Украина до сих пор пытается отойти от самой масштабной хакерской атаки в своей истории.
Самый масштабный вирус в истории Украины - Petyа.A, поразил страну еще в прошлый вторник, но спустя неделю не все организации еще успели разобраться с его последствиями.
Вирус затронул, как государственные организации, так и частные. Пострадали банки, магазины, телеканалы и даже сайт Корреспондент.net.
Атаке вируса Petya. А 27 июня подверглась Украина и еще более 60 государств.
На Украину пришлось 75,2% заражений от общего числа в мире. На Германию — 9%, на Польшу — 5,8%. На Россию пришлось лишь 0,8%.
У нас в стране вирус «положил» более 12 тысяч компьютеров в различных государственных и частных учреждениях, включая Кабмин, операторов мобильной связи, энергетические компании и важнейшие транспортные предприятия.
В краткое время «легли» компьютеры таких компаний, как «Ощадбанк», «ТАСКомерцбанк», «Укргазбанк», «Пивденный» и «ОТП банк». От вирусной атаки пострадали также «Киевэнерго», Укрэнерго, госпредприятие Антонов, корпорация ДТЭК, Укртелеком, сеть гипермаркетов «Эпицентр», «Укрзализныця», «Новая почта», заправки ТНК, «Киевводоканал», киевский метрополитен, аэропорт Борисполь, операторы мобильной связи.
Немецкое Федеральное управление по информационной безопасности (BSI) полагает, что распространение вируса Petya.А началось именно с Украины и, возможно, проходило через украинскую программу бухгалтерской отчётности M.E.Doc., которая является альтернативой запрещенной в Украине российской 1С. Версию о том, что виноват именно M.E.Doc, выдвинул Департамент киберполиции Украины, однако разработчики M.E.Doc. опровергли эту информацию, заверив, что последнее обновление программ от 22 июня не содержит каких-либо вирусов.
Компания Cyence, занимающаяся оценкой рисков, подсчитала, что экономические потери от атаки вируса Petya.A могут составить около $8 млрд. В этот «прайс» компания включила еще и ущерб, причиненный майской атакой схожего вируса WannaCry, который вывел из строя свыше 200 тысяч компьютеров в 150 странах мира.
Оценивая потери, которые бизнес понес из-за вируса можно говорить о недополученной компаниями прибыли. Некоторые ритейлеры были вынуждены остановить работу своих магазинов, часть банковских отделений во время атаки работала в "консультативном режиме" – это те сферы, по которым вирус ударил наиболее ощутимо.
Оценить сколько компаний пострадало и в каком объёме очень сложно, поскольку некоторые предприятия фактически прекращали свою работу на день, а некоторые, например, только на несколько часов.
Глава Комитета экономистов Украины Андрей Новак отмечает, что, к примеру, снижение банковского оборота или оборота торговых сетей из-за атаки, компании могли наверстать в последующие дни. "К прямым потерям можно отнести дополнительные траты на IT-сферу для преодоления последствий этого вируса", - сообщил экономист.
Атака вируса совпала с периодом подачи налоговой отчетности, а из-за того, что вирус в первую очередь уничтожал данные на компьютерах бухгалтеров, фирмы оказались под угрозой штрафов.
В Общественном совете при Государственной фискальной службе отметили: поскольку хакерская атака подпадает под форсмажорные обстоятельства, то вопрос внесения отчетности будут обсуждать на заседании Общественного совета.
«Отсрочку можно инициировать только после соответствующего постановления профильного комитета ВР или Минфина — сейчас вопрос хакерских атак не урегулирован, и решение таких форс-мажоров должно обсуждаться в правовой плоскости», — говорят в совете.
СБУ установила причастность спецслужб России к атаке вируса Petya.A.
Украинская компания M.E. Doc, которая выпускает бухгалтерское программное обеспечение, может быть обвинена в связи с серьезной кибератакой на прошлой неделе, повлекший значительные повреждения компьютерных систем по всему миру. Об этом сообщает Радио Свобода.
Начальник киберполици Украины полковник Сергей Демидюк сообщил, что сотрудников базирующейся в Киеве компании неоднократно предупреждали, что их структура информационных технологий не является безопасной.
"Они об этом знали. Их много раз предупреждали различные антивирусные компании. За это пренебрежение эти люди предстанут перед уголовной ответственностью", - утверждает Демидюк.
Руководители компании M.E. Doc, Олеся Линник и ее отец Сергей, сообщили Reuters, что их программное обеспечение не отвечает за распространение вируса, и они не понимают выдвижения обвинений против них.
Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.
Основанием для детального анализа системы обновления программы M.E.Doc стала статья, опубликованная одной антивирусной компанией. В статье, в частности, утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.
Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:
Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:
сбор данных для доступа к почтовым серверам;
выполнение произвольных команд в инфицированной системе;
загрузка на зараженный компьютер произвольных файлов;
загрузка, сохранение и запуск любых исполняемых файлов;
выгрузка произвольных файлов на удаленный сервер.
Весьма интересным выглядит следующий фрагмент кода модуля обновления M.E.Doc — он позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1:
Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).
В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.
USB-разъемы могут использоваться для кражи личных данных, выяснили ученые Центра компьютерных наук в университете Аделаиды в Австралии. Об этом сообщил сайт EurekAlert!
Неожиданное открытие сделал один из студентов университета — он подключил к компьютеру модифицированную USB-лампочку и обнаружил, что через нее на соседний передавалась информация.
Специалисты обнаружили, что если подключить вредоносное устройство к тому же USB-концентратору, оно сможет перехватить информацию, отправленную на компьютер напрямую.
Также можно красть данные о паролях и другую информацию, которую человек вводит через клавиатуру. Специалисты проверили различные виды USB-концентраторов и пришли к выводу, что такую уязвимость имеют 90% из них.
Сегодня ночью стало известно о взломе крупнейшего бюро кредитный историй Equifax.
На руках злоумышленников оказались персональные данные 143 млн американцев (из 323,1 миллиона всего населения). Среди этих данных номера социального страхования (SSN), номера водительских удостоверений, дата рождения (DOB), их кредитные истории, так же потенциально были похищены 209 000 номеров кредитных карт. Компания заявила, что некоторая личная информация жителей Канады и Великобритании также была скомпрометирована.
Теперь по-порядку: самое страшное во всей этой истории - это похищение номеров социального страхования. Это девятизначный номер и теоретически его можно сравнить с номером ИНН россиян, но на этом вся схожесть заканчивается.
Дело в том, что имея этот номер с остальными данными владельца мошенникам не составляет труда оформить банковский счет, получить банковские кредиты и чем лучше кредитная история, тем больше будет сумма кредита, поэтому свой SSN любой американец хранит в секрете. Equifax в свою очередь предоставлял банкам информацию о этой кредитной истории.
Испанский суд принял решение об удовлетворении запроса США на экстрадицию российского программиста Петра Левашова. Об этом сообщает Reuters.
Левашов был задержан 9 апреля. Суд в Барселоне провел совместное заседание с мадридским судом по Skype, в ходе которого было вынесено решение об аресте россиянина. Он подозревается американскими властями в причастности к хакерским атакам.
Как рассказала жена Левашова Мария, задержание произошло ночью — в апартаменты, которые арендовали супруги в Барселоне на время отдыха, ворвались представители правоохранительных органов. Женщина добавила, что полицейские отобрали у них все электронные устройства.
«Я просила ордер или какие-то бумаги, они сказали, что показали их моему мужу. С мужем я разговаривала в комиссариате по телефону, он сказал, что ему показали какую-то бумажку на испанском без печати и с его фото в плохом качестве. Что-то говорили про то, что вирус, который якобы создал мой муж, связан с победой [Дональда] Трампа на выборах [президента США]», — рассказала россиянка
Гопники звездно-полосатые хватают людей по всему миру.
Левашов заявил на суде, что он в течение последних десяти лет работал на "Единую Россию", "собирал различную информацию про оппозиционные партии и занимался доведением этой информации до нужных людей в нужное время". Доказательств этого он не привел.
Греческий суд удовлетворил запрос России о выдаче Александра Винника, подозреваемого США в отмывании четырех миллиардов долларов на криптовалютной бирже. Об этом сообщает РИА Новости.
В России его обвиняют в мошенничества на сумму в 667 тысяч рублей. Просьбу о передаче его Москве поддержал греческий прокурор. «Винник согласился на выдачу в Россию и нет причин не выдавать. Я предлагаю удовлетворить просьбу России. Прошу вместе с тем записать, что есть и решение суда о выдаче в США», — заявил он.
4 октября суд счел просьбу США о выдаче Винника приемлемой, однако адвокаты обжаловали это решение.
В США ему грозит до 55 лет тюрьмы и многомиллионный штраф.
Очень важная штука. В алгоритме шифрования WPA2, который используется практически во всех Wi-Fi-сетях, найдена критичная уязвимость, которой подвержены все устройства.
Теперь все данные, которые вы передаёте по запароленным Wi-Fi-сетям, могут быть расшифрованы точно так же, как если бы вы подключились к незапароленной сети.
Эта история по опасности сравнима с heartbleed, если не хуже.
Решение пока только одно — использовать VPN даже при подключении к запароленным Wi-Fi-сетям.
Специальный сайт с информацей об атаке: www.krackattacks.com/
Коротко на русском: habrahabr.ru/company/pentestit/blog/340182
Выдержка из FAQ для тех, кому сложно-некогда читать:
— Нужна ли новая версия WPA, обречены ли мы все? Нет, можно запатчить и станции и клиент без проблем.
— Нужно ли менять пароль на Wi-Fi? Нет, бесполезно.
— WPA2 с AES все равно уязвим? Да, все равно.
— Нужно ли откатываться на WEP? Нет.
Ждем исправлений, обещают выпустить утилиту для проверки уязвимости (то есть, бежать покупать новый роутер для которого выпускают обновления пока не нужно).
The site went on to warn that visiting only HTTPS-protected Web pages wasn't automatically a remedy for the risk.
"Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations," the researchers explained. "For example, HTTPS was previously bypassed in non-browser software, in Apple's iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps."
Как пояснил «Известиям» источник в Сбербанке, мошенники, пользуясь новой схемой, просят граждан набрать на телефоне #90 или #09. Если человек делает это, злоумышленники получают доступ к его SIM-карте и мобильному банку. Соответственно, есть риск лишиться всех средств на телефоне и банковском счете. Чтобы избежать этого, нужно немедленно заканчивать разговор с «провайдерами» или «инженерами», нажав клавишу отбоя.
Исследователи MalwareHunterTeam обнаружили вредоносный алгоритм, названный StalinLocker. Он блокирует все файлы, хранящиеся на компьютере, ставя на экран заглушку с портретом Иосифа Сталина. О находке специалистов сообщил портал BleepingComputer.
Программа-локер дает пользователю всего 10 минут на введение кода, отменяющего ее действия. Все это время на экране устройства, помимо счетчика, выводится фотография советского лидера, сопровожденная лозунгами советского времени, а на фоне играет гимн СССР. Если юзер не отгадывает шифр, то алгоритм запускает процесс удаления содержимого всех дисков.
Кодом разблокировки является разница между датой запуска файла на компьютере и числами 1922.12.30 (скорее всего, подразумевается дата утверждения договора об образовании СССР). По данным специалистов, при корректном введении шифра, локер сам отменяет автозапуск очистки компьютера. В противном случае программа переберет все имена дисков от A до Z и удалит все содержимое, к которому получит доступ.
