Новостной радар Anti-Malware.ru. Выпуск 4, апрель 2013

Настало время для подведения итогов последней недели апреля, а это значит, что Новостной радар Anti-Malware.ru вновь сканирует киберпространство в поисках главных тем и ключевых событий. На этот раз к таковым относятся злокачественное и доброкачественное шифрование, дезинформация, борьба с анонимностью и кражи без взлома. Вы готовы узнать все подробности? Тогда – вперед.

 

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 11 2013 на карте большего размера

 

Не отдам

Dr. Web предупреждает об активном распространении новых модификаций вредоносных программ из давно и печально известного семейства троянских шифровальщиков. Их особенность состоит главным образом в аппетите: разработчики инфекций, похоже, решили отказаться от скромных сумм и начали назначать крупные размеры выкупа – вплоть до нескольких тысяч долларов. В остальном все довольно традиционно: широкий спектр пользовательских файлов (офисные документы, изображения и т.п.), алгоритм RSA-1024, возможностей которого злоумышленникам с лихвой хватает уже несколько лет, и файл с запугивающим сообщением, по прочтении коего пользователь должен впасть в панику и безропотно отдать деньги.

Новые вымогатели проявили себя примерно в конце марта и начале апреля. Распространяются они преимущественно через спам: жертве приходит письмо с эксплойтом, который использует уязвимость CVE-2012-0158 для заражения системы троянским загрузчиком – а он уже, соответственно, скачивает и устанавливает шифровальщик. Сообщается, что к специалистам Dr. Web обратилось уже порядка двух сотен пострадавших от этой инфекции.

Впрочем, в этой ситуации для пользователей мало что можно сделать. Хотя антивирусные компании традиционно рекомендуют не идти навстречу злоумышленникам и не выполнять их требования, подобрать ключ к криптоалгоритму весьма сложно (тем более – в приемлемый срок), а махнуть на все рукой и лишиться данных готов не каждый. Поэтому, надо полагать, многие пострадавшие все же соглашаются заплатить выкуп; об этом может косвенно говорить тот факт, что создатели вирусов повысили свой «тариф» - вполне вероятно, что стимулом для этого послужила успешная статистика оплат.

Поскольку в процессе технического совершенствования своих разработок злоумышленники постепенно добрались и до шифрования бэкапов, основным предохранительным средством от шифровальщиков пока остаются резервные копии, вынесенные за пределы компьютера. С учетом современных тенденций можно сказать, что наиболее оптимальными с этой точки зрения являются облачные хранилища, несмотря даже на свойственные им изъяны вроде отсутствия какой-либо ответственности поставщика за сохранность размещенных там данных.

 

Разгон

Компания SafeNet выпустила решение Crypto Hypervisor, которое предназначено для оперативного обеспечения криптографической защиты в виртуальной среде. Применение этого продукта позволяет ускорить работу с сервисами хранения адаптивных ключей, сохранить преимущества, обеспечиваемые виртуализацией, и одновременно соблюсти требования к безопасности информации. Если раньше развертывание виртуальных приложений, которые требовали применения тех или иных средств шифрования, занимало довольно много времени и тормозило ход реализации тех или иных проектов в облачных средах, то теперь соответствующие проблемы могут быть сняты.

«В настоящее время активно развиваются облачные технологии, технологии виртуализации, которые призваны оптимизировать затраты на информационные инфраструктуры предприятия, оптимизировать производственные процессы, обеспечить сотрудникам предприятий доступ к информации из любой точки мира, в т.ч. с мобильных устройств. Но при этом эти технологии поставили и ряд задач перед специалистами информационной безопасности, которые вынуждены искать оригинальные решения, с помощью которых можно обеспечить тот же уровень безопасности, что и при использовании ресурсов, расположенных в локальной сети предприятия», – говорит эксперт Anti-Malware.ru Валерий Ледовской. – «При этом необходимо учитывать, что облачные среды, средства виртуализации сами по себе вносят серьёзные дополнительные риски информационной безопасности, при сохранении всех рисков, которые существовали при обычных схемах работы. Также средства обеспечения безопасности должны обладать, по возможности, теми же преимуществами виртуализации, что и остальные приложения для облачных и гибридных систем. Нет большого смысла в использовании облаков, если они не защищены, или если использование защитных технологий делает использование облаков менее удобным, чем при отказе от их использования. Компания SafeNet движется как раз в направлении сокращения времени на проведение необходимых мероприятий по организации шифрования важных данных и делает соответствующие процессы удобнее в смысле постоянного их использования. Удобство в обеспечении безопасности облаков, в обеспечении безопасности передачи ценных данных и безопасности их хранения - это то, чего сейчас так не хватает для того, чтобы облачные технологии раскрыли весь свой потенциал».

 

Психологическая атака

Злоумышленники получили несанкционированный доступ к микроблогу новостного агентства Associated Press и разместили там сообщение, гласящее, что в Белом доме произошел взрыв, в результате которого Барак Обама получил ранения. ФБР США сообщило, что по факту начато расследование, но дальнейших подробностей не представило.

Насколько можно судить по имеющимся данным, киберпреступники провели фишинговую атаку, направив сотрудникам агентства довольно правдоподобно изготовленные письма от имени одного из их коллег. В сообщениях предлагалось ознакомиться с «важной статьей» в издании Washington Post; на самом деле ссылка в письмах вела на поддельный ресурс с запросом аутентификационных сведений. Надо полагать, что кто-то из получателей письма с сюрпризом не проявил должной бдительности и осчастливил злоумышленников своими реквизитами доступа.

Позднее Associated Press опровергло информацию с другой своей учетной записи в Twitter; аккаунт, подвергшийся взлому, был временно приостановлен, и пользователей попросили не реагировать на сообщения в нем вплоть до особого уведомления. По данным BBC, ответственность за происшествие взяла на себя группировка «Сирийская электронная армия», которая и до этого отмечалась компрометацией учетных записей крупных западных средств массовой информации.

«Еще в "Крепком орешке 4" мы увидели художественную постановку похожего сценария, но в данном случае хакеры пошли намного более простым путем», - сказал по этому поводу эксперт Anti-Malware.ru Кирилл Керценбаум. - «Всего-то стоило подобрать или получить методом социальной инженерии пароль от твиттер-аккаунта достаточно авторитетного СМИ. Это говорит о многом: СМИ должны больше уделять внимания вопросам информационной безопасности, но и социальные платформы, такие, как твиттер, должны активнее продвигать и развивать дополнительные средства защиты. Например, двухфакторную аутентификацию, которой у них пока нет как факта».

 

Анти-Tor

Японские власти предложили работающим в стране поставщикам услуг Интернета добровольно противодействовать использованию их клиентами известного анонимизатора Tor. Связано это с тем, что действующие на территории страны киберпреступники начали довольно активно пользоваться этим инструментом для скрытия сведений о своем местоположении, что, соответственно, вызывает затруднения у правоохранительных органов, пытающихся их вычислить. При этом возможности программы интересуют не только сетевых, но и обычных злоумышленников, для которых Интернет – не поле деятельности, а просто способ коммуникации. Местные эксперты полагают, что такой радикальный способ будет наиболее эффективен – работа Tor будет блокироваться по IP-адресу при попытке соединения.

В свою очередь, правозащитные организации выступили против инициативы, заявив, что этим инструментом пользуется в том числе и существенное количество законопослушных граждан во вполне легитимных целях, а, следовательно, блокировка нарушит их права. По имеющимся данным, органы охраны правопорядка пообещали учесть мнение правозащитников, хотя не вполне ясно, каким именно образом можно совместить одно с другим.

Такое условно легитимное программное обеспечение, как Tor, принадлежит к числу традиционных проблем защитников информации. С одной стороны, его использование как будто не нарушает никаких запретов и действительно может быть оправдано; с другой – это любимый инструмент многих злоумышленников, стремящихся избежать ответственности за свою деятельность. Скорее всего, до глобального запрета дело все же не дойдет, а, значит, японским борцам с преступностью так и придется искать преступников с поправкой на анонимайзер. По крайней мере – в течение ближайших лет, когда все попытки ограничить свободу Интернета будут восприниматься в штыки. Если же со временем отношение к проблеме изменится, то, быть может, и Tor постигнет печальная участь.

 

Пальцем погрозят, и ладно

Аналитики Zecurion совместно с порталом Superjob провели исследование защищенности конфиденциальных данных в корпоративной среде. Помимо прочего, выяснилось удивительное: практически все (99%) инциденты, связанные с утечками информации, не влекут за собой никаких последствий для их виновников. Можно было бы, конечно, сослаться на случайность большинства происшествий, однако вряд ли полное отсутствие дисциплинарных мер – это оптимальный метод борьбы с утечками. Руководитель Аналитического центра Zecurion Владимир Ульянов в своем комментарии заметил тогда, что объяснить подобную статистику можно либо стремлением компаний скрывать инциденты (в том числе из опасений перед новыми вредоносными действиями со стороны инсайдеров), либо недостаточностью доказательной базы, имеющейся у служб безопасности (которая, в свою очередь, вызвана отсутствием в организациях DLP-решений). При этом более половины сотрудников дают подписки о неразглашении – однако информация все равно покидает компании, главным образом через съемные носители (49%) и электронную почту (43%). Наиболее проблемными активами были персональные и финансовые сведения. Можно также отметить традиционное для таких опросов расхождение слов и дел: хотя руководство организаций декларирует желания и намерения защищать информацию, оно в то же время мало что предпринимает для достижения этих целей.

«Подобный результат опроса объясняется неадекватностью политик безопасности в большинстве компаний», - прокомментировал неутешительную статистику главный аналитик InfoWatch Николай Федотов. – «Всегда есть выбор: написать политику мягкую, но исполняемую почти всеми работниками или же строгую, но неисполняемую по причине своей неисполнимости. Теория говорит, что лучше первый вариант.  Но российский менталитет и многовековая традиция обычно перетягивают в сторону второго. Я бы сказал, что этот опрос показывает: в 99% предприятий существующие правила ИБ невозможно не нарушить. Естественно, за их нарушения невозможно наказывать».

***

Спасибо за внимание!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru