Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
Ostatnie posty
Najpopularniejsze

Żadnej taryfy ulgowej dla szkodnika ExPetr

Kaspersky Lab
Dodany 14 lipca 2017, 12:00 CEST
Tagi:

Ostatnio dyskutowano o tym, że w przypadku zainstalowania naszego produktu, szkodnik ExPetr nie zapisze specjalnego szkodliwego kodu, który szyfruje MFT, do rekordu MBR. Niektórzy wietrzyli tu nawet konspirację. Inni wykazywali, że to nonsens. Jak zwykle, Vesselin Bontchev, legenda w dziedzinie bezpieczeństwa IT, który znany jest z tego, że zwykle potrafi trafić w sedno, wyraził to najlepiej:

NoFreePassforExPetr_01_auto.png

[Bzdura. To powoduje dokładnie to samo co w przypadku wystąpienia błędu podczas próby zainfekowania rekordu MBR. Widzicie ten fragment po „or („II”)” w ostatnim warunku (if).]

O co tu chodzi? Jak powiedział kiedyś ktoś mądry „kod nie kłamie”, przeanalizujmy więc szczegółowo kod infekcji dysku MBR/czyszczenia ExPetra.

W skrócie, szkodnik wykonuje następujące działania:

  1. Sprawdza uprawnienia administratora
  2. Wylicza uruchomione procesy
  3. W zależności od znalezionych procesów, inicjuje specjalną konfigurację środowiska uruchomieniowego  
  4. W...

ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware

GReAT
Dodany 30 czerwca 2017, 13:40 CEST
Tagi:

Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr sądziliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci.

Potwierdza to teorię, zgodnie z którą kampania ta nie została zaplanowana jako atak z wykorzystaniem oprogramowania ransomware w celu uzyskania korzyści finansowych. Wygląda na to, że miał to być atak z wykorzystaniem programu wiper, który udaje ransomware.   

Poniżej przedstawiamy szczegóły techniczne. Po pierwsze, w celu odszyfrowania dysku ofiary osoby atakujące potrzebują identyfikator instalacji: 

expetya_wiper_01_auto.png

We wcześniejszych wersjach “podobnego” oprogramowania ransomware, jak Petya/Mischa/GoldenEye, ten identyfikator instalacji zawiera istotne informacje dla odzyskania klucza. Po wysłaniu takich informacji do osoby atakującej może ona uzyskać klucz deszyfracji przy użyciu swojego prywatnego...


Pet(ya) Schroedingera

GReAT
Dodany 30 czerwca 2017, 13:32 CEST
Tagi:

[AKTUALIZACJA: 28 CZERWCA 2017]Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr myśleliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci. Wygląda na to, że w przypadku tej kampanii mamy do czynienia z wiperem, który udaje oprogramowanie ransomware. Więcej na ten temat w poście: ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware    

27 czerwca otrzymaliśmy raporty dotyczące nowej globalnej fali ataków z wykorzystaniem oprogramowania ransomware (występujących w mediach pod kilkoma nazwami, w tym Petya, Petrwrap, NotPetya oraz exPetr) uderzających głównie w firmy na Ukrainie, w Rosji i Europie Zachodniej. Jeśli jesteś jedną z ofiar, poniższy ekran może wydać ci się znajomy:   

schroedinger_petya_01_auto.png

Rozwiązania firmy Kaspersky Lab skutecznie powstrzymują ten atak za pośrednictwem komponentu Kontroli...


Clash of Greed

Andriej Kostin
Dodany 8 maja 2017, 11:54 CEST
Tagi:

W 2015 roku gra Clash of Clans przynosiła swojemu twórcy, firmie Supercell, około 1,5 miliona dolarów dziennie. Następnie, po usunięciu błędów w pierwszej grze i wprowadzeniu bitew z rzeczywistymi graczami w nowej grze, firma wypuściła nowy projekt Clash Royale, w którym występowali ci sami bohaterowie i który cechowała ta sama bajkowa stylistyka znana z pierwszego projeku. Niestety, im popularniejsza gra, tym większe prawdopodobieństwo, że oszuści będą próbowali zbić fortunę na jej popularności, np. poprzez organizowanie ataków phishingowych na graczy.   

Model zarabiania pieniędzy w przypadku obu gier został dokładnie przemyślany: w grę zagrać może każdy bez konieczności inwestowania prawdziwych pieniędzy. To jednak oznacza, że można włożyć mnóstwo wysiłku w gry, częstokroć przegrywając z innymi graczami, którzy kupują i ulepszają rzadkie i mocne karty o  bardzo niskich współczynnikach „drop rate” lub...


Ochrona nadal jest bezpieczna

Nikita Szwetsow
Dodany 19 kwietnia 2017, 09:57 CEST

Niedawno WikiLeaks opublikował raport, który, jak twierdzą jego autorzy, ujawnia narzędzia i taktyki stosowane przez sponsorowaną przez rząd organizację w celu włamywania się do komputerów użytkowników i obchodzenia zainstalowanych rozwiązań bezpieczeństwa.

Lista produktów bezpieczeństwa, w których złamano zabezpieczenia, obejmuje dziesiątki producentów i dotyczy całej branży cyberbezpieczeństwa. Opublikowany raport zawiera opis luk w zabezpieczeniach produktów bezpieczeństwa, które mogą zostać wykorzystane w celu obejścia ochrony i zagrożenia bezpieczeństwu użytkowników.   

Bezpieczeństwo klientów stanowi najwyższy priorytet dla firmy Kaspersky Lab, dlatego wszelkie informacje, które dotyczą ochrony użytkowników, traktujemy bardzo poważnie. Wszystkie zgłoszone luki w zabezpieczeniach są przez nas dokładnie badane.  

Opublikowany raport zawiera opisy dwóch luk w zabezpieczeniach produktów firmy Kaspersky Lab, które...


Lazarus/Bluenoroff - cyberataki finansowe na dużą skalę

GReAT
Dodany 3 kwietnia 2017, 15:36 CEST
Tagi:

W lutym 2017 r. artykuł w polskich mediach przerwał ciszę w odniesieniu do długotrwałej serii ataków na banki, przypisywanych grupie Lazarus. Mimo że w pierwotnej publikacji nie wspomniano o tej grupie, badacze ds. cyberbezpieczeństwa szybko podchwycili temat. W tym artykule podzielimy się naszymi odkryciami i dodamy kilka informacji do ogólnej wiedzy o ugrupowaniu Lazarus oraz jego połączeniach z szeroko dyskutowanym incydencie z lutego 2016 r., kiedy nieznana wówczas grupa cyberprzestępców przypuściła próbę ataki, którego celem była kradzież 851 mln dolarów z Centralnego Banku Bangladeszu. 

Od wykrycia incydentu w Bangladeszu pojawiło się zaledwie kilka artykułów tłumaczących połączenia między grupą Lazarus a skokiem na systemy SWIFT. Jeden z nich został napisany przez BAE Systems w maju 2016 r., jednak tekst zawierał wyłącznie analizę kodu szkodliwego modułu odpowiedzialnego za niszczenie danych (tzw....


Złamanie najsłabszego ogniwa w najmocniejszym łańcuchu

Ido Naor
Dodany 22 lutego 2017, 10:42 CET
Tagi:

Około lipca zeszłego roku ponad 100 żołnierzy izra elskich zostało zaatakowanych przez przebiegłych cyberprzestępców. Podczas ataku włamano się do ich urządzeń, a następnie przesłano wyłuskane dane do serwera kontroli cyberprzestępców. Ponadto, na zaatakowane urządzenia pobrano aktualizacje trojana, które pozwoliły osobom atakującym rozszerzyć swoje możliwości. Operacja ta nadal była aktywna w momencie tworzenia tego postu, a ataki zgłaszano jeszcze w lutym 2017 roku.  

Celem tej kampanii, która według ekspertów, nadal znajduje się na początkowym etapie, są urządzenia z systemem Android OS. Po zainfekowaniu urządzenia rozpoczyna się proces wyrafinowanego gromadzenia danych poprzez uzyskanie dostępu do możliwości audio i wideo telefonu, funkcji SMS i lokalizacji. 

Kampania opiera się w dużym stopniu na socjotechnice, wykorzystując portale społecznościowe w celu nakłonienia żołnierzy do ujawnienia...