Вернуться   Форум сотрудников МВД > Правоохранительная деятельность вне МВД > СБ предприятий и банков > Частные кибер детективы
Забыли пароль?

Важная информация

Частные кибер детективы Кибер происшествия, расследования и другое

Ответ
 
Опции темы Опции просмотра
Старый 25.04.2017, 23:36   #1
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Важное предупреждение по теме кибербезопасности

Рекомендую обратить внимание!
Цитата:
Важно! Объявляю общую тревогу!
Ваши сети никогда не были так беззащитны, как сейчас. 14 апреля ShadowBrokers выложили в свободный доступ подборку Windows-эксплоитов, и это похоже на настоящее бедствие.
Наши эксперты разобрали многие из них. Они крайне опасны. Чего стоит хотя бы SMB RCE-эксплоит, позволяющий выполнить произвольный код в нулевом кольце ОС. И это лишь малая часть того, что теперь в руках у неограниченного числа злоумышленников.
Да, Microsoft в своем заявлении (https://blogs.technet.microsoft.com/...ng-customers…/) ориентировала, что для большинства эксплоитов уже выпущены патчи.
Но:
а) патчи есть только для систем, начиная с Windows 7, тогда как в банкоматах и других автономных системах могут использоваться разные редакции более ранних ОС;
b) патч - это не более, чем заплатка, ее еще надо нашить (читай – установить). Установлены ли они уже на ваших системах?
c) если вредонос попал-таки в вашу систему до установки патча, он не спасет. Тут как со столбняком: вот была у человека рана (уязвимость), занесли столбняк (использовали ее, чтобы занести бактерий). Рану зашили, столбняк остался, человек умер.

В сухом остатке:
Ранее проведённые мероприятия по защите ваших систем могут быть не актуальны. Сильнее прочих могут пострадать пользователи пиратских версий Windows и MS Office, не получающие своевременных обновлений.
Принимайте меры, читайте материалы, проверяйте опубликованные коды на своих системах, если позволяет квалификация. Если нет – мы готовы прийти на помощь.
Group-IB экстренно запускает услугу по проверке систем на устойчивость к конкретному набору свежих угроз.
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Реклама Место СВОБОДНО для Вашей рекламы ;-)
Promotional Bot
 
Робот Форума
 
Регистрация: 06.02.2006
Реклама Реклама от Яндекса

Promotional Bot 
__________________
  Я очень хочу разместить здесь Вашу рекламу... 
Старый 13.05.2017, 19:09   #2
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Важное предупреждение по теме кибербезопасности

То, о чём мы предупреждали - произошло!...
Увы, но многие оказались не готовыми к очередной атаке. Что ж-ж...
Цитата:
Весь мир (и это не преувеличение) взбудоражен атакой вируса-шифровальщика WannaCry.
На самом деле программы-шифровальщики – это опасный и постоянно нарастающий тренд, мы писали об этом в годовом отчете прошлого года. Еще тогда мы отмечали, что драйверы роста количества атак – это обмен базами данных на форумах в даркнете и Ransomware-as-a-service, партнерские программы по распространению программ-вымогателей.
Под угрозой, как мы увидели сегодня, совершенно различные компании и организации, включая некоммерческие. Вредоносное ПО может быть запаковано злоумышленниками, и антивирусы часто бессильны.
Как отмечают наши аналитики, у WannaCry четыре основные особенности:
1) она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers, а ранее использовался Агентством национально безопасности США (АНБ). Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет - они выведены из-под поддержки;
2) помимо шифрования файлов, она осуществляет сканирование сети на предмет уязвимых хостов и распространяется на все непатченные машины. Вирус работает не по конкретным целям, а ищет незащищенные устройства – отсюда и лавинообразный характер заражений;
3) файлы шифруются не все, а избирательно – вирус выбирает наиболее "чувствительные", т.е. документы, базы данных, почту;
4) для подключения к командным серверам она устанавливает браузер TOR, через который и осуществляется соединение.
Как показал сегодняшний день, наш TDS Polygon успешно детектирует WannaCry. Тем не менее, это не отменяет базовых правил, которые нужно соблюдать всегда:
проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам
вовремя обновлять ПО
использовать только ОС, которые поддерживаются производителем.
Пожалуйста, проверьте, установлен ли у вас патч из MS17-010 (https://technet.microsoft.com/…/libr.../ms17-010.aspx), сделайте бэкап системы и заблокируйте внешний трафик по SMB протоколу.
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 18.05.2017, 17:35   #3
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Важное предупреждение по теме кибербезопасности

Анализ темы тут: http://1prime.ru/News/20170516/82745...ampaign=buffer
Цитата:
Директор по работе с частными клиентами Group-IB Руслан Юсуфов: "То, что происходит сейчас – это уже не деятельность "гиков" или "вирусописателей", это работа организованной преступности".

МОСКВА, 16 мая — ПРАЙМ. Несколько дней по всему миру прокатился вирус-шифровальщик WannaCry, который уже окрестили "вымогателем". Масштабная кибератака началась 12 мая: вирус прошелся по сетям университетов и школ в Китае, заводов Renault во Франции, телекоммуникационной компания Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Однако основной объем зараженных компьютеров пришелся на Россию – более 70 тыс машин. Среди основных пострадавших – МВД и "Мегафон".

В своем докладе компания по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий Group-IB отмечает, что из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД РФ — не смогли выдавать водительские права. За разблокировку компьютеров преступники требовали сравнительно небольшой выкуп - от 300 до 600$, и за день заработали всего $42 000. Сумма для киберпреступного мира совсем маленькая, что может говорить о том, что данная атака станет одновременно пиком и концом эпохи вирусов-шифровальщиков. Однако в целом история Wanna Cryptor наглядно показала, насколько уязвим современный цифровой мир, уверены в Group-IB.

ВАШ ТОСТЕР ПОД ПРИЦЕЛОМ

Директор по работе с частными клиентами Group-IB Руслан Юсуфов отмечает растущую динамику киберпреступлений в мире. По мнению эксперта, оценить весь объем кибератак в мире крайне сложно. Юсуфов привел в пример эксперимент, в рамках которого к интернету подключили тостер. В течение первых 12 часов было совершено 300 попыток его взлома, сказал эксперт, уточнив, что первая попытка была совершена в течение первых 40 минут после подключения. "Это значит, что у злоумышленников есть возможности систематически сканировать весь интернет в том числе на предмет стандартных уязвимостей. И это тоже кибератаки", - сказал он, добавив, что в большей степени внимание обращается на кибератаки, которые приносят материальный ущерб. По словам эксперта, в прошлом году половина участников рынка признали себя жертвами кибермошенничества.

"Средний ущерб от хакерской атаки мы оцениваем в $4 млн. Если делать разбивку по секторам, то в некоторых индустриях он выше. В первую очередь, это финансовые учреждения, энергетические и технологические предприятия, в последнюю – сельхозпредприятия", - сказал он, заметив, что злоумышленники стремятся получить максимальный доход, а атаки с целью получения информации и кибертерроризм пока далеки от действительно массового распространения. На начало 2016 года, по подсчетам Group-IB, суммарный ущерб экономики России от киберпреступности достиг более 200 млрд рублей. Юсуфов добавил, что по миру есть разные оценки. "Есть оценка, что годовой урон мировой экономики от киберпреступности равен порядка $445 млрд. По другим подсчетам только в Европе показатель достигает почти $1 трлн", - сказал он, пояснив, что данные отличаются из-за разницы в методологиях подсчетов.

Юсуфов считает, что деятельность хакеров можно расценивать как работу организованной преступности. "То, что происходит сейчас – это уже не деятельность "гиков" или "вирусописателей", это работа организованной преступности. Киберпреступники вкладывают огромные инвестиции в инструменты взлома", - сказал он, добавив, что финансовые преступления активно переходят из офлайна в онлайн. "Произошло сращивание организованной преступности, которая ранее была задействована в таких традиционных офлайновых экономических преступлениях, как шантаж, вымогательство, инсайдерская торговля. Она вся перешла в онлайн, так как здесь они могут масштабироваться, чувствовать себя безнаказанными, скрываться за средствами анонимизации", - сказал эксперт, заключив, что жизнь настолько быстро перешла в киберпространство, что люди еще не успели это до конца осознать. Юсуфов посоветовал внимательнее относится к своей безопасности в сети и держать свои данные надежно защищенными, "как будто за закрытой на ключ дверью".
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 18.05.2017, 18:25   #4
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Важное предупреждение по теме кибербезопасности

Сравните с анализом другого специалиста в теме:
Цитата:
Расстановка точек над вирусной атакой.

Самая массовая вирусная атака в истории»! Вирус остановил компьютеры всего мира! Это атака спецслужб! Они хотят посеять хаос! А если они в метро или на АЭС!!!

Это сейчас можно услышать по всем каналам, от Первого на центральном ТВ до самого последнего блога.
На самом деле, конечно, как обычно, всё не совсем так или совсем не так.

Для тех, кто привычно читает заголовок и первые шесть абзацев, сразу сообщу содержание и выводы. В сети такой спойлер называется TLDR (too long; didn’t read).

Итак,

TLDR:

Атака – довольно типовая. Это обычный вирус-шифровальщик. В Рунете они свирепствуют последние лет 10-12.

Атака – довольно мелкая. Заражено 200-300 тысяч компьютеров по миру. Это примерно на порядок меньше самых известных массовых атак, которые происходят каждый год. И на полтора-два порядка меньше масштаба тайных заражений пользователей при создании коммерческих ботнетов.

Это – медийная атака. Такой крик в СМИ поднялся из-за деградации наших СМИ в последние годы, склонности переписывать заголовки и новости друг у друга и хвататься за горячее, а вовсе не из-за какой-то особой опасности вируса или его особой распространённости. Через пару дней никто и не вспомнит – потому что сейчас в нашем медийном поле все сенсации живут 3-5 дней максимум.

Теперь подробно:

1. История и обстоятельства. Вирус – довольно типовой шифровальщик, т.н. винлокер. Приёму блокирования и шифрования файлов и вымогательства выкупа – уже примерно 20 лет. Волны таких вирусов несколько раз поражали российские сети компьютеров. Рассылают их русские киберпреступники, автор даже лично знает одного такого, кто как-то спьяну хвалился, что винлокеры в Рунете придумал он.

2. Уязвимость тоже известная. Сама по себе уязвимость Windows найдена и исправлена в марте 2017, для неё существует патч (заплатка). Патч скачивается с сайта Микрософт или устанавливается автоматическим обновлением.

3. Антивирусы ловят этот вирус. Встроенный антивирус Windows Defender также его ловит (при условии, что установлен патч). Все известные антивирусы либо умели ловить этот вирус, либо уже выпустили «лечилки».

4. Кого заражали? Поскольку уязвимость известна, опубликована и исправлена, заражались компьютеры, где:

a. Не установлены обновления Windows,

b. Не стоит свежий антивирус.

5. Кого зацепило? Вирус-вымогатель распространился в 74 странах мира, в том числе в России. Заражены РЖД, «МегаФон» и «ВымпелКом», МВД. Также хакеры пытались взломать серверы Минздрава, однако ведомству удалось предотвратить атаку. Атаки на электронную инфраструктуру зафиксировал и Сбербанк. Система по выдаче прав ГИБДД также подверглась вирусной атаке и не работает в ряде регионов. В Германии атаке хакеров также подверглись системы железнодорожного оператора Deutsche Bahn. В Великобритании под ударом оказались сервисы больниц.

6. «Самая массовая атака в истории». Это просто неправда. Эта атака – не очень массовая, просто самая раскрученная за последние месяцы. 300 тысяч заражённых компьютеров и 40 тысяч долларов заработано создателями вируса! Просто офигеть. Это бытовая, каждодневная атака.

7. Массовые атаки – это когда по всему миру у всех осыпаются буквы на экране. Не помните? Понятно.
Вот примеры действительно массовых заражений: https://ru.wikipedia.org/wiki/...

Червь I Love You, три миллиона заражений по всему миру.

Или вот: https://xakep.ru/2003/01/27/17...

Червь Slammer, миллионы копий, десятки тысяч заражений в час, падение Южной Кореи, нарушение работы выборов в Канаде, замедление Интернета по всему миру.

А вот это сегодняшняя повседневность — рабочая лошадка, ботнет Methbot на пару миллионов компьютеров, который просто тихо работает, без вот этого всего медийного шума, зарабатывая миллионы долларов в день: https://habrahabr.ru/company/k...

8. Боевой вирус ЦРУ/АНБ. Действительно уникальной и пикантной особенностью ситуации является то, что код этого конкретного вируса был выложен в утечке Викиликс, среди прочих боевых хакерских инструментов американских спецслужб. Хотя код был «стерилизован», вирусописатели оживили и модифицировали его. Комментирует Сноуден:

«…«Вот это да, АНБ создало инструменты для взлома американского софта, которые в итоге угрожают жизни сотен пациентов», — написал экс-сотрудник АНБ в своём Твиттере. Сноуден отметил, что АНБ создало программы для атаки на софт, «несмотря на предупреждения», что в итоге и привело к катастрофическим последствиям. По его словам, если бы ведомство своевременно сообщило о найденных уязвимостях, у пострадавших пользователей были бы годы, чтобы подготовиться к атаке».
...
и далее!
Точки расставлял Игорь Ашманов: https://www.nalin.ru/rasstanovka-toc...oj-atakoj-5510
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 22.05.2017, 14:27   #5
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Важное предупреждение по теме кибербезопасности

Ну вот и "откат": http://pikabu.ru/story/deshifrovshch...acrypt_5063101
Цитата:
Дешифровщиков Вам в ленту (WannaCry, Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt)
Не тестировал сам, но Коллеги подтверждают.
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 26.05.2017, 15:49   #6
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Важное предупреждение по теме кибербезопасности

Гы...
Учитесь переводить "стрелки": https://securenews.ru/wannacry_9/
Цитата:
Как утверждают эксперты Flashpoint, проводившие анализ сообщений с требованием выкупа на 28 языках, создателем вымогательской программы WannaCry может быть человек, свободно владеющий английским и китайским языками.

По словам исследователей, при переводе уведомлений на различных языках (кроме английского и китайского) с применением переводчика Google тексты являются идентичными на 95%. Эксперты считают, что разработчик WannaCry мог применять текст на английском как шаблон для перевода на другие языки, но не в случае с китайским. Несмотря на то, что версия, написанная на английском, показывает хорошее знание языка, присутствие определенных ошибок свидетельствует о том, что уведомление было составлено человеком, для которого английский не является родным языком.

В то же время в WannaCry применяются уведомления на китайском языке с использованием упрощенных и традиционных иероглифов. Китайские версии имеют отличие в объеме и формате от англоязычной версии и, вероятнее всего, были написаны человеком, который знаком с нюансами данного языка. Присутствующие в некоторых словах опечатки свидетельствуют о том, что автор вводил текст именно на китайском, а не переводил его с помощью онлайн-переводчика. Помимо этого, в тексте присутствуют термины и слова, являющиеся характерными для различных регионов Китая.
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Ответ

Метки
intelligence, антивирус, банкомат, защита информации, защита компьютера, кибератака, кибермошенничество, киберразведка, малвари, мошенничество, фишинг

Опции темы
Опции просмотра

Ваши права в разделе
Быстрый переход


Часовой пояс GMT +3, время: 23:46.

Rambler's Top100 Рейтинг@Mail.ru Яндекс цитирования

Работает на vBulletin® версия 3.8.3.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot