«Яндекс» предупреждает: на российских веб-сайтах расплодилось большое количество мошеннических объявлений, в которых посетителей просят ввести номер мобильного телефона, а затем — код, присланный в SMS. Согласно данным компании, такие сайты посещает 21% месячной аудитории Рунета и около 2% суточной, в сутки на них приходится в среднем свыше 10 млн. визитов, в результате которых жертвы теряют десятки миллионов рублей.

Эти цифры прозвучали в докладе «Мошеннические интернет сайты, опыт противодействия», представленном на конференции РИФ+КИБ 2013 руководителем группы антивирусных проектов «Яндекс» Александром Сидоровым. По его словам, поисковая система «Яндекс» опознает мошеннические сайты, ограничивает число их показов в выдаче, предупреждая пользователей об опасности, а также отправляет списки этих сайтов партнерам.

В марте текущего года компании «Яндекс», Mail.ru Group, Google, «ВКонтакте», «Лаборатория Касперского», Group-IB и «Доктор Веб» опубликовали совместное заявление, в котором отметили рост случаев сбора телефонных номеров для принудительной подписки абонентов на платные услуги. Злоумышленники создают имитации популярных ресурсов и размещают на них объявления типа «Вы выиграли приз», «Ваш аккаунт заблокирован» и т.п. Созданные страницы содержат поле для ввода номера телефона, на который впоследствии высылается SMS с кодом подтверждения. После ввода этого кода на мошенническом веб-сайте жертва в качестве «приза» получает SMS-подписку, за которую с ее счета ежедневно списываются деньги.

Чтобы обезопасить пользователей от этого вида мошенничества, названные компании наладят взаимный обмен данными об угрозах и оповещение телеоператоров о коротких номерах, используемых злоумышленниками. Потенциальным жертвам напоминают о бдительности, рекомендуют тщательно проверять адреса страниц с заманчивыми объявлениями и использовать специализированную программную защиту. Избавиться от навязанного сервиса можно, обратившись к своему сотовому оператору.

В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

Компания «Яндекс» запустила бета-версию бесплатного сервиса Яндекс.DNS, ограничивающего доступ к вредоносным ресурсам и сайтам для взрослых.

Для фильтрации новая служба использует данные поиска и собственного антивируса «Яндекс». При попытке зайти на опасный сайт с настольного компьютера, ноутбука или мобильного устройства пользователю выводится сообщение о блокировке.

Яндекс.DNS работает в трех режимах: без фильтрации, с защитой от вредоносного контента и в режиме семейного фильтра – с блокировкой вредоносных и нежелательных ресурсов. Каждой опции соответствует свой адрес DNS. Режим без фильтрации «Яндекс» рекомендует использовать тем, кому требуется лишь быстрая и надежная DNS-служба.

Настроить Яндекс.DNS можно через точку беспроводного доступа или маршрутизатор, прописав один из трех адресов этой службы в качестве основного. Соответствующие обновления прошивки пока доступны лишь для устройств D-Link и ZyXEL, но в будущем ожидается расширение списка поддерживаемых устройств. Инструкции по настройке DNS-сервиса «Яндекс» вручную приведены на сайте dns.yandex.ru.

После публикации нашего отчета коллеги из компании Seculert обнаружили еще один вектор доставки вредоносного кода, примененный в атаках Red October, и опубликовали в блоге сообщение о его использовании.

В дополнение к документам Office (CVE-2009-3129, CVE-2010-3333, CVE-2012-0158), злоумышленники, по-видимому, использовали для проникновения в сети жертв эксплойт для уязвимости (CVE-2011-3544) в Java (MD5: 35f1572eb7759cb7a66ca459c093e8a1 – «NewsFinder.jar»), известный под именем Rhino.

В Гааге состоялась официальная церемония открытия Европейского центра по борьбе с киберпреступностью (European Cybercrime Centre, EC3). Новообразование, призванное оказывать информационную, оперативную и экспертную поддержку расследованиям на региональном и международном уровнях, будет функционировать на базе Европола. Данная организация учреждена в рамках стратегии внутренней безопасности ЕС, принятой 3 года назад, и укомплектована новейшими технологиями. Новую команду составили лучшие специалисты Европола, а также академические и security-эксперты из стран-участниц Евросоюза. EC3 будет заниматься сбором и обработкой данных по киберинцидентам на территории Европы, производить экспертную оценку интернет-угроз, стимулировать информационный обмен, разрабатывать и насаждать передовые методы профилактики и расследования киберпреступлений, растить новые кадры, оказывать помощь правоохранительным и судебным органам, а также координировать совместные действия заинтересованных сторон, направленные на повышение уровня безопасности в европейском киберпространстве.

Министерство юстиции США и ФБР объявили об успешном проведении полицейских рейдов в Боснии и Герцеговине, Македонии, Новой Зеландии, Перу, Великобритании и США. Международная операция по выявлению ОПГ, распространяющих многочисленные варианты IM-червя Yahos и владеющих многомиллионным ботнетом, проводилась при активной поддержке местных силовиков и закончилась 10 арестами.

