În luna aprilie a anului în curs a fost identificată o campanie de atacuri cibernetice a unei grupări de criminalitate cibernetică care utilizează troianul bancar Qbot (QakBot, Plinkslipbot, QuakBot). În diferitele variante identificate, troianul vizează preponderent clienții organizațiilor din domeniul financiar-bancar din SUA, România, Canada și Grecia. Într-o măsură mai redusă, Qbot a vizat și clienți ai organizațiilor din domeniul tehnologic, comercial și al telecomunicațiilor.

În România, campania a vizat clienții unor platforme care utilizează servicii de internet banking prin browser (Chrome, FireFox, Microsoft Edge) și nu prin aplicații dedicate.

Prin transmiterea unor e-mail-uri capcană (spear-phishing), Qbot este programat să sustragă credențiale de acces pentru platforme specifice companiilor financiar-bancare și serviciilor de e-mail și date financiare.

Aceste mesaje pot avea fie un link în conținut, fie un atașament. Atașamentul este un fișier de tip zip, care conține un document MS Word ce rulează un macro prin care se descarcă troianul și se realizează infectarea dispozitivului. Odată instalat, Qbot verifică existența unui anti-virus, își asigură persistența în sistem și utilizează certificate de securitate valide pentru a evita detecția. Ulterior, troianul extrage credențiale de acces și date finanaciare de pe dispozitivul infectat. De asemenea, Qbot are capabilități prin care pot fi infectate și alte dispozitive dintr-o rețea cu un dispozitiv deja compromis.

Pentru a diminua riscul de infectare cu troianul bancar Qbot, recomandăm:

• utilizarea de soluții anti-virus și actualizarea constantă a semnăturilor acestora;
• evitarea deschiderii atașamentelor sub formă de arhivă dacă proveniența acestora este incertă și dacă nu au fost verificate în prealabil cu soluții de detecție anti-virus;
• evitarea deschiderii atașamentelor sau link-urilor din cadrul mesajelor e-mail suspecte;
• actualizarea sistemului de operare și evitarea utilizării sistemelor de operare care nu mai primesc suport din partea producătorului;
• notificarea băncii atunci când observați tranzacții bancare care nu vă aparțin;
• dezactivarea executării automate a unor rutine din MS Office (macro-uri);
• evitarea executării manuale a macro-urilor.

Unul din 125 de email-uri trimise în primele două luni ale anului au inclus fișiere de tip malware, conform raportului Symantec Intelligence.

În primele două luni ale anului 2016, rata malware-ului în email-uri a continuat să crească, iar distribuirea manuală a rămas cel mai întâlnit tip de înșelătorie în social media, în timp ce numărul atacurilor de tip spam şi phishing au fost în scădere, conform raportului Symantec Intelligence. În total, unul din 125 email-uri au conţinut malware şi aproximativ 1.749 de atacuri web au fost blocate zilnic. În ceea ce priveşte social media, înșelătoriile distribuite manual au continuat să fie cele mai frecvente şi au reprezentat aproape 56% din toate atacurile din social media, scrie agora.ro.

Numărul atacurilor de tip malware a rămas ridicat la începutul acestui an, înregistrând o medie de unul la 125 de email-uri, în timp ce în cazul organizaţiilor cu 1.501-2.500 angajaţi rata a fost chiar mai ridicată, unul din 76 de email-uri. Din punct de vedere al industriei, retailul şi construcţiile au înregistrat cea mai mare rată de malware, de unul din 97 de email-uri primite. Specialiștii Symantec apreciază că acestea se numără, totodată, printre primele trei industrii afectate de atacuri de tip spam, după sectorul minier.

În același timp, rata de spam şi phishing au scăzut uşor, cea din urmă înregistrând cel mai scăzut nivel din ultimele 12 luni, conform analizei Symantec referitoare la ameninţări, tendinţe privind securitatea cibernetică şi tendințe economice cu potenţial dăunător.

Înșelătoriile distribuite manual au fost în continuare dominante în social media şi au reprezentat peste 50% din totalul atacurilor. Acest indice este în scădere față de 64,9% cât era în decembrie 2015, însă experții Symantec au constatat o creştere semnificativă a numărului de oferte false, acestea cumulând 38,6% din atacurile din social media, cu 10% mai mult decât la finalul anului trecut.

Natura ameninţărilor cibernetice este în continuă schimbare, uneori apar noi tehnici de atac, iar în alte cazuri atacatorii recurg la tehnici vechi, pentru a vedea dacă au mai apărut între timp breşe în apărarea celor vizaţi. Dacă într-o lună apar foarte multe variante noi de malware, în alta se pot înmulţi atacurile de tip spear-phishing. Chiar şi într-un astfel de mediu fluctuant, Symantec reușește în continuare să facă față ultimelor tendinţe în tehnici de atac.

De aproape 10 ani, raportul Symantec Intelligence, cel mai cuprinzător şi frecvent publicat raport privind ameninţările din industria de securitate, prezintă o gamă largă de ameninţări şi tendinţe din domeniul atacurilor cibernetice.

KeRanger este primul ransomware care criptează datele de pe terminale Mac.

Amenințarea KeRanger, care criptează datele de pe terminale Mac, este o adaptare a celei mai recente versiuni ale amenințării de tip ransomwareLinux.Encoder, care a atacat sistemul de operare Linux în repetate rânduri, în cursul anului 2015, infectând mii de servere, relevă datele unei cercetări realizate de specialiștii Bitdefender. În același timp, KeRanger este prima amenințare de tip ransomware complet funcțională pe sistemul de operare Mac OS X, prima care se distribuie prin intermediul unei actualizări software provenite de la un dezvoltator legitim și, totodată, primul ransomware care funcționează pe mai multe sisteme de operare scrie comunic.ro.

„Utilizatorii de Mac OS X se pot proteja de amenințarea ransomware KeRanger numai prin folosirea unei soluții de securitate destinate acestui sistem de operare, capabile să depisteze comportamentele fișierelor și după momentul în care acestea se instalează pe terminale”, precizează Cătălin Coșoi, Chief Security Strategist, Bitdefender.

Utilizatorii MAC-urilor s-au infectat cu acest malware după descărcarea ultimei versiuni a Transmission a Bit Torrent scrie jurnalul.ro.

Odată infectat MAC-ul cu acest malware, pc-ul devine inutilizabil deoarece toate datele sunt blocate.

Hackerii care au creat acest virus cer răscumpărare pentru deblocarea maşinilor infectate.

Mesajul pe care utilizatorul il primeste, de pe o masina infectată, spune că toate sau o parte din date au fost criptate şi că singurul mod în care poate scăpa este să plătească o răscumpărare. Plata se efectuează cu bani virtuali (bitcoin) ceea ce face dificilă depistarea destinaţiei finale.

Echipa de cercetare anti-malware Kaspersky Lab a descoperit unul dintre cei mai periculoși troieni bancari pentru dispozitive cu Android. Programul malware Acecard este capabil să atace utilizatorii unui număr de aproximativ 50 de aplicații financiare și de servicii și să evite măsurile de securitate Google Play.

În T3 2015, experții Kaspersky Lab au detectat o creștere neobișnuită a numărului de atacuri pe mobile banking din Australia. Părea ceva suspect și foarte curând s-a descoperit că motivul principal pentru această creștere era un troian bancar: Acecard.

Familia de troieni Acecard folosește aproape toate funcționalitățile unui program malware, disponibile în prezent – de la furtul mesajelor text și voce ale băncii, la suprapunerea unor ferestre false peste aplicațiile oficiale, pentru a simula pagina de login a acestora, în încercarea de furt de informații personale și despre cont. Cea mai recentă versiune a familiei Acecard poate să atace aplicațiile pentru clienți de la aproximativ 30 de bănci și sisteme de plată. Având în vedere că acești troieni sunt capabili să se substituie oricărei aplicații la comandă, numărul total de aplicații financiare atacate poate fi mult mai mare.

În afară de aplicații bancare, Acecard poate interveni peste următoarele aplicații, cu ferestre de phishing:

Servicii de mesagerie: WhatsApp, Viber, Instagram, Skype;

Rețele de socializare: Facebook, Twitter, VKontakte, Odnoklassniki;

Conturi de Gmail;

Aplicația PayPal pentru mobil;

Aplicațiile Google Play și Google Music

Programul malware a fost detectat inițial în februarie 2014, dar pentru o lungă perioadă nu a dat aproape niciun semn că ar fi activ. Lucrurile s-au schimbat în 2015, când cercetătorii Kaspersky Lab au descoperit o revenire a atacurilor: între mai și decembrie 2015, peste 6.000 de utilizatori au fost atacați cu acest troian. Cei mai mulți sunt din Rusia, Australia, Germania, Austria și Franța.

În timpul celor doi ani în care l-au ținut sub observație, cercetătorii Kaspersky Lab au fost martorii dezvoltării sale. Aceștia au înregistrat peste 10 versiuni noi de malware, fiecare cu o listă mai lungă și mai dăunătoare de funcționalități.

Dispozitivele mobile erau, de regulă, infectate după ce utilizatorii descărcau o aplicație malware deghizată în cea legitimă. Versiunile de Acecard sunt distribuite în mod tipic ca Flash Player sau PornoVideo, deși sunt folosite și alte nume, în încercarea de a imita programe utile sau populare.

Programul malware mai este distribuit și în alte moduri. Pe 28 decembrie 2015, experții Kaspersky Lab au detectat o versiune a troianului Acecard în magazinul oficial Google Play. Troianul se răspândește sub forma unui joc. Când programul malware este instalat din Google Play, utilizatorul va vedea doar un icon de Adobe Flash Player pe desktop și niciun un alt semn al aplicației instalate. După ce au observat atent codul malware, experții Kaspersky Lab tind să creadă că Acecard a fost creat de același grup de infractori cibernetici responsabil de apariția primului troian TOR pentru Android și a primului program malware care criptează fișiere/ ransomware pentru dispozitive mobile.

Dovezile se bazează pe liniile de cod asemănătoare și folosirea acelorași servere de comandă și control (C&C). Acestea arată că Acecard a fost creat de o grupare puternică și cu experiență de infractori, cel mai probabil vorbitori de limbă rusă.

“Acest grup de infractori cibernetici folosește toate metodele disponibile în prezent pentru a răspândi troianul Acecard. Acesta poate fi distribuit sub forma unui alt program, prin intermediul magazinelor oficiale de aplicații sau prin intermediul altor troieni. O trăsătură distinctivă este capacitatea de a se substitui unui număr de peste 30 de sisteme bancare și de plată, precum și unor aplicații de social media sau de mesagerie. Capacitățile distructive ale Acecard și metodele de propagare fac din acest troian bancar pentru dispozitive mobile una dintre cele mai periculoase amenințări actuale pentru utilizatori”, avertizează Roman Unuchek, Senior Malware Analyst la Kaspersky Lab SUA.

Pentru a preveni contactarea acestui virus, Kaspersky Lab recomandă utilizatorilor:

Să nu descarce sau/și să instaleze orice aplicație din Google Play sau din surse interne dacă există suspiciuni asupra ei;

Să nu viziteze pagini suspecte și sa nu dea click pe link-uri suspecte;

Să instaleze o soluție de securitate de încredere pe dispozitivele mobile;

Să se asigure că bazele de date ale antivirusului sunt la zi și funcționează corespunzător.

INTRODUCERE

Încă din anul 2013 malware-ul a fost folosit ca metodă eficientă de a progrma ATM-urile (Automated Teller Machines) să elibereze numerar în mod ilicit. De-a lungul timpului experții în securitate s-au mai confruntat cu alte variante precum Ploutus sau Tyupkin. Vineri 11 Septembrie 2015 însă, cercetătorii companiei de Securitate FireEye au identificat recent o nouă variantă de malware care vizează special deținătorii de card-uri bancare.

Utilizatorilor acestor dispozitive (denumite generic în limba română “bancomat”) le sunt blocate card-urile bancare în interiorul mașinii prin intermediul unui set de proceduri sofisticate. Card-ul nu poate fi extras din ATM, iar autorii malware-ului îl deblochează atunci când atacatorii îl pot ridica ulterior în condiții de siguranță, fără a fi observați.

DESCRIERE

Malware-ul, detectat ca Backdoor.ATM.Suceful sau SUCEFUL pare a fi creat pe data de 25 august 2015 și a fost ulterior analizat în cadrul Virus Total din Rusia. Este foarte posibil ca acesta să fie în continuare în faza de dezvoltare.

Noua variantă de malware interacționează cu un dispozitiv special (middleware), care este prezent în toate bancomatele: XFS Manager (eXtensions for Financial Services). Deoarece hardware-ul ATM-ului este diferit în funcție de producătorul mașinii, iar software-ul de asemenea, în funcție de banca ce operează serviciile, XSF Manager funcționează ca un liant de legătură între cele două componente, oferind API-uri pentru traducerea instrucțiunilor software-ului pentru semnalele electronice din hardware.

IMPACT

SUCEFUL are capacitatea de a citi orice card bancar de debit sau de credit, extrăgând informații de pe chip. Mai mult, el reușește să anuleze senzorii ATM-ului pentru a evita detecția, iar malware-ul poate fi controlat prin tastatura ATM-ului (PIN pad).

Practic, utilizatorului i se blochează card-ul în interiorul bancomat-ului, malware-ul având abilitatea de a reține sau a debloca respectivul card la cererea atacatorului. În momentul în care utilizatorul merge pentru a obține asistență pentru deblocare, atacatorul deblochează și sustrage acel card.

Până în acest moment nu se știe exact cum a ajuns acest malware să fie instalat pe ATM-uri. Alte variante de malware dedicate bancomatelor precum Plotous sau Padpin presupuneau ca atacatorii fie să deschidă partea superioară a ATM-ului pentru a insera un CD-ROM/USB pentru transferul malware-ului, fie să coopteze angajați cu acces la aceste mașini pentru a procesa instalarea lui.

REMEDIERE

Compania FireEye este momentan în plin proces de investigare a acestui caz, neexistând informații suplimentare despre cum au reușit atacatorii să instaleze un astfel de malware pe bancomate. În cazul în care se întâmplă să vă fie blocat card-ul în bancomat, CERT-RO recomandă căutarea numărului de contact al băncii pentru astfel de cazuri, de regulă vizibil pe bancomat. Nu părăsiți spațiul dedicat extragerii banilor în timp ce sunați pentru asistență.

Bitdefender a adus în atenția publică o nouă campanie complexă de distribuție a troianului Dridex, prin mesaje de tip spam, ce vizează  utilizatorii de servicii online oferite de două bănci din România. Aproape 90% din toate sistemele infectate se regăsesc în România, conform telemetriei realizate de Bitdefender.

Descriere

Evoluat din malware-ul Cridex, care la rândul său este succesorul cunoscutului troian Zeus, Dridex și-a făcut apariția la finalul anului 2014, fiecare campanie de propagare concentrându-se pe o anumită regiune a lumii.

Fiecare campanie Dridex pare să fie diferită : programul malițios se propagă fie printr-un fișier atașat la mesaje spam, fie prin link-uri (URL-uri). Mesajele spam par să fie trimise de la companii românești și pretind să conțină documente financiare importante pentru victimă. Noua campanie folosește pentru propagare link-uri care fac referire către un cod JavaScript ce se execută în browser și declanșează descărcarea unui downloader generic sau fișiere Word și Excel ce includ cod de tip macro. Prin deschiderea fișierului și activarea funcționalităților macro (dezactivate automat de programul Word pentru a evita riscurile de securitate) se lansează automat procesul de descărcare a virusului.

Dridex este un fișier DLL ce se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancara si de navigare a victimei, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer. Mai mult decât atât, malware-ul creează o regulă de firewall nouă pentru a comunica cu serverele de comandă-control (C2) ale atacatorilor. Această regulă poate semnala victimelor o posibilă infecție.

Pentru a captura datele de autentificare, malware-ul folosește diferite module. Pentru banca care folosește tastatura virtuală la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealaltă bancă, troianul folosește un modul care injectează cod în pagina de autentificare.

Dridex este greu de identificat pe un calculator deja infectat. Pentru a rămâne nedepistat, acesta se adaugă la programele ce pornesc odată cu sistemul de operare, însă acest lucru se întâmplă doar înaintea închiderii calculatorului. Deși această caracteristică face infecția aproape invizibilă, ea poate fi utilă victimei deoarece în cazul unei pene de curent sau închiderii bruște a calculatorului, troianul nu se va mai putea executa, deoarece nu se afla în lista de aplicații care trebuie repornite. Cu toate acestea, este încă posibilă observarea infecției prin căutarea altor chei de registru, precum cea în care se stochează datele de configurare ale malware-ului (în care este stocat un volum mare de date):

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCLSID{some clsid}ShellFolder<value name>
Recomandări pentru utilizatori

CERT-RO recomandă tuturor utilizatorilor de servicii bancare online să manifeste atenție la modul de utilizare a acestora și să întreprindă următoarele măsuri de prevenție:

• Utilizați soluții antivirus/antimalware eficiente și actualizate;
• Nu deschideți mesajele email venite de la surse nesigure (expeditor necunoscut, subiect și conținut suspect) și a link-urilor sau atașamentelor conținute de acestea;
• Dacă suspectați o posibilă infecție, puteți încerca o închidere forțată a sistemului pentru a opri derularea troianului la repornirea PC-ului.
• În cazul în care constatați că autentificarea la serviciile bancare online nu a fost reușită, inclusiv în cazul mecanismelor de autentificare OTP (one time password), nu încercați de mai multe ori. În acest caz vă recomandăm să contactați banca ce oferă serviciul respectiv.

Recomandări pentru instituțiile financiar-bancare

În cazul băncilor, CERT-RO recomandă următoarele:

• Securizarea sistemelor și serviciilor bancare online prin implementarea de mecanisme de autentificare în doi pași (two-factor authentication);
• Protejarea utilizatorilor de servicii bancare online prin utilizarea de software specializat anti-fraudă;
• Derularea de campanii de educare și informare a utilizatorilor cu privire la modul de utilizare a serviciilor online.

În primăvara anului 2015, experții Kaspersky Lab au descoperit un atac cibernetic care afecta câteva sisteme interne ale companiei. Experții Kaspersky Lab au demarat o investigație intensă și au descoperit o nouă platformă malware dezvoltată de unul dintre cei mai experimentați și puternici actori cibernetici din peisajul APT (Advanced Persistent Threat): un atacator necunoscut identificat drept Duqu.

Experții Kaspersky Lab consideră că atacatorii erau siguri că atacul cibernetic lansat nu ar fi putut fi descoperit. Grupul Duqu 2.0 a utilizat și câteva instrumente unice și noi care aproape că nu au lăsat nicio urmă. Atacatorii au exploatat vulnerabilități de tip zero-day, au blocat drepturile administratorului domeniului și apoi au distribuit malware în rețea prin intermediul fișierelor MSI (Microsoft Software Installer), utilizate de obicei de administratorii de sisteme pentru instalarea de software de la distanță pe computere cu Windows. Atacul cibernetic nu a lăsat niciun fișier pe disc în urmă și nicio schimbare de setare pe sistem, iar localizarea acestuia a devenit extrem de dificilă. Filosofia și strategia grupului Duqu 2.0 este mult mai complexă decât orice alt atac descoperit până acum în lumea APT-urilor.

Compania Kaspersky Lab nu este singura țintă a acestui actor foarte puternic. Experții Kaspersky Lab au descoperit și acte victime localizate în țări din Vest, Orientul Mijlociu și Asia. În plus, unele infecții din 2014 și 2015 sunt direct legate de P5+1 și evenimentele de negociere cu privire la un acord nuclear cu Iranul. Actorul din spatele Duqu pare să fi vizat evenimentele în cadrul cărora au avut loc discuții la nivel înalt. În plus, grupul Duqu 2.0 a lansat un atac similar legat de evenimentul de aniversare a 70 de ani de la eliberarea de la Auschwitz-Birkenau. La aceste întâlniri au participat mulți demnitari și politicieni importanți.

Inițial, experții Kaspersky lab au demarat un audit de securitate și o analiză a atacului. Auditul a inclus o verificare a codului sursă și a infrastructurii companiei. Auditul de securitate este în continuare în desfășurare și urmează să fie finalizat în câteva săptămâni. Experții Kaspersky Lab nu au descoperit alți indicatori ai altor activități periculoase în plus față de furtul de proprietate intelectuală. Analiza a arătat atacatorii au încercat să obțină acces la tehnologiile, cercetările continue și procesele interne Kaspersky Lab,

Experții Kaspersky Lab sunt siguri că partenerii și clienții sunt în siguranță și că nu există un impact asupra produselor, tehnologiilor și serviciilor companiei.

Privire de ansamblu asupra atacului cibernetic

La începutul anului 2015, în timpul unui test al unui prototip al soluției anti-APT dezvoltată de Kaspersky Lab, experții au descoperit semne ale unui atac complex asupra rețelei companiei. Ulterior, aceștia au demarat o investigație la nivel intern. O echipă formată din cercetători, experți în inginerie inversă și analiști de malware au lucrat pentru a analiza acest atac extraordinar și sofisticat. Kaspersky Lab publică toate detaliile tehnice despre Duqu 2.0 pe Securelist.

Concluzii preliminare:

1. Atacul a fost plănuit și implementat cu atenție de același grup aflat în spatele atacului Duqu descoperit în 2011. Experții Kaspersky Lab cred că această campanie a fost sponsorizată de un stat.

2. Experții Kaspersky Lab consideră că primul obiectiv al atacului a fost să obțină informații despre cele mai noi tehnologii ale companiei. Atacatorii au fost interesați în mod special de informații cu privire la tehnologiile inovatoare ale produselor precum Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network și soluțiile și serviciile Anti-APT. Departamentele de vânzări, marketing, comunicare și legislativ nu au fost vizate de atacatori.

3. Informațiile accesate de atacatori cu pvirire la produsele companiei nu sunt critice. Experții Kaspersky Lab continuă să îmbunătățească performanțele soluțiilor de securitate din portofoliul companiei.

4. Atacatorii au arătat un interes special față de investigațiile curente Kaspersky Lab cu pvirire la cele mai avansate atacuri cu țintă specifică; erau la curent cu reputația companiei în ceea ce privește detectarea și lupta cu cele mai avansate și complexe atacuri de tip APT.

5. Atacatorii par să fi exploatat până la trei vulnerabilități de tip zero-day. Ultima vulnerabilitate de tip zero-day (CVE-2015-2360) a fost reparată de Microsoft pe 9 iunie 2015 (MS15-061), după ce a fost raportată de experții Kaspersky Lab.

Programele periculoase au utilizat o metodă avansată pentru a-și ascunde prezența în sistem: codul Duqu 2.0 există doar în memoria computerului și încearcă să șteargă orice urmă de pe hard drive.

Imaginea de ansamblu

„Atacatorii din spatele Duqu 2.0 reprezintă una dintre cele mai experimentate și puternice grupuri APT și au făcut tot posibilul să rămână sub acoperire,” spune Costin Raiu, Director Global Research and Analysis Team din cadrul Kaspersky Lab. „Acest atac foarte sofisticat a utilizat până la trei exploit-uri de tip zero-day, ceea ce este impresionant – costurile trebuie să fi fost foarte mari. Pentru a rămâne ascuns, malware-ul acționează doar la nivel de kernel, iar soluțiile de securitate pot întâmpina dificultăți de detectare. În plus, malware-ul nu se conectează direct la un server de comandă și control pentru a primi instrucțiuni. Atacatorii infectează dispozitive de rețea prin instalarea driverelor periculoase care transferă tot traficul din rețeaua internă către serverele de comandă și control ale atacatorilor,” încheie Costin Raiu.

„Spionarea companiilor de securitate cibernetică este o tendință foarte periculoasă,” spune Eugene Kaspersky, CEO Kaspersky Lab. „Software-ul de securitate este ultimul resort de protecție atât pentru business-uri cât și pentru clienții din întreaga lume, în timp ce echipamentul de hardware și de rețea poate fi compromis. În plus, mai devreme sau mai târziu, tehnologiile utilizate în atacurile cu țintă specifică similare vor fi examinate și utilizate de teroriști și infractori cibernetici profesioniști. Acesta este un scenariu extrem de serios și totodată foarte posibil,” încheie Eugene Kaspersky.

„Raportarea acestor incidente este singura modalitate de a face lumea un loc mai sigur. Asta ne ajută să îmbunătățim design-ul de securitate al infrastructurii companiei și trimite totoată un semnal direct dezvoltatorilor acestui malware: toate operațiunile ilegale vor fi oprite și puse sub investigație. Singura modalitate de a proteja lumea este ca agențiile de aplicare a legii și companiile de securitate să lupte cu aceste atacuri în mod deschis. Noi ne luăm angajamentul ca mereu să raportăm aceste atacuri în ciuda originii lor,” mai comentează Eugene Kaspersky.

Experții Kaspersky Lab asigură clienții și partenerii de continuitatea protecției companiei împotriva oricărui atac cibernetic. Compania Kaspersky Lab se dedică protejării clienților și menținerii încrederii acestora; experții Kaspersky Lab adoptă toți pașii necesari pentru a analiza acest incident și pentru a preveni unul similar pe viitor. Kaspersky Lab a contactat departamentele de investigații cibernetice din diferite țări pentru a cere investigații speciale cu privire la acest atac.

Experții Kaspersky Lab afirmă că acestea sunt doar rezultatele preliminare ale investigației. Acest atac a fost implementat în mult mai multe zone și a vizat mai multe ținte. Din descoperirile de până acum ale companiei, Duqu 2.0 a fost utilizat pentru a ataca o serie de victime la nivel înalt cu interese geopolitice similare. Pentru a oferi mai multe informații și pentru a minimiza această amenințare, Kaspersky Lab publică raportul Indicators of Compromise și oferă asistență tuturor organizațiilor interesate.

Proceduri de protecție pentru Duqu 2.0 au fost deja integrate în produsele Kaspersky Lab care detectează această amenințare sub numele de HEUR:Trojan.Win32.Duqu2.gen.

Experții Kaspersky Lab au descoperit un atac cibernetic rar și neobișnuit, în care un infractor cibernetic a vizat un alt infractor cibernetic. În 2014, Hellsing, un grup de spionaj cibernetic restrâns și simplist din punct de vedere al tehnicilor utilizate, care viza în general organizații guvernamentale și diplomatice din Asia, a fost țintă a unui atac de tip spear-phishing demarat de o altă grupare de infractori cibernetici, la care a răspuns ulterior. Experții Kaspersky Lab consideră că acest tip de atac marchează o nouă direcție în activitățile de criminalitate cibernetică: războaiele APT (Advanced Persistent Threat).

Experții Kaspersky Lab au făcut această descoperire în timpul cercetării activităților demarate de Naikon, alt grup de spionaj cibernetic care viza tot organizații din regiunea Asia-Pacific. Experții Kaspersky Lab au descoperit că una dintre țintele Naikon a descoperit tentativa de infectare a sistemului prin intermediul unui e-mail de tip spear-phishing, care conținea fișiere periculoase.

Ținta a fost reticentă cu privire la autenticitatea e-mail-ului și a răspunsului primit și nu a deschis fișierul atașat. La scurt timp după, ținta a trimis un e-mail înapoi către adresa de la care primise mesajul, cu același fișier malware atașat. Această acțiune a atras atenția experților Kaspersky Lab, care au pornit o cercetare ce a dus la descoperirea grupului APT Hellsing.

Metoda de contra-atac indică faptul că Hellsing a vrut să identifice grupul Naikon și să colecteze informații despre acesta.

O analiză mai amănunțită a grupării Hellsing indică folosirea mai multor e-mail-uri de tip spear-phishing, create să distribuie fișiere malware în diverse organizații, pentru a le spiona. În momentul în care victima accesa fișierul, sistemul se infecta cu un backdoor care putea descărca și încărca fișiere, și care se putea actualiza și ulterior dezinstala automat. Conform descoperirilor experților Kaspersky Lab, numărul organizațiilor vizate de Hellsing până în prezent este de aproape 20.

Țintele Hellsing

Soluțiile Kaspersky Lab au detectat și au blocat malware-ul Hellsing în Malaezia, Filipine, India, Indonezia și SUA, cele mai multe victime fiind localizate în Malaezia și Filipine. Atacatorii sunt foarte selectivi în ceea ce privește tipul de organizație atacată, încercând să infecteze în principal entități guvernamentale și diplomatice.

„Acest atac Hellsing împotriva grupului Naikon, ce se aseamănă cu un fel de răzbunare de tipul Războiul Stelelor – Imperiul Contraatacă, este fascinant,” a comentat Costin Raiu, Director Global Research and Analysis Team (GReAT) în cadrul Kaspersky Lab. „În trecut, am văzut și alte grupuri APT care se atacau reciproc accidental, atunci când furau adrese de contact și distribuiau e-mail-uri în masă. Însă, acum, luând în considerare ținta și originile atacului, este mai probabil că acesta este un atac de tipul APT contra APT deliberat,” a explicat Costin Raiu.

Conform analizei Kaspersky Lab, gruparea Hellsing este activă cel puțin din 2012.

Protecție

Experții Kaspersky Lab recomandă utilizatorilor să adopte următoarele măsuri pentru a se proteja de atacurile Hellsing:

Să nu acceseze fișiere periculoase primite de la utilizatori necunoscuți;

Să fie atenți la arhivele protejate cu parolă care conțin fișiere de tip SCR sau alte fișiere executabile;

Dacă nu sunt siguri de securitatea fișierului, să îl deschidă în sandbox;

Să se asigure că folosesc un sistem de operare actualizat;

Să actualizeze toate aplicațiile de tipul Microsoft Office, Java, Adobe Flash Player și Adobe Reader.

Cinci instituţii publice din reţeaua guvernamentală a Republicii Moldova au fost ţinta unui program de malware, care este un soft rău intenţionat conceput pentru a deteriora un computer sau o reţea.
Virusul a fost identificat şi blocat în faza incipientă, astfel că informaţiile din calculatoarele infectate nu au fost compromise, anunţă serviciile de presă ale Procuraturii Generale şi Serviciului de Informaţii şi Securitate. Potrivit specialiştilor, a fost stopată orice tentativă a malware-ului de a-şi instala componentele în calculatoare, precum şi a rula comenzile de pe serverul atacatorilor. Au fost identificate 6 servere de comandă şi control, toate localizate peste hotarele ţării. De asemenea, au fost stabilite probe care demonstrează că soft-ul maliţios utiliza tehnici de criptare extrem de avansate. Pentru a analiza comportamentul virusului, acesta a fost plasat într-un mediu izolat de reţea, care simulează staţia de lucru a victimei. Infectarea cu acest tip de virus de cele mai dese ori are loc prin e-mailurile de tip phishing, care arată identic unor mesaje de corespondenţă oficială, astfel la accesarea ataşamentului fie .exe, .scr, .com sau .bat are loc prima fază de infectare a calculatorului. După ce soft-ul se instala pe calculator, acesta urma să se conecteze la serverul răufăcătorului pentru a descărca malware-ul propriu-zis. Virusul de tip troian urma să cripteze informaţia sensibilă de pe hard-discul utilizatorului şi ar fi blocat accesul la diferite tipuri de fişiere, prin criptarea acestora cu un algoritm hibrid. Informaţia criptată nu părăsea calculatorul victimei, iar pentru decriptare se cerea o recompensă care varia în dependenţă de numărul de fişiere criptate, precum şi de tipul extensiei acestora. Pentru identificarea surselor de infectare şi elucidarea tuturor circumstanţelor producerii incidentelor cibernetice în cauză, continuă investigarea acestora. Experţii CERT-GOV-MD din cadrul Î.S. „Centrul de telecomunicaţii speciale” atenţionează autorităţile şi instituţiile guvernamentale asupra riscurilor din mediul online şi în acest scop recomandă respectarea practicilor esenţiale de securitate informaţională, actualizarea regulată a programului de anti-virus şi gestionarea centralizată a acestuia, aplicarea măsurilor anti-phishing, utilizarea doar a e-mailului guvernamental din cadrul Sistemului de telecomunicaţii al autorităţilor publice STAAP în corespondenţa de serviciu.

Botnet-ul Ramnit a fost doborât în cadrul unei operațiuni internaționale sprijinită de Centrul European de Criminalitate Cibernetică (E3) din Europol.

Potrivit The Register, botnet-ul Ramnit a infectat aproximativ 3,2 milioane de computere. E3 a declarat că efortul a fost condus de National Crime Agency din Marea Britanie și a fost sprijinit de Germania, Italia și Olanda, cu suport din partea Centrului de Răspuns la Incidente de Securitate Cibernetică.

Ramnit funcționa încă din 2012, furând informații de pe conturile de Facebook și detalii bancare, iar în anul 2010 a infectat executabilul Windows și fișiere HTML pentru a fura informații sensibile.

,,Această operațiune reușită arată importanța colaborării agențiilor de aplicare a legii la nivel mondial cu industria privată, în lupta împotriva amenințării globale a criminalității cibernetice”, a declarat Wil van Gemert, directorul de operațiuni al Europol.

,,Vom continua aceste eforturi de a doborî botneți și de a perturba infrastructurile de bază folosite de infractori pentru a derula o varietate de infracțiuni cibernetice. Împreună cu statele membre UE și cu partenerii din toată lumea, avem ca obiectiv protejarea oamenilor împotriva acestor activități criminale”, a adăugat vam Gemert.

Botneții și creatorii acestora au început să reprezinte o problemă majoră. Autoritățile americane au oferă o recompensă de trei milioane de dolari pentru informații legate de Evgeniy Mikhailovich Bogachev, considerat a fi creatorul botnet-ului Gameover Zeus, prin care s-au obținut 100 de milioane de dolari de la companii și consumatori, la nivel global.