Угроза на миллиард: в рамках операции Carbanak киберпреступники украли миллиард долларов из 100 финансовых организаций по всему миру

В ходе совместного расследования «Лаборатория Касперского», Европол и Интерпол раскрыли беспрецедентную киберпреступную операцию, в рамках которой злоумышленники похитили миллиард долларов США. Киберограбление продолжалось два года и затронуло около 100 финансовых организаций по всему миру. Эксперты полагают, что за этим громким инцидентом стоит международная группировка киберпреступников из России, Украины, ряда других европейских стран, а также Китая.

Криминальная группировка, получившая название Carbanak, использовала методы, характерные для целевых атак. Однако в отличие от многих других инцидентов это ограбление знаменует собой новый этап: теперь киберпреступники могут красть деньги напрямую из банков, а не у пользователей.

Деятельность киберпреступников из банды Carbanak затронула около 100 банков, платежных систем и других финансовых организаций из почти 30 стран, в частности из России, США, Германии, Китая, Украины, Канады, Гонконга, Тайваня, Румынии, Франции, Испании, Норвегии, Индии, Великобритании, Польши, Пакистана, Непала, Марокко, Исландии, Ирландии, Чехии, Швейцарии, Бразилии, Болгарии и Австралии.

Как выяснили эксперты, наиболее крупные суммы денег похищались в процессе вторжения в банковскую сеть: за каждый такой рейд киберпреступники крали до 10 миллионов долларов. В среднем ограбление одного банка — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — занимало у хакеров от двух до четырех месяцев.

Преступная схема начиналась с проникновения в компьютер одного из сотрудников организации посредством фишинговых приемов. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами. Таким образом, банда Carbanak знала каждую деталь в работе персонала банка и могла имитировать привычные действия сотрудников при переводе денег на мошеннические счета.

«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление», — поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

«Эти атаки служат очередным подтверждением того, что злоумышленники неизменно будут эксплуатировать любую уязвимость в любой системе. В таких условиях ни один сектор не может чувствовать себя в абсолютной безопасности, поэтому вопросам защиты стоит постоянно уделять внимание. Выявление новых тенденций в сфере киберпреступлений — одно из основных направлений, по которым Интерпол сотрудничает с «Лабораторией Касперского», и цель этого взаимодействия — помочь государственным и частным компаниям обеспечить лучшую защиту от этих постоянно меняющихся угроз», — отмечает Санджай Вирмани (Sanjay Virmani), директор центра Интерпола, занимающегося расследованием киберпреступлений.

Как банда Carbanak крала деньги:

  1. Когда приходило время забирать деньги, киберпреступники использовали онлайн-банкинг или платежные системы для перевода денег со счета банка на свой собственный. Мошеннические счета были открыты в банках Китая и Америки, однако эксперты не исключают, что преступники также могли хранить украденные деньги в банках других стран.
  2. В некоторых случаях злоумышленники проникали в системы бухгалтерского учета и при помощи мошеннических транзакций «раздували» баланс средств на счете. Например, преступники узнавали, что на счете хранилась 1 тысяча долларов США, тогда они увеличивали баланс до 10 тысяч, а затем переводили 9 тысяч себе. Владелец счета ничего не подозревал, поскольку имевшаяся изначально тысяча долларов по-прежнему была на месте.
  3. Помимо всего прочего, киберграбители получали контроль над банкоматами и активировали команды на выдачу наличных в установленное время. После этого к банкомату подходил кто-нибудь из членов банды и забирал деньги.

«Лаборатория Касперского» рекомендует всем финансовым организациям внимательно просканировать свои сети на наличие вредоносного ПО Carbanak. В случае его обнаружения лучше всего обратиться к правоохранительным органам.

Репутация как актив

Репутация как актив: 84% компаний выбирают банк согласно его надежности в области киберзащиты

Репутация банка в области защиты от киберугроз является определяющим фактором для компаний при выборе его в качестве партнера — так ответило подавляющее число респондентов в рамках совместного исследования «Лаборатории Касперского» и B2B International*. При этом сами банки недооценивают важность этого фактора — более трети финансовых организаций не относят потерю доверия со стороны клиентов к числу серьезных последствий инцидента IT-безопасности.

Результаты опроса показывают, что многие компании не удовлетворены качеством защиты, которую обеспечивают их финансовые партнеры — 41% респондентов считает, что их информация недостаточно защищена. Этот факт подтверждает существенное количество банков (45%), столкнувшихся в 2014 году с инцидентами, связанными с утерей финансовой информации.

Подобные инциденты ведут не только к прямым убыткам, но также могут негативно отразиться на отношениях финансовых организаций с их крупными клиентами. Так, 84% компаний отметили, что выбирают банк с учетом его репутации в области информационной защиты, а еще больше компаний (91%) готовы расстаться с финансовым партнером в случае, если станет известно о случившейся утечке данных.

Надежная защита платежей позволяет финансовым организациям не только удержать постоянных клиентов, но и увеличить собственный доход. В частности, 45% опрошенных компаний подтвердили, что готовы платить больше за защиту своих финансовых транзакций. Причем если среди представителей малого бизнеса эта цифра составляет 27%, то среди крупных компаний на дополнительные расходы ради своей финансовой безопасности готовы пойти уже 50% организаций.

«В условиях высокой конкуренции на рынке для финансовых организаций важен каждый клиент. При этом недостаточное внимание банка к вопросам IT-безопасности может с легкостью привести к потере выгодных партнерских отношений. Для того чтобы избежать подобных ситуаций, финансовым компаниям стоит уделять повышенное внимание безопасности платежных данных. Использование комплексных специализированных решений для защиты онлайн-транзакций, таких как платформа Kaspersky Fraud Prevention, позволит свести риски к минимуму», — говорит Алексей Снегирев, руководитель развития направления Kaspersky Fraud Prevention в России.

Специально для финансовых компаний «Лаборатория Касперского» разработала платформу Kaspersky Fraud Prevention. Компоненты этого многоуровневого решения устанавливаются как внутри информационной инфраструктуры заказчика, так и на устройствах клиентов, включая компьютеры, планшеты и смартфоны на разных платформах. Кроме того, в решение входит инструментарий, позволяющий банкам создавать собственные защищенные мобильные приложения для своих клиентов.


 

*Данные исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в период с апреля 2013 по апрель 2014 года. В исследовании приняли участие более 3900 IT-специалистов из 27 стран мира, включая Россию.

Новое поколение вымогателей Elliptic curve cryptography + Tor + Bitcoin

На сегодняшний день зловреды-вымогатели (Ransomware) – один из наиболее активно развивающихся классов вредоносного ПО. За последние годы программы-вымогатели эволюционировали и от простой блокировки экрана с требованием выкупа перешли к более опасным действиям.

Теперь основу класса Ransomware составляют так называемые шифровальщики. Это троянцы, которые без ведома пользователя шифруют его данные, в том числе личные фотографии, архивы, документы, базы данных (например, базы часто используемого в России программного продукта «1C:Предприятие», предназначенного для автоматизации деятельности на предприятии), чертежи – словом, все, что представляет ценность для жертвы. За расшифровку этих файлов злоумышленники требуют заплатить – и иногда немалые деньги. Наиболее нашумевшими примерами подобных зловредов являются CryptoLocker, CryptoDefence (и его преемник CryptoWall), ACCDFISA, GpCode. Помимо них есть и множество менее известных семейств, распространяющихся на территории России и СНГ.

В конце июня 2014 года «Лабораторией Касперского» был обнаружен новый шифровальщик. Анализ показал, что троянец действительно не относится ни к одному из известных ранее семейств и имеет ряд черт, позволяющих назвать его оригинальной разработкой. Авторское название зловреда – CTB-Locker.

Это новое семейство в классификации «Лаборатории Касперского» получило вердикт Trojan-Ransom.Win32.Onion.

Этот шифровальщик – представитель нового поколения троянцев-вымогателей. Создатели этого зловреда применили как известные техники, «обкатанные» его предшественниками (например, требование выкупа в Bitcoin), так и абсолютно новые для данного класса вредоносного ПО решения. В частности, сокрытие командного сервера в анонимной сети Tor затрудняет поиск злоумышленников, а использованная необычная криптографическая схема делает расшифровку файлов невозможной даже при перехвате трафика между троянцем и сервером. Все это делает Trojan-Ransom.Win32.Onion опасной угрозой и одним из самых технологичных шифровальщиков на сегодняшний день.

Описание

Высокоуровневая схема работы данного шифровальщика абсолютно типична и состоит в следующем:

  • после старта зловред копирует свое тело в <CommonAppdata> (CSIDL_COMMON_APPDATA) и добавляет запуск этого файла в «Планировщик задач» (Task Scheduler);
  • производит поиск на всех несъемных, съемных и сетевых дисках файлов по списку расширений (рис. 1);


Рис. 1. Фрагмент данных, содержащий список расширений для шифрования

  • шифрует найденные файлы;
  • показывает пользователю окно с требованием выкупа и списком зашифрованных файлов. В качестве оплаты злоумышленники требуют Bitcoin (рис. 2, 3);
  • устанавливает в качестве обоев рабочего стола картинку с названием AllFilesAreLocked.bmp  с сообщением о том, что данные на компьютере зашифрованы (рис. 4).

Рис. 2. Окно, извещающее жертву о том, что файлы на компьютере зашифрованы

Рис. 3. Требования злоумышленников

Рис. 4. Картинка, устанавливаемая на рабочий столЧто же отличает этого троянца от десятков аналогичных?

Командный сервер расположен в анонимной сети Tor

В рассмотренном образце содержится статический (единственный) адрес командного сервера, он располагается в доменной зоне .onion.

Отметим, что само по себе это не является «инновацией». Среди других типов вредоносного ПО подобные случаи уже встречались (мы рассказывали об этом, например, здесь и здесь).

Однако среди зловредов-вымогателей это в новинку. Хотя некоторые ранее обнаруженные семейства вымогателей и требовали, чтобы жертва сама посетила некий сайт в Tor, однако рассматриваемый нами зловред поддерживает полноценное взаимодействие с сетью Tor без участия жертвы, что отличает его от остальных.

Здесь мы логично подходим к следующей особенности, которая не имеет аналогов среди известных зловредов.

Необычная техническая организация доступа к сети Tor

Все ранее встречавшееся вредоносное ПО если и общалось с сетью Tor, то делало это незатейливо: запускало (пусть иногда с помощью внедрения в другие процессы) легальный файл tor.exe, распространяющийся с официального веб-сайта сети.

Trojan-Ransom.Win32.Onion не использует готового файла tor.exe. Вместо этого весь код, необходимый для реализации общения с анонимной сетью, статически слинкован с исполняемым файлом зловреда (т.е. совмещен с вредоносным кодом) и запускается в отдельном потоке (thread).


Рис. 5. Псевдокод, показывающий реализацию запуска потока tor proxy

Код, содержащийся процедуры thread_tor_proxy, практически целиком взят из открытых источников (Tor является open-source проектом).

Когда связь с Tor установлена и поднят локальный tor proxy сервер по адресу 127.0.0.1 (номер порта различается на разных зараженных машинах и зависит от параметра MachineGuid), выставляется глобальный флаг can_complete_circuit, который проверяется в потоке thread_post_unlock_data.

Как только это произошло, зловред осуществляет сетевую коммуникацию именно с этим локальным адресом, как показано на рис. 6.

Рис. 6. Псевдокод, показывающий реализацию сетевого соединения с tor proxyЗапрос, посылаемый зловредом на сервер, содержит данные, необходимые для расшифровки файлов жертвы.


Рис. 7. Данные, отправляемые на командный сервер

В ответ сервер возвращает данные о стоимости разблокировки в биткойнах и долларах США, а также адрес кошелька для оплаты.


Рис. 8. Данные, возвращаемые командным сервером

Сжатие файлов перед шифрованием

Ни один из ранее известных шифровальщиков не использовал технологии сжатия (за исключениемACCDFISA, просто помещающего файлы в запароленный rar-sfx архив, но здесь и шифрование, и сжатие – это не функциональность, реализованная в зловреде, а просто использование готового продукта Rar).

Trojan-Ransom.Win32.Onion и здесь отличился. Он действует так:

  • файл жертвы перемещается во временный файл с помощью API-функции MoveFileEx;
  • временный файл считывается с диска поблочно;
  • каждый блок сжимается при помощи свободно распространяемой библиотеки Zlib (процедура deflate());
  • после сжатия блок шифруется и записывается на диск;
  • в начало готового файла помещается служебная информация, которая понадобится для расшифровки;
  • зашифрованный файл получает расширение .ctbl.

Нетипичная криптографическая схема

Наиболее распространенной среди шифровальщиков схемой является связка алгоритмов AES+RSA. При такой схеме сервер генерирует пару ключей rsa-public + rsa-private для асимметричного алгоритма RSA. Секретный ключ rsa-private не покидает сервера, а rsa-public отправляется зловреду. Затем вредоносная программа генерирует на каждый файл жертвы новый ключ aes-key для симметричного блочного алгоритма AES, шифрует файл с помощью AES, затем шифрует aes-key с помощью RSA (ключом rsa-public) и сохраняет его в файл.

При этой схеме, в соответствии со свойствами асимметричной криптографии, никто не в силах расшифровать файл без знания rsa-private, который не покидал сервера злоумышленников.

Но Trojan-Ransom.Win32.Onion использовал нестандартный подход и здесь!

В данном образце используется асимметричный криптографический протокол ECDH – Elliptic curve Diffie–Hellman («протокол Диффи-Хеллмана на эллиптической кривой»).

Протокол Диффи-Хеллмана на эллиптической кривой

Первоначальный алгоритм Диффи-Хеллмана (так называемый протокол разделения секрета) был придуман достаточно давно  и опубликован в 1976 г. знаменитыми криптографами Уитфилдом Диффи (Whitfield Diffie) и Мартином Хеллманом (Martin Hellman). Модификация этого алгоритма, использующая эллиптические кривые, была предложена позже, в 2000 г., в статье Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography.

Подробное описание работы протокола выходит за рамки данной публикации, поэтому абстрагируемся от подробностей и сформулируем основные тезисы, которые помогут в понимании работы зловреда.

  • Существует возможность сгенерировать пару ключей — секретный (private) и открытый (public).
  • Из своего секретного и чужого открытого ключа можно сгенерировать так называемыйразделяемый (общий) секрет (shared secret).
  • Если 2 абонента обменялись открытыми ключами (секретные ключи не передаются!) и каждыйнезависимо от другого вычислил разделяемый секрет из чужого открытого и своего секретного ключа, у обоих получится одно и то же значение.
  • Полученный разделяемый секрет можно использовать как ключ для любого симметричного алгоритма шифрования.

Авторы Trojan-Ransom.Win32.Onion использовали готовую реализацию этого криптографического алгоритма, описание которой доступно в Сети.

Высокоуровневая криптографическая схема Trojan-Ransom.Win32.Onion выглядит следующим образом.

Генерация ключей:

  • зловред генерирует пару master-public (открытый ключ) + master-private (секретный ключ);
  • master-private вместе с другими данными в защищенном виде отправляется на сервер, а на клиенте не сохраняется (факт I);
  • на каждый шифруемый файл генерируется новая пара session-public + session-private;
  • вычисляется разделяемый секрет session-shared = ECDH(master-public, session-private).

Шифрование файла жертвы

  • файл сжимается при помощи библиотеки Zlib;
  • после сжатия Zlib каждый файл шифруется алгоритмом AES, в качестве ключа используется хэш SHA256(session-shared);
  • после шифрования ключ session-public сохраняется в файл (факт II), а session-private не сохраняется (факт III);
  • вычисленный разделяемый секрет session-shared также не сохраняется (факт IV).

Расшифровка файла жертвы

По свойствам протокола Диффи-Хеллмана, верно следующее равенство:

ECDH(master-public, session-private) = session-shared = ECDH(master-private, session-public) (факт V).

Именно это равенство является принципом, лежащим в основе работы Trojan-Ransom.Win32.Onion.

При условии, что троянец не сохранил session-private (см. факт III) и session-shared (см. факт IV), остается всего 1 способ расшифровки – нужно вычислить ECDH(master-private, session-public). Чтобы это сделать, необходим ключ master-private (отправлен на сервер злоумышленников, см. факт I) и session-public (сохранен в начале зашифрованного файла, см. факт II). Других вариантов не существует, то есть без знания master-private не обойтись.

Защита соединения с командным сервером

Передаваемый на сервер ключ можно было бы перехватить, но, к сожалению, это не даст возможности расшифровать файлы жертвы. Дело в том, что авторы зловреда использовали для защиты своего трафика тот же самый асимметричный протокол ECDH, только с отдельным специальным набором ключей.

  • в теле зловреда содержится открытый ключ network-server-public;
  • при установке соединения зловред генерирует новую пару network-client-public + network-client-private;
  • вырабатывает разделяемый секрет network-shared = ECDH(network-client-private, network-server-public);
  • шифрует отправляемые данные алгоритмом AES с ключом SHA256(network-shared);
  • открытый ключ network-client-public отправляется на сервер в незащищенном виде (факт VI);
  • оба клиентских ключа network-client-public + network-client-private, равно как и общий секрет network-shared, не сохраняются (факт VII).

Злоумышленники имеют ключ network-server-private и получают от клиента network-client-public (см. факт VI). В результате они могут расшифровать полученные данные, самостоятельно вычисливnetwork-shared = ECDH(network-client-public, network-server-private).

Без знания network-server-private вычислить это значение уже невозможно (см. факт VII). Поэтому, к сожалению, перехват трафика не даст возможности достать master-private, а без него расшифровать файлы жертвы не удастся.

Распространение

Авторы первых версий Trojan-Ransom.Win32.Onion нацеливали свое творение на англоязычных жертв, и единственным поддерживаемым языком графического интерфейса зловреда был английский.

Однако самые свежие образцы получили не только косметические обновления (в частности, появился обратный отсчет времени, устрашающий жертву), но и поддержку как английского, так и русского языка в графическом интерфейсе троянца. Этот факт, а также некоторые строки внутри тела зловреда позволяют утверждать, что создатели данного вредоносного ПО являются русскоязычными.

Исследование схемы попадания Trojan-Ransom.Win32.Onion на компьютеры жертв показало, что и тут данный троянец отличается от большинства действующих сегодня шифровальщиков. Для многих известных представителей Ransomware основные векторы распространения ‑ спам-рассылка со зловредом в аттаче либо  подбор слабых паролей и запуск файла через системы удаленного управления (remote administration).

Способ распространения

Нами было обнаружено, что бот Andromeda (по классификации «Лаборатории Касперского»Backdoor.Win32.Androm) получает команду загрузить и запустить на зараженной машине другой зловред из семейства Email-Worm.Win32.Joleee. Тот, помимо своего основного функционала по рассылке почтового спама, поддерживает и выполнение ряда команд от злоумышленников, в том числе загрузку и запуск исполняемого файла. Как раз Joleee и скачивает на зараженную машину шифровальщика.

Таким образом, механизм распространения Trojan-Ransom.Win32.Onion можно изобразить в виде следующей схемы.

Рис. 9. Схема распространения Trojan-Ransom.Win32.Onion

География заражений

Статистика заражений по состоянию на 20.07.2014 представлена ниже. Большинство попыток заражений зарегистрировано на территории СНГ, также обнаружены единичные случаи на территории Германии, Болгарии, Израиля, ОАЭ и Ливии.

География детектов Trojan-Ransom.Win32.Onion:

Страна Число атакованных пользователей
Россия 24
Украина 19
Казахстан 7
Белоруссия 9
Грузия 1
Германия 1
Болгария 1
Турция 1
ОАЕ 1
Ливия 1

Отметим, что выше приведены данные только по вердикту Trojan-Ransom.Win32.Onion. На самом деле число пользователей, атакованных шифровальщиком, больше, поскольку при распространении этого зловреда используются вредоносные упаковщики, и детектирование этих упаковщиков происходит с другими вердиктами. Кроме того, неизвестные образцы шифровальщика детектируются продуктами «Лаборатории Касперского» проактивно как PDM:Trojan.Win32.Generic. Эти данные в приведенную выше статистику не входят.

Рекомендации по противодействию

Резервное копирование важных файлов

Резервное копирование должно быть регулярным. Более того, оно обязательно должно осуществляться на носитель, недоступный в обычное время для записи с данной машины (например, на съемный носитель, который отключается сразу после бэкапа). Если пренебречь этим требованием, сохраненные резервные копии будут точно так же зашифрованы зловредом, как и основная версия файла.

Резервные копии необходимы в любой системе, в которой имеются файлы хоть какой-то важности. Даже если бы не было угрозы со стороны вредоносного ПО, не стоит забывать, что всегда возможен банальный отказ оборудования.

Защитные решения

Защитный продукт должен быть постоянно включен, никакие его компоненты не должны быть приостановлены, продукт должен иметь свежие базы.

Продукты «Лаборатории Касперского» детектируют данную угрозу сигнатурно с вердиктами Trojan-Ransom.Win32.Onion.*, а неизвестные модификации – эвристически с вердиктом HEUR:Trojan.Win32.Generic и проактивно с вердиктом PDM:Trojan.Win32.Generic.

Кроме того, в продуктах «Лаборатории Касперского» применяется технология противодействия шифрующему вредоносному ПО, способная защитить пользовательские данные даже от пока неизвестных шифровальщиков, которых нет в сигнатурных и облачных базах. Принцип ее работы заключается в создании защищенных резервных копий персональных файлов в тот момент, когда к ним пытается получить доступ подозрительная программа. Таким образом, даже если файл будет зашифрован, решение автоматически восстановит его. Для функционирования данной технологии в продукте должен быть активен компонент «Мониторинг системы» (“System Watcher”).

Лук дорожает: новая версия шифровальщика-вымогателя Onion теперь требует 1500 евро за «спасение» данных пользователя

«Лаборатория Касперского» предупреждает российских пользователей о распространении серьезной угрозы — новой модификации шифровальщика-вымогателя Onion, способной обходить защитные механизмы многих антивирусных продуктов. В случае заражения троянец шифрует документы пользователя и требует за их разблокировку серьезную сумму — около 1500 евро. Несмотря на то что случаи заражения обнаружены по всему миру, больше всего угроза коснулась пользователей России и других стран СНГ.

Антивирусные аналитики «Лаборатории Касперского» уже сообщали о новом поколении шифровальщиков-вымогателей летом прошлого года, представленного в первую очередь троянцем Onion. Попав на компьютер пользователя и получив доступ к его документам, вредоносная программа применяет к ним алгоритмы ассиметричного шифрования, делая данные недоступными для их владельца. Получить их обратно пользователи могут только при наличии специального ключа, который находится у злоумышленников и становится доступен после перевода денег в качестве выкупа. Однако новая модификация Onion заслуживает не меньшего внимания — киберпреступники повысили не только технический уровень зловреда, который теперь может обходить эмуляционную среду защитных продуктов, но и свои аппетиты — «ценник» за дешифрование пользовательских данных возрос с сотни долларов до полутора тысяч евро.

ekran-s-trebovan25-259609

Экран с требованием оплаты выкупа в размере 1520 евро

Многие защитные решения полагаются на технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной. Для этого подозрительный код выполняется в изолированной виртуальной среде, которая моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий. Тот факт, что модифицированная версия Onion умеет обходить среду эмуляции, существенно повышает шансы троянца на проникновение в систему.

«Такие инциденты наглядно демонстрируют ложность убеждения в том, что для обеспечения безопасности достаточно и обычного антивируса. Защита должна быть комплексной: если зловред сможет обойти один из механизмов, его перехватит другой. Но применительно к шифровальщикам главное средство защиты — это резервные копии. В случае с новой версией Onion продукты из нашей актуальной линейки смогли нейтрализовать угрозу благодаря технологии проактивного обнаружения вредоносных программ, реализованной в модуле «Мониторинг активности». Этот модуль не только сканирует системные процессы и выявляет вредоносные действия, но также автоматически создает резервные копии пользовательских файлов в том случае, если к ним пытается получить доступ какая-либо подозрительная программа. При обнаружении шифровальщика эти данные будут автоматически восстановлены», — отметил Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

Специалисты компании напоминают, что пользователи, деактивировавшие модуль «Мониторинг активности» или использующие устаревшие версии защитных решений без указанного модуля, должны быть особенно осторожны: не следует открывать неизвестные вложения и предоставлять доступ к системе другим лицам. Также стоит обеспечить регулярное резервное копирование всех важных данных.

Спамеры не маятся: «Лаборатория Касперского» анализирует спам за май

В мае доля спама в мировом почтовом трафике, согласно исследованию «Лаборатории Касперского», составила 69,8%, что на 1,3 пункта ниже показателя за апрель. С приближением лета и окончанием учебного года спамеры увеличили количество рассылок с рекламой вариантов летнего отдыха для детей — специалисты «Лаборатории Касперского» ожидают дополнительный рост числа таких сообщений с наступлением сезона отпусков. Также посредством нежелательной корреспонденции рекламировались услуги по написанию разнообразных студенческих и школьных работ, попадались нам и предложения купить готовые дипломы любого интересующего ВУЗа.

Еще одной темой, эксплуатируемой спамерами в мае, стало страхование от самых разнообразных рисков. В Рунете по количеству предложений лидировали услуги автострахования, хотя встречались и более интересные варианты. Например, авторы другой рассылки от имени одного из лидирующих страховщиков России предлагали купить страховку от укусов клеща. Ссылка в письме вела на ресурс с возможностью оплаты полиса онлайн, однако сам сайт не имел отношения к страховой компании. Оплатить услугу предлагалось лишь одним способом — с помощью банковской карты, поэтому не исключено, что данный случай — попытка мошенников получить реквизиты банковских карт. На это дополнительно указывает то, что письма приходили с разных адресов, также не имевших отношения к страховой компании.

По итогам мая рейтинг организаций, использованных мошенниками для фишинга, продолжают возглавлять почтово-поисковые порталы (32,3%). Вторую строчку занимают социальные сети (23,9%) во главе с Facebook. Показатель финансовых и платежных организаций (12,8%) увеличился несущественно, как и показатель онлайн-магазинов (12,1%), которые продолжают удерживать 4-е место.

 

Распределение TOP 100 организаций, атакованных фишерами, по категориям

В рейтинге стран по количеству срабатываний почтового антивируса на первое место вышла Великобритания (13,5%). США (9,9%) опустились на вторую строчку, а Германия (8,2%) сохранила третью позицию. Что касается самих вредоносных вложений, пять позиций в ТОП-10 самых распространяемых зловредов заняли троянцы семейства Bublik. Их основная функция — несанкционированная загрузка и установка на компьютер-жертву других вредоносных программ.

«Спамеры постоянно придумывают новые или вспоминают старые, проверенные способы достучаться до жертвы. И речь сейчас идёт не только о рекламном спаме — в этом месяце мы отметили ряд рассылок, хорошо замаскированных под официальные уведомления различных сервисов и компаний. Во вложениях к таким письмам содержались экземпляры вредоносного семейства Andromeda — бэкдоры, позволяющие злоумышленникам незаметно управлять зараженным компьютером, который обычно в таких случаях становится частью ботнета. Мы в свою очередь рекомендуем самый надёжный способ забыть обо всех ухищрениях — установить защитное средство класса Internet Secuirty», — комментирует Татьяна Щербакова, старший спам-аналитик «Лаборатории Касперского».

С полной версией спам-отчета за май 2014 года можно ознакомиться на сайте.

В Кирове успешно завершилась совместная операция правоохранительных органов и «Лаборатории Касперского» против киберпреступников

Специалисты отдела расследования компьютерных инцидентов и экспертно-аналитического подразделения «Лаборатории Касперского» оказали экспертную поддержку сотрудникам Управления «К» МВД России, которые совместно с ЦИБ ФСБ России и УФСБ России по Кировской области пресекли деятельность мошенников, причастных к многомиллионным хищениям денежных средств с расчетных счетов как физических лиц, так и организаций.

По данным Управления «К», злоумышленники на протяжении трех лет осуществляли преступную деятельность в различных регионах России. Используя набор вредоносных программ, которые скрытно устанавливались на компьютеры жертв, они контролировали компьютеры сотрудников финансовых служб компаний. Получив необходимую информацию, злоумышленники осуществляли удаленный вход и формировали подложные платежные поручения с заранее подготовленными реквизитами для обналичивания переведенных средств.

На прошлой неделе была проведена совместная операция силовых служб при экспертной поддержке специалистов «Лаборатории Касперского». В ходе обысков, проходивших одновременно по 12 адресам, было изъято большое количество оргтехники, исходные коды вредоносного программного обеспечения и сотни банковских карт, оформленных на подставных лиц.

В результате профессиональных действий оперативников было предотвращено хищение нескольких сотен миллионов рублей со скомпрометированных счетов. В настоящее время проверяется информация о причастности данной группы к другим крупным хищениям. Возбуждено уголовное дело по части 4 статьи 159.6 УК РФ.

Отдел расследования компьютерных инцидентов и экспертно-аналитическое подразделение «Лаборатории Касперского» выражают удовлетворение уровнем кооперации с правоохранительными органами, а также уверенность в том, что подобные совместные операции против киберпреступников будут продолжены.

Победа по всем фронтам: решения «Лаборатории Касперского» для дома и бизнеса лидируют в тестах Dennis Technology Labs

Продукты «Лаборатории Касперского», предназначенные для домашних пользователей, малого бизнеса и крупных предприятий, получили высшие оценки по итогам соответствующих тестов, проведенных в первом квартале 2014 года независимой организацией Dennis Technology Labs. Все три протестированные решения показали превосходные результаты и отразили большинство угроз, за что и удостоились от экспертов награды уровня «ААА».

Dennis Technology Labs традиционно проводит тестирования в условиях, максимально приближенных к реальным. В ходе испытания оценивается два фактора: Protection Rating, показывающий как продукт справляется с киберугрозами, и Legitimate Software Rating, демонстрирующий реакцию на легитимные приложения. Предполагается, что идеальный антивирусный продукт должен не только отразить 100% угроз, но и не затронуть работу безопасных программ. Финальная оценка решения складывается из баллов, начисляемых за успешное отражение угроз и списываемых за ложные срабатывания. В итоге баллы пересчитывают в условные оценки — «AAA», «AA», «A» или «B».

В номинации Home Anti-Virus Protection лучше всех проявило себя решение Kaspersky Internet Security, входящее в состав комплексного продукта Kaspersky Internet Security для всех устройств. Корректно определив все легитимные программы, решение заблокировало 98% угроз и нейтрализовало оставшиеся 2%. В итоге продукт «Лаборатории Касперского» набрал максимальное количество баллов среди всех участников и получил награду «AAA».

В тесте Small Business Anti-Virus Protection решение Kaspersky Small Office Security также не выдало ни одного ложного срабатывания, отразив 94% угроз и нейтрализовав 5%. В результате — еще одна высшая оценка «ААА».

На высшем уровне проявила себя и защитная платформа Kaspersky Security для бизнеса в тестировании Enterprise Anti-Virus Protection. Продукт тоже заработал оценку «AAA» за блокирование 94% и нейтрализацию 3% угроз.

«Богатый опыт в области кибербезопасности и подтвердившие свою эффективность технологии позволяют «Лаборатории Касперского» создавать современные продукты для информационных инфраструктур самых разных масштабов. Благодаря этому мы можем предложить своим клиентам широкий спектр решений, позволяющий одинаково надежно защитить и домашний компьютер, и сеть крупного предприятия», — отметил Олег Ишанов, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».

В предыдущем аналогичном исследовании, проводившемся Dennis Technology Labs с октября по декабрь 2013 года, продукты «Лаборатории Касперского» также получили высшие оценки «ААА» во всех трех номинациях Anti-Malware Tests. Подробные результаты тестов за последний квартал и описание их методологии можно найти на сайте Dennis Technology Labs: http://dennistechnologylabs.com/reports/s/a-m/2014/.

Первый мобильный — у каждого свой: «Лаборатория Касперского» отмечает 10 лет со дня обнаружения первого червя для мобильных платформ

Ровно 10 лет назад «Лабораторией Касперского» был обнаружен Cabir — первый в своем роде червь, нацеленный на мобильные устройства. В отличие от современных мобильных зловредов Cabir не был оснащен широким набором вредоносных функций. Несмотря на это, он вошел в историю, первым продемонстрировав, что мобильные устройства также могут быть интересны злоумышленникам.

Специалисты компании впервые столкнулись с Cabir в начале июня 2004 года. Один из антивирусных аналитиков «Лаборатории Касперского» обратил свое внимание на почтовое сообщение без текста, которое, тем не менее, содержало вложение. Прикрепленный файл показался сотрудникам подозрительным: быстрый анализ не позволил определить, для какой платформы он был создан — по крайней мере, не для Microsoft Windows или Linux, с которыми обычно приходилось работать аналитикам на тот момент.

«В тот вечер в ночную смену работал Роман Кузьменко», — вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Его отличительной чертой было умение распознавать комплексные угрозы быстро и точно. Вскоре после обнаружения подозрительного файла Роман определил, что он был написан для запуска на Symbian OS, мобильной операционной системе, которая обеспечивала функционирование телефонов Nokia».

Дальнейший анализ показал, что этот файл был способен передавать самого себя на другой телефон через Bluetooth. Из-за того, что Bluetooth-модуль был постоянно активирован, заряд батареи зараженного телефона источался очень быстро. По сути, это было единственное, к чему приводило функционирование программы — ее едва ли можно было назвать вредоносной. Однако способность к репродукции заставила экспертов «Лаборатории Касперского» сконструировать специальный тестовый стенд для анализа подобных угроз. Комната, в которой располагался стенд, была проэкранирована так, чтобы радио-сигнал не смог покинуть ее пределы, и впоследствии стала местом проведения тестов над новыми образцами мобильных зловредов.

 

 

 

Анализ кода и обратный адрес присланного письма позволили установить авторов нового червя — это была легендарная международная группа вирусописателей 29A, получивших известность за создание так называемых концептуальных вирусов, целью которых была демонстрация уязвимостей тех или иных компьютерных подсистем или устройств.

В дополнение к созданию таких программ группа 29А также периодически выпускала электронный журнал. В одном из изданий они опубликовали информацию о Cabir, а также некоторые фрагменты его исходного кода. Эта статья, показавшая возможность заражения одной из самых распространенных на то время мобильных платформ, наделала много шума в мире компьютерной безопасности. Она также подтолкнула других злоумышленников к развитию этого нового подхода. Вскоре после публикации в издании группы в Сети начали появляться различные модификации Cabir.

После Cabir специалистами «Лаборатории Касперского» были обнаружены несколько сотен других мобильных зловредов, нацеленных на Symbian OS. Число новых подобных программ стало стремительно падать после появления и распространения таких систем, как Android, популярность которых обеспечила им пристальное внимание злоумышленников. Через 10 лет после обнаружения Cabir, коллекция «Лаборатории Касперского» включает в себя более 340 тысяч уникальных образцов мобильных зловредов, более чем 99% которых нацелено на Android.

Подробности о том, как Cabir получил свое имя и вызванной им эпидемии можно узнать в блоге Евгения Касперского.

Где в лесах много-много диких чупакабр: «Лаборатория Касперского» о том, как не лишиться кредиток и денег в Бразилии

Туристы и болельщики, планирующие приехать в Бразилию на Чемпионат мира по футболу 2014, могут столкнуться не только с мошенничеством в Интернете, о чем «Лаборатория Касперского» уже рассказывала ранее, но и с жульничеством и обманом в самой стране. Особенно, когда речь заходит о снятии наличных в банкомате или оплате счетов при помощи банковской карты.

«Лаборатория Касперского» из своего довольно продолжительного опыта работы на бразильском рынке знает, что в этой стране одни из самых креативных и активных преступников, специализирующихся на клонировании кредитных карт. И они с удовольствием выбирают в качестве своей мишени иностранных туристов, которые не знакомы с местными традициями, зачастую расслаблены и проявляют неосмотрительность при осуществлении платежей.

Для того чтобы сделать копию чужой кредитной карты, бразильские преступники пускают в ход как разнообразные вредоносные программы для кражи PIN-кодов и прочих конфиденциальных данных, так и специальные считывающие устройства — скиммеры. Самые неординарные мошенники доходят до того, что устанавливают фальшивые банкоматы.

Зачастую бразильские киберпреступники покупают вредоносные программы для взлома кассовых терминалов из Восточной Европы и с их помощью у себя в стране заражают устройства и перехватывают номера кредитных карт. Одним из самых громких случаев стала атака с использованием так называемой «Чупакабры» — троянца, заражавшего устройства для считывания карт, подключенных к компьютеру через USB или последовательный порт для сообщения с программным обеспечением EFT (Electronic Funds Transfer), осуществляющим денежные транзакции. В этой цепочке зловред заражал компьютер и перехватывал данные, передаваемые через эти каналы.

На современных считывающих устройствах установлена защита, гарантирующая, что секретный код будет стерт, если кто-либо попытается подобраться к девайсу, а сам PIN-код шифруется непосредственно при введении. Однако на устаревших устройствах все важные конфиденциальные данные (номер карты, срок ее действия, сервис-код, а также блок данных, где хранится CVV) не зашифровываются и поступают в компьютер в текстовом формате. Этой информации злоумышленникам будет достаточно, чтобы сделать копию кредитной карты.

По данным Всемирного банка, Бразилия относится к числу стран, в которых количество банкоматов одно из самых больших в мире, а значит, у злоумышленников есть много возможностей установить скиммер, что они и делают повсеместно. Конечно, можно прикрывать рукой клавиатуру при вводе PIN-кода, чтобы обмануть скиммеров, рассчитывающих на скрытые камеры. Однако лучшей защитой в такой ситуации будет повышенная бдительность: в случае малейших подозрений специалисты рекомендуют уведомить банк или владельца банкомата и снять наличные в другом месте.

«Основное правило пользования банковской картой в Бразилии очень простое — никогда не упускать ее из вида, даже на секунду. Вместо того чтобы отдавать карту официанту или служащему гостиницы для оплаты счета, можно смело просить принести кассовый аппарат вам, чтобы вы сами могли провести транзакцию. Также не стоит просить незнакомцев помочь вам разобраться в меню банкомата, даже если этот человек выглядит прилично и внушает доверие. Если вы чего-то не понимаете или что-то вызывает у вас подозрение, лучше вообще не доставать кредитную карту из кошелька. И, конечно же, мы рекомендуем внимательно просматривать выписки со счета банковской карты, проверять все транзакции и немедленно информировать банк, если у вас возникли какие-либо подозрения и вопросы», — делится советами Фабио Ассолини, старший антивирусный аналитик «Лаборатории Касперского».

Подробнее об ухищрениях бразильских преступников, пытающихся клонировать кредитные карты, и способах защиты от подобных угроз читайте на официальном аналитическом ресурсе «Лаборатории Касперского»: www.securelist.com/ru/blog/207769063/ChM_2014_v_Brazilii_klonirovanie_bankovskikh_kart.

На что лучше всего клюет: по данным «Лаборатории Касперского», 22% фишинговых инцидентов связаны с сетью Facebook

Согласно статистике «Лаборатории Касперского» за 2013 год, 22% срабатываний модуля «Антифишинг», входящего в состав всех продуктов компании, приходятся на фальшивые страницы и поддельные уведомления Facebook. При этом срабатывания на имитации других социальных сетей и блогерских площадок в сумме составляют 13,5%. Всего же за прошлый год зарегистрировано более 600 миллионов фишинговых инцидентов.

Распределение срабатываний компонента «Антифишинг» за 2013 год

Киберпреступники используют ряд устоявшихся способов заманить жертву на фишинговые ресурсы. Как правило, ссылки на такие страницы злоумышленники распространяют в письмах, имитирующих оповещения от социальной сети. Также популярны рассылки по электронной почте со взломанных аккаунтов по адресному листу — к примеру, сообщения друзьям с предложением перейти по ссылке для просмотра интересного контента. При этом мошенники часто прибегают к запугиванию и в письмах-подделках грозят получателю блокировкой аккаунта, избежать которой можно, перейдя по ссылке в письме и введя персональные данные на открывшейся странице, — расчет идет на всплеск эмоций и сопутствующую потерю бдительности.

Владельцы смартфонов и планшетов, посещающие социальные сети через свои мобильные устройства, также не застрахованы от фишинга — мошенники создают специальные веб-страницы, имитирующие вход в аккаунт через мобильное приложение Facebook. При этом на руку мошенникам играет то, что некоторые мобильные браузеры скрывают адресную строку при открытии страницы, затрудняя обнаружение подделки.

«Согласно данным за 2013 год, Facebook лидировал по числу фишинговых инцидентов. В начале 2014 года ситуация несколько изменилась, и на первое место вышел Yahoo. Однако Facebook по-прежнему держится в топе мишеней фишеров: каждый день мы фиксируем более 20 тысяч попыток перехода пользователей на страницы, имитирующие эту социальную сеть. И неудивительно, доступ к аккаунтам пользователей Facebook может понадобиться мошенникам для множества преступных целей — от рассылки спама до вымогания денег у друзей жертвы. Со своей стороны мы рекомендуем обращать внимание на наличие защищенного соединения — Facebook использует протокол HTTPS для передачи данных. Его отсутствие даже при правильном адресе страницы говорит о том, что вы, скорее всего, находитесь на мошенническом ресурсе», — советует Надежда Демидова, контент аналитик «Лаборатории Касперского».

Более подробный отчет о фишинговых трюках злоумышленников и статистике срабатываний соответствующего защитного компонента находится по ссылке www.securelist.com/ru/analysis/208050845/Obmanshchiki_v_sotsialnykh_setyakh.

«Лаборатория Касперского» и оператор Telefonica объединяют усилия для обеспечения безопасности европейских и латино-американских абонентов

«Лаборатория Касперского» объявляет о начале стратегического сотрудничества с Telefonica, одним из мировых телекоммуникационных лидеров, в рамках которого клиентам оператора будет предоставлен ряд услуг по защите от киберугроз. Telefonica знакома многим пользователям по своим коммерческим брендам O2, Movistar и Vivo.

По итогам соглашения в портфолио Telefonica появятся сервисы «Лаборатории Касперского», в основе которых лежит облачная инфраструктура Kaspersky Security Network.Инструменты обеспечения безопасности клиентов Telefonica построены на внутренних разработках оператора, опыте собственного центра Global CyberSOC, а также экспертизе других вендоров защитных решений, таких как «Лаборатория Касперского». С помощью такого широкого набора услуг и сервисов, включающего в себя решений для защиты от онлайн-мошенничества и DDoS-атак, корпоративные клиенты Telefonica получат более совершенную защиту от самых актуальных киберугроз.

Технологии «Лаборатории Касперского» дополняют услуги Telefonica по обеспечению безопасности своих клиентов новыми защитными инструментами. Среди них — мониторинг в режиме реального времени ботнетов, которые нацелены на пользователей онлайн-банкинга или платежных систем. Данный сервис не только позволяет выявлять подобные ботнеты, но также и блокировать их связь с командными центрами. Помимо этого специалистам по безопасности Telefonica будут направляться данные о новых угрозах в режиме реального времени, что позволит заранее провести соответствующую подготовку IT-инфраструктуры. Дополнительно «Лаборатория Касперского» будет предоставлять аналитические отчеты, описывающие релевантные угрозы для отдельных регионов и компаний с учетом вида их деятельности, а также проводить образовательные мероприятия, передавая свой опыт специалистам Telefonica.

«Такое стратегическое сотрудничество является для нас очередным шагом к лидирующей позиции на телекоммуникационном рынке. Подобные соглашения показывают, что мы обладаем уникальным набором услуг по выявлению угроз и являемся лучшим оператором в вопросе обеспечения IT-безопасности бизнеса и государственного сектора. Включение сервисов «Лаборатории Касперского» в наше портфолио отражает стремление Telefonica предоставлять самую инновационную защиту нашим клиентам и подтверждает нашу миссию быть прогрессивным оператором», — отметил Оливер Мартинез, управляющий директор по глобальной безопасности Telefonica.

«Мы с гордостью предоставляем Telefonica подписку на набор сервисов «Лаборатории Касперского» по выявлению угроз. Это сотрудничество стало одним из важных шагов в нашей стратегической работе с операторами. С таким мощным набором инструментов специалисты Telefonica будут гораздо лучше подготовлены к реагированию на угрозы, которые нацелены на их клиентов. Мы уверены, что теперь, в кооперации с «Лабораторией Касперского», компания сможет предложить гораздо более выгодные условия своим клиентам», — прокомментировал Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского».

«Безопасность следует рассматривать как цельную стратегию защиты, а не ограниченный набор механизмов выявления и предотвращения. Это единственный надежный способ остановить киберугрозы. Telefonica и «Лаборатория Касперского» разделяют этот подход, и мы уверены, что вместе сможем построить более конкурентоспособную и безопасную среду», — добавил Ованес Михайлов, руководитель регионального офиса «Лаборатории Касперского» в Иберии.

Этот шаг — логичное продолжение давнего сотрудничества «Лаборатории Касперского» с Telefonica: в 2006 году компания заключила соглашение с оператором на бразильском рынке.

На данный момент у «Лаборатории Касперского» имеется более 80 глобальных партнерских и технологических соглашений с ведущими IT и телекоммуникационными компаниями, включая Microsoft, IBM, Cisco, Juniuper Networks, Alcatel Lucent, Blue Coat, Check Point, D-Link, GFI, Gwava, Netgear, SonicWALL RSA, ZyXel, Alt-N, Parallels, Lenovo, Facebook, Qualcomm, Vertu и другими.

О Telefonica

Telefonica — испанская телекоммуникационная компания. Действуя главным образом на рынках Испании и Латинской Америки, Telefonica является одной из крупнейших компаний сектора традиционной и мобильной сотовой связи в мире, занимает четвертое место в мире по размеру клиентской базы и шестое по рыночной капитализации. Созданная в 1924 году Telefonica до 1997 года была единственным оператором телефонной связи в Испании и до сих пор занимает доминирующее положение на рынке. На глобальном уровне Telefonica владеет ощутимой долей рынка в 24 странах и располагает клиентской базой, насчитывающей 313 миллионов абонентов.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса Endpoint Security*. Вот уже более шестнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.