Symantec: В Австралии до сих пор наблюдаются атаки, похожие на Petya

Олег Иванов 01 Сентября 2017 - 15:33

Домашние пользователи

Малый и средний бизнес

Symantec

Программы-вымогатели

Программы-шифровальщики

...

Symantec: В Австралии до сих пор наблюдаются атаки, похожие на Petya

По словам экспертов компании Symantec, в Австралии до сих пор наблюдаются тысячи попыток заражения компьютеров, в ходе которых используются те же эксплойты и механизмы взлома, что и во вредоносных кампаниях WannaCry и Petya.

«К сожалению, в австралийских компаниях наблюдается тенденция не сообщать об инфицировании своих сетей, что крайне негативно сказывается на противодействии таким атакам» - утверждает технический директор Symantec, Ник Саввидес (Nick Savvides).

«Австралия входит в десятку самых часто атакуемых стран, в частности, из-за того, что организации в этой стране склоны платить вымогателям. Также стоит отметить, что австралийцы имеют довольно непринужденное отношение к кибербезопасности и резервному копированию данных, что делает их идеальными жертвами» - продолжает Саввидес.

Symantec опубликовала интересный отчет, в котором говорится о том, что до появления Petya и WannaCry основная угроза со стороны вредоносов-вымогателей заключалась в обширных спам-кампаниях и таргетированные атаки на организации.

Также приводится статистика: в течение первых шести месяцев 2017 года на долю организаций приходилось 42 процента всех заражений вымогателями, в 2016 году 30 процентов, в 2015 29 процентов.

Америка по-прежнему является наиболее пострадавшей от вымогательства страной, на долю которой приходится 29 процентов всех инфекций в 2017 году. На долю Японии приходится 9 процентов, Италии - 8 процентов, Индии и Германии - 4 процента.

Закрывают десятку самых атакуемых стран Нидерланды, Великобритания, Австралия, Россия и Канада, на долю каждой из этих стран приходится 3 процента атак.

Symantec считает, что атаки, подражающие механизму WannaCry и Petya, не окажут такого же влияния, так как используют уязвимость EternalBlue, о которой достаточно широко известно. Организации будут стараться устранить эту брешь, если обнаружат ее у себя в сети.

«EternalBlue позволял распространять вымогатели гораздо проще, однако атаки Petya доказали, что существуют альтернативные методы распространения. Эти методы могут быть не столь легкими и эффективными, однако в руках квалифицированных злоумышленников они могут представлять серьезную угрозу для неподготовленных организаций» - говорится в докладе.

Саввидес из Symantec также уточнил, что сейчас авторы вымогателей сосредоточены на атаках на домашние компьютеры пользователей. Они требуют выкуп в размере от 300 до 1000 долларов США, в среднем жертвы из, например, Австралии платят 625 австралийских долларов.

Что касается прогнозов, то Саввидес выразил уверенность в том, что в будущем киберпреступники, скорее всего, начнут фокусироваться на небольших предприятиях, увеличив выкуп до десятков тысяч долларов.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 17 Декабря 2025 - 16:07

Трояны Мошенничество Онлайн-мошенничество Домашние пользователи Корпорации Mozilla

Вредоносные расширения для Firefox прятали код в логотипах

Исследователи обнаружили новую вредоносную кампанию под названием GhostPoster, в рамках которой злоумышленники прятали JavaScript-код прямо в логотипах расширений для Firefox. Такие аддоны набрали в сумме более 50 тысяч установок и долгое время выглядели совершенно безобидно.

На схему обратили внимание специалисты Koi Security. Они выявили как минимум 17 расширений, в которых вредоносный код либо извлекался из PNG-изображения логотипа с помощью стеганографии, либо подгружался с серверов атакующих.

При этом все расширения вели себя схожим образом и использовали одну и ту же инфраструктуру управления.

Особенно неприятно, что заражённые расширения относились к популярным категориям: VPN, переводчики, погода, скриншоты, жесты мыши, блокировка рекламы и даже аналоги Dark Reader. Среди них — FreeVPN Forever, различные «Google Translate», расширения для погоды, VPN и загрузки контента.

Механика атаки продумана достаточно хитро. В одном из расширений — FreeVPN Forever — вредоносный загрузчик был спрятан в байтах изображения логотипа. После установки расширение выжидало около 48 часов, а затем пыталось скачать основной вредоносный модуль с удалённого сервера.

Причём происходило это лишь в одном случае из десяти, что помогало обходить системы мониторинга трафика. На случай недоступности основного сервера был предусмотрен запасной домен.

Загружаемый код был сильно обфусцирован: использовались перестановка регистра, base64, а затем дополнительное XOR-шифрование с ключом, привязанным к ID расширения. В итоге в браузер попадал полноценный бэкдор с широкими возможностями.

По данным Koi Security, финальный пейлоад умел:

подменять партнёрские ссылки в крупных интернет-магазинах, перенаправляя комиссии злоумышленникам;
внедрять трекеры Google Analytics на все посещаемые страницы;
удалять защитные HTTP-заголовки;
обходить CAPTCHA несколькими способами;
вставлять невидимые iframe для рекламного и клик-фрода, которые самоуничтожались через 15 секунд.

Хотя расширения не воровали пароли и не вели пользователей на фишинговые сайты, они серьёзно нарушали конфиденциальность и давали атакующим постоянный высокопривилегированный доступ к браузеру. Исследователи отдельно отмечают, что при таком скрытном загрузчике злоумышленники в любой момент могли бы заменить полезную нагрузку на куда более опасную.

На момент публикации часть вредоносных расширений всё ещё была доступна в каталоге Firefox Add-ons. Однако Mozilla оперативно отреагировала на отчёт. Представитель компании сообщил, что все выявленные расширения уже удалены, а автоматические системы обновлены для выявления и блокировки подобных атак в будущем.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »