Китайская полиция арестовала злоумышленника, который стоит за атаками шифровальщика UNNAMED1989. Преступник оставил экспертам множество улик, в результате чего выследить его удалось в течение недели после первых инцидентов.

Троян-вымогатель UNNAMED1989 быстро распространялся по китайскому Интернету, начиная с 1 декабря. Всего за несколько дней он поразил более 100 тыс. пользователей, причем самый активный день записал на счет зловреда сразу 80 тыс. жертв.

По сообщениям экспертов, преступник получил такой охват, скомпрометировав SDK EasyLanguage, который используется во всех пораженных программах. Организатор кампании, 22-летний Луо Моумоу (Luo Moumou), встроил троян собственной разработки в 50 различных приложений, включая аддон к самому популярному в Китае мессенджеру QQ. Позднее появилась информация, что злоумышленник атаковал и других киберпреступников, которым продвигал свой продукт как банковский троян, скрывая его вымогательские функции.

Зловред шифрует пользовательские данные с применением XOR-функции и требует с жертв по 110 юаней в качестве выкупа (чуть больше 1000 руб.). В дополнение к этому UNNAMED1989 похищает аккаунты китайских онлайн-сервисов: Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud и Jingdong.

По словам экспертов, большинство жертв Моумоу не пользовались защитным ПО, из-за чего шифровальщик продолжал распространяться, даже когда антивирусные разработчики внесли его сигнатуры в свои базы.

Аналитики быстро определили личность преступника — уже в первые дни после всплеска атак им удалось установить его имя, номер мобильного и прочие данные. В ходе расследования они обнаружили два сервера с более чем 20 тыс. паролей к аккаунтам интернет-магазина Taobao и платежной системы Alipay. По словам специалистов, Моумоу допустил немало промахов, например, указал свою реальную информацию при регистрации доменов, которые позже использовал для приема платежей.

Преступник шифровал данные с применением простой функции, поэтому ИБ-эксперты смогли быстро создать декриптор. Примечательно, что в требовании выкупа Моумоу упоминал более стойкий шифр, нежели тот, что использовал на самом деле.

О низкой подготовке вымогателя говорит и то, что зловред фактически не мог исполнить угрозу и уничтожить пользовательские данные. В тексте говорилось, что ключ для расшифровки будет уничтожен по окончании периода ожидания — в реальности же он был вшит в код программы.

Как отметили журналисты, со стороны преступника также было ошибкой использовать WeChat — китайские правоохранители давно научились отслеживать преступников через этот сервис.

Источник: https://threatpost.ru/unnamed1989-author-busted/29627/

Эксперты компании Bad Packet LLC предупреждают о массированных атаках на Ethereum-кошельки и ПО для майнинга. Злоумышленники крадут криптоактивы через незащищенные порты 8545, которые использует программный интерфейс JSON-RPC (JavaScript Object Notation Remote Procedure Call).

Он позволяет приложениям обмениваться данными между собой и с другими сервисами, через него в том числе идут операции зачисления валюты и проведения платежей. Как поясняют специалисты, данный протокол не предназначен для внешних подключений, поэтому по умолчанию он не защищен паролем.

Предполагается, что при первоначальной настройке пользователи криптокошельков или майнеров должны сами ограничить доступ к ним. Еще в 2015 году представители Ethereum призывали владельцев криптовалюты установить пароль или спрятать уязвимый порт за межсетевым экраном.

Тем не менее, многие пользователи пренебрегают этими мерами предосторожности, позволяя злоумышленникам перехватывать контроль над активами и выводить средства. Эксперты отмечают, что активное сканирование незащищенных портов зачастую совпадает со скачками курсов криптовалют.

Так, о первых подобных инцидентах сообщалось в ноябре 2017 года, когда Ethereum за месяц вырос более чем на 50%. Ситуация повторилась в январе 2018-го на фоне абсолютных рекордов стоимости токенов. За этими атаками последовали кампании в мае и июне. Аналитики Qihoo 360 Netlab оценили доход всего одной стоящей за этими инцидентами группы более чем в $20 млн.

Многие производители ПО для майнинга и управления криптовалютами превентивно закрывают уязвимый порт или вовсе отказываются от использования JSON-RPC. Однако, как отмечают эксперты, эти угрозы не потеряют актуальность, пока такие меры не станут общепринятыми. В некоторых случаях ситуацию усугубляют и сами разработчики, у которых уходит до двух лет на то, чтобы закрыть брешь.

Атаки через интерфейс JSON-RPC угрожают не только владельцам криптоактивов. В январе 2018 года такая уязвимость нашлась в программном клиенте Blizzard, которым пользуются 500 млн человек. Брешь позволяла взломщикам перехватывать сетевой трафик жертвы и отправлять ей вредоносные файлы. Позднее подобную проблему нашли в двух приложениях uTorrent. В их случае преступники получали возможность выполнять на пользовательской машине сторонний код.

Источник: https://threatpost.ru/cryptomaniacs-under-hackers-scrutiny/29681/