вторник, 13 февраля 2018 г.

WannaCry оказался не самым популярным шифровальщиком

Check Point Software Technologies Ltd. представила отчет Global Threat Intelligence Trends за второе полугодие 2017 г. Исследователи обнаружили, что в погоне за прибылью киберпреступники все чаще используют криптомайнеры, а организации по всему миру продолжают подвергаться атакам программ-вымогателей и вредоносных рекламных программ.

За период с июля по декабрь 2017 г. от незаконного майнинга криптовалюты пострадала каждая пятая компания. С помощью этого вредоносного ПО киберпреступники получают доступ к ресурсам центрального процессора или видеокарты на ПК жертвы и используют их для добычи криптовалют. Уровень потребления может достигать 65% мощности ЦП.

В отчете Global Threat Intelligence Trends Report за второе полугодие 2017 г. также представлен подробный обзор ландшафта киберугроз в топ-категориях вредоносного ПОвымогателях, банковских и мобильных зловредах. Данные получены из Check Point ThreatCloud за июль – декабрь 2017 г.

Эксперты Check Point выявили ключевые тренды киберугроз во втором полугодии 2017:

- Ажиотаж вокруг майнинга криптовалюты. Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.
- Эксплойты теряют популярность. Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 г. они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.
- Рост мошенничества и вредоносного спама. В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и STMP, сместилось в сторону SMTP. Объем таких атак вырос с 55% в первом полугодии до 62% во втором. Популярность этих методов распространения привлекла внимание опытных хакеров, владеющих более совершенными практиками взлома. Они применяют свои умения для взлома документов, в особенности Microsoft Office.
- Мобильное вредоносное ПО вышло на уровень предприятий. В течение прошлого года мы видели атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.

Майя Хоровитц (Maya Horowitz), менеджер группы по сбору данных об угрозах Check Point Software Technologies, прокомментировала: «Во второй половине 2017 года мир штурмовали криптомайнеры — они стали самым популярным способом получения прибыли от взломов. Это не новый вид атак, но растущая популярность и стоимость криптовалют в значительной степени способствуют более широкому распространению криптомайнеров».

«Мы отметили и другие тенденции киберугроз: программы-вымогатели, появившиеся еще в 2016 году, остаются серьезной угрозой. Их используют как для масштабных атак по всему миру, так и для целевых нападений на конкретные организации. 25% взломов за отмеченный период были сделаны через уязвимости, обнаруженные более десяти лет назад. Менее 20% атак проводились через бреши в защите, которые известны около двух лет. Очевидно, что компаниям все еще предстоит большая работа, чтобы выстроить надежную защиту от киберпреступников».

Топ вредоносного ПО второго полугодия 2017 г.

- Roughted (15.3%) — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
- Coinhive (8.3%) — программа-криптомайнер, разработанная для онлайн-майнинга криптовалюты Monero без ведома пользователя при посещении им определенных сайтов. Зловред Coinhive появился только в сентябре 2017 г., но уже успел заразить 12% организаций по всему миру.
Locky (7.9%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.

Топ программ-вымогателей второго полугодия 2017 г.

Locky (30%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
Globeimposter (26%) — вымогатель, замаскированный под шифровальщик Globeransomware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
WannaCry (15%) — вымогатель, который получила широкое распространение во время крупномасштабной атаки в мае 2017 г. Он распространяется по сетям с помощью эксплоита для протокола SMB операционной системы Windows под названием EternalBlue.

Топ мобильных зловредов за второе полугодие 2017

- Hidad (55%) — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
- Triada (8%) — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, чтобы они могли внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
- Lotoor (8%) — инструмент взлома, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.

Топ вредоносного ПО для банков второго полугодия 2017 г.

Ramnit 34%  банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
Zeus 22% — троян, который атакует устройства на платформе Windows и часто используется для кражи банковской информации с помощью технологий типа «человек-в-браузере» — кейлоггинга и захвата содержимого форм.
Tinba 16% — банковский троян, который похищает данные учетных записей пользователя с помощью веб-инъекций. Он активируется, когда пользователь пытается зайти на сайт своего банка.

Отчет составлен на базе данных, полученных из Check Point ThreatCloud за период с июля по декабрь 2017 г. Check Point ThreatCloud — крупнейшая кооперативная сеть, созданная для борьбы с киберпреступностью, в которую поступают данные об угрозах и трендах атак из глобальной сети сенсоров угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

Полная версия отчета доступна здесь.

понедельник, 12 февраля 2018 г.

Cryakl теперь не страшен

Федеральная полиция Бельгии при поддержке «Лаборатории Касперского» выпустила бесплатную утилиту для расшифровки файлов, пострадавших от новых версий программы-вымогателя Cryakl. Этот зловред крайне активен с 2014 года, при этом абсолютное большинство его жертв сосредоточено в России. Ключ для дешифровки позволит жертвам этого шифровальщика вернуть свои ценные файлы без уплаты выкупа злоумышленникам. Скачать декриптор можно на сайте www.nomoreransom.org.

Федеральная полиция Бельгии стала еще одним правоохранительным ведомством, присоединившимся к проекту No More Ransom. Он был запущен полтора года назад по инициативе «Лаборатории Касперского», McAfee, Европола и полиции Нидерландов. Именно бельгийская полиция смогла определить местонахождение одного из командно-контрольных серверов Cryakl. Взяв контроль над устройством в свои руки, полиция Бельгии с помощью технических экспертов «Лаборатории Касперского» смогла получить ключи для дешифровки и предоставить их в свободное пользование на портале No More Ransom.

«Наш главный совет в случае атаки шифровальщика – не платить выкуп. Деньги, отправленные злоумышленникам, не дают вам никаких гарантий, но, поступая так, вы лишь помогаете киберпреступникам. Во всем мире эксперты по информационной безопасности непрерывно работают над тем, чтобы помочь жертвам шифровальщиков и дать им новейшие инструменты для восстановления файлов. И декриптор для Cryakl – очередное тому подтверждение», – отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

С момента своего запуска в июле 2016 года проект No More Ransom помог почти 1,6 миллиона пользователей из 180 стран и сэкономил им более 10 миллионов евро. В настоящее время инициативу поддерживают более 120 партнеров, в том числе 75 компаний, работающих в сфере информационной безопасности. Сайт www.nomoreransom.org доступен на 29 языках и содержит 52 бесплатных утилиты, которые позволяют восстановить файлы, зашифрованные программами-вымогателями 84 семейств. 

Клиенты ESET могут взять защиту из облака

Softline предоставляет корпоративные решения ESET из собственного облака на условиях ежемесячной подписки. Клиентам доступны продукты для защиты ИТ-сети как готовая услуга, что позволяет сэкономить на развертывании и администрировании программного обеспечения. Сервис актуален для бизнеса любого масштаба.

Использование решений ESET в облаке Softline избавляет заказчиков от необходимости самостоятельно заниматься установкой, настройкой, мониторингом и технической поддержкой, а ежемесячная оплата оптимизирует расходы. Как сервис-провайдер, Softline обеспечивает консультативную помощь экспертного уровня, оперативно разрешая технические запросы – клиентам не придется тратить средства на обучение или переподготовку ИТ-персонала.

Из облака Softline можно получить любой бизнес-продукт линейки ESET:

- специальное антивирусное решение для небольшой компьютерной сети ESET NOD32 Small Business Pack;
- бизнес-решение для централизованной антивирусной защиты ESET NOD32 Antivirus Business Edition;
- комплексное решение для оперативного детектирования всех типов угроз ESET NOD32 Smart Security Business Edition;
- продукты для защиты почтовых серверов ESET Mail Security для Microsoft Exchange Server, Linux / BSD / Solaris, IBM Lotus Domino или Kerio;
- продукты для защиты файловых серверов ESET File Security для Microsoft Windows Server или Linux / BSD / Solaris.

Данные хранятся в защищенном российском дата-центре уровня Tier III. Оплата лицензий тарифицируется в зависимости от количества объектов, кибербезопасность которых необходимо обеспечить. Заказчик может варьировать количество продуктов и подписок с учетом сезонности, темпов развития бизнеса, сложности инфраструктуры.

«Использование облачных версий программных продуктов ESET позволяют заказчикам не нести капитальные расходы на закупку и продление лицензий, снизить нагрузку на ИТ-службу, передав управление ПО сервис-провайдеру, и при этом обеспечить бизнес современными и отказоустойчивыми инструментами для повышения кибербезопасности», – комментирует Антон Нагов, руководитель направления продаж облачных сервисов компании Softline.

«Данная модель продаж позволит нам максимально упростить приобретение и лицензирование продуктов для корпоративных пользователей; самостоятельное развертывание и управление антивирусной защитой не требуется, – говорит Алексей Косиченко, директор департамента развития ESET Russia. – Softline – один из наших ключевых партнеров, с которым мы работаем на протяжении многих лет, поэтому мы убеждены, что клиенты оценят не только удобную модель поставки, но и высокий уровень сервиса».

inCode научился пережёвывать бинарные коды Apple

Компания Solar Security выпустила новую версию решения Solar inCode с поддержкой статического анализа кода бинарных файлов для macOS.

Главным отличием Solar inCode от конкурирующих решений является возможность статического анализа исполняемых с автоматическим восстановлением высокоуровневого кода (.apk-, .jar-, .war-, .ipa-, .exe- и .dll-файлы). В целях усиления данного конкурентного преимущества в версии Solar inCode 2.7 реализован модуль анализа исполняемых файлов приложений для операционной системы macOS (расширение .app).

«Семейство операционных систем macOS – второе по распространенности для десктопов после Windows, поэтому статический анализ бинарных файлов для ОС от Apple – важный шаг в развитии продукта. В ближайших версиях Solar inCode мы планируем сфокусироваться на дальнейшем усовершенствовании этой функциональности», – рассказал Даниил Чернов, руководитель направления Solar inCode компании Solar Security.

Еще одно конкурентное преимущество Solar inCode – простой и удобный интерфейс. Благодаря тщательно продуманной логике взаимодействия с пользователем он интуитивно понятен и не требует дополнительного времени на изучение. Запуск сканирования осуществляется в два клика, а визуальное представление отчетов реализовано так, чтобы они были информативными даже для пользователя без навыков программной разработки.

Даниил Чернов: «Даже самый удобный интерфейс нуждается в постоянном развитии – как с точки зрения графического дизайна, так и с позиций эргономики и даже просто соответствия последним тенденциям в этой области. Поэтому мы внесли в интерфейс Solar inCode 2.7 ряд изменений, доработав визуальное решение страниц проектов и результатов, кнопки быстрых действий, добавив индикатор выполнения сканирования и многое другое».

Кроме того, в версии Solar inCode 2.7 добавлены новые правила для поиска уязвимостей, а также улучшены алгоритмы анализа при поиске уязвимостей для языков Java/Scala и Java for Android.

Отчеты о сканированиях теперь можно выгружать в соответствии с классификацией уязвимостей OWASP Top 10 2017. Кроме того, найденные уязвимости могут быть ранжированы в соответствии с OWASP Mobile Top 10 2016, PCI DSS и HIPAA, что упрощает задачу по соответствию требованиям регуляторов.

Более половины организаций по-прежнему используют пароли для идентификации клиентов

Как показывает исследование Experian, 6 из 10 компаний отмечают, что в 2017 году убытки от кибермошенничества по сравнению с 2016 годом не снизились, а у многих даже возросли. Как показывает опубликованный Experian в январе 2018 г. отчет Global Fraud and Identity Report ("Отчет о развитии мошенничества и кражи персональных данных в мире") активность преступников и многообразные мошеннические схемы продолжают увеличиваться в масштабах и развиваться по всему миру. Большинство организаций, опрошенных в рамках исследования (более 72%), назвали мошенничество серьезным поводом для беспокойства.

Как показало исследование, способность компаний правильно идентифицировать клиентов является одним из важнейших факторов в противостоянии мошенникам. При этом при наличии подозрения в мошенничестве большинство организаций предпочитают перестраховаться и отказать клиенту в предоставлении услуги, тем самым усложняя процесс и делая его менее клиентоориентированным. Более 70% опрошенных осознают, что, принимая избыточные меры предосторожности, они часто блокируют обычные транзакции. Это в свою очередь влечет за собой не только сокращение объемов и количества продаж, но и снижение лояльности и пожизненной ценности клиента.

Руководители компаний подтверждают, что возможность более точной идентификации клиентов позволила бы им не отклонять добросовестные транзакции и значительно повысить выручку. Кроме того, по мнению 84% организаций необходимость мероприятий по минимизации рисков существенно снизилась бы при точной идентификации клиентов.

По мере перехода взаимодействия организаций с клиентами в цифровое поле они все больше осознают важность доверия и необходимость применения современных технологий для создания атмосферы открытости. "Нам нравится, когда нас узнают те, с кем мы взаимодействуем, будь то наша любимая кофейня или интернет-магазин, – отмечает Тимофей Костин, глобальный консультант, Experian. – Узнавание способствует доверию, а доверие создает ощущение безопасности и защищенностиДоверие – это валюта электронной коммерции, а технологии – это необходимый инструмент для его реализации".

Как показывают результаты исследования, клиенты хотят быть узнанными, но при этом ожидают от банков и интернет-магазинов защиты своих данных и обеспечения безопасности транзакций. 7 из 10 клиентов хотят, чтобы при интернет-транзакциях использовались протоколы, обеспечивающие безопасность данных – это придает им уверенности при совершении операций. Но это не значит, что клиентам нравится, когда для обеспечения безопасности создаются сложности и неудобства. Наиболее эффективные стратегии предотвращения мошенничества и защиты персональных данных обеспечивают безопасность, не усложняя процесс обслуживания.

"Преступность постоянно развивается, злоумышленники становятся все более изобретательными. Для надежного выявления мошенничества необходимы множественные стратегии, включая более качественную идентификацию клиентов. Короче говоря, чем точнее вы устанавливаете личность клиентов, тем быстрее и легче распознаете мошенничество", –  добавляет Тимофей Костин.

В рамках исследования Experian опросил более 5 500 пользователей и 500 руководителей компаний, ведущих деятельность на 11 рынках по всему миру. Ниже приведены некоторые результаты этого опроса.

В нем указывается, что 84% компаний могли бы снизить риск мошенничества, если бы умели правильно идентифицировать своих клиентов, при этом:

- Каждый четвертый респондент отказывался от сделки, если создание нового аккаунта требовало предоставления слишком большого объема информации.
- 35% пользователей совершали бы больше операций через интернет, если количество и сложность проверок для обеспечения безопасности было бы снижено.
- Всего 40% компаний "совершенно уверены" в своей способности точно и своевременно выявлять мошенников.
- 52% организаций по-прежнему используют пароли для идентификации клиентов и защиты информации.
- 75% предпринимателей выразили заинтересованность в более современных мерах безопасности, способствующих повышению удовлетворенности клиента.

В отчете Experian также проанализировано отношение к предотвращению мошенничества в разных странах:

- В разных регионах по-разному относятся к дополнительным мерам безопасности, не создающим помех при обслуживании клиентов онлайн. В США, Индии, ЮАР и Китае приоритетность таких мер на порядок выше.
- Терпимость к неудобствам, создаваемым ради безопасности, различается в зависимости от региона. В Индии и ЮАР люди спокойнее относятся к дополнительным проверкам безопасности, поскольку они обеспечивают защиту, а в Турции такие неудобства считают недопустимыми.

Полный текст отчета о мошенничестве и защите персональных данных: http://www.experian.com/globalfraudreport2018