Детали, представленные в пресс-релизе ФБР, скудны и туманны. Известно лишь, что речь идет об 11 млн. заражений и $850-миллионном ущербе. Федеральные агенты также отмечают, что большую помощь в выявлении распространителей Yahos им оказала служба безопасности Facebook. Дело в том, что пару лет назад этот червь, наделенный функционалом IRC бота, обрел дополнительные возможности, открывшие ему врата в социальную сеть. Экспертам Facebook удалось идентифицировать аккаунты, с которых осуществляется распространение зловредных ссылок, определить масштабы распространения, ― к слову сказать, весьма скромные ― и первоисточники.

MoneyGram International согласилась перечислить в американскую казну 100 млн. долл., которые пойдут на выплату компенсаций жертвам мошеннических схем, использующих ее службу денежных переводов. Конфискация в пользу потерпевших является одним из условий соглашения об отсрочке судебного преследования, подписанного представителями компании в окружном суде Пенсильвании.

MoneyGram признала, что держит в штате коррумпированных сотрудников и смотрит сквозь пальцы на их участие в процессе отмывания денег. Главной причиной падения MoneyGram является перекос в приоритетах: если местный офис приносит большие барыши, отдел продаж активно поддерживает его на плаву, игнорируя жалобы жертв мошенничества и сигналы штатной анти-фрод службы. Презрев все нормы этичного ведения бизнеса, компания гонится лишь за прибылью, и при ее попустительстве мошенники успешно грабят тысячи американских граждан.

Российская организация Лига безопасного интернета, ведущая борьбу с запрещенным контентом в интернете, решила расширить круг своих интересов и впредь будет заниматься также вопросами кибербезопасности.

Лига безопасного интернета создана при поддержке Минкомсвязи РФ и реализует свои цели путем самоорганизации профессионального сообщества, представителей интернет-индустрии и рядовых пользователей. Ее участниками являются ведущие телеоператоры России (Ростелеком, МТС, Мегафон, Билайн), IT-компании (Mail.Ru Group, «Лаборатория Касперского», Entensys), интернет-ресурсы и общественные организации (Фонд развития интернет, РОЦИТ).

Решение о создании нового направления в Лиге было принято на заседании ее Попечительского совета, посвященном обсуждению перспектив и подведению итогов работы за последний год. Объекты внимания активистов пополнят фишинг, DDoS-атаки, мошенничество средствами интернета и мобильной связи, хищение денежных средств с онлайн-счетов. Новый проект предусматривает такие виды деятельности, как сбор и обобщение информации по киберпреступлениям, а также создание методик защиты, включая теоретические разработки и выпуск специализированного ПО. Эти задачи планируется выполнять с привлечением специалистов по IT-безопасности, правоохранительных органов и общественности.

В мае 2012 года в ходе проведенного «Лабораторией Касперского» расследования было обнаружено новое вредоносное ПО, представляющее собой систему государственного кибершпионажа. Оно получило название «Flame». В процессе расследования нам удалось выявить некоторые отличительные черты модулей Flame. Основываясь на этих чертах, мы обнаружили, что в 2009 году в состав первого варианта червя Stuxnet входил модуль, созданный на платформе Flame. Это подтвердило, что группы, которые создавали платформы Flame и Tilded (Stuxnet/Duqu), каким-то образом взаимодействовали между собой.

Результатом углубленного исследования, проведенного в июне 2012 года, стало обнаружение еще одной неизвестной на тот момент вредоносной программы, созданной при государственной поддержке. Мы назвали ее «Gauss». Программа имела модульную структуру, аналогичную структуре Flame, похожую кодовую базу и систему взаимодействия с серверами управления (C&C). Имеется сходство с Flame и по множеству других параметров.

В партнерстве с Symantec, ITU-IMPACT и CERT-Bund/BSI мы также выполнили анализ командных серверов Flame и опубликовали его результаты. Анализ показал, что код понимает несколько протоколов, применяемых при обмене данными с различными «клиентами», или вредоносными программами:

• OldProtocol
• OldProtocolE
• SignupProtocol
• RedProtocol (упоминается, но не реализован)

Очередной этап борьбы с неконтролируемым сбытом медикаментов в интернете, проводимой в рамках трансграничной операции "Пангея", завершился рекордными результатами. Закрыто 18 тыс. сайтов, связанных с теневой ”фармой”, произведено 79 арестов, изъято 3,75 млн. потенциально опасных препаратов на общую сумму 10,5 млн. долл.

Число стран-участниц тоже увеличилось – до 100 против 81 в прошлом году. Национальные рейды проводились в течение недели, с 25 сентября по 2 октября. Под удар попали все звенья подпольного фармбизнеса: торговые точки, платежные системы, изготовители, поставщики и, конечно, "партнерки", продвигающие контрафактные лекарства и доморощенные снадобья через спам-рассылки.