Распространение вредоноса Emotet через один из сервисов McAfee

Emotet размещался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. Вредоносная ссылка, обнаруженная исследователем под псевдонимом Benkow, перенаправляла пользователей на документ Word, после загрузки и открытия которого на систему жертвы загружался Emotet. Попав на компьютер, вредоносное ПО собирало конфиденциальные данные для взлома аккаунтов и отправляло их на свой C&C-сервер.

Распространение нового вируса-шифровальщика Bad Rabbit

После проникновение на компьютер вредонос шифрует пользовательские файлы и выводит на экран пользователя сообщение с инструкцией о выкупе доступа к данным за 0,05 биткойна (~ $285).

Согласно исследованиям специалистов Trend Micro вирус распространяется через установку поддельного Flash Player с скопроментированных сайтов. В настаящее время ссылка, по которой предлагалось скачать фальшивый установщик, уже недоступна.

Взлом CCleaner: попытка атаки на крупнейшие мировые техкомпании

Специалисты полагают, что вредоносный код был внедрён в CCleaner профессиональными хаккерами — кибергруппировкой Axiom (APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx, Voho или AuroraPanda). Первым это предположение выдвинул специалист «Лаборатории Касперского» Костин Раю (Costin Raiu). Позже эксперты Cisco Talos опубликовали детальный отчет своих исследований, где также допустили возможность причастности Group 72 к взлому CCleaner.

Компании предупредили о возможных утечках данных, Avast же пока никак не прокомментировала ситуацию.

CCleaner подверглось хакерской атаке

Компания-разработчик популярного приложения обнаружила вирус в 32-битной версии CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191. По оценке Piriform заражению могли подвергнуться 3% пользователей программы — около 2,3 миллиона человек. Piriform утверждает, что авторы вируса не успели воспользоваться украденной информацией и проблема устранена.

Мы не рекомендуем устанавливать подобные программы, а при необходимости, использовать отдельную виртуальную машину с жесткими настройками firewall.

Новая волна распространения TrickBot

Центр безопасности Forcepoint зафиксировал активность трояна «TrickBot». Вирус распространяется через массовую рассылку писем. Письмо имитирует сообщение от Canadian Imperial Bank of Commerce (CIBC) с вложенным документом. Жертва заражается открывая вложение. Далее TrickBot будет выдавать страницу авторизации при входе пользователя на целевые сайты. В их числе PayPal и Coinbase.com.

Не открывайте вложенные файлы, если не уверены в отправителе письма.

Вредоносное ПО может проникнуть к вам через Facebook Messenger

Новое кроссплатформенное вредоносное ПО приходит в виде сообщения на аккаунт жертвы от имени её друга. Содержание сообщения — это имя жертвы, слово «Video» и ссылка на bit.ly. Ссылка переводит на документ, имитирующий страницу с видео. Кликнув на ролик, пользователь перенаправляется на другой сайт, который собирает информацию о его браузере, операционной системе и другую телеметрию. Вредоносное ПО легко адаптируется к любому браузеру и ОС.

На данный момент специалисты пытаются выяснить точную цель данной операции и призывают пользователей не кликать на незнакомые ссылки.

список общих принципов IT безопасности

Как начинать тушить огонь до пожара или наш список общих принципов IT безопасности

Разбирая последствия работы вирусов WannaCry и Petya, а так же то, как они повлияли на наших клиентов, хотим поделиться выводами и дать общие советы. В основном эти советы будут относится к системным администраторам Windows, а они, как известно, и пострадали от этих вирусов.

Сервера:

  • Уровень леса Active Directory должен быть не менее 2012r2, а пользователи должны находится в группе защищенных пользователей, в этом случае перехват паролей mimikatz невозможен;
  • Доступ к общим файлам должен быть реализован через систему с поддержкой версионности или снапшотов, например, Sharepoint + OneDrive Pro;
  • На гипервизорах должен быть включен secure boot, шифровальщик не сможет запуститься вместо родной ОС;
  • Настройки почтовых серверов должны запрещать получение исполняемых файлов и неоткрываемых архивов, крайней мерой можно сделать изменение формата писем на plain text, что исключит ссылки в теле писем;
  • Обновления должны ставится регулярно, не реже раза в две недели. Проведение регламентного обновления ОС серверов, драйверов, прошивок. Это один из самых важных пунктов ИБ, один он очень серьезно усилит вашу защиту. У вас должен быть четкий план выполнения обновлений с указанием даты последнего выполнения и ответственного;
  • Вынесение системы резервного копирования вне границ текущей среды. Настройка репликации на резервную площадку.

Рабочие станции:

  • Клиентские компьютеры должны работать на Windows 10 LTSB. LTSB имеет меньше потенциально опасных компонентов и, теоретически, не следит за пользователем, хотя запретить телеметрию все равно не помешает;
  • Включить UEFI и secure boot. Как и на серверах шифровальщик не сможет запустится вместо родной ОС. Вирус Petya перегружает машину для начала шифрования. Эти две настройки не дадут ему запустится. Есть большой шанс, что будущие шифровальщики будут использовать эту стратегию;
  • Обновления должны автоматически ставится не только на саму операционную систему, но и на все приложения, особенно на офис. С WSUS или напрямую с серверов Микрософт — не принципиально. Этот пункт не нуждается в комментариях: если на серверах обновления надо ставить вручную, контролируя процесс чтобы не остановить работу, то на рабочих станциях надо ставить автоматически;
  • Системные администраторы не должны работать на рабочих станциях с правами доменного администратора;

Общее:

  • Разделение рабочей среды и интернет серфинга, разделение разных направлений/отделов компании в изолированные среды, например, как указанно здесь;
  • Разделение инфраструктурных сред по VLAN, между которыми должна быть настроена фильтрация трафика. В этом случае перекрыв доступ по определённым портам можно остановить сетевое распространение зловреда, как в случае Petya блокируют 135, 139, 445 TCP-порты (служб SMB и WMI);
  • Желательно не пользоваться серверными программами, требующими сетевой доступ к общим папкам. Бизнес софт, такой как 1С должен быть на SQL Server;
  • На пользовательский станциях и серверах должен быть настроен сетевой фильтр на запрещение исходящего доступа всем приложениям кроме необходимых. Подробная информация как и зачем в статье;
  • На серверах и рабочих станциях должна быть выключена SMBv1, а по возможности и SMBv2;
  • Специализированные и редкие программы, типа M.E.doc интернет банкинг(особенно на Java), должны запускаться на отдельной виртуальной машине с жестко настроенным фаерволом;
  • Не полагайтесь на антивирусы, они создают ложное ощущения безопасности, пример последних вирусов и реакции на них ведущих производителей. Например, даже стандартный Windows Defender обновился одними из первых;
  • Способствуйте получению технических сертификатов вашего IT штата. Аутсорсера выбирайте с действующими профессиональными сертификатами по требуемым вами направлениям;
  • Проводите семинары и другие мероприятия для повышения уровня IT осведомленности и IT культуры всех сотрудников, с обязательным приведением реальных примеров и последствий.

Обсуждение статьи доступно здесь.

Другие статьи на тему IT безопасность

ПК со Skype оказались под серьезной угрозой: уязвимость CVE-2017-9948

Выявлена критическая уязвимость CVE-2017-9948 — ошибка переполнения буфера в стеке, которая делает Skype уязвимым, позволяя злоумышленнику удаленно вызывать сбой приложения и запускать на компьютере жертвы исполнение вредоносного кода. Уязвимость присутствует в Skype 7.2, 7.35 и 7.36.

Уязвимость была обнаружена исследователем кибербезопасности Бенджамином Кунц-Мейри (Benjamin Kunz-Mejri) — основателем компании Vulnerability Lab.

Ошибку устранили в версии Skype 7.37.178. Чтобы избежать угрозы, компания советует пользователям убедиться в том, что их приложение обновлено.

Wikileaks опубликовала файлы ЦРУ

На сайте Wikileaks опубликовали тысячи документов, которые, как утверждают авторы публикации, раскрывают хакерские приемы, к которым прибегает ЦРУ. В этих документах идет речь, в частности, о вирусах для компьютеров и смартфонов, а также о программном обеспечении, которое превращает «умные» телевизоры в прослушивающие устройства.