Gordon

До двух лет лишения свободы грозит украинцу, которого подозревают в создании и распространении вредоносного программного обеспечения, взломе компьютеров и администрировании сайта по продаже логов. 16 марта полиция открыла уголовное дело по признакам уголовного преступления, предусмотренного ч.1 ст.361-1 УК Украины (Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт). Досудебным расследованием установлена информацию в отношении лица, известного на «хакерском» форуме «bhf.io» под никнеймами «kr3wka», «naf4nya» и «Nafаnya». Пользователь, по версии следствия, осуществляет распространение вредоносного программного обеспечения и непосредственно занимается несанкционированным вмешательством в работу электронно-вычислительных машин (компьютеров). В результате аналитически-розыскных мероприятий работниками отдела противодействия киберпреступности в Запорожской области удалось даенонимизировать хакера. Им оказался житель Запорожья, который зарегистрирован в социальной сети «Вконтакте» под именем «Олег Хаджийский». Также было установлено, что данный гражданин является администратором веб-ресурса «stealacc.store», с помощью которого осуществляется продажа логов (конфиденциальная информация пользователей всемирной сети Интернет по электронным платежным системам, пароли от почтовых ящиков, ключи от электронных кошельков криптовалют и прочее), которые были получены им в результате использования вредоносного программного обеспечения. Кроме этого установлено, что для получения денежных средств за продажу вредоносного программного обеспечения мужчина использует собственную банковскую карточку Приватбанка. Следствие уже получило разрешение на доступ к сведениям о движении денежных средств на счет.​

Эксперты Positive Technologies Максим Горячий и Марк Ермолов выступили на конференции Black Hat, где рассказали об обнаружении технологии Intel VISA, предназначенной для отладки и выявления брака в процессорах и других микросхемах. Проблема заключается в том, что эта функциональность потенциально может быть включена злоумышленниками. Ранее об Intel VISA не было известно широкой общественности, а технология позволяет считывать данные из памяти и перехватывать сигналы периферийных устройств. Несмотря на то, что Intel VISA по умолчанию отключена на коммерческих системах, эксперты нашли несколько способов ее активации. Исследователи выяснили, что микросхемы PCH (Platform Controller Hub), установленные на материнских платах современных ПК на базе Intel, содержат полноценный логический анализатор сигналов, который называется Intel Visualization of Internal Signals Architecture (VISA). Эта технология дает возможность отслеживать состояние внутренних линий и шин системы в режиме реального времени. Аналогичный анализатор реализован также в современных процессорах Intel. Через микросхему PCH, которую исследовали эксперты, осуществляется взаимодействие процессора с периферийными устройствами (дисплеем, клавиатурой, веб-камерой и так далее.), поэтому этот чип имеет доступ практически ко всем данным компьютера. «Мы выяснили, что подключиться к Intel VISA можно на обыкновенных материнских платах, и для этого не требуется специальное оборудование, — рассказывает эксперт Positive Technologies Максим Горячий. — С помощью VISA нам удалось частично реконструировать внутреннюю архитектуру микросхемы PCH». Исследователи полагают, что Intel VISA используется для проверки наличия брака при производстве чипов Intel. Вместе с тем, благодаря огромному количеству параметров, эта технология позволяет создавать собственные правила для захвата и анализа сигналов, которые могут быть использованы злоумышленниками для получения доступа к критически важной информации. В ходе выступления на Black Hat было продемонстрировано, как можно считывать сигналы с внутренних шин передачи информации (например, шин IOSF Primary, Side Band и Intel ME Front Side Bus) и других внутренних устройств PCH, несанкционированный доступ к которым позволяет перехватить данные из памяти компьютера. Проанализировать технологию позволила ранее выявленная экспертами Positive Technologies уязвимость INTEL-SA-00086 в подсистеме Intel Management Engine, которая также интегрирована в микросхему PCH. Недостаток в IME дает злоумышленникам возможность атаковать компьютеры — например, устанавливать шпионское ПО в код данной подсистемы. Для устранения этой проблемы недостаточно обновления операционной системы, необходима установка исправленной версии прошивки. Издание ZDNet цитирует представителей Intel, которые уверяют, что показанная на BlackHat проблема требует физического доступа к устройству и фактически была устранена с выходом патчей для INTEL-SA-00086 в ноябре 2017 года. С этим заявлением эксперты Positive Technologies не согласны, они объясняют, что прошивку Intel можно понизить до уязвимой версии и все равно добиться включения VISA.

Администрация крупнейшей на сегодняшний день подпольной торговой площадки Dream Market объявила о прекращении ее деятельности. Согласно сообщению на главной странице сайта, закрытие намечено на 30 апреля текущего года, а управление всеми операциями будет передано «партнерской компании». При этом нужно отметить, что в последнее время у Dream Market наблюдаются технические проблемы, судя по всему, связанные с постоянными DDoS-атаками на сайт. Появление этого сообщения совпало с выходом пресс-релизов ФБР, Европола и американского Управления по борьбе с наркотиками, которые рассказали о масштабной совместной операции SaboTor, направленной на борьбу с торговлей наркотиками в даркнете. Правоохранители отчитались о десятках арестов и обысков. Например, сообщается, что уже был арестован 61 человек, а также были закрыты 50 учетных записей в даркнете, с помощью которых пользователи занимались незаконной деятельностью. К этому можно прибавить 65 ордеров на обыск, благодаря котором удалось обнаружить и изъять 299,5 кг наркотических средств, 51 единицу огнестрельного оружия и более 6,2 млн евро (из них около 4 млн в криптовалюте, 2 млн наличными и примерно 35 000 в золоте). Кроме того, в ходе операции SaboTor было допрошено 122 человека. В этом свете совсем неудивительно, что пользователи Dream Market паникуют. В социальных сетях распространяются самые разные теории, вплоть до предположений, что торговую площадку уже контролируют правоохранительные органы, и заходить на Dream Market (и новый сайт, чье открытие ожидается позже) небезопасно. Цитата: DO NOT log into Dream Market. Law enforcement in some country can apparently run a darknet market for a month without shutting it down while logging all data and lying to the public the entire time. This happened with Hansa during Operation Bayonet. #darknet — DarkDotFail (@darkdotfail) March 26, 2019 https://twitter.com/...f_src=twsrc^tfw The "a partner company" is bizarre. Possible rebrand. Possible retirement. Possible LE. Operation Bayonet 2.0? Somebody with a lot of money wanted the market? No mention of this on the Dream forums either FWIW. — Caleb (@5auth) March 26, 2019 https://twitter.com/...f_src=twsrc^tfw Опасения пользователей вряд ли можно назвать беспочвенными. Достаточно вспомнить о том, что произошло с маркетплейсом Hansa Market в 2017 году. Напомню, что тогда торговую площадку закрыли правоохранительные органы. Однако этот факт не афишировали, а полиция продолжала поддерживать работоспособность Hansa Market еще некоторое время, что помогло собрать множество улик и информации о клиентах этой торговой площадки. Dream Market существует с 2013 года, и сейчас он остался последним активным маркетплейсом из некогда известной большой четверки, в которую также входили AlphaBay, Hansa Market и RAMP. Как уже было упомянуто выше, AlphaBay и Hansa Market были закрыты правоохранительными органами в 2017 году, и том же году российское МВД отчиталось о прекращении деятельности RAMP. Если Dream Market действительно прекратит свою работу в следующем месяце, из относительно крупных торговых площадок в даркнете останутся, к примеру, T•chka и Wall Street Market. • Source: https://www.dea.gov/...law-enforcement • Source: https://www.europol....buyers-dark-web • Source: https://www.fbi.gov/...-sabotor-032619

Apple анонсировала банковскую карту Apple Card с бесплатным обслуживанием и кэшбеком. Открываются новые горизонты господа!

Последняя волна атак Elfin (APT33) была зафиксирована в феврале нынешнего года. В течение последних трех лет кибершпионская группировка Elfin (другое название APT33), предположительно финансируемая правительством Ирана, активно атакует организации в США и Саудовской Аравии. Как сообщают специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр. За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц. Последняя волна атак была зафиксирована в феврале нынешнего года. Для их осуществления злоумышленники пытались эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе. Эксплоит попал на компьютеры двух сотрудников атакуемой организации через фишинговое письмо со вложенным вредоносным файлом JobDetails.rar. После его открытия на систему загружался эксплоит для CVE-2018-20250. Elfin была замечена исследователями в декабре 2018 года в связи с новыми атаками Shamoon. Незадолго до атаки Shamoon одна из компаний Саудовской Аравии была заражена вредоносным ПО Stonedrill из арсенала Elfin. Поскольку атаки последовали сразу одна за другой, эксперты предположили, что между ними может быть связь. Тем не менее, на сегодняшний день никаких других свидетельств причастности Elfin к атакам Shamoon обнаружено не было. Помимо бэкдора Stonedrill, группировка также использует бэкдор Notestuk, открывающий доступ к файлам на атакуемой системе, и кастомизированный бэкдор на языке AutoIt. Наряду с инструментами собственного производства злоумышленники также применяют ПО, купленное на черном рынке, в том числе трояны Remcos, DarkComet, Quasar RAT и пр.

Сотрудники киберполиции разоблачили преступную группу, совершавшую масштабные мошеннические схемы в сети. Об этом сообщает пресс-служба Департамента киберполиции Национальной полиции Украины. По информации пресс-центра ведомства, в ходе своей преступной деятельности злоумышленники создали около десяти фиктивных фирм. Эти компании занимались оказанием услуг по оналйн-продаже сельскохозяйственной техники. В результате своей деятельности они получали около миллиона гривен ежемесячно. Операцией по разоблачению преступников занимались сотрудники Киевского управления Департамента киберполиции и детективы полиции Полтавщины под процессуальным руководством прокуратуры Полтавской области. Отмечается, что в состав мошеннической группы входило семь человек в возрасте от 28 до 44 лет. Как удалось установить правоохранительным органам, преступная организация функционировала в течение последних нескольких лет. Злоумышленники распространяли на разных интернет-ресурсах информацию о продаже дорогостоящей сельскохозяйственной техники, цены на которую были значительно занижены. Обычно их клиентами становились частные предприниматели, которые пытались таким образом сэкономить на покупке техники, но при этом теряли свои средства. С целью маскировки и анонимизации своих действий преступники регистрировали фиктивные предприятия на подставных лиц. А для того, чтобы скрыть следы мошенничества, во время администрирования расчетных счетов фиктивных предприятий, аферисты использовали разные анонимайзеры и прокси серверы в разных странах мира. Кроме того, мошенники пользовались разными онлайн-сервисами для учета полученных денег и распределения прибыли, а также фиксирования информации о потенциальных «клиентах». Правоохранители провели санкционированные обыски. По их результатам изъята компьютерная техника, большое количество дополнительных носителей информации и черновые записи участников преступной группы. Всю изъятую технику направлено на экспертизу. Сейчас продолжается досудебное расследование по ч. 3 ст. 190 (мошенничество) УК Украины. Решается вопрос об объявлении подозрения каждому из участников преступной группы. Полиция устанавливает лица, которые также могли стать жертвами преступных действий мошенников.

Проблемы с энтропией при генерации серийных номеров при помощи инструментария для удостоверяющих центров EJBCA привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее количество проблемных сертификатов было выписано компаниями Apple, GoDaddy, Google, Actalis и SSL.com. Проблема связана с использованием при формирования серийных номеров случайного числа, включающего 63 бита энтропии, вместо 64 бит. Соответственно сложность подбора каждого числа снизилась с 264 до 263 комбинаций (разница около 9 квинтиллионов). Требования, регламентирующие деятельность удостоверяющих центров, с сентября 2016 года предписывают применение как минимум 64-разрядных серийных номеров, поэтому все находящиеся в обиходе проблемные сертификаты подлежат отзыву и замене. Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу. Чтобы избежать появления отрицательных значений и для соответствия требованиям спецификации в формируемом числе принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA, который поддерживает генерацию серийных номеров в диапазоне от 32 до 160 бит. Получение 64-битового значения без учёта описанной особенности (фактическое поведение при настройках по умолчанию отличается от ожидаемого) привело к тому, что значение одного бита оказалось изначально известным. Снижение числа бит в серийном номере незначительно снижает стойкость сертификата к атакам, основанным на подборе коллизий - становится проще подобрать параметры, на основе которых можно получить поддельный сертификат с идентичной цифровой подписью. Тем не менее стойкости 63 битовой энтропии более чем достаточно для обеспечения безопасности в современных реалиях и угроза компрометации исключена даже при использовании уязвимых хэш-функций MD5 и SHA1, которые на практике не применяются и не поддерживаются браузерами с начала 2017 года. Наибольшее число проблемных сертификатов было создано компанией Apple - около 878 тысяч TLS-сертификатов, из которых время жизни ещё не истекло для 558 тысяч. Ещё около двух тысяч проблемных сертификатов было сгенерировано для S/MIME. Сертификаты генерировались с 2016 года. В 2017 году в процессе автоматизированного тестирования было выдано предупреждение о недостаточном размере серийного номера, но данное предупреждение по недосмотру оказалось не замечено. Некоторые другие охваченные проблемой удостоверяющие центры: * Компания Actalis выдала 350 тысяч проблемных сертификатов, из которых остаются активными 224 тысячи. * Компания GoDaddy изначально предположила наличие 1.8 млн проблемных сертификатов, но точный анализ показал, что проблема присутствовала только в 286 тысячах сертификатов, из которых 12152 остаются активными (проблемные сертификаты выписывались с 2016 года). * Компания Google с 2016 года выписала около 100 тысяч проблемных сертификатов, из которых активными остаются только 7100. * Компания SSL.com сформировала 6931 проблемных сертификатов. * Компания Camerfirma выдала 924 проблемных сертификата, все из которых активны. * Компания QuoVadis выдала 157 проблемных TSL-сертификатов и 118 сертификатов S/MIME, все из которых активны; * Компания Siemens сгенерировала 35 проблемных сертификатов; Так как сертификаты должны быть отозваны в течение 5 дней (пункт 4.9.1.1 правил, регламентирующих работу удостоверяющих центров), в ближайшее время возможно появление предупреждений о проблемах с безопасным доступом к сайтам, с владельцами которых не смогли связаться удостоверяющие центры или администраторы которых не успели установить новый сертификат.

Специалисты исследовательского подразделения Unit 42 компании Palo Alto Networks сообщили о новой вредоносной операции по взлому организаций в сфере криптовалютных операций и финансовых технологий. Целью злоумышленников является сбор учетных данных и другой конфиденциальной информации. Для похищения данных киберпреступники используют обновленную версию трояна для удаленного доступа Cardinal. Вредонос используется с 2015 года, но ИБ-сообщество узнало о нем только в 2017 году. Несмотря на то, что Cardinal уже известен специалистам по кибербезопасности, злоумышленники продолжают использовать его для похищения данных пользователей Windows. Как и предыдущий вариант трояна, новая версия распространяется с помощью фишинговых писем и вредоносных документов. Судя по указанным в полезной нагрузке данным, в новой кампании используется версия Cardinal 1.7.2. По состоянию на 2017 год актуальной версией являлась 1.4, а значит, киберпреступники регулярно обновляют свой троян. В частности, в обновленной версии используются новые техники для обфускации кода. К примеру, для сокрытия образца, изначально написанного на .NET и внедренного в файл .BMP, используется стеганография. Cardinal собирает пароли и логины, делает скриншоты и записывает нажатия клавиш на клавиатуре. Троян также способен загружать новые исполняемые файлы, обновлять себя и менять настройки зараженного компьютера. Когда нужные данные собраны, вредонос деинсталлирует сам себя и удаляет файлы cookie браузера. Новая вредоносная операция направлена на израильские компании, в основном специализирующиеся на разработке ПО для криптовалютного трейдинга и Forex. Свидетельств успешности этих атак в настоящее время зафиксировано не было. Кто стоит за вредоносной кампанией, неизвестно.

Участники группировки десятилетиями держали в секрете причастность Бето О’Рурка к Cult of the Dead Cow. Кандидат в президенты США от Демократической партии Бето (Роберто) О’Рурк (Beto O'Rourke) в подростковом возрасте был участником старейшего хакерского коллектива Cult of the Dead Cow («Культ Мертвой Коровы», CDC). Об этом он рассказал в интервью Reuters. CDC была основана в городе Лаббок (штат Техас) в 1984 году, а свое название получила в честь заброшенной скотобойни. Группировка в широком доступе публиковала инструменты для взлома систем на базе Microsoft Windows (например, RAT Back Orifice). CDC также является автором термина «хактивизм», означающего использование компьютеров для продвижения политических идей, свободы слова, защиты прав человека и обеспечения свободы информации. Деятельность группировки началась до появления Интернета, в то время владельцы компьютеров общались через электронные доски объявлений (Bulletin board system, BBS), для связи использовались коммутируемые телефонные сети. Пользователи могли с помощью модема соединяться с системой, просматривать информацию и оставлять свои сообщения. Большинство участников CDC поддерживали свои электронные доски, распространяя различные электронные статьи. Звонки на дальние расстояния обходились в несколько сотен долларов в месяц, и предприимчивые подростки использовали различные техники, позволявшие им совершать звонки за чужой счет. О’Рурк не раскрыл, какие именно методы применял, чтобы не платить за звонки. По его словам, он передал управление собственной BBS, когда поступил в Колумбийский университет. Как пишет Reuters, участники группировки десятилетиями держали в секрете причастность О’Рурка к CDC. Он сам признался в этом в начале своей избирательной кампании. В настоящее время нет доказательств, что кандидат в президенты участвовал в кибератаках или писал код, позволяющий взломать систему кому-либо еще.

Разработчики Mozilla намерены добавить в Firefox новую функцию, обеспечивающую защиту пользователей от отслеживания. Речь идет о технике под названием «Letterboxing», уже знакомой пользователям браузера Tor (функционал появился в январе 2015 года). Рекламные сети часто отслеживают определенные функции браузеров, например, размеры окна, для составления профиля пользователей и их отслеживания, когда они изменяют размеры браузера и переходят на новые вкладки и сайты. Принцип работы функции заключается в следующем: при изменении размеров окна браузера на web-страницу будут добавляться серые поля, которые постепенно исчезнут по завершении действия. Идея заключается в том, что «Letterboxing» будет маскировать реальные размеры окна браузера, сохраняя постоянную высоту и ширину за счет добавления серых полей на верхней, нижней, левой и правой частях страницы. Таким образом коды рекламных сетей, отслеживающие изменения размеров окна, будут считывать неправильные данные, и только после отправки кодами информации на свои серверы Firefox удалит серые поля. Функционал поддерживается не только при масштабировании окна браузера, но и при его максимальном увеличении или переходе в полноэкранный режим. В настоящее время функционал доступен в сборке Firefox Nightly, широкая публика сможет оценить функционал с выходом версии Firefox 67, запланированным на май 2019 года. По умолчанию функция отключена. Для того чтобы активировать ее, нужно открыть about:config -> «privacy.resistFingerprinting» и установить значение «true».

В настоящее время существует несколько десятков киберпреступных группировок, объединенных ИБ-экспертами под общим названием Magecart. Группировки используют различные методы, но с одной и той же целью – похитить данные банковских карт пользователей сайтов электронной коммерции. Не все группировки Magecart обладают одинаковым уровнем знаний и умений. По словам специалистов из RiskIQ, одна из них, Group 4, отличается особым профессионализмом. То, как киберпреступникам удается организовывать свой бизнес, внедрять новые методы работы, минимизировать риски и повышать эффективность, указывает на их весьма выдающиеся способности. После отключения части используемой Group 4 инфраструктуры специалистам RiskIQ удалось продолжить мониторинг активности группировки и совершенствования используемых ею техник. В распоряжении Group 4 есть около сотни зарегистрированных доменов, пул серверов для маршрутизации трафика и доставки на системы жертв вредоносного ПО, пишут исследователи. После реорганизации группировка оставила себе только пять доменов с одним IP-адресом. «Домены, связанные со скимминговыми операциями Group 4, просто являются прокси, указывающими на большую внутреннюю сеть. После применения некоторой начальной фильтрации скиммер направляет запросы конечной точке, предоставляющей скрипт скиммера (или легальный скрипт, если посетитель не осуществляет платеж)», - сообщили исследователи. Для маскировки вредоносной активности группировка использует множество легальных библиотек, скрывающих скиммер на странице платежей до начала его активности. Более того, для защиты своей инфраструктуры от полного разрушения киберпреступники добавили пулы примерно из десяти последовательных IP-адресов примерно у пяти разных хостеров. Сами скиммеры регулярно обновляются и получают новые функции, которые предварительно проходят тестирование. Новый функционал как правило отключен по умолчанию, отметили исследователи. В настоящее время код только проверяет наличие платежных форм и похищает данные. Благодаря столь ограниченному функционалу злоумышленникам удалось сократить объем кода всего до 150 строк – это в десять раз меньше по сравнению с тем, каким код был раньше.

Пленум Верховного суда законодательно запретил отмывать доходы, преобразованные из виртуальных активов. Соответствующие поправки внесены в постановление суда от 2015 года о практике по делам о легализации доходов, сообщает портал «Право». Теперь предметом преступлений, предусмотренных ст. 174 и 174.1 о легализации преступных доходов, считаются и виртуальные активы — криптовалюты, полученные в результате противоправной деятельности. Отметим, что пленум не вводил в УК РФ термин «криптовалюта», поскольку он пока официально не прописан в российском законодательстве. Однако необходимость разъяснений по этому вопросу назрела давно, пояснили в ВС. «В последние годы в практике появились случаи, когда полученная от продажи наркотиков криптовалюта вводилась в оборот путем снятия наличности с банковских терминалов», — добавил судья Верховный суд Александр Червоткин.

Веб-камера – одно из самых распространенных и важных устройств, которое может использоваться для различных задач. С другой стороны, этот девайс представляет собой наиболее серьезную угрозу вашей личной жизни. Если злоумышленник получит доступ к веб-камере и начнет шпионить за вами, у вас может возникнуть много неприятностей. Однако хорошая новость в том, что управлять камерой удаленно очень сложно так, чтобы никто не догадался. Ниже приведено семь способов, позволяющих проверить ваше устройство на предмет взлома и внешнего управления. 1. Обратите внимание на индикатор Небольшой красный/зеленый/голубой индикатор рядом с объективом сигнализирует о том, происходит ли сейчас запись видео. Когда камера не работает, индикатор должен быть выключен. Если лампочка мигает, и вы не используете камеру, значит, у кого-то еще есть доступ к вашему устройству. Если мерцание происходит постоянно, значит, камера записывает видео. В обоих случаях, устройство, скорее всего, находится под внешним управлением. Иногда индикатор перестает работать, и владелец не особо заботится о починке. Однако отсутствие рабочего индикатора повышает риск того, что кто-то будет использовать устройство без вашего ведома, а вы не сможете заметить ничего подозрительного. 2. Проверьте созданные файлы Если кто-то использует вашу камеру для записи видео, непременно должны появиться видео или аудио файлы, которые вы не создавали. Если в папке с записями присутствуют файлы, о которых вам ничего не известно, скорее всего, эти файлы созданы злоумышленником во время несанкционированного использования камеры. 3. Проверьте используемые приложения Иногда веб-камера может находиться под управлением неизвестного приложения. Подобные ситуации возникают в случае, если вы загрузили вредоносную программу, которая перехватила контроль над устройством. Чтобы разобраться, попробуйте включить камеру. Если появилось сообщение, что девайс уже используется, значит, устройство находится под контролем приложения. В общем, нужно проверить все приложения, у которых есть доступ к камере. 4. Воспользуйтесь сканером вредоносов Теперь пришло время разобраться более конкретно с теми приложениями, которые используют веб-камеру, при помощи сканера вредоносов. Нужно сделать следующее: Загрузить компьютер в безопасном режиме, когда остаются работать только самые необходимые драйвера и программы. В Windows 10 попасть в безопасный режим можно попасть, если напечатать в поиске команду msconfig и нажать Enter. Откроется панель с системной конфигурацией, где вы можете зайти в опции загрузки и выбрать безопасный режим. Система окажется в безопасном режиме после перезагрузки. Как только компьютер оказался в безопасном режиме вначале удалите все временные и другие ненужные файлы, чтобы ускорить сканирование. Запустите любой антивирус, которым вы пользуйтесь, чтобы проверить систему на предмет присутствия вредоносов. Иногда антивирусная программа не обнаружит ничего. В этом случае можно попробовать сканер, встроенный в браузер Google Chrome, у которого часто базы новее. 5. Проверьте камеру на предмет аномального поведения С каждым днем веб-камеры становятся все более функциональнее. Например, могут двигаться из стороны в сторону, для увеличения угла обзора, или иметь встроенный микрофон и колонки и, по сути, выступают в качестве телефона. Кроме того, камеры могут подстраивать линзы, чтобы улучшить разрешение. Если вы заметили, что девайс делает что-то из вышеперечисленного, когда вы не работаете с устройством, вполне вероятно, есть удаленное управление. Обращайте внимание на любые мелочи. Если устройство повернулось или издает подозрительный шум, скорее всего, имеет место быть взлом. 6. Проверьте настройки безопасности веб-камеры Вы можете использовать веб-камеру для наблюдения за домом при условии, что настройки не были скомпрометированы. Если в настройках безопасности вы обнаружили нечто похожее на то, что показано ниже, есть повод призадуматься: Пароль стал стандартным. Вы не можете менять настройки. Фаервол, защищающий веб-камеру, отключен. Имя пользователя административной учетной записи изменено. Совсем нелишним будет проверить и другие настройки на предмет изменений. 7. Проверьте интенсивность трафика Потоки данных в сети могут многое рассказать о том, насколько интенсивно используется интернет. Неожиданные всплески сетевого трафика могут являться сигналом о том, что данные передаются без вашего ведома. Подобную проверку можно сделать в Диспетчере задач. Например, в Windows 10 воспользуйтесь вкладкой Журнал приложений в Диспетчере задач, чтобы посмотреть, какие приложения используют сеть. Здесь можно отследить, отсылает ли данные веб-камера (или любое неизвестное) приложение. В случае обнаружения подозрительного приложения воспользуйтесь утилитой для отслеживания и удаления вредоносов. Следите за вашей веб-камерой Веб-камера предназначена для отслеживания окружающего пространства, но и сама также нуждается в присмотре. В случае любой подозрительной активности сразу же нужно проверить, не взломано ли ваше устройство. Теперь вы знаете, на что обращать внимание, чтобы вовремя обнаружить и разобраться с этой проблемой. В крайнем случае, если вы до конца не уверены, что устройство не находится под внешним управлением и не заражено вирусами, можно рассмотреть вариант с покупкой новой низкобюджетной веб-камеры.

Эксперты в области кибербезопасности неоднократно отмечали, что «русские хакеры» являются одними из самых передовых в мире. Теперь специалисты CrowdStrike подтвердили это, подсчитав с точностью до секунды, сколько времени требуется на взлом киберпреступникам из разных стран. Как сообщается в отчете CrowdStrike, по скорости взлома русские превосходят иранцев, северокорейцев и китайцев, которые также попали в список самых высококвалифицированных хакеров. Под скоростью взлома исследователи подразумевают время между проникновением киберпреступников в сеть и началом похищения данных. Скорость взлома имеет огромное значение для успеха мероприятия, поскольку современные технологи позволяют обнаруживать и отражать кибератаки быстрее, чем когда-либо раньше. Чем быстрее злоумышленник проникнет в сеть, тем больше времени будет у него на похищение данных до обнаружения атаки. Для определения скорости взлома исследователи проанализировали 30 тыс. кибератак, осуществленных в 2018 году. По подсчетам исследователей, от получения доступа к атакуемой сети и до распространения по ней российским киберпреступникам требуется всего 18 минут и 49 секунд – почти в восемь раз меньше, чем северокорейцам, занимающим второе место по скорости взлома. На третьем месте оказались китайцы, которым на взлом требуется 4-5 часов – в два раза больше времени, чем северокорейцам.

Представитель ФСБ на заседании рабочей группы по информационной инфраструктуре национального проекта «Цифровая экономика» 30 января предложил отечественные сим-карты и криптографию для связи пятого поколения. В отдаленной перспективе ФСБ предлагает заменять еще и оборудование на сетях — в частности, на базовых станциях — с иностранного на отечественное, пишут «Ведомости». Но об обязательности отечественной криптографии и сим-карт ФСБ не говорила, уверяет участник совещания. И документов с описанием своих предложений не показала, указывают два участника заседания. Криптографические алгоритмы используются при авторизации абонентов, сим-карты должны их поддерживать, объяснил один из собеседников газеты. Проект документа ФСБ должна внести на рассмотрение исполнителей «Цифровой экономики» в середине февраля, предполагает представитель «Ростелекома» (госкомпания отвечает за инфраструктуру в национальном проекте). Всю концепцию пятого поколения связи рабочая группа рассмотрит до конца I квартала 2019 года, передал через представителя директор АНО «Цифровая экономика» по информационной инфраструктуре Дмитрий Марков. В Минкомсвязь, заверил ее представитель, предложения ФСБ не поступали и вряд ли стоит ставить внедрение новой технологии в прямую зависимость от российского оборудования. По словам экспертов, ФСБ давно считает, что зарубежные криптография и оборудование создают риски национальной безопасности, и предлагает переходить на отечественную криптографию.

Судя по отсутствию требования о выкупе, целью атаки являлось именно уничтожение данных. Неизвестные киберпреступники взломали расположенные в США серверы почтового провайдера VFEmail и удалили все хранящиеся на них данные пользователей. В результате атаки, произошедшей 11 февраля, были отключены почтовый клиент и web-сайт компании. По словам представителей сервиса, атакующие отформатировали все диски на каждом сервере, в результате были потеряны все виртуальные машины, резервные копии и файловые серверы. При этом злоумышленники не оставили требование о выкупе. Судя по всему, целью атаки являлось именно уничтожение данных. «Да, VFEmail практически уничтожен и вряд ли будет восстановлен. Никогда не думал, что кого-то будет волновать мой труд настолько, что они захотят полностью и тщательно уничтожить его», - написал в Twitter основатель VFEmail Рик Ромеро (Rick Romero). В настоящее время сотрудники компании пытаются восстановить работу сервиса. Согласно сообщению на главной странице официального сайта, отправка писем частично работает, однако все данные американских пользователей уничтожены и восстановить их, скорее всего, не удастся. Официальные сайт компании возобновил работу, однако вторичные домены все еще отключены, также не работают спам-фильтры. Как отметил Ромеро, пострадавшие части инфраструктуры были защищены разными паролями. Для их компрометации были использованы по меньшей мере три различных метода. На данный момент мотивы атаки неясны. Вполне возможно, взлом был осуществлен по причине личной мести.

Компания Canonical выпустила обновление пакетов с ядром для Ubuntu 18.10 (Cosmic Cuttlefish) и Ubuntu 18.04.1 LTS (Bionic Beaver), устраняющее регрессивное изменение, внесенное с выпуском патча 4 февраля нынешнего года. Данное обновление, предназначенное для систем на базе Ubuntu 18.10, Ubuntu 16.0.4 LTS и Ubuntu 14.04 LTS, устраняло ряд уязвимостей в ядре Linux, в том числе ошибку в реализации vsock (CVE-2018-14625). Однако некорректное устранение уязвимости привело к проблемам с загрузкой некоторых систем, использующих определенные графические процессоры, в частности, Intel (gen4/gen5). По имеющимся данным, проблема проявляется на ноутбуках Samsung NP-R580, Lenovo X300, Lenovo 3000 g410, Thinkpad T510, ThinkPad T400, Sony Vaio VPCEB4E1E и Dell Inspiron 13 5000, а также на ПК c материнской платой Asus P7H55-M PRO. Пользователям рекомендуется установить обновление ядра 4.18.0-15.16 (Ubuntu 18.10) или 4.18.0-15.16~18.04.1 (Ubuntu 18.04 LTS).

Популярная платформа по физической покупке и продаже биткоинов LocalBitcoins подтвердила, что подверглась фишинговой атаке, в результате которой как минимум шесть ее пользователей лишились средств. В общей сложности у них было похищено 7.95205862 BTC (около $28 000). В сообщении LocalBitcoins на Reddit говорится, что около 10:00 UTC в субботу, 26 января, сотрудники биржи обнаружили уязвимость в безопасности, в результате которой «неавторизованный источник смог получить доступ к ряду аккаунтов и использовать их для отправки транзакций». Представители LocalBitcoins заявили, что им удалось определить проблему и остановить атаку. Утверждается, что она была связана с функцией, обеспечиваемой программным обеспечением стороннего разработчика – в ее результате на форуме платформы была размещена фишинговая ссылка. Как объясняет один из пользователей Reddit, при посещении форума LocalBitcoins происходила переадресация на фишинговую страницу, где предлагалось повторно ввести данные для входа, в том числе 2FA-код. В результате хакеры смогли опустошить даже защищенные аккаунты. Участники дискуссии также идентифицировали адрес, на который поступили похищенные средства. Как показывают данные блокчейна, в общей сложности на него было сделано пять переводов, после чего средства с этого адреса были выведены. Дополнительных комментариев от LocalBitcoins пока не поступало, но возможность публикации новых записей на форуме по-прежнему отключена из соображений безопасности.

Болгария экстрадировала в США россиянина, обвиняемого в кибермошенничестве. Болгария экстрадировала в США россиянина Александра Жукова, который обвиняется в сговоре с целью совершения кибермошенничества. Об этом сообщило посольство России в США. «В ближайшее время сотрудники генконсульства России в Нью-Йорке посетят соотечественника в тюрьме. Окажут ему все необходимое консульское содействие», — сказано в заявлении. Заочные обвинения Жукову, еще пятерым россиянам и двоим гражданам Казахстана были предъявлены в конце ноября. По версии обвинения, они провели аферы в сфере цифровой рекламы на 36 миллионов долларов. На тот момент было известно о задержании за границей троих из них, в том числе Жукова. Россияне нередко привлекаются к суду в США за кибермошенничество. В 2017 году американский суд приговорилк 27 годам тюрьмы сына депутата Госдумы от ЛДПР Валерия Селезнева Романа Селезнева. Он также был задержан за границей и выдан США.

По предварительным данным аналитиков InfoWatch, в 2018 году банкам, финансовым компаниям и представителям сферы страхования удалось остановить общий рост числа утечек персональных данных, платежной информации и других конфиденциальных сведений. Аналитический центр InfoWatch составил дайджест крупнейших утечек из банков, финансовых и страховых компаний за 2018 год. Австралийский банк Содружества (The Commonwealth Bank) признался, что допустил утечку данных 19,8 млн счетов, которые были открыты 12 млн человек (примерно половина населения Австралии). Инцидент произошел в процессе демонтажа устаревшего дата-центра. Компания-подрядчик Fuji Xerox умудрилась потерять два накопителя на магнитных лентах. Предположительно, носители информации выпали из грузовика, когда их везли к месту утилизации. Утекшие данные включали имена клиентов, их адреса, номера счетов и детали транзакций в период 2000-2016 годы. В США компания Government Payment Service, которая управляет онлайн-платежами 2300 государственных структур в 35 штатах, непреднамеренно скомпрометировала данные порядка 14 млн клиентов. В течение как минимум шести лет на сайте компании была доступна такая информация, как имена, адреса, номера телефонов и последние четыре номера кредитных карт. По словам экспертов, эти данные можно было видеть, просто изменяя в адресной строке номер квитанции. Американский SunTrust Bank заявил, что бывший сотрудник распечатывал данные клиентов и передавал эти файлы представителям преступного мира. Всего могла быть скомпрометирована информация 1,5 млн клиентов: имена, адреса, номера счетов и сумма остатков. Один из ведущих финансовых провайдеров в ЮАР, компания Liberty, сообщила о взломе, в результате которого были украдены данные около миллиона клиентов. Нарушение затронуло имена, ID-номера, мобильные номера, электронные адреса и незашифрованные пароли. Крупные финансовые потери в минувшем году главным образом понесли криптовалютные биржи. Судя по всему, уровень киберзащиты многих подобных стартапов пока значительно ниже, чем у классических финансовых компаний. Так, японская биржа CoinCheck потеряла порядка $534 млн. Злоумышленники скомпрометировали «горячие кошельки» и вывели с них огромные суммы. В свою очередь, итальянская биржа BitGrail в результате хакерской атаки лишилась криптовалюты Nano на общую сумму $195 млн. Подробнее: http://safe.cnews.ru/news/line/2019-01-21_infowatch_predstavila_obzor_krupnejshih_utechek

В спецслужбе создали новую структуру для противодействия компьютерным преступлениям В ФСБ создана новая структура, которая будет противостоять кибератакам на ключевые объекты российской инфраструктуры. Обнаружение, предупреждение и ликвидация последствий подобных преступлений возложены на Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Возглавит его заместитель руководителя научно-технической службы — начальник Центра защиты информации и специальной связи ФСБ Андрей Ивашко. Координацией противодействия преступлениям в сфере высоких технологий мог бы заняться и Центр информационной безопасности (ЦИБ) ФСБ, но в нем нашли факты госизмены, поэтому ЦИБ остался одним из соисполнителей данной программы. Приказ о создании НКЦКИ подписал директор ФСБ Александр Бортников. Очевидно, он был издан в развитие указов президента 2013–2017 годов о создании и совершенствовании системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В положении о новом центре говорится, что на базе научно-технической службы ФСБ появилось еще одно подразделение с весьма широкими полномочиями в области борьбы с киберпреступностью. Из первого же пункта положения о НКЦКИ следует, что центр «является составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты». Отметим, что сейчас эти полномочия возложены на скандально известный Центр информационной безопасности ФСБ, бывшие руководители которого находятся под следствием по обвинению в государственной измене (ст. 275 УК РФ), и Центр защиты информации и специальной связи ФСБ (бывшее 8-е главное управление КГБ СССР), возглавляемый Андреем Ивашко. Он же будет руководить и НКЦКИ. Помимо чисто практических задач, которые будет решать новое подразделение, на него возложена и координация мероприятий при компьютерных атаках на российские «субъекты критической инфраструктуры», в которые входят государственные и частные предприятия здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, топливно-энергетического комплекса, атомной энергии, обороны, ракетно-космической, горнодобывающей, металлургической и химической промышленности. По сути, новая структура должна превратиться в центр, куда станет стекаться информация из профильных ведомств о кибератаках. Там ее будут анализировать, вырабатывать методы обнаружения и предупреждения и доводить информацию о «средствах и способах проведения компьютерных атак» до всех «субъектов критической инфраструктуры». В положении также говорится о том, что НКЦКИ может обмениваться информацией с «уполномоченными органами иностранных государств и международными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты». При этом если центр сочтет, что запрошенная зарубежными коллегами информация «создает угрозу безопасности Российской Федерации», то в ее предоставлении будет отказано. Кстати, по некоторым данным, за предоставление якобы именно такой информации привлечены к уголовной ответственности бывшие высокопоставленные офицеры ЦИБ ФСБ Сергей Михайлов и Дмитрий Докучаев (см. “Ъ” от 23 мая). По одной из версий, они могли получить вознаграждение от американских спецслужб за данные об «атаках российских хакеров» на государственные, оборонные и политические ресурсы. Причем в обвинении, по данным “Ъ”, речь идет лишь о передаче служебной информации компании, оказавшейся связанной со спецслужбами. В «Лаборатории Касперского», бывший глава отдела расследования компьютерных инцидентов которой Руслан Стоянов также оказался замешан в скандальном деле сотрудников ЦИБ, “Ъ” заявили, что «готовы рассматривать предложения по защите информации и борьбе с компьютерной преступностью», конечно же «не выходя при этом за рамки российского законодательства». При этом «Лаборатория Касперского» уже предлагает компаниям и организациям, которым принадлежат объекты критической информационной инфраструктуры, продукты и сервисы, позволяющие собирать информацию о компьютерных инцидентах при создании центров ГосСОПКА. В свою очередь, генерал-лейтенант в отставке Александр Михайлов, служивший на генеральских должностях в ФСБ, МВД и ФСКН, в разговоре с “Ъ” отметил, что необходимость создания координационного центра по компьютерным инцидентам назрела уже давно. «И наш, и зарубежный опыт показывает, что исключительно одной агентурной работой спецслужбы не могут добиться нужного результата без тщательного анализа всей компьютерной информации»,— заявил господин Михайлов. Он напомнил, что в свое время функции защиты компьютерных данных возлагались на ФАПСИ, но агентство было упразднено, а большую часть его функций передали ФСБ. Впрочем, как отметил Александр Михайлов, ФАПСИ действовало во времена, когда интернет и системы защиты компьютерных данных не были столь развиты, как сейчас, хотя оно и могло бы стать основой для некоего центра, координирующего работу в сфере IT-технологий. Он также подчеркнул, что в данный момент эти функции распылены между многими ведомствами, хотя в сфере защиты информации, борьбы с хакерами и проявлениями экстремизма в интернете наблюдается «компьютерная турбулентность». «Создание центра позволит четко распределить зоны ответственности и контроля за определенными сферами деятельности каждой из задействованных структур, усилить контроль и установить, кто в случае упущений или ошибок несет за это персональную ответственность»,— считает господин Михайлов.

Калифорнийская компания VOIPO, предоставляющая услуги VoIP-телефонии, хранила десятки гигабайтов данных своих клиентов в открытом доступе. Миллионы записей о звонках, SMS- и MMS-сообщения и незашифрованные учетные данные для внутреннего пользования хранились в незащищенной базе данных ElasticSearch, доступ к которой мог получить любой желающий. VOIPO является одним из крупнейших провайдеров VoIP-сервисов в США. Джастин Паине (Justin Paine) из CloudFlare обнаружил открытую БД на прошлой неделе с помощью поисковика Shodan. Исследователь уведомил о своей находке главу VOIPO 8 января, и в тот же день база данных, содержащая информацию пользователей за четыре года, была закрыта. В БД содержалось 6,7 млн записей о звонках, начиная с июля 2017 года, 6 млн SMS- и MMS-сообщений, начиная с декабря 2015 года и 1 млн записей реестра с ключами API для внутренних систем, начиная с июня 2018 года. Записи о звонках содержали такую информацию, как временные метки и продолжительность разговоров, а также частичные сведения о звонивших. В БД также хранилось полное содержимое SMS- и MMS-сообщений. По словам исследователя, переоценить опасность подобной утечки довольно сложно. Если VOIPO не использовала межсетевые экраны (это факт остается неизвестным) и/или корпоративную VPN, утекшие имена хостов вместе с корпоративными логинами и паролями могут привести к «полной компрометации всей продукционной системы». В ответ на сообщение исследователя представители VOIPO заявили, что данные находились на сервере разработки, случайно оказавшемся в открытом доступе. В компании, однако, признали достоверность утекших данных.

При установке приложения на новом устройстве с новым номером телефона мессенджер отображает историю сообщений предыдущего владельца номера телефона. Сотрудница компании Amazon Эбби Фаллер (Abby Fuller) обратила внимание на один интересный нюанс в WhatsApp – при установке приложения на новом устройстве с новым номером телефона мессенджер отображает полный архив сообщений предыдущего владельца номера телефона. «Да, это было новое устройство. Нет, не бывшее в употреблении. SIM-карта также не была б/у. Да, я уверена, что это были не мои сообщения или группы, в которые я добавлена. Да, они отображались в виде простого текста. Я уверена, что это мой номер телефона, данные не были восстановлены из резервной копии», - подчеркнула Фаллер в своем сообщении в Twitter. Другие пользователи также подтвердили, что подобное случалось и с ними при установке WhatsApp на устройстве с новым номером телефона. Согласно документации WhatsApp, история сообщений полностью удаляется спустя 45 дней неактивности. «Не забудьте удалить свой старый аккаунт. Если вы не удалите учетную запись и утратите доступ к своему старому телефону, не волнуйтесь. Если новый владелец вашего номера активирует WhatsApp на новом телефоне спустя 45 дней, вся связанная с учетной записью информация будет полностью удалена», - указывается на странице поддержки. Однако Эбби утверждает, что владеет номером более указанного срока. В таком случае история сообщений уже должна была быть удалена, однако этого не случилось. По всей видимости, речь идет об ошибке в мессенджере, но представители WhatsApp пока никак не прокомментировали ситуацию.

После отключения серверов крупнейших торговых площадок даркнета AlphaBay и Hansa летом 2017 года киберпреступники переключились на использование альтернативных децентрализованных платформ, например каналов в мессенджере Telegram, следует из отчета экспертов по безопасности из компании Digital Shadows. Согласно докладу, Telegram стремительно набирает популярность. За последние шесть месяцев исследователи обнаружили более 5 тыс. ссылок на Telegram-каналы на различных подпольных форумах, из которых 1 667 ссылок представляли собой приглашения в новые группы. Киберпреступники предлагали целый ряд услуг, включая обналичивание похищенных средств, кардинг и мошенничество с криптовалютами. «Как правило, когда исчезает популярный рынок, появляется другой. Таким образом, последствия действий правоохранительных органов относительно недолговечны, а киберпреступники всегда на шаг впереди. Однако в данном случае этого не произошло и вместо этого злоумышленники ушли на альтернативные платформы», — отметили специалисты. Помимо этого, некоторые киберпреступники начали использовать сервисы на основе блокчейна, полагая, что таким образом им удасться защититься от правоохранительных органов, заключили исследователи.

Злоумышленники разработали схему по покупке и продаже похищенных номеров социального страхования, дней рождения и паролей. Министерство юстиции США сообщило о пресечении деятельности одной из крупнейших международных киберпреступных группировок. В общей сложности ведомство обвинило 36 человек, в том числе одного гражданина РФ, в торговле персональными данными и причинении ущерба на сумму более $530 млн. Согласно материалам дела, киберпреступники осуществляли незаконную деятельность на принадлежащем им online-форуме под названием Infraud. Злоумышленники разработали сложную схему по покупке и продаже номеров социального страхования, данных о днях рождения и паролях, похищенных у пользователей со всего мира. Группировка была создана в 2010 году 34-летним украинцем Святославом Бондаренко. Он позиционировал форум как «удобное и безопасное место для профессионалов, для которых кардинг и хакерство стали образом жизни», - следует из обвинительного заключения. Бондаренко создал на базе форума целую организацию со своей иерархией, а также контролировал то, какие товары предлагаются на сайте. Примечательно, что участникам группировки было запрещено покупать или продавать украденные устройства и данные, принадлежавшие жертвам из России. Помимо продажи похищенных персональных данных, группировка также предоставляла целевой депозитный счет, который можно было использовать для отмывания денег с помощью виртуальных валют, в том числе Bitcoin, Liberty Reserve, Perfect Money и WebMoney. Как следует из пресс-релиза, администрированием данного сервиса занимался соучредитель форума Сергей Медведев. По данным информагентства Reuters, на сайте предлагались порядка 795 тыс. банковских учетных данных финансового холдинга HSBC, десятки учетных записей PayPal и номера множества кредитных карт. Помимо этого, Infraud использовался для рекламы вредоносного ПО. В настоящее время из 36 обвиняемых правоохранительным органам удалось задержать 13 человек в США, Австралии, Великобритании, Франции, Италии, Косово и Сербии.