Bulletproof-хостеры перешли на виртуальные серверы
Исследователи из НКО Spamhaus обнаружили новый тип bulletproof-хостинга, который уже успел завоевать популярность у киберпреступников. Провайдеры арендуют виртуальные частные серверы (Virtual Private Servers, VPS), используя их как прокси для вредоносных кампаний своих клиентов.
Эксперты называют bulletproof-хостерами (от англ. «пуленепробиваемый») тех провайдеров, которые игнорируют поступающие жалобы на размещение нелегального контента и подозрительную интернет-активность. Их услугами часто пользуются распространители зловредов, организаторы фишинговых кампаний, спамеры и другие киберпреступники.
Добросовестные интернет-провайдеры стараются оперативно блокировать диапазоны IP-адресов и автономные системы, замеченные во вредоносных кампаниях. Эксперты отмечают, что это снижает бизнес-привлекательность bulletproof-хостинга, поскольку злоумышленникам приходится часто перестраивать инфраструктуру, а дополнительные расходы сказываются на стоимости услуг. Аренда VPS может изменить ситуацию — такая модель обеспечивает преступникам ширму для нежелательных операций, одновременно позволяя быстро восстанавливать заблокированные мощности.
Как организован bulletproof-хостинг на базе VPS:
По свидетельству Spamhaus, новые владельцы ресурса арендуют виртуальные серверы, используя украденные или поддельные учетные данные. Организаторы вредоносных кампаний связывают посадочные страницы с этими VPS, чтобы затем перебрасывать посетителей по цепочке переадресаций к собственному веб-серверу.
Если какой-то сервер все же блокируется, провайдер может быстро восстановить работу. Для этого он указывает в DNS несколько адресных записей (Address Record, A-record), которые связывают имя хоста с IP. В некоторых кампаниях смена записи происходит автоматически, обеспечивая злоумышленникам практически беспрерывную активность без необходимости заново регистрироваться у провайдера и проходить соответствующие проверки.
Недобросовестные хостеры арендуют VPS у множества провайдеров, среди которых немалую часть составляют российские компании. Эксперты объясняют это низкой стоимостью услуг и отсутствием контактов с западными правоохранительными органами.
Перспективы борьбы с новой угрозой:
По данным Spamhaus, виртуальные серверы уже завоевали основную часть рынка нелегальных мощностей.
«С сентября по третью неделю декабря 2019 года Spamhaus насчитала 4117 управляющих ботнет-серверов, — рассказали аналитики. — Из этого числа 3620 использовали bulletproof-хостинг на VPS».
Эксперты подчеркнули, что жизнеспособность новой модели зависит от того, как поставщики услуг проверяют своих заказчиков. Большинство провайдеров, чьи мощности сейчас используют злоумышленники, смотрят на клиентскую активность сквозь пальцы. В некоторых случаях проверки отсутствуют вообще.
Специалисты призывают провайдеров воспользоваться руководством Spamhaus по определению нежелательных клиентов. Кроме того, компании могут ознакомиться со списком IP-адресов и автономных систем, которые используются во вредоносных кампаниях. Эти данные помогут автоматически выявлять и блокировать нежелательную активность в интернет-сетях.
Ранее стало известно об успешном рейде немецкой полиции, который положил конец bulletproof-хостеру Cyberbunker 2.0. Преступники разместили в заброшенном бункере около 200 серверов, на которых размещались ресурсы по продаже наркотиков, мошеннические площадки, сайты с детской порнографией.
Еще один крупный хостинг в июле разгромила Служба безопасности Украины. По оценкам правоохранительных органов, группировка обеспечивала работу до 40% русскоязычного даркнета.
Источник: https://threatpost.ru/bulletproof-hosters-shifted-to-vps/35106/
Канадские банки стали жертвами крупной фишинговой кампании
Четырнадцать канадских банков, в том числе CIBC, TD Canada Trust, Scotiabank и Королевский банк Канады (Royal Bank of Canada, RBC), стали жертвой масштабной фишинговой кампании, которая продолжалась на протяжении двух лет.
Атака начиналась с отправки правдоподобных электронных писем с вложением в формате PDF с использованием официального логотипа банка и кода авторизации. Жертв обманом побуждали как можно быстрее обновить свой цифровой сертификат, чтобы они могли продолжать получать доступ к online-банкингу. Нажав на любой из URL-адресов, жертвы попадали на фишинговую страницу с просьбой ввести свои банковские учетные данные.
Как отметили исследователи из Check Point в своем отчете, в случае с RBC злоумышленники просто сделали снимок экрана официального сайта и добавили невидимые текстовые поля поверх полей ввода, чтобы собрать учетные данные жертвы.
По словам специалистов, существовало несколько вариантов PDF-вложений, с небольшими различиями между ними. Однако некоторые содержащиеся в них текстовые инструкции повторялись, использовали уникальные фразы и появлялись в более чем одном документе.
Фишинговый web-сайт, упоминавшийся во вложениях в формате PDF, был связан с украинским IP-адресом для нескольких доменов, имитирующих страницы банков.
Необычная MiTM-атака позволила мошенникам похитить $1 млн
Кибермошенники похитили у китайской венчурной компании $1 млн с помощью мошенничества с электронными письмами.
Как сообщают специалисты компании Check Point Technologies, злоумышленники выдавали себя за сотрудников реально существующего израильского стартапа, желающего привлечь в качестве инвесторов китайских венчурных капиталистов. С электронного адреса, очень похожего на адрес настоящего стартапа, мошенники вели переговоры с менеджером по работе с клиентами китайской инвестиционной компании. Только тогда, когда $1 млн был переведен злоумышленникам и настоящий стартап обнаружил, что деньги он не получил, инвестиционная компания осознала произошедшее.
Специалисты не сообщают название пострадавших организаций, лишь отмечают, что инцидент имел место в начале нынешнего года.
В отличие от классической BEC-атаки, когда злоумышленники получают доступ к электронной почте высшего руководства компании и, прежде чем похитить средства, осуществляют мониторинг входящих и исходящих писем, в этом случае мошенники зарегистрировали два поддельных домена. Один домен якобы принадлежал стартапу, а второй – венчурной компании. Единственное отличие от настоящих организаций – дополнительная буква «s» в названии каждой из них.
Каждое письмо от обеих сторон переговоров на самом деле отправлялось не настоящей организации, а на поддельный домен. Злоумышленники читали письма, решали, нужно ли их отредактировать, а затем отправляли соответствующему адресату. Таким образом они осуществляли атаку «человек посередине» без необходимости взламывать электронную почту ни одной из сторон переговоров. Всего было отправлено 18 писем китайской компании и 14 – израильскому стартапу.
«Терпение, внимание к деталям и тщательное зондирование сделали эту атаку успешной», – отметили в Check Point.
Француз похитил 1 млн евро в отместку за увольнение
Во Франции предприниматель похитил у бывших партнеров биткойны на 1,1 млн евро в отместку за увольнение. Как сообщает газета Parisien, данный инцидент является третьей по величине кражей криптовалюты в стране.
В 2013 году несколько друзей запустили IT-стартап, но по мере его роста и развития между партнерами стали появляться разногласия. Спустя три года один из руководителей был со скандалом уволен и уехал за границу.
С декабря 2018-го по январь 2019-го года было зафиксировано несколько подозрительных переводов криптовалюты с кошельков компании (в общей сложности было переведено 182 биткойна). Поскольку суммы были ниже установленного порога, автоматические системы тревоги не срабатывали. Это навело на мысль, что злоумышленником является кто-то, кто хорошо знаком с устройством компании.
Руководство стартапа обратилось в отдел по борьбе с киберпреступностью прокуратуры Парижа, и через несколько месяцев виновный был найден. Задержание «мстителя» было произведено 20 декабря нынешнего года, когда он вернулся во Францию.
Мужчине предъявлены обвинения в краже в составе преступной группировки, отмывании денег и мошенническом внесении изменений в автоматизированную систему обработки данных.
Билетные мошенники получили от 10 до 13 лет тюрьмы
Суд Басманного района Москвы завершил рассмотрение дела в отношении трех сообщников, обвиняемых в мошенничестве с железнодорожными билетами. В ходе судебного разбирательства удалось доказать вину злоумышленников и установить нанесенный ими материальный ущерб. За совершенные преступления они получили от 10 до 13 лет тюрьмы.
Хакеры выписывали подложные билеты на поезд:
Преступная группа, в которую входили жители Москвы, Ленинградской и Новосибирской областей, проводила целевые атаки на компании, занимающиеся торговлей железнодорожными билетами. Как выяснили следователи, злоумышленники рассылали сотрудникам таких организаций электронные письма с вложениями, содержащими вредоносную программу. В качестве полезной нагрузки на компьютер устанавливался бэкдор, который давал киберпреступникам удаленный доступ к личному кабинету кассира-операциониста.
Используя интерфейс жертвы, мошенники выписывали электронные железнодорожные билеты и оплачивали их с расчетного счета атакуемой компании. Киберпреступники оформляли проездные документы на подставных лиц, а позже сдавали их в кассы РЖД для получения наличных денег. По информации обвинителей, в 2013 и 2014 годах злоумышленники создали более 5 тысяч подложных билетов и обналичили не менее 17 млн рублей. Преступления совершались в Москве, Санкт-Петербурге, Владимире, Новосибирске и Уфе, а также на территории Московской области и Алтайского края.
Потерпевшими по делу признаны представители 31 компании. В ходе следственных действий было допрошено более 190 свидетелей; объем материалов уголовного дела составил более 1000 томов.
Недавно в Следственном Комитете России был создан специальный отдел по расследованию киберпреступлений. Необходимость организации такого подразделения вызвана ростом количества правонарушений с использованием компьютерных технологий. Как подчеркнул глава СК РФ Александр Бастрыкин, дела, связанные с информационной безопасностью, часто имеют межрегиональный и даже международный статус. Особый отдел будет накапливать базу знаний по расследованию киберинцидентов и совершенствовать методы их раскрытия.