Угрозы дня: Шифровальщики Обама, Трамп и Меркель. Шпион Pegasus для iPhone и Android

2018-09-19 | Автор | комментарии
По данным Европола шифровальщики остаются главной киберугрозой, а известные политические деятели используются как метод для распространения троянов-вымогателей. Опасная шпионская программа Pegasus для iPhone и Android распространяется в 45 странах

Угрозы дня: Шифровальщики Обама, Трамп и Меркель. Шпион Pegasus для iPhone и Android

Опасная шпионская программа Pegasus распространяется в 45 странах

Печально известная шпионская программа Pegasus, которая нацелена на устройства iPhone и Android, предположительно, проникла в 45 разных стран по всему миру. Pegasus - профессиональная шпионская программа, созданная израильской компанией NSO Group, разрабатывающей различные шпионские программы. Исследователи из компании The Citizen Lab сообщают, что количество серверов Pegasus увеличилось с 200 в 2016 году до почти 600 в 2018 году. Это может быть признаком того, что NSO Group расширяет свои операции по распространению шпионской программы. Pegasus, как правило, распространяется через специально созданное соединение с эксплойтом (с помощью технологий фишинга), которое при нажатии на него обеспечивает цепочку из эксплойтов нулевого дня для проникновения в операционную систему устройства. В прошлых версиях Pegasus эксплуатировал три уязвимости нулевого дня в iOS для скрытого проведения джейлбрейк устройства и дальнейшей установки шпионской программы.

Исследователи разработали и провели глобальное исследование зондирования кэша DNS на соответствие доменным именам, чтобы определить, в каких странах каждый оператор шпионил. С помощью данной техники было выявлено в общей сложности 45 стран, в которых операторы Pegasus могут проводить операции по наблюдению: Алжир, Бахрейн, Бангладеш, Бразилия, Канада, Кот-д'Ивуар, Египет, Франция, Греция, Индия, Ирак, Израиль, Иордания, Казахстан, Кения, Кувейт, Кыргызстан, Латвия, Ливан, Ливия, Мексика, Марокко, Нидерланды, Оман, Пакистан, Палестина, Польша, Катар, Руанда, Саудовская Аравия, Сингапур, Южная Африка, Швейцария, Таджикистан, Таиланд, Togo, Тунис, Турция, ОАЭ, Уганда, Великобритания, США, Узбекистан, Йемен, а также Замбия. Израильская компания NSO Group, создавшая Pegasus, прокомментировала сообщение о данном списке стран: "Продукт лицензирован только для работы в странах, одобренных в рамках нашей Бизнес-этики, и продукт не будет работать за пределами утвержденных стран". Тем не менее, исследователи The Citizen Lab опровергли эти утверждения.

Европол: Шифровальщики остаются главной киберугрозой

В новом отчете Европола сообщается, что шифровальщики остаются главной угрозой для организаций, причиняя ущерб на миллионы долларов, оставаясь мощным инструментом для киберпреступников и атак со стороны государств. Ущерб от работы таких шифровальщиков как: WannaCry, NotPetya и Bad Rabbit составил более пяти миллиардов долларов. "Преступники становятся более искусными, а инструменты более сложными, но более легкими для получения выгоды, снизилось количество атак, направленных на обычных пользователей и увеличились атаки на малые предприятия и более крупные цели, в которых находятся больше потенциальной прибыли", - говорится в отчете. Одним из примечательных примеров является шифровальщик SamSam, атаковавший компьютеры учреждений здравоохранения и правительства. Требование выкупа часто составляло более 50 000 долларов. Европол призывает к дополнительному сотрудничеству по борьбе с киберугрозами.

База данных, включающая 11 миллионов учетных записей

Была обнаружена огромная база данных клиентов, содержащая 11 миллионов записей личных данных. Данные были доступны в системе управления базами данных MongoDB, расположенной на хостинге провайдера Grupo-SMS USA. Информация была в открытом доступе (необходимо было знать только путь её расположения). Обнаружил ее исследователь по вопросам безопасности Боб Дьяченко. Его исследование показало, что набор данных в последний раз индексировался хакерской поисковой системой Shodan 13 сентября, но неясно, как долго он был открыт для доступа до этой даты. Коллекция имеет размер 43.5 ГБ и содержит 10,999,535 адресов электронной почты, все из них от компании Yahoo!. База также содержит имена, физические адреса, индекс и города проживания. Было выяснено, что часть записей являлись данными пользователей веб-сайта SaverSpy, который предоставляет печатные и цифровые купоны на скидку для широкого спектра продуктов.

База данных, включающая 11 миллионов учетных записей

Политические деятели как метод распространения шифровальщиков

Компания McAfee опубликовала статью, описывающую интересную технику работы шифровальщиков. Речь идет о группах троянов-вымогателей, использующих профили политических фигур в качестве приманки пользователей для дальнейшего шифрования файлов.

Шифровальщик «Барак Обама»

1. Шифровальщик «Барак Обама» - зашифровывал только файлы с расширением .exe, а не пользовательские данные, как большинство подобных вредоносных программ. В коде шифровальщика был обнаружен код по добыче криптовалюты. Примечателен он еще тем, что пытался принудительно завершить процессы некоторых антивирусных продуктов:

  • rdata:004DAC80 0000001B C taskkill /f /im kavsvc.exe
  • .rdata:004DAC9B 00000019 C taskkill /f /im KVXP.kxp
  • .rdata:004DACB4 00000018 C taskkill /f /im Rav.exe
  • .rdata:004DACCC 0000001B C taskkill /f /im Ravmon.exe
  • .rdata:004DACE7 0000001D C taskkill /f /im Mcshield.exe
  • .rdata:004DAD04 0000001D C taskkill /f /im VsTskMgr.exe
  • .rdata:004DAD21 00000024 C SOFTWARE\360Safe\safemon\ExecAccess
  • .rdata:004DAD45 00000023 C SOFTWARE\360Safe\safemon\MonAccess
  • .rdata:004DAD68 00000024 C SOFTWARE\360Safe\safemon\SiteAccess
  • .rdata:004DAD8C 00000025 C SOFTWARE\360Safe\safemon\UDiskAccess

По сообщению компании McAfee шифровальщик не смог выгрузить процессы их антивирусной линейки.

2. Шифровальщик «Дональд Трамп» - находился на стадии разработки. Поэтому несмотря на то, что в коде была обнаружена функция шифрования с помощью алгоритма AES, в действительности же он перемещал определенные типы файлов в папку "encrypt", кодировал имена файлов и менял их расширение на .ENCRYPTED. В интерфейсе окна шифровальщика расположена кнопка "Разблокировать файлы" с помощью которой можно было вернуть исходное состояние файлов.

Шифровальщик «Дональд Трамп»

3. Шифровальщик «Ангела Меркель» - зашифровывал файлы с помощью алгоритма AES и менял расширение файлов на .angelamerkel. В качестве выкупа требовалась сумма 1200 евро. Предположительно ориентирован на страны Европейского союза.

Шифровальщик «Ангела Меркель»

Шифровальщики «Дональд Трамп» и «Ангела Меркель» на 46% состоят из идентичного кода.

Нашли опечатку? Нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества