик и технологий. Такой подход затрудняет распознавание атак не только с помощью защитных технологий, но и с помощью индикаторов компрометации, которые чаще всего работали в случае с целевыми атаками.
  5. Публикация в Сети краденных баз данных становится средством манипуляции общественным мнением. Злоумышленники начали намеренно выкладывать в открытом доступе в Интернете большие объемы личных данных пользователей, которые они получили в ходе различных атак, в том числе сложных целевых кампаний АРТ класса. Обнародуя личную и служебную переписку, частные фотографии или данные от учетных записей как обычных пользователей, так и известных персон, злоумышленники преследуют разные цели: от жажды наживы до желания очернить репутацию отдельных людей.     
  6. Камера может стать «бойцом» глобальной киберармии. Сегодня в мире миллионы незащищенных устройств и систем – от умной бытовой техники и автомобилей до больниц и целых городов – имеют прямой доступ к Интернету. И этим не преминули воспользоваться злоумышленники: например, в октябре для осуществления DDoS-атак киберпреступники использовали ботнет, состоящий из более полумиллиона домашних гаджетов, подключенных к Сети. Кроме того, эксперты «Лаборатории Касперского» в ходе экспериментов выяснили, что сегодня перед киберугрозами не в состоянии устоять и более важные для общества системы, в частности больницы и городской транспорт.

«При столь высоком уровне развития киберугроз, который мы наблюдали на протяжении 2016 года, задача раннего распознавания вредоносных программ и несанкционированного проникновения в корпоративные сети становится приоритетной. При этом для успешного детектирования угроз сегодня крайне важно обладать глубинным пониманием кибермира. Анализ угроз, обнаруженных в этом году, позволил нам выявить новые тенденции и уникальные подходы киберзлоумышленников – и эти знания помогут нам усовершенствовать защитные инструменты и сделать распознавание и предотвращение угроз еще более эффективным. Другими словами, мы используем прошлое, чтобы подготовиться к будущему», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru