ИНТЕРЕСНОЕ ЗА НЕДЕЛЮ В МИРЕ КИБЕРБЕЗОПАСНОСТИ (26-30 июня)

1. Microsoft предупредила, что уязвимость в ее облачном сервисе позволяет путать пароли. Корпорация Microsoft настоятельно рекомендует системным администраторам компаний, использующих облачный сервис Azure, настройки конфигурации облака и установить патч против уязвимости, позволяющей переустанавливать пароли локальным пользователям без их ведома.
2. Как победить вирус Petya . Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.
3. Cisco представила систему анализа зашифрованного сетевого трафика. Почти половина кибератак (41%) сегодня маскируются в зашифрованном трафике и остается невидимым для средств защиты, и их число постоянно растет. Используя для анализа потоков данных интеллектуальные средства Cisco Talos и машинное обучение, стало возможным определять сигнатуры известных атак даже в зашифрованном трафике, не расшифровывая его и сохраняя конфиденциальность передаваемых данных. Cisco Encrypted Traffic Analytics позволяет определять следы подозрительной и вредоносной активности в зашифрованном трафике (HTTPS или SMTPS).
4. Кибератаки на российские банки продолжаются . Центробанк РФ продолжает фиксировать попытки инфицирования российских банков вредоносным ПО. Об этом регулятор сообщил на своем сайте. «По информации Банка России, в результате атак зафиксированы единичные случаи заражения. Последствия этих инцидентов были устранены в кратчайшие сроки. Однако случаи получения вредоносного файла фиксируются до сих пор», — указывается в сообщении.
5. В сенате предложили запретить программы Касперского в армии США. Комитет по вооруженным силам сената США предложил запретить национальному Министерству обороны использовать программное обеспечение компании «Лаборатория Касперского», сообщает Reuters. По словам автора поправок в законодательство сенатора-демократа Джин Шахин, «наличие связей между «Лабораторией Касперского» и Кремлем внушает очень большую тревогу» и продуктам Касперского «нельзя доверить защиту критических узлов инфраструктуры, в особенности компьютерных систем, жизненно важных для обеспечения национальной безопасности». Она также добавила, что по отношению к продуктам «Лаборатории Касперского» существует консенсус между конгрессом и администрацией президента США Дональда Трампа.
6. Баг в Skype позволяет выполнить на уязвимой машине произвольный код. Специалист Vulnerability Lab Бенджамин Кунц Меджри (Benjamin Kunz Mejri) раскрыл информацию о ранее неизвестной уязвимости в Skype. Проблема получила идентификатор CVE-2017-9948 и распространяется на десктопные версии Skype 7.2, 7.35 и 7.36. По десятибалльной шкале CVSS баг получил 7,2 балла. Уязвимость позволяет спровоцировать переполнение буфера в стеке (stack buffer overflow), и злоумышленник может эксплуатировать баг как локально, так и удаленно. В результате можно вызвать крах приложения, перезаписать регистр активных приложений, а также выполнить в уязвимой системе произвольный код.
7. Эксперты: NotPetya – не вымогательское ПО, а кибероружие . Вредоносное ПО Petya.A (оно же NotPetya, SortaPetya и Petna), за два дня зашифровавшее данные на тысячах компьютеров по всему миру, на самом деле не вымогательская программа, а кибероружие. Как показал анализ, проведенный экспертами «Лаборатории Касперского» и Comae Technologies, вредонос представляет собой инструмент для уничтожения данных на жестком диске с целью саботажа работы предприятий и организаций. По словам исследователей, NotPetya действует подобно вымогателю, однако не предоставляет никакой возможности восстановить файлы. Дело даже не в том, что немецкий почтовый сервис Posteo, которым пользовались киберпреступники, заблокировал их учетную запись, лишив жертв возможности связаться с операторами вымогателя.
8. Обнаружен третий вымогатель, атаковавший Украину за последнее время . Petya (он же NotPetya) – уже третье вымогательское ПО, агрессивно атаковавшее украинских пользователей за последние полтора месяца. Как ранее сообщал SecurityLab, 19 мая вымогатель XData инфицировал в четыре раза больше украинских пользователей, чем червь WannaCry за неделю. На прошлой неделе, до нашествия NotPetya, Украину атаковал вымогатель PSCrypt. Все три вредоноса не имеют ничего общего за исключением одного – они отдают предпочтение украинским пользователям (на Украину пришлось около 80% от всех жертв XData и 60% от всех жертв NotPetya). В настоящее время о PSCrypt известно мало. Вредонос впервые попал в поле зрение ИБ-экспертов на прошлой неделе после сообщения исследователя MalwareHunter о новом образце вымогательского ПО, агрессивно атакующем Украину.
9. Катар не нашел российский след в кибератаке на агентство новостей. Глава МИД Катара Мухаммад бен Абдуррахман Аль Тани заявил, что российские хакеры не стояли за кибератакой на сайт государственного новостного агентства в Катаре, передает телеканал CBS. Аль Тани также сообщил, что с проведением кибератаки связаны некоторые страны Ближнего Востока, отметив, что Катар в данный момент заводит судебное дело на эти страны. «Согласно располагаемой нами информацией, — это не российский хакер», — сообщил Аль Тани в интервью телеканалу. Глава МИД Катара указал, что ФБР завершило свое расследование по поводу кибератаки, сообщив катарской стороне, что Россия не стоит за ней, отмечает телеканал.
10. «Доктор Веб» представил инструкцию для пострадавших от Trojan.Encoder.12544. «Доктор Веб» опубликовал инструкцию для тех, кто пострадал от нового вида троянца-вымогателя Trojan.Encoder.12544, также известного как Petya, Petya.A, ExPetya и WannaCry-2. Троянец Trojan.Encoder.12544 распространяется с помощью уязвимости в протоколе SMB v1 — MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA «ETERNAL_BLUE», использует 139 и 445 TCP-порты для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно. Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).
11. Bitdefender изучила атаки нового вируса. Согласно последним данным лаборатории Bitdefender, для распространения атак вымогателя Petya-GoldenEye, эпидемия которого началась 27 июня, как и предыдущий шифровальщик WannaCry, используется уязвимость в Windows под кодовым названием EnternalBlue для распространения с одного компьютера на другой. Атаки нового шифровальщика гораздо агрессивнее, чем недавние атаки WannaCry. У него гораздо больше путей распространения — он может распространяться через электронные письма, при этом первые письма были замаскированы под резюме.
12. Мошенники наживаются на шумихе вокруг WannaCry . Глобальная атака вымогательского ПО WannaCry, имевшая место в прошлом месяце, вызвала небывалый резонанс общественности, поэтому неудивительно, что мошенники решили не упустить случай и нажиться на страхе пользователей. Как сообщают эксперты компании Malwarebytes, в Google Play появились поддельные «антивирусы», якобы защищающие мобильные устройства от WannaCry. Осведомленные пользователи сразу распознают подделку, поскольку вышеупомянутый вымогатель атакует исключительно стационарные компьютеры под управлением Windows. Тем не менее, несведущие владельцы смартфонов могут стать для мошенников легкой добычей.