Mai multe persoane din țări europene au fost arestate în cadrul unei operațiuni coordonată de Europol împotriva hackerilor care spionau camerele utilizatorilor.

Patru persoane au fost arestate în Marea Britanie şi alte 11 în România, Estonia, Franţa, Letonia, Italia şi Norvegia, în cadrul unei operaţiuni la nivel european coordonată de Europol. Suspecţii sunt acuzaţi că au folosit programe de tip “troian” pentru a accesa de la distanţă camerele de supraveghere ale victimelor, scrie Mediafax.

“Folosirea ilegală a (programelor de tip) Troian pentru control de la distanţă este o ameninţare semnificativă în ceea ce priveşte infracţionalitatea cibernetică, ce necesită un răspuns ferm, coordonat la nivel internaţional şi local”, a declarat Andy Archibald, directorul adjunct al unităţii de criminalitate informatică din cadrul Agenţiei Naţionale britanice împotriva Infracţionalităţii (NCA).

Biroul Comisarului pentru Informaţii (ICO), autoritatea britanică de reglementare în domeniul protecţiei datelor, a avertizat joi cu privire la un site rusesc care difuzează live imagini înregistrate de sute de camere web în locuinţe, companii şi locuripublice din Marea Britanie, acestea fiind vizate de hackeri pentru că proprietarii nu au schimbat parolele standard. ICO i-a sfătuit pe utilizatori să schimbe parolele iniţiale ale camerelor de supraveghere sau să le deconecteze de la Internet.

Site-ul rusesc, care difuzează imagini din peste 250 de ţări, include şi înregistrări din locuinţe private, magazine sau birouri din România. Cele mai multe camere din România repertoriate de site sunt din Bucureşti (52), Bacău (7) şi comuna Daia din Giurgiu (4). Acestea sunt amplasate în locuinţe sau curţi private, în birouri, magazine sau pe stradă. O imagine surprinsă într-o locuinţă privată din Bucureşti, de exemplu, prezintă un tânăr în propria bucătărie, în timp ce în alta apare un bărbat care lucrează în faţa computerului, într-o companie din Bucureşti.

Majoritatea camerelor prezintă o imagine statică şi nu par să funcţioneze. Dar fiecare link vine cu ceea ce site-ul pretinde că sunt coordonatele GPS ale camerei, codul poştal, ora locală şi o hartă care arată localizarea exactă.

Epidemia de Ebola care afectează Africa de Vest a speriat întreg globul iar hackerii se folosesc acum de acest lucru pentru a infecta calculatoarele companiilor.

Deghizate în email-uri de la Organizația Mondială a Sănătății , sursele de infectare cu acești viruși troieni și-au găsit drumul către câteva organizații foarte importante. În interiorul unui astfel de email se găsește de fie care dată un link care vă îndeamnă să descărcați un atașament. Atașamentul respectiv nu este decât un virus care odată descărcat, va prelua controlul calculatorului fără ca victima să știe, scrie Playtech.ro .

Scopul unor astfel de atacuri este de a acumula informații din cadrul companiilor pentru a le vinde mai târziu. Partea rea este că de foarte multe ori această metodă de a transmite un virus dă roade, fiind nevoie de un mic moment de neatenție din partea unui angajat pentru a compromite un întreg sistem.

Nu este prima oară când atacatorii se folosesc de astfel de știri pentru a transmite troieni și alte programe malware. Una dintre aceste știri este chiar cea a prăbușirii avionului al liniei aeriene din Malaezia de acum câteva luni.

Organizația Mondială a Sănătății nu este singura al cărei nume este folosit pentru astfel de atacuri. În anumite cazuri, atacatorii s-au folosit chiar și de numele guvernelor naționale, cum ar fi cel al Mexicului. Așa că dacă primiți un email în următoarea perioadă cu instrucțiuni despre cum să vă comportați în cazul unei epidemii de Ebola, gândiți-vă de două ori înainte de a-l deschide.

entrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO deține informaţii conform cărora, în prima jumătate a anului 2014, în România au existat un număr semnificativ de victime ale unui malware de tip botnet, intitulat KINS. Între entităţile afectate se regăsesc persoane fizice, organizaţii publice si private din diferite domenii de activitate.

Până acum au fost identificate 16.840 de adrese IP unice din România ce au făcut parte din acest botnet, însă numărul real al sistemelor informatice afectate este posibil să fie semnificativ mai mare dacă luăm în considerare faptul că, de obicei, o adresă IP publică poate reprezenta o interfaţă către Internet pentru o întreagă infrastructură de sisteme informatice ale unei organizaţii.

Descriere

Conform informaţiilor obţinute de CERT-RO până în prezent, această campanie se bazează pe un malware cunoscut sub denumirea de KINS – un troian ce vizează furtul de informaţii cu caracter confidenţial, în special credențiale de acces la diferite servicii financiare (banking trojan) și non-financiare. O altă denumire utilizată de experţii în securitate cibernetică pentru acest malware este ZeuS-KINS, deoarece s-a descoperit faptul că utilizează o mare parte din codul sursă al binecunoscutei familii de troieni ZeuS.

Similitudinile cu Zeus şi SpyEye, pot fi observate inclusiv din facilităţile oferite:

• arhitectură asemănătoare Zeus/SpyEye: un fişier principal şi plugin-uri bazate pe DLL-uri;
• compatibil cu inject-urile web utilitate de Zeus;
• conţine plugin-ul Anti-Rapport care este utilizat şi de SpyEye;
• funcţionează cu RDP (Remote Desktop Protocol), ca şi SpyEye;
• nu necesita cunoştinţe tehnice avansate pentru utilizare.

În prezent, KINS este răspândit prin intermediul unor pachete de exploatare (exploit kits) precum „Neutrino” sau „KINS Toolkit” şi foloseşte tehnici de împachetare dintre cele mai sofisticate.

Impact

Atacatorii au acces complet la sistemele infectate cu acest malware şi monitorizează aplicaţiile şi serviciile accesate de utilizatori în vederea aflării credenţialelor de acces şi altor informaţii confidenţiale.

În prezent se ştie faptul că malware-ul KINS poate infecta cu uşurinţă sistemele informatice care rulează Windows 8 şi alte sisteme de operare x64 şi îşi asigură persistenţa pe sistemele infectate la nivel de VBR (Volume Boot Record).

Detecţie şi dezinfecţie

În vederea detectării şi dezinfectării sistemelor informatice infectate cu ZeuS-KINS, vă recomandăm utilizarea unei unelte special concepută pentru acest scop, pusă la dispoziţie de compania Bitdefender, în 2 variante, astfel:

• “Bitdefender ZeuS-Kins Network Removal Tool”, pentru scanarea şi dezinfectarea centralizată a sistemelor informatice din cadrul unei reţele;
• “Bitdefender ZeuS-Kins Removal Tool”, pentru scanarea şi dezinfectarea individuală (standalone) a sistemelor informatice.

Ghid de utilizare a uneltei Bitdefender ZeuS-Kins Network Removal Tool:

1. Se creează o locaţie de stocare partajată în reţea (network share) pentru colectarea centralizată a log-urilor. Pe maşina ce va găzdui share-ul de reţea se vor efectua următoarele:

• se activează user-ul Guest;
• se creează şi se partajează un director a cărui denumire să nu conţină spaţii (ex: share_remtool);
• pe directorul creat se vor acorda permisiuni de scriere şi citire pentru conturile de utilizator Everyone” si “Guest” (din meniul Sharing and Security);
• se activează opţiunea „Turn off password protected sharing”, pentru toate profilele de reţea (Home or Work, Public), accesând Control Panel -> Network and Internet -> Network and Sharing Center -> Advanced sharing settings;

2. Utilizând un server de reţea conectat la domeniu şi un cont cu drepturi administrative pe domeniu (ex: Domain Administrator), se efectuează următoarele operaţiuni:

• se descarcă unealta Bitdefender ZeuS-Kins Network Removal Tool;
• se lansează în execuţie BitdefenderNetworkRemovalZeusKins.exe şi se bifează căsuţa aferentă “Termeni şi condiții de utilizare”;
• se finalizează instalarea uneltei;

3. Se lansează aplicaţia instalată ţinând cont de următoarele:

• în cea de a doua fereastră, la secţiunea “log path”, se va specifica locația directorului partajat în reţea pentru colectarea log-urilor, creat conform procedurii de la pasul 1;
• în următoarea fereastră, la secţiunea “look in”, se selectează “toată rețeaua”;
• la secţiunea „Add computers to list” se vor specifica adresele IP sau denumirile computerelor pe care se doreşte efectuarea operaţiunilor de scanare şi devirusare, conform exemplelor din link-ul „view some examples”;
• se apasă butonul “Start”;
• la final se accesează informaţiile din log-urile salvate în share-ul de reţea.

Alternativ, recomandăm întreprinderea următoarelor măsuri în cadrul infrastructurii/reţelei dumneavoastră:

1. Scanaţi sistemele infectate cu una sau mai multe soluţii de securitate de tip antimalware, antispam şi antiphishing. Este important ca bazele de date cu semnături şi motoarele de scanare aferente acestor soluţii să fie actualizate;

2. Îndepărtaţi infecţiile detectate în urma scanării, utilizând facilităţile de dezinfecţie oferite de soluţiile utilizate pentru scanare şi alte unelte dedicate îndepărtării malwareului Zeus-KINS;

3. Schimbaţi imediat parolele de acces la serviciile ce ar fi putut fi compromise. În principiu pot fi suspectate de a fi compromise toate serviciile accesate prin intermediul sistemelor informatice infectate.

Experții în securitate au descoperit un nou troian pe care l-au numit Zberp și care reprezintă o combinație între familiile de malware Zeus și Carberp.

Cercetătorii din cadrul Trusteer au descoperit un nou malware, a cărui sursă de cod provine de la troianul banking Zeus și de la Carberp, pus la vânzare pe forumurile infractorilor cibernetici din Rusia, în anul 2013, scrie Security Week.

Noul troian permite infractorilor cibernetici să realizeze diferite acțiuni, precum furtul de informații din sistem și screenshot-uri. Poate fi utilizat pentru a fura informații din conturi FileTransferProtocol  (FTP), certificate SSL și date trimise formularelor HTTP, dar și pentru atacuri man-in-the-middle.

Pentru a fi distins de Zeus și Carberp, creatorii malware-ului au încorporat mai mutle tehnici evazive în Zberp, precum ștergerea registrului de accesări, atunci când un sistem de operare este pornit. În acest mod, nu poate fi detectat de sistemele de securitate  în timpul scanărilor normale.

Majoritatea motoarelor antivirus de la VirusTotal nu au putut recunoaște amenințarea, atunci când a fost detectată pentru prima oară. Totuși, majoritatea soluțiilor moderne anti-malware care se bazează pe mai multe semnături digitale ar trebui să fie capabile să detecteze troianul Zberp.

Malware-ul Gameover, care fură date de autentificare online banking, a obtinut un rootkit care ingreunează eliminarea acestuia.

Gameover este un troian bazat pe malware-ul bancar Zeus, creat în urma publicării codului sursă din 2011 al acestuia. Conform cercetătorilor în domeniul securității din cadrul Sophos, Gameover se distinge de celelalte programe troian prin folosirea tehnologiei peer-to-peer pentru comandă și control, fapt care îl face mai rezistent la încercările de doborâre.

Cercetătorii din cadrul firmei de securitate Malcovery Security au raportat detectarea unei noi variante a Gameover, distribuită sub forma unui fișier.enc criptat, prin care a putut trece de apărările la nivel de rețea. Acest process implică utilizarea unui rootkit kernet, numit Necurs, care ajută la finalizarea procesului malware și împiedică ștergerea fișierelor acestuia.

“Rootkit-ul crește foarte mult dificultatea înlăturării malware-ului de pe un computer infectat, astfel încât puteți rămâne infectați mai mult timp și puteti pierde mai multe date în favoarea celor care controlează botnet-ul Gameover”, au declarat cercetătorii Sophos, citați de Computer World.

Conform unui raport al Dell SecureWorks, Zeus și variantele sale continuă să fie foarte populare în rândul infractorilor cibernetici, reprezentând aproximativ jumătate din totalul malware-ului bancar din 2013. În afară de furtul datelor de autentificare pentru online banking, aceste tipuri de malware sunt folosite și pentru a colecta alte tipuri de date, ca datele afacerilor din conturile compromise.

Amenintarile IT au inregistrat o evolutie alarmanta in al treilea trimestru, care a reprezentat un punct de cotitura pentru creatorii de malware pentru platforme mobile, fiind detectate noi amenintari, printre care si troianul Svpeng, reiese din analiza realizata de Kaspersky Lab.Noul troian Svpeng a fost identificat in luna iunie, este capabil sa acceseze conturile bancare ale victimelor, direct pe smartphone-urile acestora. Aceasta abordare este mult mai simpla decat varianta clasica utilizata de acest tip de malware, respectiv smartphone-plus-computer.

In luna septembrie, Kaspersky Lab a detectat primele cazuri in care au fost utilizate terte retele botnet, pentru a distribui troieni pe platforme mobile.

Astfel, aria infectata a fost marita considerabil, tehnica abodata fiind esentiala pentru raspandirea Obad, cel mai sofisticat troian pentru Android identificat pana in prezent.

Spveng ofera oportunitatea de a fura bani de pe smartphone-ul victimei 

Spre deosebire de alte programe malware de tipul acesta (ZitMo, SitMo), Spveng le ofera infractorilor cibernetici oportunitatea de a fura bani infectand un singur dispozitiv – smartphone-ul victimei.

Malware-ul verifica soldul contului prin intermediul unui serviciu de mobile banking, primeste un raspuns prin care se ofera posibilitatea suplimentarii contului si apoi transfera bani din contul bancar al utilizatorului in contul mobil al infractorilor cibernetici. Acestia pot trimite respectivele sume de bani in “portofelele digitale”, pentru a incasa totul mai tarziu. Acest Troian poate provoca daune de mii de dolari unei singure victime.

Majoritatea atacurilor supra platformelor mobile, respectiv 97,5%, au ca tinta sistemul de operare Android.

“Majoritatea programelor malware pentru Android sunt create pentru a fura bani sau, ca scop secundar, pentru a fura date personale”, a explicat Viktor Chebyshev, virus analyst in cadrul Kaspersky Lab. “Toate mecanismele clasice de infectare, distribuire si deghizare migreaza, acum, de la PC-uri. In prezent, infractorii cibernetici fac tot ce le sta in putinta pentru a fura cat mai mult. Cel mai probabil, creatorii de virusi vor creste numarul de botnets, infectand tot mai multi utilizatori de Android”, a completat Viktor Chebyshev.

Zece tari au reprezentat punctul de plecare a 81,5% din resursele web folosite pentru a distribui malware, clasamentul fiind condus de SUA, Rusia si Germania.

Atacurile cu tinta predefinita/APT in al treilea trimestru din 2013

In luna septembrie, Kaspersky Lab a descoperit Icefog, o grupare APT de dimensiuni restranse, dar energica, ce ataca tinte din Coreea de Sud si Japonia, precum si lanturi de aprovizionare ale companiilor occidentale. Tehnica “hit and run” folosita in atacurile Icefog dau dovada de o noua tendinta in curs de dezvoltare: grupari mai mici, care dau lovituri cu o precizie chirurgicala.

Tot in trimestrul al treilea, Kaspersky Lab a analizat o campanie activa de spionaj cibernetic ce avea ca tinta think tank-urile din Coreea de Sud. Aceasta campanie, denumita Kimsuky, a avut o activitate limitata si tinte foarte bine definite. Potrivit analizei tehnice, atacatorii erau in primul rand interesati de organizatii cu baza in Coreea de Sud, precum si de doua organizatii din China. Indiciile descoperite de expertii Kasperky Lab sugereaza faptul ca atacatorii proveneau din Coreea de Nord.

Evolutia incidentelor de securitate in Romania

In perioada iulie-septembrie 2013, produsele Kaspersky Lab au detectat in Romania, cu ajutorul Kaspersky Security Network, 1.351.234 de incidente malware initiate prin intermediul internetului.

Per total, 29% dintre utilizatori au fost afectati de amenintari web-based in aceasta perioada. Astfel, Romania se claseaza pe locul 36 la nivel mondial in ceea ce priveste pericolele asociate navigarii pe internet.

Amenintari locale

Statisticile cu privire la infectiile locale detectate pe computerele utilizatorilor individuali reprezinta un indicator extrem de important. Viermii si virusii ascunsi in fisiere sunt responsabili pentru majoritatea incidentelor de tipul acesta. Aceste date releva frecventa cu care utilizatorii sunt atacati cu ajutorul fisierelor malware transmise prin intermediul stick-urilor USB, CD-urilor, DVD-urilor si a altor metode “offline”.

Protectia impotriva acestui tip de atacuri necesita nu numai folosirea unei solutii antivirus care sa trateze instrumentele infectate, dar care sa asigure si un firewall, functionalitate anti-rootkit si controlul dispozitivelor portabile.

In perioada iulie-septembrie, produsele Kaspersky Lab au detectat 1.907.162 de incidente malware locale pe computerele utilizatorilor din Romania inscrisi in Kaspersky Security Network.

Per total, 26,6% dintre utilizatorii din Romania au fost vizati de amenintari locale in aceasta perioada. Astfel, Romania s-a clasat pe locul 136 la nivel mondial.

Potrivit datelor colectate, procentul de incidente malware initiate din Romania a fost de 0,86% – cu un total de 4.303.313 incidente inregistrate in perioada iulie-septembrie 2013. Astfel, Romania se pozitioneaza pe locul al 12-lea la nivel mondial.

Analiza G Data arata care este dominatia familiilor periculoase de malware

Alaturi de campaniile de phishing, troienii bancari sunt principala metoda aleasa de infractorii cibernetici pentru a ataca utilizatorii si a manipula tranzactiile online. In primul trimestru al anului, analiza G Data Security Labs a relevat faptul ca ZeuS si variante ale acestuia sunt cele mai frecvente programe folosite in lansarea acestui gen de atacuri, ce reprezinta mai mult de jumatate din infectarile detectate pe perioada primelor 3 luni ale acestui an. Citadel, clona lui ZeuS a fost unul dintre marii vinovati de acest lucru. Numarul de infectari a crescut usor fata de ultimul trimestru din 2012, chiar daca arestarile care au avut loc, au facut ca activitatea infractorilor sa fie mai dificila si mai riscanta. Expertii G Data se asteapta ca numarul de programe malware periuloase sa continue sa creasca in lunile urmatoare.

Familii de troieni bancari din primul trimestru al anului

Prognoza lunilor viitoare

-Numarul de troieni bancari va creste din nou: G Data Security Labs se asteapta ca ZeuS, Carperb si ceilalti sa continue sa-si consolideze pozitia din domeniul bancar prin continuarea fraudarii clientilor bancilor. Infractorii cibernetici vor face abstractie de arestarile recente, ceea ce duce la o crestere a numarului de infectari prin intermediul troienilor bancari, dupa care, vor profita de imensele oportunitati deschise in sectorul infractiunilor electronice.
-Utilizarea serviciilor de anonimat online: In opinia G Data, infractorii cibernetici vor cauta sa-si acopere urmele pe perioada in care efectueaza fraude bancare. Ca si in cazul unui anumit numar de botnet-uri, comunicarea intre troienii bancari si serverele de comanda si control are loc in background, prin intermediul serviciilor de anonimat online, de genul retelei Tor. In plus, expertii de la G Data Security Labs se asteapta ca Twitter sau alte retele peer-to-peer sa continue sa fie abuzate de infractori.

Sursa foto: www.mybanktracker.com
Sursa articolului: G Data

Odata cu lansarea smartphone-urilor, infractorii cibernetici s-au vazut nevoiti sa-si “extinda domeniul de activitate”. Dupa multe amenintari, unele mai importante decat altele, acum Kaspersky Lab a descoperit primul troian pentru Android care fura datele de autentificare ale contului de online banking.

Este vorba despre Trojan-SMS.AndroidOS.Stealer.a, care se instaleaza in telefon, si apoi afiseaza o fereastra pentru generarea unui cod token cerand utilizatorului sa introduca PIN-ul pentru autentificarea initiala in sistemul de online banking. Urmatorul pas este crearea unui cod token fals iar datele introduse de utilizator sunt trimise infractorilor cibernetici prin telefon, dar si catre un server extern (impreuna cu seriile IMEI si IMSI ale smartphone-ului) de pe care s-a incercat efectuarea tranzactiei.

Cu alte cuvinte, toti pasii sunt asemanatori cu cei pe care userii ii fac in mod normal pentru a se loga in conturile de online banking.

Chiar daca pana acum cei mai multi dintre utilizatorii de Android care au intampinat probleme legate de atacul informatic sunt din Spania, specialistii ne recomanda sa folosim telefonul mobil cu mare grija, mai ales daca avem unul care ruleaza cu Android.

Sursa foto:

Cine spune ca odata ce ai un MacBook nu trebuie sa iti mai faci griji cu privire la atacurile informatice greseste. Peste 600.000 de computere au fost infectate cu troianul Flashfake, exploatand o vulnerabilitate in Java.

Aproape 98% dintre computerele cu probleme rulau cu sistemul de operare Mac OS X. Potrivit Kaspersky Lab cele mai multe atacuri au avut loc in diverse regiuni din Statele Unite ale Americii, urmate de Canada si Marea Britanie.

Daca cititi acest text de pe un Mac si nu stiti daca este sau nu infectat cu Flashfake, atunci puteti verfica acest lucru aceesand site-ul FlashbackCheck.com.

Despre Flashfake

Flashfake este o familie de malware care ataca platforma de operare Mac OS X. Se instaleaza prin „drive-by download”, permitand troianului sa patrunda in sistem prin intermediul unei vulnerabilitati Java.

Dupa infectare, troianul influenteaza afisarea rezultatelor din motoarele de cautare, pentru a determina victima sa cada in capcana „click-fraud”.

Sursa foto: