Новости от «Лаборатории Касперского»

Хватит это терпеть: правоохранительные органы и IT-компании объединяют усилия для борьбы с шифровальщиками

Европол, полиция Нидерландов, «Лаборатория Касперского» и Intel Security запустили совместную инициативу для борьбы с программами-шифровальщиками и вымогателями. Проект получил название No More Ransom и представляет собой веб-портал (www.nomoreransom.org), на котором пользователи могут найти информацию о шифровальщиках и исходящих от них угрозах, а также получить бесплатные инструменты для восстановления своих данных, если они были «обработаны» подобным вредоносным ПО.

Программы-шифровальщики делают информацию, хранящуюся на устройствах пользователей, нечитаемой, после чего требуют заплатить выкуп за восстановление доступа к ней. При этом число таких зловредов и их жертв растет стремительно: по данным «Лаборатории Касперского», за последние два года количество пользователей, атакованных шифровальщиками, увеличилось в 5,5 раз.

На сегодняшний день не существует универсального инструмента для расшифровки данных, есть лишь отдельные ключи, подходящие для конкретных зловредов. Именно поэтому в качестве основной защиты сегодня рассматриваются меры, прежде всего не допускающие заражения шифровальщиками. И повышение осведомленности пользователей как об этих мерах, так и в целом об угрозах, исходящих от программ-шифровальщиков и вымогателей, как раз и является одной из главных задач инициативы No More Ransom.

Однако если пользователи уже столкнулись с этим типом вредоносного ПО, то на портале www.nomoreransom.orgони могут найти инструменты, которые способны помочь им расшифровать данные. Сейчас в свободном доступе на ресурсе имеется четыре ключевых инструмента для дешифровки, подходящие для нескольких широко распространенных зловредов, в частности для семейства шифровальщиков Shade.

Этот зловерд впервые был обнаружен в конце 2014 года. Он распространяется через вредоносные сайты и вложения к электронным письмам. При попадании в операционную систему Shade шифрует файлы, хранящиеся на устройстве, и создает документ в формате .txt, извещающий пользователя о том, что ему необходимо сделать, чтобы вернуть доступ к данным. Наибольшее число его жертв зафиксировано в России, Украине, Германии, Австрии и Казахстане. С 2014 года «Лаборатория Касперского» и Intel Security предотвратили более 27 тысяч попыток заражений этим зловредом. Совместными усилиями экспертов компаний и правоохранительных органов удалось обнаружить и перехватить командно-контрольный сервер, на котором злоумышленники хранили ключи для дешифровки. Теперь инструмент, содержащий более 160 тысяч этих ключей, доступен жертвам зловреда на портале No More Ransom.

Вилберт Паулиссен (Wilbert Paulissen), руководитель национального подразделения расследования преступлений полиции Нидерландов, так прокомментировал участие голландского ведомства в этой инициативе: «Полиция Нидерландов не может бороться с киберпреступностью, и в частности с шифровальщиками, в одиночку. Это задача, требующая совместных усилий правоохранительных органов, юристов, Европола и IT-компаний. И я очень рад, что мы сотрудничаем с «Лабораторией Касперского» и Intel Security. Вместе мы сможем сделать все возможное, для того чтобы помешать преступникам наживаться на мошеннических схемах и вернуть информацию законным владельцам, избавив их от необходимости платить выкуп».

«Основная проблема с шифровальщиками и вымогателями сегодня заключается в том, что зачастую жертвы соглашаются заплатить злоумышленникам, так как не видят другого способа вернуть доступ к своим ценным данным. И это подстегивает киберпреступную экономику: мы наблюдаем рост числа атак и фиксируем появление новых игроков на этом поле. Изменить ситуацию можно только путем координации действий всех заинтересованных сторон. Появление инструментов для дешифровки – лишь первый шаг в борьбе с вымогателями. Мы надеемся, что проект No More Ransom будет развиваться и вскоре к нему присоединятся другие компании и правоохранительные органы других стран», – заявил Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

«Эта инициатива демонстрирует всю ценность сотрудничества частных компаний и государственных органов в принятии серьезных мер для борьбы с киберпреступностью, – считает Радж Самани (Raj Samani), технический директор Intel Security в Европе, Африке и на Ближнем Востоке. – Наш проект – это нечто большее, чем обмен аналитическими данными, просвещение пользователей и помощь в восстановлении доступа к зашифрованным данным. Все это призвано показать людям, что они сами могут повлиять на ситуацию, предпринять спасительные меры и не платить выкуп, идя на поводу у злоумышленников».

В свою очередь, Виль ван Гемерт (Wil van Gemert), заместитель директора Европола по оперативным вопросам, отметил: «За последние несколько лет шифровальщики стали одной из основных проблем для европейских правоохранительных органов. Эту угроза затрагивает граждан и бизнес, компьютеры и мобильные устройства, а злоумышленники между тем продолжают разрабатывать все более сложные техники, для того чтобы оказать максимально негативное воздействие на пользовательские данные. Инициативы, подобные No More Ransom, подтверждают, что добиться успеха в борьбе с киберпреступностью можно только путем объединения усилий. Мы рассчитываем помочь многим людям восстановить контроль над своими файлами и объяснить им, как обеспечить сохранность данных и устройств».

Участники проекта No More Ransom подчеркивают, что при любых случаях столкновения с шифровальщиками пользователям стоит сообщать о случившемся правоохранительным органам. В случае если инцидент произошел в одной из стран Европейского союза, оповестить о нем полицию можно при помощи портала No More Ransom. Эксперты ни в коем случае не рекомендуют платить злоумышленникам выкуп за восстановление доступа к зашифрованным данным: это поддерживает киберпреступный бизнес и при этом не является гарантией того, что пользователь сможет вернуть свои файлы.

Источник

 

На радарах «Лаборатории Касперского»: более 100 группировок целенаправленно атакуют государственные и коммерческие компании по всему миру

Эксперты из глобального центра исследований и анализа угроз «Лаборатории Касперского» выяснили, что в настоящее время в мире активно более 100 групп, организующих кампании кибершпионажа и атаки класса АРТ, и под их прицел попадают коммерческие и государственные организации в 85 странах мира. При этом еще несколько лет назад группировок, стоявших за целевыми кибератаками, насчитывалось чуть более пары десятков. Столь динамичное развитие этой угрозы говорит о том, что целевые атаки перестали быть уделом избранных: злоумышленники совершенствуют свои техники и инструменты, и это удешевляет и упрощает организацию вредоносной кампании, что, в свою очередь, способствует появлению новых игроков.

Основная цель атаки класса АРТ – кража конфиденциальной информации, которую впоследствии можно использовать для получения геополитического преимущества или продажи заинтересованным лицам. По наблюдениям «Лаборатории Касперского», наибольшему риску стать жертвой целевой атаки подвергаются правительственные и дипломатические организации, финансовые компании, предприятия, работающие в энергетической и космической отраслях, учреждения в сфере здравоохранения и образования, телекоммуникационные и IT-компании, поставщики для вооруженных сил, а также общественные и политические активисты.

«Мы изучаем сложные целевые атаки более шести лет и с уверенностью можем сказать, что в последнее время они все чаще применяются не только для шпионажа, но и для кражи денег. Целевые атаки затрагивают самые разные организации, их жертвой могут стать отнюдь не только государственные учреждения. Не меньший интерес для злоумышленников представляют крупные компании, обладающие ценной интеллектуальной собственностью или имеющие доступ к большим финансовым активам, – рассказывает Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». – В такой ситуации раннее выявление целевой атаки критически важно для любой организации, желающей сохранить свои конфиденциальные данные. Однако с помощью традиционных защитных решений сделать это очень сложно, поскольку злоумышленники часто используют нетривиальные методы и тщательно скрывают свою активность. Так что компаниям могут помочь либо аналитические сервисы, либо специальные решения для выявления целевых атак».

Для защиты от комплексных целевых атак любой сложности «Лаборатория Касперского» разработала специализированное решение Kaspersky Anti Targeted Attack Platform. Платформа помогает компаниям выявлять любое несанкционированное проникновение в корпоративную сеть и позволяет специалистам по информационной безопасности оперативно предпринять меры, необходимые для сохранности данных.

Помимо этого, у «Лаборатории Касперского» есть специальный сервис по предоставлению аналитических отчетов об угрозах класса АРТ. Благодаря этому сервису компании получают необходимые данные, помогающие им лучше понимать специфику целевых атак, а также непосредственно индикаторы компрометации, которые значительно упрощают раннее детектирование атаки. Подробнее об аналитических сервисах «Лаборатории Касперского» можно узнать здесь: Экспертиза в области кибербезопасности | Лаборатория Касперского.

Источник

 

«Лаборатория Касперского» и ICL – КПО ВС объединяют усилия для защиты промышленных объектов от киберугроз

«Лаборатория Касперского» и один из ведущих в России системных интеграторов – компания «ICL – КПО ВС» – расширяют рамки сотрудничества с целью обеспечения кибербезопасности промышленных и инфраструктурных объектов, использующих автоматизированные системы управления технологическими процессами (АСУ ТП). Компании намерены реализовать программу по созданию обучающих стендов, которые призваны продемонстрировать как возможные угрозы нарушения технологического процесса при кибератаках, так и решения, позволяющие эти угрозы нейтрализовать. Итогом программы должно стать повышение осведомленности специалистов коммерческих предприятий и государственных структур в вопросах индустриальной кибербезопасности.

Первый подобный стенд был представлен на конференции IT&Security Forum 2016 в Казани. Макетная установка имитировала работу автоматизированной системы, управляющей товарно-сырьевым парком нефтеперерабатывающего завода. Стенд наглядно демонстрировал, как ведет себя система в случае возникновения инцидентов информационной безопасности и какие средства защиты оказываются при этом задействованы. Такие обучающие стенды «Лаборатория Касперского» и ICL – КПО ВС теперь намерены создавать и для других технологических и промышленных объектов из различных отраслей.

«Нехватка знаний и опыта по организации информационной защиты промышленных систем – одна из ключевых проблем современных предприятий. Применение демонстрационных стендов значительно облегчит процесс взаимодействия, позволит наглядно продемонстрировать возможности специализированных защитных систем, – рассказывает Виктор Вячеславов, эксперт в области информационной безопасности компании ICL – КПО ВС. – Данный проект мы планируем реализовать вместе с нашим постоянным партнером – «Лабораторией Касперского» – в рамках Центра компетенции ИБ АСУ ТП в Иннополисе».

Помимо обучающей программы компании также готовятся к совместным проектам по внедрению специализированного решения для защиты индустриальных объектов Kaspersky Industrial CyberSecurity в ряде крупнейших промышленных предприятий России.

«Кибератаки на промышленные объекты, к сожалению, уже успели стать повседневной реальностью, именно поэтому уделять внимание защите индустриальных систем сегодня особенно важно. Мы рады, что компании не только из сферы информационной безопасности, но и в целом из IT-отрасли понимают всю важность этой задачи и готовы действовать для обеспечения надежной защиты автоматизированных систем управления, которые широко распространены на промышленных предприятиях. Уверен, тесное сотрудничество с нашим давним партнером ICL – КПО ВС позволит нам добиться заметного прогресса в этом направлении», – отметил Андрей Суворов, директор по развитию бизнеса безопасности критической инфраструктуры «Лаборатории Касперского».

ICL – КПО ВС — ведущая российская компания, предоставляющая комплексные решения в области информационных технологий и услуги по консалтингу, проектированию, внедрению, гарантийному и сервисному обслуживанию информационных систем любого масштаба. В число постоянных клиентов компании входят федеральные министерства и ведомства, крупнейшие российские предприятия телекоммуникационной и топливно-энергетической отрасли, банки, промышленные и торговые группы, государственные и коммерческие компании.

Источник

 

Полюбить Linux и перестать спешить: «Лаборатория Касперского» о тенденциях развития DDoS-атак

Средняя продолжительность DDoS-атак вновь начала возрастать – об этом свидетельствуют данные, полученные «Лабораторией Касперского» во втором квартале 2016 года с помощью сервиса мониторинга ботнетов DDoS Intelligence*, являющегося частью решения Kaspersky DDoS Prevention. Так, в указанном периоде доля кратковременных атак, длительность которых составляет не более 4 часов, снизилась с 68% до 60%, в то время как процент атак продолжительностью от 20 до 49 часов увеличился более чем в 2 раза, а доля атак длительностью от 50 до 99 часов выросла в 4 раза. И если наиболее продолжительная атака первого квартала длилась 8 дней, то максимум второго квартала составил 12 дней (291 час).

В общей сложности DDoS-атакам подверглись различные веб-ресурсы, расположенные в 70 странах, однако наибольший удар (77% атак) пришелся на Китай. Россия во втором квартале выбыла из первой пятерки в этом рейтинге и оказалась на шестой строчке: на ее долю пришлось всего 0,6% DDoS-атак. Вместе с тем в списке стран, на территории которых находятся серверы управления и контроля ботнетами, выполняющими DDoS-атаки, Россия продолжает оставаться в числе лидеров и по итогам второго квартала занимает четвертое место. А вот возглавляет рейтинг снова азиатская страна – Южная Корея, на территории которой расположены 70% выявленных командных серверов.

Распределение серверов управления ботнетами, второй квартал 2016 г.
​

Во втором квартале 2016 года злоумышленники, стоящие за DDoS-атаками, уделили пристальное внимание финансовым компаниям, чей бизнес связан с криптовалютами. Как полагают эксперты, атаки могли стать проявлением недобросовестных методов конкурентной борьбы. Итог тем не менее оказался печален: сразу две организации – CoinWallet и Coinkite – объявили о прекращении своей деятельности и закрытии сервисов процессинга криптовалют.

Что касается технических аспектов осуществления DDoS-атак, то, по наблюдениям «Лаборатории Касперского», злоумышленники все чаще создают бот-сети из устройств на базе ОС Linux. В результате доля атак, выполненных с помощью Linux-ботнетов, увеличилась почти вдовое и составила 70%, впервые так заметно «перевесив» долю Windows-ботнетов.

«Linux-серверы уязвимы для заражения ботами, так как нередко содержат популярные уязвимости, но далеко не всегда оснащены надежным защитным решением. Сочетание этих факторов делает их удобным инструментом для владельцев ботнетов. Атаки, которые проводят Linux-боты, просты, но эффективны, и могут длиться неделями. При этом владелец сервера может и не догадываться о том, что является источником атаки. Кроме того, злоумышленники могут проводить с одного сервера атаку, равную по мощности сотням индивидуальных компьютеров. Именно поэтому атакуемые компании должны быть заранее готовы к подобному сценарию, обеспечив себе надежную защиту от DDoS-атак любой сложности и длительности», – отметил Алексей Киселёв, руководитель проекта Kaspersky DDoS Prevention в России.

Подробнее о развитии DDoS-атак читайте в аналитическом отчете «Лаборатории Касперского»:DDoS-атаки Во втором квартале 2016 года.

Источник

 

Многорукий Shade: возможности популярного в России шифровальщика стали еще шире

«Лаборатория Касперского» обнаружила, что распространенный в России шифровальщик Shade умеет не только блокировать доступ к данным с целью получения выкупа, но и действовать более стратегически — проверять компьютер на причастность к бухгалтерии и внедрять в систему инструменты удаленного управления. Такие возможности позволяют злоумышленникам скрытно следить за деятельностью жертвы и собирать подробные сведения о ее платежеспособности, которые могут быть использованы для разработки наиболее эффективной схемы получения выкупа.

Троянец действует следующим образом: проверяя зараженный компьютер, он ищет в установленных в системе приложениях строки, связанные с банковским ПО, а затем подстроки BUH, BUGAL, БУХ, БУГАЛ в имени компьютера и пользователя. При обнаружении искомого зловред не шифрует файлы, а внедряет в систему жертвы вредоносную программу Teamspy, которая позволяет, например, записывать звук или видео с экрана, скачивать и запускать файлы, выключать и перезагружать компьютер.

Для связи с командным сервером Teamspy использует легальную утилиту удаленного управления TeamViewer 6, модифицируя ее для незаметной работы и скрывая окно программы и ее значок в области уведомлений. Не видя графический интерфейс TeamViewer, пользователь зараженного компьютера может и не заподозрить о наличии и активности утилиты, если только не посмотрит в список запущенных процессов.

«Злоумышленники продолжают расширять возможности зловредов. Стремясь извлечь максимальную выгоду от компрометации зараженных компьютеров, они предпочитают шифрованию документов продуманный долгосрочный подход, который может оказаться более эффективным и, следовательно, опасным для пользователей. Использование в случае Shade вредоносной программы, позволяющей управлять системой жертвы, открывает перед киберпреступниками, целенаправленно ищущими финансовую информацию, широкие перспективы обогащения», — комментирует Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют зловред, внедряемый троянцем Shade, как Trojan-Spy.Win32.Teamspy.gl; он известен также как TVSPY, TVRAT, SpY-Agent.

Более подробно узнать о новых возможностях семейства троянцев Shade можно на Shade: не шифрованием единым.

Источник

 

Настало время безусловной безопасности: операционная система «Лаборатории Касперского» выходит на рынок

«Лаборатория Касперского» завершила разработку безопасной операционной системы KasperskyOS, предназначенной для использования в критически важных инфраструктурах и устройствах. Решение будет поставляться в качестве предустановленного программного обеспечения на различных типах оборудования, применяемого в индустриальных и корпоративных сетях. В настоящее время безопасная ОС «Лаборатории Касперского» внедрена в маршрутизирующий коммутатор уровня L3, разработанный компанией Kraftway. Маршрутизатор, ставший первым полностью доверенным телекоммуникационным комплексом, обеспечивает полную конфиденциальность трафика и уже доступен на российском рынке.

«Лаборатория Касперского» разрабатывала безопасную операционную систему с нуля. В силу своей архитектуры и предназначения KasperskyOS гарантирует высокий уровень информационной безопасности. Основной принцип работы безопасной ОС сводится к правилу «запрещено все, что не разрешено». Это помогает исключить возможность эксплуатирования как уже известных уязвимостей, так и тех, что будут обнаружены в будущем. При этом система крайне гибкая, и все политики безопасности, в том числе запреты на выполнение определенных процессов и действий, настраиваются в соответствии с потребностями организации.

В маршрутизаторе, разработанном компанией Kraftway, безопасная ОС «Лаборатории Касперского» интегрирована в модуль управления. Таким образом, система контролирует легитимность всех запросов, которые администраторы отправляют на устройство. И если какое-либо действие запрещено в соответствии с настройками безопасности, операционная система не допустит его выполнение.

«Для наших клиентов вопрос доверия к аппаратному и программному обеспечению представляет особую важность. На протяжении многих лет мы обеспечиваем их надежными устройствами с предустановленными средствами защиты информации.

Мы очень рады, что нашим стратегическим партнером стала «Лаборатория Касперского», чья новая безопасная операционная система позволит вывести разработку доверенных аппаратно-программных платформ на новый уровень. Маршрутизатор – это лишь начало нашего сотрудничества в этом направлении, и я надеюсь, что в дальнейшем нас ждут новые проекты, а наших клиентов – новые уникальные решения», – отметил Максим Шумилов, заместитель директора департамента развития бизнеса Kraftway.

«Целевые атаки на корпоративные и индустриальные сети нередко осуществляются через уязвимости в базовом программном обеспечении, но в то же время именно оно на сегодняшний день защищено недостаточно надежно. В связи с этим важно интегрировать средства кибербезопасности непосредственно в операционную систему. Наш опыт показал, что модернизация распространенных ОС с целью повысить их уровень защищенности не поможет добиться необходимых результатов, поскольку они имеют архитектурные недочеты. Именно поэтому мы создали принципиально новую операционную систему, в которой безопасность является главным приоритетом, – рассказывает Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского». – Мы рады, что нашим первым партнером стала компания Kraftway, обладающая большим опытом разработки доверенных систем. Именно такой симбиоз передовых технологий и объединение усилий, на наш взгляд, является наиболее эффективным способом противостояния киберугрозам».

Безопасная операционная система KasperskyOS не является заменой уже существующих операционных систем широкого применения, используемых на пользовательских компьютерах или серверах. У нее другие задачи и другой принцип работы. Так, если во всех ОС легитимность и безопасность приложений определяется на основе их цифровой подписи, то в безопасной ОС «Лаборатории Касперского» верификация программ осуществляется путем проверки и утверждения их поведения. Любые коммуникации между программными модулями KasperskyOS гарантированно проходят через системное микроядро, которое содержит средства вычисления вердиктов безопасности в соответсвии с заданной политикой безопасности, разрешающими или запрещающими каждое конкретное действие со стороны приложения.

Операционная система «Лаборатории Касперского» предназначена для тех сфер, где безопасность является первостепенной задачей. В настоящее время компания рассматривает возможность использования KasperskyOS в промышленных системах, в частности в АСУ ТП, в телекоммуникационном оборудовании, в медицинских аппаратах, в автомобилях и прочих гаджетах из мира «Интернета вещей» – например, в видеокамерах, которые не просто осуществляют запись, но также отвечают за распознавание объектов и лиц, хранение и классификацию информации. Однако в будущем диапазон использования безопасной ОС, разумеется, может быть расширен.

Источник