Новости мира Underground

[Alex242]

19 октября 2011 г.

Процесс вовлечения пользователя социальной сети «В контакте» в мошенническую схему начинается с того, что он получает содержащее ссылку сообщение от одного из людей, занесенных в его список друзей.
Щелкнув мышью на этой ссылке, пользователь перенаправляется на принадлежащий «Твиттеру» специализированный сервис, предназначенный для сокращения гиперссылок, а уже оттуда — на встроенное приложение, опубликованное на одной из страниц социальной сети «В контакте». Любопытно, но факт: в процессе подобной переадресации пользователь не получает никаких предупреждений.
Созданное злоумышленниками приложение демонстрирует значок учетной записи жертвы и пояснение, сообщающее, что в Интернете опубликован видеоролик с его участием. Интересная особенность данной мошеннической схемы заключается в том, что на этой же странице выводятся комментарии пользователей из списка друзей жертвы, причем комментарии весьма интригующего содержания: «Вот это да!», «Кто это придумал?» и т. д. Комментарии, естественно, генерируются программой автоматически на основе заданного злоумышленниками шаблона. Там же опубликована ссылка на сам «ролик» — она состоит из имени жертвы и расширения .avi.
По щелчку мышью на предложенной злоумышленниками ссылке происходит перенаправление пользователя на принадлежащий мошенникам сайт, при этом на экране появляется диалоговое окно с предложением указать логин и пароль учетной записи социальной сети «В контакте». Если жертва выполняет данное требование, эта информация передается злоумышленникам, а учетная запись оказывается скомпрометированной. Следует отметить, что попытка перехода по внешней ссылке из встроенного приложения, по всей видимости, не фиксируется программным обеспечением социальной сети, поэтому предупреждение не появляется. Вместе с тем сайт злоумышленников выводит на экран поддельное предупреждение, в тексте которого указан адрес популярного видеосервиса youtube, на который якобы переходит пользователь.
После заполнения указанной формы жертва кибермошенников перенаправляется на сайт поддельной файлообменной сети, требующей перед скачиванием файлов указать номер мобильного телефона и подписывающей таким образом доверчивых пользователей на платные услуги, за предоставление которых с их счета будет регулярно взиматься абонентская плата.
Администрация «В контакте» уже предупреждена о наличии на страницах социальной сети вредоносного приложения, однако не исключено появление других аналогичных программ в дальнейшем.

[Alex242]

Как известно, сайт «Ответы@Mail.Ru» позволяет разместить любой вопрос, ответ на который дают другие пользователи ресурса. Копии всех полученных ответов отправляются автору вопроса по электронной почте. Вероятно, именно эту особенность сервиса и учли вирусописатели: троянец Win32.HLLM.MailSpamer распространяется по e-mail с помощью содержащих вредоносную ссылку писем, имеющих тему «Re: С проекта Ответы@Mail.Ru».
Каждое такое письмо содержит один из вариантов сообщений, таких как «я почему-то сразу нагуглил» или «а самому было лень поискать?», и ссылку на сайт файлообменной службы, ведущую на страничку загрузки RAR-архива. Этот архив содержит исполняемый файл setup.exe и документ Readme.doc. При запуске приложения setup.exe на экране отображается стандартное окно программы-инсталлятора. Данная программа открывает на чтение файл Readme.doc, где в зашифрованном виде хранится троянец Win32.HLLM.MailSpamer.
После расшифровки вредоносная программа сохраняется на диск в виде динамической библиотеки, которая, в свою очередь, извлекает из своего тела исполняемый файл и запускает его. Затем троянец вносит ряд изменений в системный реестр, прописав собственный исполняемый файл в отвечающую за автозапуск ветвь, а также отключает в групповых и локальных политиках User Accounts Control.
Запустившись на выполнение, Win32.HLLM.MailSpamer определяет тип и версию операционной системы, значение серийного номера жесткого диска и IP-адрес инфицированной машины, после чего отправляет соответствующий отчет на удаленный командный сервер злоумышленников. Оттуда троянец получает конфигурационный файл, в котором указан объект для последующей загрузки. Таким объектом, в частности, является программа alqon.exe, которая скачивается с удаленного узла и запускается на выполнение. Это вредоносное ПО устанавливает соединение с командным сервером и получает от него конфигурационный файл, содержащий логин и пароль для доступа к почтовому серверу, а также текст рассылаемого по почте сообщения и ссылку на вредоносный файл. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.

[Alex242]

Вредоносные программы семейства BackDoor.Butirat известны еще с 2010 года. На сегодняшний день в вирусных базах Dr.Web насчитывается более 30 различных версий этого троянца. Интересно, что данный бэкдор не теряет своей популярности у распространителей вирусов: он по-прежнему часто загружается с различных сайтов, распространяющих вредоносное ПО. Можно предположить, что широкое распространение этой вредоносной программы связано с относительной легкостью ее модификации. Кроме того, злоумышленники регулярно перепаковывают новые версии BackDoor.Butirat, что порой затрудняет их детектирование.
Ранние модификации BackDoor.Butirat распространялись в виде динамической библиотеки, написанной на языке С++. Троянец отправлял различные запросы в баннерообменные сети для активации того или иного баннера. К классу бэкдоров его отнесли прежде всего потому, что он позволял выполнять различные директивы, поступающие с удаленного командного центра, например, команду на обновление.
Более поздние реализации BackDoor.Butirat значительно расширили свои функциональные возможности. Например, BackDoor.Butirat.25, добавленный в вирусные базы в октябре 2011 года, обладает не только возможностью обработки удаленных команд, но и способностью модифицировать в своей копии дату PE-заголовка с целью изменения хеша файла. Эта версия BackDoor.Butirat также связана с рекламой: помимо иного функционала, она использует ресурсы систем контекстных объявлений (begun.ru и др.) для генерации нажатий на различные баннеры.
Отличительной особенностью троянцев семейства BackDoor.Butirat является то, что после своего запуска они создают в системной папке ApplicationData файл netprotocol.exe и регистрируют его в ветви реестра, отвечающей за автозапуск приложений. Основная опасность для пользователя, которую несут в себе троянцы семейства BackDoor.Butirat, заключается в том, что они способны загружать с удаленного узла и запускать на выполнение произвольные приложения, а также передавать злоумышленникам различные файлы с инфицированного компьютера. В частности, в последнее время BackDoor.Butirat.25 скачивает на инфицированный компьютер троянца Trojan.Hosts.5006, ворующего пароли систем онлайн-банкинга Сбербанка и Альфа-Банка.
Кроме того, отдельные модификации BackDoor.Butirat могут перехватывать входящий и исходящий трафик в различных браузерах (опасности подвержены, прежде всего, Internet Explorer, Firefox и Opera), благодаря чему злоумышленники могут отслеживать поисковые запросы пользователей к поисковым системам Yandex, Google, Yahoo, Nigma, Bing, Rambler, search.qip.ru, Rupoisk.ru и перенаправлять браузер на различные сайты, список которых передается троянцу с удаленного командного центра.

[Alex242]

Trojan.Spamer.46 распространяет спам в социальных сетях

Данный троянец, написанный на языке С++, распространяется через торренты вместе с архиватором WinRAR. После инсталляции программы-архиватора в папке установки появляется «лишний» файл RarExtr.dll, который вызывается при запуске архиватора. Загрузившись в память, данная вредоносная библиотека сохраняет в папку Windows\System32 файл kbdfv.dll, содержащий в себе троянскую программу Trojan.Spamer.46
Затем троянец ищет среди запущенных в системе процессов firefox.exe и, если находит, встраивает в него содержимое своей библиотеки. После этого Trojan.Spamer.46 начинает осуществлять фильтрацию исходящего трафика в поисках форм отправки сообщений сайтов vkontakte.ru, odnoklassniki.ru и my.mail.ru, добавляя в отправляемые пользователем сообщения текст «Кстати, глянь: [ссылка]». Гиперссылка ведет на мошеннический сайт, предлагающий услугу предсказания судьбы по линиям ладони за платное СМС-сообщение.

[Alex242]

6 июня 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении вредоносной программы Trojan.PWS.Banker.64540, благодаря которой злоумышленники могут организовывать фишинговые атаки на пользователей инфицированных компьютеров.
Троянец Trojan.PWS.Banker.64540 состоит из двух компонентов: исполняемого файла и динамической библиотеки, при этом он имеет очень небольшой размер, порядка 80 Кбайт. Эта вредоносная программа использует для своего распространения ресурсы известной бот-сети Andromeda. Запустившись на инфицированной машине, Trojan.PWS.Banker.64540 копирует себя в одну из папок под именем msvcrt.exe и прописывает ссылку на данный файл в ветвь системного реестра, отвечающую за автоматическую загрузку приложений. Троянец проверяет, установлен ли он в системе. После этого вредоносная программа запускает себя на исполнение и внедряет код самоудаления в процесс svchost.exe. Информацию о выполненных операциях эта программа сохраняет в специально созданном файле журнала.
После запуска троянец осуществляет поиск данных по определенному шаблону в файлах, хранящихся на всех дисках инфицированного компьютера, кроме диска А. Обнаруженную информацию троянец шифрует и отправляет на один из принадлежащих злоумышленникам серверов, адреса которых хранятся в теле вредоносной программы.
Основное предназначение Trojan.PWS.Banker.64540 — внедрение в Internet Explorer собственного компонента. Он содержит веб-инжекты, позволяющие подменять содержимое веб-страниц при обращении к ряду сайтов, таких как visa.com, mastercard.com, americanexpress.com, discovercard.com.

[Alex242]

Массовая рассылка вируса черeз Skype и социальные сети обнаружена в русском сегменте Сети. Она приводит к заражению Windows-компьютеров червём Worm.NgrBot, пишет "АиФ".
Вредоносную ссылку, запускающую троян, пользователи получают от имени своих авторизованных контактов, что увеличивает опасность угрозы.

Существование угрозы вслед за белорусской антивирусной компанией «Вирусблокада» подтвердили отечественные антивирусные разработчики «Лаборатория Касперского» и «Доктор Веб».

Заражение вирусом происходит после перехода по ссылке, полученной в Skype. Авторизированный пользователь якобы присылает сообщение «Это новый аватар твоего профиля?» либо «ey eto vasha novaya kartina profil’? <ник в Skype>». При переходе по ссылке в систему загружается ZIP-архив с вредоносным исполняемым файлом с расширением .EXE.

Вирус включает заражённый компьютер в ботнет и привлекает его к DDoS-атакам.

В дополнение к этому Worm.NgrBot похищает пароли от файлообменников, почты, легальных сервисов и соцсетей. Он может блокировать доступ компьютера к сайтам антивирусных компаний.

Вирус способен распространять себя через сообщения в социальных сетях «Вконтакте» и Facebook, через Twitter, а также через флеш-носители.

Избежать дальнейшего распространения трояна можно с помощью отключения функции управления Skype другими программами. Это можно сделать в меню расширенных настроек Skype, очистив пункт «Контроль доступа программного интерфейса».

[Alex242]

В сети появилась новая троянская программа Trojan.GBPBoot.1. В принципе новость о вредоносной программе на этом можно было бы и закончить, так как с точки зрения реализуемых вредоносных функций она ничем не отличается от тысячи подобных вирусов. В «обязанности» троянца входит загрузка с удаленных серверов и запуск на инфицированном компьютере различных исполняемых файлов и сбор информации о системе. И сточки зрения антивирусной защиты все довольно примитивно, но… У троянской программы Trojan.GBPBoot.1 есть интересная и довольно-таки неприятная особенность.

Дело в том, что его очень трудно удалить при помощи стандартных средств антивирусной защиты, так как вирус имеет механизм самовосстановления. Trojan.GBPBoot.1 состоит из нескольких модулей. В частности, вирус содержит модуль для изменения главной загрузочной записи (MBR) на жестком диске компьютера, модуль самовосстановления, архив с собственным файлом explorer.exe, модуль установщика и сектор со всеми необходимыми конфигурационными данными.


Давайте попробуем разобраться в работе троянской программы. Первый модуль изменяет главную загрузочную запись и записывает вышеперечисленные модули вирусного инсталлятора, автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными за пределами файловой системы в конец подходящего для себя раздела. Далее он копирует в системную папку вирусный инсталлятор и запускает его, а собственный файл удаляет.

Вирусный инсталлятор регистрирует и запускает новую системную службу, предварительно скопировав динамическую библиотеку и файл конфигурации в системную папку. Далее инсталлятор тоже самоудаляется. В свою очередь, системная служба считывает данные с файла конфигурации и устанавливает связь с удаленным управляющим сервером.

Если Ваш антивирус после сканирования системы вычислит и удалит файл вредоносной службы, сработает механизм самовосстановления троянской программы Trojan.GBPBoot.1. Терминатор какой-то, мне даже писать дальше страшно.

Так вот, используя модифицированную загрузочную запись, в момент запуска компьютера проверяется наличие на жестком диска файла вредоносной системной службы и в случае его отсутствия, Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим "инструмент самовосстановления", который запускается одновременно с загрузкой операционной системы. Подставной файл explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe.

Как видите, даже если Ваш антивирус выявит и удалит трояна, при следующей перезагрузке вирус снова установится в автоматическом режиме и продолжит свою «грязную» работу.

[B|!zzard]

Opera перенаправляла пользователей на вредоносный ресурс

На сайте портала Opera был размещен iframe-элемент, который перенаправлял посетителей на страницу с набором эксплоитов BlackHole.

По данным Bitdefender, web-сайт портала браузера Opera (portal.opera.com) на протяжении нескольких часов перенаправлял пользователей на страницу с набором эксплоитов Blackhole.

На web-сайте выполнялся сложный вредоносный сценарий, который помещал на главной странице iframe-элемент с содержимым удаленного ресурса. Вредоносный сценарий, по всей видимости, попал на сайт через размещенную на нем рекламу.

«Эта вредоносная страница содержит набор эксплоитов BlackHole (нам достался пример с PDF-файлом, эксплуатирующим уязвимость CVE-2010-0188), который поражает неудачливого пользователя свежескомпилированным ZBot», – заявили исследователи.

Сотрудники Bitdefender также отметили, что загрузка ZBot осуществляется с расположенного в России сервера, который, скорее всего, также был взломан хакерами.

Пользователям Opera рекомендуется проверить свою систему на наличие вредоносных программ.

Источник: SecurityLab.ru.

[B|!zzard]

Троянец-блокировщик делает скриншот с веб-камеры и демонстрирует его пользователю

Специалисты компании «Доктор Веб» провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера. Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразными функциями.

Источник: www.3dnews.ru

[B|!zzard]

PandaLabs прогнозирует взрывной рост хакерских атак, эксплуатирующих уязвимости в ПО

Уязвимости в программном обеспечении будут основной целью для злоумышленников в наступающем 2013 году. Такой прогноз делают эксперты антивирусной лаборатории PandaLabs, проанализировавшие возможные варианты развития событий в киберпространстве.

По мнению специалистов, в будущем году киберпреступники продолжат эксплуатировать уязвимости в популярных продуктах компании Adobe Systems и Java-приложениях, которые активно применяются как на PC, так и на Mac. При этом успех хакеров во многом будет обусловлен не столько их талантом и совершенством используемых ими технологий, сколько невниманием пользователей и организаций к элементарным основам компьютерной и информационной безопасности.

"Своевременное развертывание апдейтов для бизнес-приложений гарантирует защиту от подобного рода атак и в то же время является сложным процессом на крупных предприятиях, где обновления всех рабочих станций должны быть скоординированы, так как крайне важно обеспечить корректное функционирование используемого ПО. — комментирует технический директор PandaLabs Луис Корронс (Luis Corrons). — Из-за этого процессы обновлений осуществляются достаточно медленно, в результате чего появляется "окно", которое используется злоумышленниками для кражи информации в целом и реализации атак, нацеленных на поиск конфиденциальных данных".

Помимо эксплуатации незакрытых брешей в приложениях, наибольший резонанс в сфере IT-безопасности получат инциденты, связанные с применением преступными группами методов социальной инженерии, вредоносных программ для мобильных платформ, а также с обостряющейся с каждым годом кибергонкой вооружений.

Источник: www.3dnews.ru

[Alex242]

Российские специалисты вычислили крупнейшую в мире шпионскую сеть. Неизвестные хакеры на протяжении нескольких лет собирали секретную информацию в государственных ведомствах и крупных компаниях по всему миру. По данным "Лаборатории Касперского", кто руководит сетью "Красный октябрь" неизвестно. Следы в обнаруженном программном коде указывают сразу на несколько стран.

Чем бы ни являлись эти несколько компьютерных файлов, очевидно, что мир столкнулся с кибершпионажем нового поколения. "Красный Октябрь" — программа, которая, как выясняется, на протяжении пяти лет собирала сведения с компьютеров государстенных учреждений и военных ведомств десятка стран.

Впервые тщательно законспирированные шпионские коды засекли в конце прошлого года эксперты "Лаборатории Касперского". Чем дальше программисты изучали "Красный октябрь" тем очевидней становился масштаб цифровой шпионской сети.

Правительственные организации, посольства, военные объекты, финансовые корпорации, НИИ. Тот, кто создал "Красный Октябрь", по мнению экспертов, дотошно выбирал цели — содержимое компьютеров стратегически важных организаций червь незаметно передавал своему хозяину. Это означает, что кто-то получил доступ к секретным сведениям, научным разработкам и военным тайнам. Джулиану Ассанжу такое даже не снилось.

Главный вопрос — кому под силу создание такого кибероружия? Специалисты уверены, что работала группа из нескольких десятков программистов. Более 60 сетевых адресов, на которые стекались полученные данные, расположены в Германии и России. Очевидный русский след оставлен и внутри самого компьютерного кода, по словам экспертов, в нем иногда мелькают слова, встречающиеся в сленге русскоязычных разработчиков.

Эта деталь может быть еще одним подтверждением хорошо спланированной многоходовой операции, ложный след, по которому создатели "Красного октября" пустили охотников. Геополитическая разведка, а именно этим в течение последних пяти лет занималась программа-шпион, версия, к которой склоняются большинство специалистов в области безопасности. Одна из немногих стран, не заинтересовавшая шпионов, вероятно, и является истинным хозяином "Красного октября".

"Особенность киберпространства в том, что очень сложно напрямую идентифицировать заказчика и разработчика данного ПО. Часть уязвимостей и часть дыр говорит о том, что разработаны они были китайскими хакерами", — отметил консультант по информационной безопасности Алексей Лукацкий.

Несмотря на обнаружение, угроза безопасности многих государств все еще велика. Шпион умеет скрываться от антивирусных фильтров. Охота на "Красный октябрь" продолжается.

[B|!zzard]

Южная Корея подверглась кибератаке

В среду сразу несколько крупных банков и телерадиовещательных компаний Южной Кореи сообщили о временном приостановлении услуг в связи с мощной кибератакой во второй половине дня. По предварительным данным, нападение было совершено при участии Северной Кореи, которая еще на прошлой неделе обвинила США и Сеул в организации хакерских атаках на собственные серверы.

По информации новостной службы BBC, в результате атаки наблюдались перебои в работе систем телерадиовещательных компаний KBS, MBC, YTN, а также банков Shinhan Bank, Woori Bank и Nonghyup. Так, например, на протяжении нескольких часов клиенты банка Shinhan Bank не могли провести операции через интернет-банкинг или же снять деньги в банкомате. Кроме того, о подозрительной активности в сети сообщил и корейский оператор мобильной связи LG Uplus.

По данным Южнокорейского агентства по безопасности в Интернете KISA, некоторые компьютерные сети были частично повреждены. Расследование случившегося будет проводиться под личным контролем президента Южной Кореи. «Мы не исключаем того, что к этому всему может иметь отношение Северная Корея, но делать подобное утверждение пока еще рано», – рассказал пресс-секретарь министерства обороны Южной Кореи Ким Мин Сок (Kim Min-seok).

По словам властей Южной Кореи, атака, парализовавшая компьютерные системы некоторых местных банков и телерадиовещательных компаний, проводилась с китайских IP-адресов. Тем не менее, южнокорейские регуляторы пока не отказываются от предположения о том, что организатором является именно КНДР, поскольку Северная Корея уже неоднократно использовала китайские IP-адреса, чтобы замаскировать свои кибератаки. В настоящее время в Сеуле создана специальная комиссия, которая займется изучением использовавшегося при атаке вируса и предпримет меры для предотвращения подобных нападений в будущем.

Источник: www.3dnews.ru

[B|!zzard]

Хакеры организовали крупную атаку на борцов со спамом

Весьма крупная по своим масштабам хакерская атака, жертвой которой стала некоммерческая организация Spamhaus, достигла своего апогея.

Организация Spamhaus привлекла внимание киберпреступников благодаря роду своей деятельности — она борется со спамом и прочим нежелательным интернет-контентом, используя для этого специальные блокировщики собственной разработки. На сегодняшний день Spamhaus насчитывает несколько офисов в крупных городах мира, а ее сеть состоит из более чем 80 высокопроизводительных серверов, разбросанных по всему земному шару.

Хакеры избрали самый верный вид атаки — DDoS. В результате их «спецоперации» пострадало, по предварительным оценкам, несколько миллионов компьютеров и серверов из разных стран мира. В настоящее время происходит оценка масштабности атаки.

Расследование случившегося уже ведется. Специалисты установили, что суммарная мощность DDoS-атак достигла 300 гигабит в секунду. По словам Стива Линфорда (Steve Linford), представителя Spamhaus, поисками виновников уже занимаются пять крупных стран мира. Перечислять их он не стал.

Руководство Spamhaus предполагает, что атаку мог спланировать и осуществить голландский веб-ресурс Cyberbunker в качестве ответной реакции на добавление его в список сайтов, рассылающих спам. Причастие Cyberbunker к «хакерской атаке века» косвенно подтверждается тем фактом, что она началась спустя незначительное количество времени после добавления Cyberbunker в блек-лист.

Своей цели хакеры добились — сеть Spamhaus рухнула под напором, и все спам-блокировщики были выведены из строя. Ими, напомним, пользуются многие очень крупные интернет-ресурсы из разных стран мира. Именно по этой причине ущерб от атаки оказался столь значительным.

Источник: www.3dnews.ru

[B|!zzard]

Хакеры из Anonymous объявили «войну» Северной Корее

Хакерская группа Anonymous, которая известна взломами крупнейших правительственных сайтов, различных порталов финансовых ведомств, теперь акцентировала своё внимание на Северной Корее. Основной задачей новой акции под названием «Операция Свободная Корея» станет освобождение страны от диктатора Ким Чен Ына, который угрожает некоторым странам ядерным вооружением. В весьма амбициозные планы хакеров также входит становление демократии в Северной Корее и отмена цензуры в Интернете.

«Мы получили доступ к 15 тысячам аккаунтов представителей правительства. Если вы не прислушаетесь к нашим требованиям, то мы уничтожим все ваши данные, после чего уничтожим все ваше чёртово правительство», — заявили хакеры из Anonymous.

На текущий момент известно, что Anonymous успешно взломали правительственные аккаунты в социальных сетях Twitter и Flickr. Ответственность за взлом взяли на себя хакеры из «дочернего» аккаунта Twitter под ником Anonymous_Korea.

Сами хакеры из группировки Anonymous не поддерживают действия какой-либо конкретной страны, пытаясь отстаивать права на свободу слова и свободу граждан по всему миру.

Источник: www.3dnews.ru

[B|!zzard]

Хакеры Anonymous собрали $54 000 на собственный новостной портал

Активистам международной хакерской сети Anonymous удалось собрать на IndieGoGo $54 668 для открытия собственного информационно-новостного портала Your Anon News. Изначально в рамках кампании по сбору средств хакеры планировали привлечь 2000 американских долларов, однако в результате Anonymous получили существенно большую сумму от более чем 1300 пользователей.

Сообщается, что портал Your Anon News (YAN) в основном будет посвящен хакерам Anonymous. Прежде активисты движения использовали социальные сервисы Twitter, Facebook и Tumblr для распространения информации о своей деятельности либо для публикации заявлений, однако теперь все эти сведения будут размещаться на специализированном портале. Кроме того, на сайте можно будет найти заявления и отчеты из других ресурсов и блогов, а также материалы независимых журналистов. «Наша цель состоит в распространении информации, которую мы рассматриваем в качестве наиболее важной, отделяя ее от слухов о политиках и знаменитостях, которые сейчас в основном преобладают», — говорится в видеообращении Anonymous.

«Группировка показала, что имеет очень конкретную политическую позицию. В связи с этим я могу предположить, что новостная лента будет стоять в одном ряду с газетой, имеющей очевидные политические пристрастия. Также возникает вопрос касательно отсутствия подотчетности. Как можно верить, что организация, по определению являющаяся «анонимной», публикует информацию, которая является точной?», – рассказал в интервью новостной службе BBC эксперт по кибербезопасности Университета Суррея Алан Вудворд (Alan Woodward).

Пока не сообщается, будут ли Anonymous оплачивать работу журналистов, или сайт будет полагаться только на добровольцев, однако, по словам активистов движения, программисты и дизайнеры работают над созданием Your Anon News практически бесплатно, а все вырученные в рамках кампании средства будут направлены на техническое обслуживание сайта и хостинг. Пользователи, пожертвовавшие на YAN средства, получат кофейные кружки, футболки и толстовки с символикой Anonymous.

Источник: www.3dnews.ru

[B|!zzard]

"Лаборатория Касперского": в марте спамеры наживались на смерти Уго Чавеса

После значительного роста количества спама в феврале в первый весенний месяц объем почтового мусора стабилизировался на уровне в 70,1%. Однако радости от этого пользователи не почувствовали, поскольку, по данным «Лаборатории Касперского», наряду с этим доля вредоносных вложений в незапрошенной электронной корреспонденции существенно увеличилась и достигла 4%.

В марте спамеры традиционно старались использовать тему праздников для привлечения внимания к своим письмам, не упуская при этом из виду и «горячие» новости. К ним, безусловно, относятся сообщения о смерти президента Венесуэлы Уго Чавеса. Одними из первых на трагическое известие отреагировали интернет-мошенники, которые стали активно использовать в электронных рассылках темы, связанные с Боливарианской Республикой. Так, одно из мошеннических писем было разослано от имени начальника морского порта Венесуэлы, который якобы просил помочь ему сохранить деньги, полученные от продажи дизельного топлива Южному Судану. При этом в первом письме мошенники не обещают адресату конкретную сумму за содействие, и только в ходе дальнейшей переписки предлагается денежное вознаграждение.

В другой рассылке распространялось письмо якобы от начальника службы безопасности и по совместительству близкого друга Уго Чавеса. Как всегда, «нигерийские» мошенники не ограничивают полет своей фантазии: «друг» имеет доступ к деньгам, которые покойный президент хранил на банковском счету своей тайной возлюбленной, и теперь готов предложить получателю письма 25% от общей суммы за помощь в выводе средств.

На этом опасности для пользователей в почте не ограничиваются. После некоторого затишья злоумышленники, распространяющие вредоносные программы по электронной почте, возобновили рассылку писем — подделок под уведомление о бронировании отелей и авиабилетов. В частности, в марте была зарегистрирована новая рассылка подделок под уведомление о бронировании номера в Atlantic Hotel. В письме, написанном от лица менеджера отеля, злоумышленники благодарили получателя за бронирование и сообщали, что ожидают его приезда в отель 20 марта 2013 года. Если получатель открывал приложенное к письму «уведомление о бронировании», происходило заражение компьютера троянцем, который используется для вымогания денежных средств или финансовой информации.

Источник: www.3dnews.ru

[B|!zzard]

«Лаборатория Касперского»: россияне чаще других теряют деньги в Интернете

Каждый пятый пользователь Рунета неоднократно становился жертвой киберпреступников и терял деньги при совершении банковских операций либо покупок в глобальной сети. Об этом свидетельствуют результаты опроса членов сообщества «Лаборатории Касперского» в социальной сети Facebook.

Собранная экспертами антивирусной компании статистика демонстрирует факт того, что россияне чаще других интернет-пользователей теряют деньги в онлайне: показатель России по краже персональных данных пользователей в глобальной сети выше, чем общемировой. Так, в среднем по миру около 14% пользователей хотя бы раз становились жертвой хищения важных данных. Для сравнения: во Франции этот показатель составляет 7%, в Японии — 8%.

«Популярность интернет-банкинга и онлайн-систем для совершения покупок растет буквально день ото дня. А увеличение оборота денежных средств в виртуальном пространстве закономерно вызывает интерес со стороны злоумышленников, — говорит Сергей Новиков, руководитель российского исследовательского центра «Лаборатории Касперского». — Попадание России в топ стран, где пользователи чаще всего теряют деньги в Интернете, свидетельствует и об активности россиян в проведении финансовых операций онлайн, и об их легкомысленном отношении к специальными защитным инструментам при вводе конфиденциальных данных банковской карты или электронного кошелька».

Источник: www.3dnews.ru

[B|!zzard]

Российские дети — самые активные пользователи социальных сетей в мире

Отечественные подростки больше других детей в мире общаются в социальных сетях, содержащих в себе весь опасный контент, который есть в Интернете, и представляющих для ребенка дополнительную опасность в виде мошенничества от лица «друзей» и потенциальных пересечений с киберпреступниками. Об этом свидетельствуют статистические данные, собранные специалистами «Лаборатории Касперского» посредством облачной системы мониторинга угроз Kaspersky Security Network (KSN) и модуля «Родительский контроль».

Согласно представленным антивирусной компанией сведениям, интерес к социальным ресурсам проявляют 59,6% российских детей (для сравнения: общемировой показатель равен 31,3 процентам). Интернет-магазины посещают 9,1% отечественных подростков, сайты с порнографией и эротикой — 8,9%, почтовые веб-сервисы — 5,7%, ресурсы с контрафактным софтом — 3,4%. Казуальными играми и чатами увлекаются 3,2% и 3,1% подрастающей интернет-аудитории соответственно. На остальные нежелательные для детей ресурсы — оружие, наркотики, азартные игры, платежные системы и т.п. — приходится в среднем 0,5-1,5% срабатываний «Родительского контроля».

Не менее интересен тот факт, что все «запретные» ресурсы в Интернете дети «изучают» тогда, когда находятся без присмотра со стороны взрослых. Как показывает статистика KSN, пик пребывания юных пользователей в глобальной сети приходится на временной промежуток между 15 и 18 часами, когда занятия в школе уже закончились, а родители еще не вернулись с работы.

Эксперты «Лаборатории Касперского» акцентируют внимание на важности защиты подрастающего поколения от таящихся в киберпространстве рисков и советуют родителям обучить ребенка правилам безопасности в Сети, обращать внимание на то, чем он занимается в Интернете и использовать предусмотренные во многих антивирусных продуктах технологии родительского контроля. Детям специалисты по IT-безопасности настоятельно рекомендуют не оставлять в публичном доступе и не отправлять незнакомцам при общении в сети контактную информацию, не соглашаться на уговоры незнакомых людей о личной встрече и не переходить по ссылкам в сообщениях от неизвестных адресатов.

Источник: www.3dnews.ru

[Yadmin-PC]

Пресс-служба ГУ МВД России по Иркутской области сообщила о задержании при попытке хищения средств с использования платежного терминала 19-летнего студента первого курса факультета информационных систем и технологий управления в Чите. Охранники магазина, где установлен терминал, обратили внимание на подозрительное поведение молодого человека, который, как оказалось, с помощью созданной программы взломал систему платежного терминала и благодаря этому произвел ряд платежей на счета мобильных устройств с SIM-картами подставных лиц. Всего к моменту задержания было похищено 75 тысяч рублей.
Похищенная сумма могла быть и больше, но, как считают сотрудники отделения «К» ГУ МВД России по Иркутской области, своевременное задержание позволило предотвратить другие подобные противоправные операции с банкоматами. В настоящее время устанавливаются возможные соучастники незадачливого хакера. Весной этого года задержанный занял второе место на Всероссийской олимпиаде по информатике. Теперь, по всей видимости, ему предстоит вынужденный перерыв в учебе.

«Пользователи и собственники платёжных терминалов и банкоматов не должны забывать, что такое устройство — просто компьютер, причём находящийся обычно под управлением одной из версий операционной системы Microsoft Windows,— утверждает Павел Ефремов, руководитель отдела технической поддержки и внедрения компании SafenSoft, ответственного за разработку решений для защиты устройств самообслуживания от взлома и заражения вредоносным кодом.— Такие системы имеют множество чисто программных уязвимостей, воспользоваться которыми способному человеку не составит особого труда. Причём защищать программную среду нужно не только от известного вредоносного кода по принципу «чёрных списков» и сигнатурного сканирования, а также от новых, ещё не попавших в антивирусные базы, угроз, и от вредоносных действий сотрудников, ответственных за обслуживание таких устройств. Отдельно необходимо контролировать подключение внешних устройств и носителей информации. Невыполнение любого из этих пунктов открывает киберпреступнику дорогу к модификации элементов системы, а значит, и к преступлению».

Источник

[Yadmin-PC]

Банки и другие финансовые организации совместно с правительственными агентствами 18 июля проводили масштабные учения по готовности к отражению кибератаки. В учениях под названием «Квантовый рассвет 2» (Quantum Dawn 2) примут участие все крупные банки, в том числе JPMorgan Chase, Citigroup и Bank of America, а также министерство финансов США, министерство внутренней безопасности, Федеральный резервная система, ФБР, Комиссия по ценным бумагам и биржам (SEC).

Всего участвуют более 50 компаний и организаций: это более чем вдвое превышает показатель 2011 года, когда такие учения проходили в первый раз. Организацию мероприятия взяла на себя Ассоциация индустрии ценных бумаг и финансовых рынков (Securities Industry and Financial Markets Association, SIFMA).
Учения должны «проверить процедуры реагирования на инциденты, координации между компаниями финансового сектора и отдельными фирмами в результате общей кибератаки на всю финансовую индустрию». На практике, участники учений увидят симуляцию работы фондовых бирж в условиях хакерской атаки. Они должны будут определить признаки атаки и принять решение о дальнейших действиях, координируя действия с коллегами и регулирующими органами.
В последнее время американские биржи все чаще сталкиваются с инцидентами, похожими на кибератаки. С сентября 2012 года американские банки тоже живут в режиме непрерывного DDoS’а. Специалисты говорят об увеличении количества таргетированных атак на отдельные финансовые организации, в том числе малого размера, которые не имеют возможности организовать качественную защиту.

Источник