0 Пользователей и 1 Гость просматривают эту тему.
В 2017 году группа TeleBots продолжила атаки, которые стали более изощренными. С января по март 2017 года группа скомпрометировала украинскую компанию, разрабатывающую программное обеспечение (не M.E.Doc) и, используя VPN-туннели, получила доступ к внутренним сетям нескольких финансовых учреждений....Одной из вредоносных программ, распространявшихся с помощью скомпрометированного механизма обновлений M.E.Doc, был VBS-бэкдор, который использует группа TeleBots. На этот раз атакующие снова использовали доменные имена, связанные с финансовой темой: bankstat.kiev[.]ua....И Diskcoder.C, и Win32/Filecoder.AESNI.C использовали атаки на цепь поставок (supply-chain attack) в качестве начального вектора заражения. Эти семейства вредоносного ПО передавались при помощи программного обеспечения для отчетности и документооборота M.E.Doc, которое широко используется в бухгалтерском учете. Существует несколько вариантов проведения этих атак. У M.E.Doc есть внутренняя система обмена документами и сообщениями, так что хакеры могли использовать фишинг. В этом случае необходимо взаимодействие с пользователем, возможно, не обошлось без социальной инженерии. Поскольку Win32/Filecoder.AESNI.C не распространился слишком широко, мы сначала решили, что были задействованы именно эти методы. Но последующая эпидемия Diskcoder.C дает основания предполагать, что у хакеров был доступ к серверу обновлений легитимного ПО M.E.Doc. С его помощью атакующие могли направлять вредоносные обновления с их установкой автоматически без участия пользователя. Поэтому так много систем на Украине пострадало от этой атаки. Кажется, что создатели малвари недооценили способности Diskcoder.C к экспансии.Исследователи ESET нашли подтверждение этой теории. Мы обнаружили PHP-бэкдор в файле medoc_online.php в одной из директорий на сервере FTP M.E.Doc. Доступ к бэкдору можно было получить через HTTP, хотя он был зашифрован, и атакующему нужен был пароль для его использования. ...Группа TeleBots совершенствует инструменты деструктивных атак. Вместо направленных фишинговых писем с документами, содержащими вредоносные макросы, они использовали более сложную схему, известную как кибератаки на цепи поставок (supply-chain attack). До начала эпидемии группа атаковала преимущественно финансовый сектор. Вероятно, что последняя кампания была нацелена на украинский бизнес, но атакующие недооценили возможности вредоносной программы – малварь вышла из-под контроля.
Добрый день! 27 июня началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем WannaCry. Есть множество сообщений о том, что от нового вируса пострадало несколько крупных компаний по всему миру, и, похоже, масштабы бедствия будут только расти. Существовали предположения о том, что это все тот же WannaCry (но это не он), а также, что это вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr. Зачем участвовать в вебинаре Эксперты «Лаборатории Касперского» продолжают изучать новый вирус, и на вебинаре мы расскажем подробнее об этой угрозе и том, как не стать жертвой очередного шифровальщика, а также продемонстрируем настройку компонентов защиты решениях «Лаборатории Касперского» для максимальной , а также ответим на все ваши вопросы в режиме реального времени. Как противостоять шифровальщику exPetr – по горячим следам.5 июля 2017 года, 11.00 (МСК) На вебинаре спикеры: • Напомнят, что такое вирусы-шифровальщики и чем они опасны для вашего бизнеса• Расскажут о новых модификациях шифровальщиков и растущем уровне угрозы• Проведут обзор современных инструментов защиты• Продемонстрируют настройку функционала для защиты от шифровальщиковРегистрация
Зачем участвовать в вебинаре
Спикеры Руководитель отдела антивирусных исследований, «Лаборатория Касперского». Инженер предпродажной поддержки клиентов, «Лаборатория Касперского».
Как бы это не свелось к банальному "покупайте наших слонов"™
Описание IntrusionЛогика Intrusion-атак заключается в попытке удаленно, по сети эксплуатировать уязвимые или неправильно сконфигурированные приложения, службы и операционные системы для выполнения произвольного кода и реализации несанкционированной сетевой активности.Успешно реализованная Intrusion-атака может привести к удаленному выполнению кода на целевых узлах.ОписаниеServer Message Block (SMB) – это сетевой протокол прикладного уровня, работающий через TCP-порты 139 и 445, которые широко используются для предоставления общего доступа к файлам и принтерам, а также для удаленного доступа к службам.Атака Intrusion.Win.MS17-010.* нацелена на компьютеры под управлением Windows и реализуется в попытке эксплуатировать уязвимости протокола SMB, которые были закрыты в бюллетене Microsoft Security Bulletin MS17-010 ( https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 ). Результатом успешной эксплуатации этих уязвимостей может стать удаленное выполнение кода на атакуемых компьютерах, что позволит злоумышленнику загрузить вредоносную программу и распространить ее на другие уязвимые узлы в сети.Успешно реализованная атака позволяет злоумышленнику удаленно выполнить код на атакуемых компьютерах, загрузить вредоносную программу и распространить ее на другие уязвимые узлы в сети.Эксплойты, нацеленные на уязвимости, закрытые в MS17-010, были использованы в атаках вирусов-вымогателей WannaCry и ExPetr.