Разработчики вымогательского ПО Ryuk выпустили новую версию программы, обходящую стороной папки, которые чаще всего встречаются в UNIX-подобных системах.
Как сообщает портал Bleeping Computer, в атаке на Новый Орлеан (Луизиана, США), имевшей место ранее в этом месяце, использовалась версия Ryuk с именем исполняемого файла v2.exe. Исследователь безопасности Виталий Кремез изучил его и обнаружил интересное изменение – вымогатель перестал шифровать папки, связанные с UNIX-подобными системами. В частности, в черный список папок, которые Ryuk теперь обходит стороной, попали bin, boot, Boot, dev, etc, lib, initrd, sbin, sys, vmlinuz, run и var.
Казалось бы, зачем вымогательскому ПО для Windows вносить в черный список папки UNIX-подобных систем? Linux/Unix-версии Ryuk не существует, однако известны случаи, когда в результате атак с использованием вымогателя зашифрованными оказывались и папки Linux.
Дело в том, что в Windows 10 существует функция WSL (подсистема Windows для Linux), позволяющая устанавливать дистрибутивы Linux непосредственно на Windows-машинах, и эти установки как раз используют перечисленные выше папки. Из-за роста популярности WSL в результате атак с использованием Ryuk все чаще оказывались зашифрованными и папки Linux. Когда вымогатель шифрует эти папки, установки Linux перестают работать.
Целью операторов вымогательского ПО является шифрование данных пользователей, а не выведение из строя операционной системы. Внеся папки Linux в черный список, операторы Ryuk избавили себя от дополнительной головной боли, связанной с восстановлением работоспособности системы после уплаты жертвой выкупа.

Источник: https://www.securitylab.ru/news/503738.php

Исследователи из НКО Spamhaus обнаружили новый тип bulletproof-хостинга, который уже успел завоевать популярность у киберпреступников. Провайдеры арендуют виртуальные частные серверы (Virtual Private Servers, VPS), используя их как прокси для вредоносных кампаний своих клиентов.
Эксперты называют bulletproof-хостерами (от англ. «пуленепробиваемый») тех провайдеров, которые игнорируют поступающие жалобы на размещение нелегального контента и подозрительную интернет-активность. Их услугами часто пользуются распространители зловредов, организаторы фишинговых кампаний, спамеры и другие киберпреступники.
Добросовестные интернет-провайдеры стараются оперативно блокировать диапазоны IP-адресов и автономные системы, замеченные во вредоносных кампаниях. Эксперты отмечают, что это снижает бизнес-привлекательность bulletproof-хостинга, поскольку злоумышленникам приходится часто перестраивать инфраструктуру, а дополнительные расходы сказываются на стоимости услуг. Аренда VPS может изменить ситуацию — такая модель обеспечивает преступникам ширму для нежелательных операций, одновременно позволяя быстро восстанавливать заблокированные мощности.
Как организован bulletproof-хостинг на базе VPS:
По свидетельству Spamhaus, новые владельцы ресурса арендуют виртуальные серверы, используя украденные или поддельные учетные данные. Организаторы вредоносных кампаний связывают посадочные страницы с этими VPS, чтобы затем перебрасывать посетителей по цепочке переадресаций к собственному веб-серверу.
Если какой-то сервер все же блокируется, провайдер может быстро восстановить работу. Для этого он указывает в DNS несколько адресных записей (Address Record, A-record), которые связывают имя хоста с IP. В некоторых кампаниях смена записи происходит автоматически, обеспечивая злоумышленникам практически беспрерывную активность без необходимости заново регистрироваться у провайдера и проходить соответствующие проверки.
Недобросовестные хостеры арендуют VPS у множества провайдеров, среди которых немалую часть составляют российские компании. Эксперты объясняют это низкой стоимостью услуг и отсутствием контактов с западными правоохранительными органами.
Перспективы борьбы с новой угрозой:
По данным Spamhaus, виртуальные серверы уже завоевали основную часть рынка нелегальных мощностей.
«С сентября по третью неделю декабря 2019 года Spamhaus насчитала 4117 управляющих ботнет-серверов, — рассказали аналитики. — Из этого числа 3620 использовали bulletproof-хостинг на VPS».
Эксперты подчеркнули, что жизнеспособность новой модели зависит от того, как поставщики услуг проверяют своих заказчиков. Большинство провайдеров, чьи мощности сейчас используют злоумышленники, смотрят на клиентскую активность сквозь пальцы. В некоторых случаях проверки отсутствуют вообще.
Специалисты призывают провайдеров воспользоваться руководством Spamhaus по определению нежелательных клиентов. Кроме того, компании могут ознакомиться со списком IP-адресов и автономных систем, которые используются во вредоносных кампаниях. Эти данные помогут автоматически выявлять и блокировать нежелательную активность в интернет-сетях.
Ранее стало известно об успешном рейде немецкой полиции, который положил конец bulletproof-хостеру Cyberbunker 2.0. Преступники разместили в заброшенном бункере около 200 серверов, на которых размещались ресурсы по продаже наркотиков, мошеннические площадки, сайты с детской порнографией.
Еще один крупный хостинг в июле разгромила Служба безопасности Украины. По оценкам правоохранительных органов, группировка обеспечивала работу до 40% русскоязычного даркнета.

Источник: https://threatpost.ru/bulletproof-hosters-shifted-to-vps/35106/

Четырнадцать канадских банков, в том числе CIBC, TD Canada Trust, Scotiabank и Королевский банк Канады (Royal Bank of Canada, RBC), стали жертвой масштабной фишинговой кампании, которая продолжалась на протяжении двух лет.
Атака начиналась с отправки правдоподобных электронных писем с вложением в формате PDF с использованием официального логотипа банка и кода авторизации. Жертв обманом побуждали как можно быстрее обновить свой цифровой сертификат, чтобы они могли продолжать получать доступ к online-банкингу. Нажав на любой из URL-адресов, жертвы попадали на фишинговую страницу с просьбой ввести свои банковские учетные данные.
Как отметили исследователи из Check Point в своем отчете, в случае с RBC злоумышленники просто сделали снимок экрана официального сайта и добавили невидимые текстовые поля поверх полей ввода, чтобы собрать учетные данные жертвы.
По словам специалистов, существовало несколько вариантов PDF-вложений, с небольшими различиями между ними. Однако некоторые содержащиеся в них текстовые инструкции повторялись, использовали уникальные фразы и появлялись в более чем одном документе.
Фишинговый web-сайт, упоминавшийся во вложениях в формате PDF, был связан с украинским IP-адресом для нескольких доменов, имитирующих страницы банков.

Источник: https://www.securitylab.ru/news/503710.php

Кибермошенники похитили у китайской венчурной компании $1 млн с помощью мошенничества с электронными письмами.
Как сообщают специалисты компании Check Point Technologies, злоумышленники выдавали себя за сотрудников реально существующего израильского стартапа, желающего привлечь в качестве инвесторов китайских венчурных капиталистов. С электронного адреса, очень похожего на адрес настоящего стартапа, мошенники вели переговоры с менеджером по работе с клиентами китайской инвестиционной компании. Только тогда, когда $1 млн был переведен злоумышленникам и настоящий стартап обнаружил, что деньги он не получил, инвестиционная компания осознала произошедшее.
Специалисты не сообщают название пострадавших организаций, лишь отмечают, что инцидент имел место в начале нынешнего года.
В отличие от классической BEC-атаки, когда злоумышленники получают доступ к электронной почте высшего руководства компании и, прежде чем похитить средства, осуществляют мониторинг входящих и исходящих писем, в этом случае мошенники зарегистрировали два поддельных домена. Один домен якобы принадлежал стартапу, а второй – венчурной компании. Единственное отличие от настоящих организаций – дополнительная буква «s» в названии каждой из них.
Каждое письмо от обеих сторон переговоров на самом деле отправлялось не настоящей организации, а на поддельный домен. Злоумышленники читали письма, решали, нужно ли их отредактировать, а затем отправляли соответствующему адресату. Таким образом они осуществляли атаку «человек посередине» без необходимости взламывать электронную почту ни одной из сторон переговоров. Всего было отправлено 18 писем китайской компании и 14 – израильскому стартапу.
«Терпение, внимание к деталям и тщательное зондирование сделали эту атаку успешной», – отметили в Check Point.

Источник: https://www.securitylab.ru/news/503175.php

Во Франции предприниматель похитил у бывших партнеров биткойны на 1,1 млн евро в отместку за увольнение. Как сообщает газета Parisien, данный инцидент является третьей по величине кражей криптовалюты в стране.
В 2013 году несколько друзей запустили IT-стартап, но по мере его роста и развития между партнерами стали появляться разногласия. Спустя три года один из руководителей был со скандалом уволен и уехал за границу.
С декабря 2018-го по январь 2019-го года было зафиксировано несколько подозрительных переводов криптовалюты с кошельков компании (в общей сложности было переведено 182 биткойна). Поскольку суммы были ниже установленного порога, автоматические системы тревоги не срабатывали. Это навело на мысль, что злоумышленником является кто-то, кто хорошо знаком с устройством компании.
Руководство стартапа обратилось в отдел по борьбе с киберпреступностью прокуратуры Парижа, и через несколько месяцев виновный был найден. Задержание «мстителя» было произведено 20 декабря нынешнего года, когда он вернулся во Францию.
Мужчине предъявлены обвинения в краже в составе преступной группировки, отмывании денег и мошенническом внесении изменений в автоматизированную систему обработки данных.

Источник: https://www.securitylab.ru/news/503750.php