http://www.securelist.com/ru/ 04 Feb 2012 12:49:25 +0400 http://www.securelist.com/ru/rss/klogo.gif http://www.securelist.com/ru/ webmaster@securelist.com (Мария Наместникова) <p> В январе традиционно начинаются рассылки, посвященные Дню святого Валентина. В этом году первую довольно небольшую спам-рассылку, предлагающую подарки к празднику, мы получили 14 января. С этого момента «валентинов» спам стал появляться в почтовом трафике довольно регулярно. Как показывает практика, рассылки посвященные Дню святого Валентина, обычно не столь многочисленны, как новогодние. В 2011 году доля таких рассылок в пиковый период (на второй неделе февраля) составила 0,21% от всех спамерских сообщений. Вероятно, на следующей неделе и за пару дней до праздника доля валентинова спама окажется ничуть не меньше, чем год назад. На уходящей неделе доля такого спама составила всего 0,004% от всего спам-трафика. И хотя эта цифра не слишком впечатляет, необходимо напомнить, что спамеры ежедневно распространяют миллиарды сообщений, а это значит, что в Сети ежедневно распространяется несколько сотен тысяч сообщений, посвященных Дню святого Валентина. </p> <p><p> Подавляющее большинство спамерских валентинок англоязычны. Разумеется, в разных сегментах интернета встречаются рассылки и на других языках, однако англоязычные рассылки наиболее многочисленны и встречаются в спам потоках в разных странах. В свою очередь подавляющее большинство англоязычных рассылок относятся к «партнерскому» спаму. Англоязычные партнерские рассылки, посвященные дню святого Валентина, можно поделить на три группы: во-первых, это рассылки традиционно спамерских товаров - медикаментов и реплик элитных товаров - наполненные праздничной атрибутикой, с помощью которой спамеры пытаются привлечь внимание пользователей к своим сообщениям. Второй вид рассылок - это предложения от сезонных партнерских программ. Сюда входят предложения подарков для любимых, цветов и прочей продукции с праздничной символикой. Третий и наиболее опасный вид рассылок, посвященных Дню святого Валентина - вредоносные рассылки, подделанные под открытки с поздравлениями. В последние годы такие рассылки нечасто встречались в спам-потоках, но их не стоит сбрасывать со счетов. </p><p><p> На днях мы зафиксировалил рассылку, которая занимает промежуточное положение между вторым и третьим видом. Это англоязычное письмо, предлагающее отправить любимым бесплатные электронные открытки. </p> <p class=c><img src="images/pictures/klblog/207766954.jpg" border="1" alt="" title=""></p><p><p> Вопреки ожиданиям, по ссылке в письме не было вредоносной программы, однако и электронных открыток там тоже не было. </p> http://www.securelist.com/ru/blog/207766953/Takie_nadoedlivye_valentinki http://www.securelist.com/ru/blog/207766953/Takie_nadoedlivye_valentinki 03 Feb 2012 13:17:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Британская компания NCC Group, специализирующаяся в области информационной защиты, <a href="http://www.nccgroup.com/NewsAndEvents/Latest/12-02-01/Origins_of_Global_Hacks.aspx" target="_blank">опубликовала</a> Тор 10 стран, с территории которых осуществляются хакерские атаки. </p><p><p>Географический рейтинг хак-плацдармов возглавляют США и Китай, на долю которых в минувшем году приходилось 22 и 16% попыток взлома соответственно. По совокупности эти нападения ежегодно обходятся мировой экономике в 43 млрд. долл. Третье место с большим отрывом занимает Россия с показателем 3,6%; годовой ущерб от действий российских хакеров составляет порядка 4 млрд. долл. Пятерку лидеров замыкают Бразилия (3,5%) и Италия (3,1%).</p> <p><p>Примечательно, что половину позиций в Тор 10 занимают страны Западной Европы. С территории Италии, Голландии, Франции, Дании и Германии было произведено почти 200 млн. непрошеных вторжений, обошедшихся жертвам в 16 млрд. долл. Великобритания оказалась за пределами ведущей «десятки», заняв 15-е место. Однако, по оценкам исследователей, деятельность британских хакеров причиняет значительный ущерб; в минувшем году его размеры составили 2 млрд. долл. </p> . <p>Рейтинг NCC был составлен на основе данных о несанкционированных вторжениях, представленных добровольцами в рамках проекта DSHield (автор &#8213; американский институт SANS). Итоговая статистика учитывает все попытки взлома, как успешные, так и провальные. </p> http://www.securelist.com/ru/blog/40991/NCC_opredelila_propisku_khakerov http://www.securelist.com/ru/blog/40991/NCC_opredelila_propisku_khakerov 02 Feb 2012 18:19:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Румынии <a href="http://nakedsecurity.sophos.com/2012/01/31/tinkode-arreste/" target="_blank">задержан</a> 20-летний студент, подозреваемый во взломе сайтов Пентагона и НАСА. </p> <p><p>Полицейские убеждены, что будущий ИТ-профи Маноле Разван Чернэяну (Manole Razvan Cern&#259;ianu) &#8213; не кто иной, как <a href="http://www.securelist.com/ru/blog/40962/Obidchik_NASA_otdelalsya_uslovnym_srokom" target="_blank">TinKode</a>. Сей азартный взломщик известен тем, что атакует именитые сайты для забавы, похваляется своими «подвигами» в социальных сетях и публикует обнаруженные уязвимости. На счету TinKode немало «боевых трофеев», хотя предпочтение он отдает американским ресурсам. Два года назад от его проделок пострадал официальный сайт британских ВМС, лишившись ряда паролей. TinKode также причастен к взлому сайтов Европейского космического агентства и MySQL, куда он цинично проник посредством SQL-инъекции. </p><p><p>Поскольку в расследовании, помимо румын, принимали участие ФБР и НАСА, Чернэяну инкриминируются лишь незаконное вторжение в американское пространство и нарушение нормального функционирования компьютерных ресурсов. В доказательство новых успехов хакер успел опубликовать видеоролик с демонстрацией кибератак, а также предлагал в своем блоге поделиться хакерским инструментарием. </p> http://www.securelist.com/ru/blog/40990/U_rumynskikh_khakerov_ocherednaya_poterya http://www.securelist.com/ru/blog/40990/U_rumynskikh_khakerov_ocherednaya_poterya 02 Feb 2012 18:12:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По наблюдениям ZeuS Tracker, ботоводы ZeuS <a href="http://www.abuse.ch/?p=3581" target="_blank">начали</a> мигрировать из российской национальной зоны .ru в зону .su. </p><p><p>Согласно статистике швейцарских экспертов, зона .ru на протяжении нескольких лет активно использовалась злоумышленниками для размещения центров управления этим зловредом. Однако в начале текущего года количество таких C&C площадок заметно уменьшилось. Сократилось также время жизни новых ru-доменов, приобщаемых к командной инфраструктуре ZeuS. Если раньше оно измерялось неделями и даже месяцами, то в настоящее время составляет от 4 до 24 часов. </p><p><p>Активисты полагают, что главной причиной такого успеха является обновление правил регистрации доменных имен в зонах .ru и .рф, которые были <a href="http://cctld.ru/ru/press_center/news/news_detail.php?ID=1985" target="_blank">введены в силу</a> в минувшем ноябре. В <a href="http://cctld.ru/ru/docs/rules.php" target="_blank">новой редакции</a> пункт 5.7 разрешает регистратору прекратить делегирование домена по запросу некой компетентной организации, если она представила доказательства, что этот домен используется для фишинга, несанкционированного доступа к чужим ресурсам, распространения зловредов или для управления ботнетом. Список компетентных организаций Координационный центр домена .ru обещает публиковать на страницах своего сайта. </p> <p><p>Как бы то ни было, ботоводы ZeuS начали искать tld-зону с более благоприятным климатом и остановились на полузабытой, но еще активной .su. В настоящее время число su-доменов в списках ZeuS Tracker растет, 2 из 4-х C&C долгожителей-рекордсменов тоже размещены в этой зоне. При отсутствии в логах легальных запросов, ассоциированных с этим доменным пространством, эксперты советуют просто блокировать его на шлюзе. </p><p><p>Согласно статистике ZeuS Tracker по состоянию на 1 февраля, число активных центров управления ZeuS в Сети <a href="https://zeustracker.abuse.ch/" target="_blank">приближается</a> к 200. Больше половины из них <a href="https://zeustracker.abuse.ch/statistic.php" target="_blank">находятся</a> на территории США, вдвое меньше &#8213; в России. Из регистраторов хуже всех ситуация у российских «Наунет СП» (94 домена, ассоциированных с ZeuS) и REG.RU (78), из AS-провайдеров &#8213; у азербайджанской ADaNET (15 C&C серверов) и американской GNAXNET (12). </p> http://www.securelist.com/ru/blog/40989/Zevs_nashel_tikhuyu_gavan http://www.securelist.com/ru/blog/40989/Zevs_nashel_tikhuyu_gavan 02 Feb 2012 17:58:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Во второй половине минувшего года эксперты Sophos <a href="http://www.sophos.com/en-us/press-office/press-releases/2012/01/security-threat-report-2012.aspx" target="_blank">регистрировали</a> в среднем 30 тыс. вредоносных страниц в сутки &#8213; в полтора раза больше, чем в предыдущем полугодии. Более 80% этих страниц были обнаружены на взломанных серверах безвинных организаций. </p><p><p>В настоящее время главным видом кибератак являются drive-by загрузки. В 10% случаев вредоносные объекты, обнаруженные Sophos в интернете, были отнесены к разряду эксплойтов, две трети из них были представлены набором Blackhole. 67% детектов пришлось на долю редиректов, около половины которых были привязаны к ресурсам с Blackhole. Согласно статистике Sophos, в настоящее время этот эксплойт-пак является главной угрозой в Сети и атакует в первую очередь уязвимости в Java, Flash Player и Adobe Reader. Blackhole быстро обновляется с появлением новых брешей и в случае успешной эксплуатации награждает пользователя ботом (чаще всего ZeuS), руткит-дроппером (TDSS или ZeroAccess) или фальшивым антивирусом. </p> <p><p>Присутствие последних в Сети с середины года пошло на убыль, однако с ними все еще приходится считаться. По данным Sophos, в июле-декабре на долю лжеантивирусов приходилось 5,5% детектов. Эксперты полагают, что этот спад &#8213; явление временное, злоумышленники, скорее всего, просто перейдут на другие механизмы распространения этих поддельных продуктов. </p> <p><p>Наиболее атакуемой платформой, вопреки регулярным починкам, остается Windows. Подавляющее большинство современных кибератак на этой платформе проводятся посредством эксплойта сторонних приложений &#8213; в первую очередь, Adobe Reader и Flash. Однако, как показал минувший год, пользователи Mac OS тоже не застрахованы от назойливого внимания злоумышленников. Появление череды поддельных антивирусов типа MacDefender тому прямое свидетельство. </p> <p><p>Особый раздел в полугодовом отчете Sophos посвящен Conficker/Kido, который, несмотря на давность, все еще сильно досаждает владельцам ПК. Согласно статистике компании, этот могучий червь до сих пор возглавляет рейтинг опасных зловредов. В минувшем полугодии он был ответственен за <a href="http://www.sophos.com/medialibrary/PDFs/other/SophosSecurityThreatReport2012.ashx" target="_blank">14,8%</a> заблокированных попыток заражения. Его живучесть эксперты объясняют агрессивной способностью к самораспространению и небрежением пользователей, не удосужившихся вовремя установить надлежащие заплатки. </p> http://www.securelist.com/ru/blog/40988/Sophos_ob_ekspansii_setevykh_ugroz http://www.securelist.com/ru/blog/40988/Sophos_ob_ekspansii_setevykh_ugroz 02 Feb 2012 17:46:00 +0400 webmaster@securelist.com (Мария Гарнаева) <p>Прошло четыре месяца с тех пор, как Microsoft и «Лаборатория Касперского» объявили о прекращении работы ботнета <a href='http://www.securelist.com/ru/blog/40767/Kak_Laboratoriya_Kasperskogo_otklyuchila_botnet_Hlux_Kelihos'>Kelihos/Hlux</a>. Использовавшийся в ходе этого отключения метод sinkhole-маршрутизатора имеет преимущества, так как с его помощью можно обезвредить ботнет достаточно быстро без взятия под контроль главных командных серверов. Однако, как стало ясно позже, этого не достаточно, если хозяева ботнета остаются на свободе.</p> <p>Вскоре после того, как был взят под контроль Kelihos/Hlux, мы наткнулись на новые самплы, которые очень напоминали исходную версию бота. Проведя сравнительный анализ, мы нашли все отличия новой версии от исходной. Здесь будет представлено краткое резюме этого исследования.</p> <p>Начнем с самого нижнего уровня, с криптования и упаковки сообщений Kelihos/Hlux в коммуникационном протоколе, которые представлены в виде древовидной структуры:</p> <table class=fullbrd align=center> <tr> <td> &#8470; </td> <td> <b>Старый Hlux </b> </td> <td> <b>Новый Hlux </b> </td> </tr> <tr> <td> 1 </td> <td> Blowfish с ключом 1</td> <td> Blowfish с новым ключом 1 </td> </tr> <tr> <td> 2 </td> <td> 3DES с ключом 2 </td> <td> Распаковка с помощью Zlib </td> </tr> <tr> <td> 3 </td> <td> Blowfish с ключом 3</td> <td> 3DES с новым ключом 2</td> </tr> <tr> <td> 4 </td> <td> Распаковка с помощью Zlib </td> <td> Blowfish с новым ключом 3</td> </tr> </table> http://www.securelist.com/ru/blog/40982/Vozvrashchenie_botneta_Kelihos_Hlux_s_novymi_tekhnikami http://www.securelist.com/ru/blog/40982/Vozvrashchenie_botneta_Kelihos_Hlux_s_novymi_tekhnikami 02 Feb 2012 12:12:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По свидетельству KrebsOnSecurity.com, партнерская программа GlavTorg, специализирующаяся на продвижении поддельных предметов роскоши, с февраля <a href='http://krebsonsecurity.com/2012/01/glavmed-sister-program-glavtorg-to-close/' target=_blank>прекращает</a> свою деятельность.</p><p><p>Запуск этой российской «партнерки» был объявлен в 2010 году, в День независимости США. Кребс утверждает, что операторами GlavTorg.com являлись соучредители аналогичных предприятий, опекавших нелицензированные интернет-аптеки, &#8213; Главмеда и <a href='http://www.securelist.com/ru/blog/32965/Padenie_doma_spamerov'>SpamIt</a>. Во всяком случае, первый анонс о новой партнерской программе появился на форуме Glavmed. Подопечные интернет-магазины GlavTorg занимались сбытом дешевых имитаций модных сумок, часов, солнцезащитных очков и обуви &#8213; такие подделки часто рекламируются через спам. </p><p><p>По всей видимости, новая «партнерка» оказалась убыточной. В минувшем декабре участникам GlavTorg было объявлено, что программа будет свернута по причине «ухудшения качества продукции, предлагаемой поставщиками», а выплаты будут производиться лишь до 31 января. Судя по объявлению на стартовой странице русскоязычного сайта, домен glavtorg.ru уже выставлен на продажу. </p><p><p>Кребс полагает, что реальной причиной закрытия GlavTorg является прессинг со стороны владельцев торговых марок, незаконно использующихся для продвижения подделок. В сентябре прошлого года Chanel подала иск против владельцев интернет-магазинов, торгующих репликами ее товаров. Среди десятков доменов, переданных по суду компании, оказался и topbrandclub.com, крупнейший контрактор GlavTorg. На домашней странице этого ресурса теперь красуется предостережение от Chanel, адресованное потенциальным покупателям контрафакта. </p> http://www.securelist.com/ru/blog/40981/Rossiyskiy_torgovets_kontrafaktom_soshel_s_distantsii http://www.securelist.com/ru/blog/40981/Rossiyskiy_torgovets_kontrafaktom_soshel_s_distantsii 01 Feb 2012 14:48:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Городской суд Йошкар-Олы <a href='http://genproc.gov.ru/news/news-74791/' target=_blank>вынес</a> приговор по уголовному делу 32-х участников криминальной группы, которая за 3 года выманила у иностранцев свыше 5,5 млн. руб., поддерживая с ними переписку от имени перспективных «невест».</p><p><p>Как показало расследование, данная группировка действовала на территории республики Марий Эл с осени 2004 по июль 2007 гг. Аферисты <a href='http://www.securelist.com/ru/blog/40866/Mariyskiy_konveyer_dzhulett_vstal_na_prikol'>арендовали</a> несколько квартир в Йошкар-Оле и соседнем поселке Медведево, оборудовали каждую десятком компьютеров и наняли студентов, которые круглосуточно строчили послания сетевым романтикам. В ходе переписки жертву неоднократно просили перевести деньги для различных нужд, которые на самом деле шли на оплату аренды, покупку электронного оборудования и содержание охраны. По данным следствия, мошенникам удалось получить 225 денежных переводов от 125 обманутых иностранцев, большинство которых &#8213; граждане США, а также канадцы, немцы, британцы и австралийцы. </p><p><p>Йошкар-олинский горсуд признал всех участников преступной группы виновными в нарушении ч. 4 ст. 159 УК РФ (мошенничество, совершённое организованной группой). Один из главарей, Алексей Васин, приговорен к 4,5 годам лишения свободы с отбыванием срока в исправительной колонии строгого режима. Остальные подельники получили от 3 до 5 лет условно с испытательным сроком 3 года и оштрафованы на разные суммы, от 4 до 15 тыс. руб.</p><p><p>29 других сообщников были осуждены ранее, еще 23 находятся под следствием.</p> http://www.securelist.com/ru/blog/40980/Mariyskie_dzhuletty_platyat_po_schetam http://www.securelist.com/ru/blog/40980/Mariyskie_dzhuletty_platyat_po_schetam 01 Feb 2012 14:17:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Facebook и генпрокуратура штата Вашингтон <a href='https://www.facebook.com/notes/facebook-security/facebook-washington-state-ag-target-clickjackers/10150494427000766' target=_blank>обвинили</a> маркетинговую компанию Adscend Media в использовании противозаконных методов ведения бизнеса и рассылке спама. Параллельные иски были поданы в двух американских штатах по предварительному соглашению.</p><p><p>Согласно исковым <a href='http://www.atg.wa.gov/uploadedFiles/Another/News/Adscend%20complaint.pdf' target=_blank>заявлениям</a>, 80% доходов Adscend приносила реализация партнерской CPA-программы (Cost per Action, «Оплата за действие»). В соответствии с этой моделью участник «партнерки» получает оплату за активность посетителей на целевых ресурсах, т.е. потенциальный клиент должен не только перейти на рекламируемый сайт, но и совершить там определенные действия: заполнить анкету, подписаться на рассылку, заказать товар и т.п. По утверждению истцов, оператор «партнерки» не только одобрял использование Facebook в качестве полигона, но и поощрял своих подопечных использовать любые способы для привлечения участников социальной сети на сторонние сайты &#8213; вплоть до спама и махинаций с «кликами». </p> http://www.securelist.com/ru/blog/40979/Bespretsedentnoe_partnerstvo_v_borbe_so_skamom http://www.securelist.com/ru/blog/40979/Bespretsedentnoe_partnerstvo_v_borbe_so_skamom 01 Feb 2012 13:12:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Арбитражный суд Челябинской области <a href='http://chel.fas.gov.ru/news/5626' target=_blank>оставил в силе</a> постановление местного УФАС, в соответствии с которым ОАО «Мегафон» должно уплатить 100 тыс. руб. штрафа за ненадлежащую рекламу.</p><p><p>Административное наказание было назначено телеоператору по результатам расследования, проведенного по жалобе одного из его абонентов. Как оказалось, «Мегафон», действительно, прикреплял рекламные тексты к USSD-сообщениям, автоматически направляемым в ответ на запрос о состоянии абонентского счета. Челябинское УФАС заключило, что такая практика подпадает под статью 18 федерального закона «О рекламе», которая запрещает проведение коммерческих рассылок с применением средств автоматизированного выбора адресатов. </p><p><p>ОАО «Мегафон» попыталось опротестовать решение УФАС в суде, считая, что избранный им способ рассылки не является автоматическим, так как список получателей рекламы формирует оператор, т.е. человек. Однако суд отклонил эти доводы, установив, что при составлении списка адресатов оператор вводит в программный комплекс лишь критерии отбора группы абонентов. Итоговый выбор номеров производит автомат, отправляя рекламу только тем участникам списка, которые запрашивают баланс. Следовательно, утверждение «Мегафон», что в данном случае выбор адресатов осуществлялся человеком, не соответствует действительности.</p> http://www.securelist.com/ru/blog/40987/Megafon_otvetit_za_SMS_spam http://www.securelist.com/ru/blog/40987/Megafon_otvetit_za_SMS_spam 01 Feb 2012 12:57:00 +0400 webmaster@securelist.com (Курт Баумгартнер) <p>Южнокорейские интернет-власти не торопятся закрывать ресурс с открыто распространяемым вредоносным кодом, эксплуатирующим уязвимость CVE-2012-0003, закрытую патчем Microsoft MS12-004, выпущенным в январе 2012 года. Как мы уже обсуждали, вредоносный код доступен с 21-го января, и похоже, что в последние дни атакам через этот сайт подверглось достаточно небольшое количество корейских пользователей. В данное время сайт по-прежнему действует.</p> <p>Похоже, что сам эксплойт надежен и его легко воспроизвести, и мы ожидаем, что он будет включен в состав популярных наборов эксплойтов, распространяемых через интернет. Судя по обсуждениям создателей эксплойтов, очень скоро в Сети появится исходный код «концептуального» эксплойта, что приведет к дальнейшему распространению эксплойта в течение нескольких дней. До сих пор наши продукты распознавали исходный вариант кода с помощью generic-детекта, созданного несколько лет назад, однако сейчас ведется работа над созданием детекта, который позволит обнаруживать javascript и эксплойт как Exploit.x.CVE-2012-0003. Немногочисленные посетители вредоносного сайта получали код, предназначенный для установки руткита и набора шпионских программ. Похоже, что руткит-компоненты нацелены на аккаунты к онлайн-играм, созданным южнокорейскими производителями игр в последние полгода.</p> <p>Эксплойт использует уязвимость в библиотеке winmm.dll Windows Media Player с помощью механизма heap spray, который, как это ни странно, работает на большинстве версий Windows вплоть до 64-битной Windows Server 2008 SP 2.</p><p><p>Пожалуйста, не забывайте устанавливать обновления системы. </p> http://www.securelist.com/ru/blog/40992/CVE_2012_0003_Eksployt_ITWv http://www.securelist.com/ru/blog/40992/CVE_2012_0003_Eksployt_ITWv 31 Jan 2012 13:16:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По данным Symantec, в декабре уровень спама в почтовом трафике <a href='http://www.symanteccloud.com/en/us/aboutus/general/itemdetails?a=xdpDI8FKOuo=&t=ufmF0TvVPTdu26gS7KOvWg' target=_blank>снизился</a> до 67,7%, а в январе подрос до 69,0%. Тем не менее, спамеры пока не дотягивают до среднегодовой отметки.</p><p><p>Основным источником мусорной почты остаются США, хотя по сравнению с ноябрем их вклад в спам-трафик сократился вдвое и в январе составил лишь 25,0%. Второе место заняла Индия с показателем 10,2%, третье &#8213; Бразилия (5,8%). В пятерку лидеров также вошли Россия (5,6% и Великобритания (4,4%). Самые высокие уровни спама наблюдались в Саудовской Аравии (75,5%), Китае (75,0%) и Бразилии (73,1%), а в разделении по отраслям хозяйственной деятельности &#8213; в сфере образования (71,0%).</p><p><p>В тематическом составе спама преобладала реклама фармацевтических препаратов, доля которой за 2 месяца выросла на 6,5 пунктов и в январе составила 38,0%. Еще заметней увеличилось количество рекламы поддельных предметов роскоши (27,5%), порноресурсов и сайтов знакомств (22,5%). В категории «Мошенничество» показатель уменьшился втрое и составил лишь 0,5%. 57,8% URL-спама содержало ссылки, привязанные к TLD-зоне .com, 9,4% &#8213; к зоне .ru. Общий размер нелегитимных сообщений несколько увеличился &#8213; в основном, за счет роста доли объемных писем (более 10 КБ), которая в январе составила 13,8%.</p> http://www.securelist.com/ru/blog/40978/Symantec_aktivnost_spamerov_po_prezhnemu_nevysoka http://www.securelist.com/ru/blog/40978/Symantec_aktivnost_spamerov_po_prezhnemu_nevysoka 31 Jan 2012 12:53:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Twitter <a href='http://www.lenta.ru/news/2012/01/26/twitter/' target=_blank>наблюдается</a> всплеск русскоязычного спама, содержащего вредоносные ссылки.</p><p><p>По всем признакам, вредоносные сообщения распространяются автоматизированными средствами. Все они предлагают разнообразные файлы для скачивания: сборники задач с решениями, дистрибутивы игр, аудиокниги, некие документы и т.п. Примечательно, что к вредоносным URL, указанным в этих записях, прикреплен один из нескольких популярных хэштэгов, таких как «#Россия», «#новости», «#интернет», «#Москва». По свидетельству Lenta.ru, соответствующие тематические разделы сейчас наполнены зловредным спамом, которого в несколько раз больше, чем релевантных записей.</p><p><p>Насколько известно, новая спам-атака началась в Twitter пару дней назад, накануне встречи Дмитрия Медведева со студентами МГУ. На тот момент в спам-шаблонах преобладал хэштэг «#жалкий», который часто используется в записях с критикой в адрес президента. В настоящее время интенсивность рассылки спама с этим хэштэгом составляет несколько десятков сообщений в минуту.</p> http://www.securelist.com/ru/blog/40977/Kogda_ssylki_ne_v_teme http://www.securelist.com/ru/blog/40977/Kogda_ssylki_ne_v_teme 27 Jan 2012 11:50:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Microsoft внесла <a href='http://blogs.technet.com/b/microsoft_blog/archive/2012/01/23/microsoft-names-new-defendant-in-kelihos-case.aspx' target=_blank>изменения</a> в исковые претензии к ботоводам Kelihos, добавив свидетельства против еще одного ответчика &#8213; россиянина Андрея Сабельникова.</p><p><p>По признанию экспертов, они вышли на это имя в результате анализа вредоносного кода. Новые находки позволили им заключить, что Сабельников принимал участие в создании зловреда и ботнета на его основе. Россиянин также регистрировал адреса, которые впоследствии использовались для управления Kelihos, в том числе 3,7 тыс. поддоменов в зоне cz.cc, вверенной dotFREE Group. Эта компания и ее владелец, Доминик Александер Пьятти (Dominique Alexander Piatti), фигурировали в качестве ответчиков в первоначальном варианте искового заявления Microsoft, однако при более тщательном расследовании Пьятти оказался обычным поставщиком веб-услуг, и обвинения с него <a href='http://www.securelist.com/ru/blog/40819/MS_khoster_Kelihos_ne_prichasten_k_ego_deyatelnosti'>были сняты</a>.</p> <p>Появление нового имени, которое Microsoft связывает с деятельностью Kelihos, породило волну журналистских расследований. В обновленном иске указано, что Сабельников &#8213; выпускник питерского университета по специальности «вычислительные системы и программирование». В настоящее время он живет в Санкт-Петербурге и работает как фрилансер в консалтинговой компании, занимающейся также разработкой софта, а ранее трудился в штате некоего поставщика защитных решений. Небезызвестный Брайан Кребс изучил профиль Сабельникова на LinkedIn и <a href='http://krebsonsecurity.com/2012/01/microsoft-worm-author-worked-at-antivirus-firm/' target=_blank>установил</a>, что нынешним местом его работы является Teknavo, создающая приложения для финансовых организаций, а прежним &#8213; Agnitum. Репортеры CNews <a href='http://www.cnews.ru/news/top/index.shtml?2012/01/25/474485' target=_blank>дополнили</a> этот послужной список еще двумя именами: R-Tools и Returnil, однако отметили, что Сабельников уже удалил с LinkedIn все данные о своей трудовой карьере. </p><p><p>Ботнет Kelihos, он же Hlux, был <a href='http://www.kaspersky.ru/news?id=207733584'>обезврежен</a> прошлой осенью стараниями Microsoft, ЛК и Kyrus. Злоумышленники использовали его для рассылки спама, кражи пользовательских данных, проведения DDoS-атак и многих других видов криминальной деятельности. Подменив управляющий центр ботнета, ЛК насчитала в его составе <a href='http://www.securelist.com/ru/blog/40767/Kak_Laboratoriya_Kasperskogo_otklyuchila_botnet_Hlux_Kelihos'>свыше 49 тыс.</a> уникальных IP-адресов. В настоящее время Kelihos неактивен, но истребить всю инфекцию на местах пока не удалось.</p> http://www.securelist.com/ru/blog/40976/Rossiyskiy_sled_Kelihos http://www.securelist.com/ru/blog/40976/Rossiyskiy_sled_Kelihos 27 Jan 2012 11:47:00 +0400 webmaster@securelist.com (Дэвид Эмм) <p>Как вы, наверно, помните, в 2011 году мы каждый месяц публиковали обои с антивирусным календарем. </p> <p>В этом году мы также публикуем антивирусные обои - с обновленными данными. Но мы решили подойти к делу немного иначе и опубликовать сразу 12 обоев на все месяцы года. </p> <p>Итак, обои на 2012 год лежат <a href='http://www.securelist.com/ru/calendar'>здесь</a>. </p> <p>Надеемся, вам понравится дизайн наших новых обоев, а данные будут вам интересны.</p> http://www.securelist.com/ru/blog/40975/Antivirusnye_oboi_na_2012_god http://www.securelist.com/ru/blog/40975/Antivirusnye_oboi_na_2012_god 25 Jan 2012 17:33:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Киото <a href='http://blog.trendmicro.com/kyoto-prefectural-police-arrests-suspects-related-to-one-click-billing-fraud' target=_blank>арестованы</a> шестеро местных жителей, подозреваемых в нарушении японского закона о киберпреступлениях. По предварительным оценкам, данная группировка, используя самопальную программу-блокер, выманила у пользователей 12 млн. иен (свыше 155 тыс. долл.).</p> <p>Подобные программы в Японии обычно распространяются через порносайты и маскируются под смачный видеоролик. Зловред загружается на машину жертвы при попытке его просмотра и препятствует дальнейшей работе, неустанно показывая провокационные картинки с требованием зарегистрироваться и оплатить доступ к веб-сервису. Оплату шантажисты рекомендуют производить прямым переводом на банковский счет. Суммы одноразовых «пожертвований» достаточно ощутимы, но никогда <a href='http://blog.trendmicro.com/the-ins-and-outs-of-one-click-billing-fraud/' target=_blank>не превышают</a> 100 тыс. иен (около 1,3 тыс. долл.) &#8213; порога, установленного японскими нормативами для банковских транзакций. </p><p><p>По свидетельству Trend Micro, эксперты которой участвуют в расследовании, названный способ вымогательства широко распространен в Японии. Мошенники делают ставку на чувство вины и стыда со стороны жертвы, которой легче выполнить их требования, чем нанять постороннего человека для избавления от одиозных заставок. При обнаружении блокировщика антивирусом его авторам достаточно изменить фрагмент кода, чтобы он вновь исчез с радаров. </p><p><p>В настоящее время в японском секторе интернета обнаружено 118 зараженных веб-сайтов, задействованных шантажистами. Японские власти поставили ситуацию на контроль и ежемесячно фиксируют в среднем 400 случаев вымогательства, осуществляемого по данной схеме. Однако многие жертвы предпочитают не оглашать свою промашку.</p> http://www.securelist.com/ru/blog/40974/Yaponskie_shantazhisty_predstanut_pered_sudom http://www.securelist.com/ru/blog/40974/Yaponskie_shantazhisty_predstanut_pered_sudom 25 Jan 2012 16:35:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Согласно результатам опроса, проведенного Check Point Software Technologies, за 2 года количество мобильных устройств в корпоративном обиходе <a href='http://www.checkpoint.com/press/2012/011812-check-point-businesses-admit-increase-security.html' target=_blank>увеличилось</a> более чем в 2 раза. Вместе с тем 71% компаний отметили, что расширение использования сотрудниками смартфонов и планшетов привело к росту числа киберинцидентов, чреватых потерей важной информации. </p><p><p>В опросе Check Point приняли участие 768 ИТ-специалистов из США, Канады, Великобритании, Германии и Японии, облеченных разной степенью корпоративной ответственности за защиту компьютерного парка. Все эти представители разных по величине и профилю компаний признают, что внедрение мобильного доступа к корпоративным ресурсам способствует повышению производительности труда и упрощает доступ к сетевым ресурсам. В то же время наличие большого количества рабочих мобильных устройств усложняет систему обеспечения безопасности и повышает риск утечки. </p> http://www.securelist.com/ru/blog/40973/Check_Point_otsenila_riski_mobilizatsii_biznesa http://www.securelist.com/ru/blog/40973/Check_Point_otsenila_riski_mobilizatsii_biznesa 25 Jan 2012 16:30:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>По словам вездесущего Брайана Кребса, на хакерских форумах появилась реклама отпрыска ZeuS под названием Citadel, который позиционируется как <a href='http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/' target=_blank>SaaS-продукт</a>. В обеспечение сопровождения и дальнейшего развития своего детища его авторы создали пользовательскую платформу, доступную через особый веб-портал.</p><p><p>Система Citadel CRM Store построена по принципу социальной сети, позволяя клиентам принимать непосредственное участие в процессе совершенствования продукта. Используя этот сервис, юзер может обратиться за помощью в службу техподдержки, сообщить о найденных багах, подать публичный или приватный запрос на добавочный модуль или доработку. Участники Citadel-сообщества имеют право решать голосованием судьбу новой идеи, участвовать в обсуждении предлагаемых инноваций, оценивать стоимость разработки и вносить предоплату для ускорения ее процесса. На сервисе будут публиковаться сообщения о статусе и времени, оставшемся до окончания разработки, предусмотрена также рассылка jabber-уведомлений об актуальных комментариях и новинках. </p> http://www.securelist.com/ru/blog/40972/Tsitadel_dlya_poklonnikov_Zevsa http://www.securelist.com/ru/blog/40972/Tsitadel_dlya_poklonnikov_Zevsa 25 Jan 2012 15:36:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Калифорнийская компания Dasient <a href='http://blog.dasient.com/2012/01/dasient-has-been-acquired-by-twitter.html' target=_blank>объявила</a>, что сворачивает самостоятельные деловые операции в связи со сменой хозяина. Специалиста по защите рекламных сетей выкупила Twitter, которая надеется, что опыт и наработки новой команды позволят расширить и обезопасить рекламный сервис, работающий на социальной платформе.</p><p><p>Платные услуги по саморекламе <a href='http://mashable.com/2012/01/24/twitter-acquires-malware-protection-company/' target=_blank>появились</a> в Twitter в 2010 году. Оценив выгодность этого предприятия, позволяющего рекламодателям обходиться без посредников, руководство компании запустило в минувшем ноябре сервис Promoted Products, который <a href='http://mashable.com/2012/01/24/twitter-acquires-malware-protection-company/' target=_blank>пока работает</a> в режиме бета-тестирования и доступен немногим. Новое приобретение Twitter призвано укрепить ее позиции на рынке платной рекламы, которая приносит баснословные барыши Google и Facebook. Помимо этого, популярный сервис микроблогов, попавший под прицел киберкриминала, получил новые технологии и инструменты для повышения своей обороноспособности. </p><p><p>Компания Dasient была основана выходцами из Google и специализировалась на защите сетевых ресурсов от абьюзов. В 2009 году компания анонсировала антивирусную веб-платформу, осуществляющую сканы URL и сайтов на предмет наличия зловредного контента. В 2010 году разработчики запустили специализированный веб-сервис по обеспечению безопасности рекламных сетей и издательских организаций и к настоящему моменту обросли солидной клиентурой. </p> http://www.securelist.com/ru/blog/40971/Novoe_priobretenie_Twitter_zalog_bezopasnosti_i_rosta_dokhodov http://www.securelist.com/ru/blog/40971/Novoe_priobretenie_Twitter_zalog_bezopasnosti_i_rosta_dokhodov 25 Jan 2012 15:30:00 +0400 webmaster@securelist.com (Курт Баумгартнер) <p>После крупномасштабного взлома базы данных интернет-магазина Zappos руководство компании поступило совершенно правильно, когда быстро и ясно сообщило, к каким данным злоумышленники получили доступ, а к каким нет. При раскрытии информации о произошедшем не было непонятных задержек и путаницы в показаниях. Мне в этой связи вспоминается эпизод с атакой Aurora, когда компания Google неожиданно сообщила об проведенной злоумышленниками атаке на их серверы, в то время как порядка 30 других крупных корпораций, пострадавших от атаки, предпочли спрятать голову в песок и старательно скрывали информацию об инциденте, прикрываясь соглашениями о неразглашении. Zappos сменила пароли 24 миллионов пользователей и отправила каждому из них сообщения о возникшей накануне проблеме. </p> <p class=c><img src="http://www.securelist.com/ru/images/pictures/klblog/40970.png" border=0 width=307 height=199 alt=''></p> http://www.securelist.com/ru/blog/40969/Vzlom_sayta_Zappos_i_autentifikatsiya_s_pomoshchyu_tekstovykh_paroley http://www.securelist.com/ru/blog/40969/Vzlom_sayta_Zappos_i_autentifikatsiya_s_pomoshchyu_tekstovykh_paroley 23 Jan 2012 12:56:00 +0400 webmaster@securelist.com (Фабио Ассолини) <p>Жизнь у бразильских хакеров удалась. Из-за отсутствия специального закона, направленного против киберпреступлений, они чувствуют себя настолько неуязвимыми, что без зазрения совести сообщают о совершенных кражах и хвастаются своими криминальными доходами. Этому было посвящено несколько слайдов в нашей <b>презентации</b> на последней конференции <b>Virus Bulletin</b>. На Youtube можно найти множество роликов, где бразильские банковские мошенники и кардеры рассказывают о своих доходах, добытых нечестным путем, и насмехаются над своими жертвами (<a href='http://youtu.be/nejyo4I6tWA' target=_blank>здесь</a> лишь один пример; на Youtube можно найти еще несколько подобных роликов). Также можно запросто найти профили мошенников в соцсетях типа Twitter, Tumblr и т.д. Все делается в открытую и без всякого страха быть пойманными.</p> <p>Для помощи новым «предпринимателям» или просто новичкам, которым интересна киберпреступная жизнь, бразильские киберпреступники начали предлагать платные курсы. Некоторые пошли еще дальше, <b>создав школу киберпреступности, где любой, кто хотел бы жить за счет криминальных доходов, но не владеет технической стороной дела, за деньги может получить необходимые навыки</b>. На вебсайте, где предлагаются такие курсы и рекламируется «школа», потратив немного времени, можно найти курсы «Как стать банковским мошенником», «Всё, что нужно спамеру» и «Как осуществлять defacement сайтов».</p> http://www.securelist.com/ru/blog/40964/Shkola_kiberkriminala_kak_stat_uspeshnym_kiberprestupnikom http://www.securelist.com/ru/blog/40964/Shkola_kiberkriminala_kak_stat_uspeshnym_kiberprestupnikom 23 Jan 2012 12:05:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Публикация в интернете имен, связанных с деятельностью Koobface, произвела вполне ожидаемый эффект: центры управления ботнетом <a href='http://www.reuters.com/article/2012/01/19/us-facebook-cybersecurity-idUSTRE80I05720120119' target=_blank>замолкли</a>, а его операторы начали избавляться от засветившихся социальных профилей и контактов.</p><p><p>Командный трафик Koobface затих в тот же день, когда в Сеть были выложены <a href='http://www.securelist.com/ru/blog/40960/Ali_Baba_4_Koobface_v_litsakh' target=_blank>результаты</a> исследования, проведенного с целью идентификации ботоводов. Эта информация по понятным причинам долгое время была известна лишь узкому кругу посвященных. Однако, так и не дождавшись официального расследования, некоторые источники начали оглашать свои находки, и Facebook дала «добро» на более полную публикацию о российской криминальной группе, надеясь пресечь, хотя бы временно, дальнейшее распространение инфекции.</p><p><p>Служба безопасности социальной сети осталась довольна произведенным эффектом. Ботнет приостановил свою деятельность менее чем за сутки, ботоводы начали спасаться поодиночке. По свидетельству «Рейтер», ни один из телефонных номеров, преданных огласке, не отвечает, питерский офис «МобСофт» закрыт, социальные аккаунты самозваных наследников Али-Бабы аннулированы. </p><p><p>В управлении «К» МВД России журналистам заявили, что никакого расследования в связи с деятельностью Koobface не проводилось за отсутствием соответствующих запросов. Такой запрос должен подать пострадавший &#8213; в данном случае, Facebook. Официальные запросы рассматриваются в течение месяца, затем производится первичная проверка. В итоге у корреспондентов сложилось впечатление, что спецподразделение МВД вообще не в курсе сложившейся ситуации. Однако, если верить другим источникам, служба безопасности Facebook таки поставила российское министерство в известность, но видимого результата это пока не дало. </p> http://www.securelist.com/ru/blog/40963/Ali_Baba_4_zametayut_sledy http://www.securelist.com/ru/blog/40963/Ali_Baba_4_zametayut_sledy 20 Jan 2012 17:03:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Румынский безработный Роберт Бутика (Robert Butyka) <a href='http://www.itworld.com/security/242435/romanian-nasa-hacker-gets-three-year-suspended-prison-sentence' target=_blank>приговорен</a> на родине к 3-м годам условно за взлом серверов НАСА и уничтожение конфиденциальных данных. </p><p><p>Бутика был <a href='http://www.networkworld.com/news/2011/111611-unemployed-romanian-hacker-accused-of-253176.html' target=_blank>арестован</a> в середине ноября и провел 2 месяца под стражей. Его обвинили в несанкционированном доступе к компьютерным ресурсам, уничтожении, порче и блокировании данных, а также в использовании хакерского инструментария. <p>На суде 26-летний взломщик признался, что с конца 2010 года несколько раз атаковал сетевые ресурсы космического ведомства США. По оценке пострадавшей стороны, ущерб, причиненный его действиями, составляет 580 тыс. долл. У защиты эта сумма особого энтузиазма не вызвала; адвокаты не преминули заявить, что счет, выставленный американцами, не соответствует действительности. Посему румынский суд постановил выделить финансовую тяжбу в отдельное судопроизводство, которое через пару месяцев будет решено в административном порядке. </p><p><p>По окончании условного срока Бутика проведет 7 лет под надзором. Приговор может быть обжалован в течение 10 дней.</p><p><p>Надо отметить, что сетевое пространство НАСА давно служит тренировочной площадкой для румынских хакеров. В ноябре 2008 года за аналогичное преступление был наказан Виктор Фаур (Victor Faur), получивший около полутора лет условно с возмещением ущерба. Его адвокаты опротестовали заявленную сумму (240 тыс. долл.), так как пострадавшая сторона не представила убедительных расчетов. Удалой взломщик именитых ресурсов, именующий себя TinKode, пока не пойман; среди его боевых трофеев тоже числятся серверы НАСА. </p> http://www.securelist.com/ru/blog/40962/Obidchik_NASA_otdelalsya_uslovnym_srokom http://www.securelist.com/ru/blog/40962/Obidchik_NASA_otdelalsya_uslovnym_srokom 20 Jan 2012 17:01:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Эксперты Trusteer <a href='http://www.trusteer.com/blog/carberp-steals-e-cash-vouchers-facebook-users' target=_blank>обнаружили</a> новую разновидность Carberp, нацеленную на кражу электронной валюты у пользователей Facebook. </p> <p>Зловред на лету подменяет любую страницу этого социального сайта, выводя пользователю поддельное уведомление о временной блокировке его аккаунта. Чтобы устранить «проблему», жертве предлагается пройти проверку на аутентичность, введя в веб-форму свое имя, дату рождения, адрес почты, пароль и номер ваучера Ukash достоинством в 20 евро. По заверениям злоумышленников, денежный залог будет впоследствии положен на счет, ассоциированный с профилем участника социальной сети. </p><p><p>На самом деле эти деньги попадают в карман ботовода, который волен распоряжаться им по своему усмотрению &#8213; продать или использовать для оплаты сетевых услуг. По словам экспертов, кража виртуальной валюты не представляет особого риска для преступников. Электронные ваучеры анонимны, а за корректность транзакций по ним отвечает сам владелец счета.</p><p><p>Тот факт, что новый вариант Carberp (в классификации ЛК <a href='http://www.securelist.com/ru/descriptions/24361276/Trojan-Spy.Win32.Carberp.us'>Trojan-Spy.Win32.Carberp</a>) атакует пользователей Facebook, вовсе не означает, что его операторы нашли новый канал для распространения. Сей прилежный последователь ZeuS и SpyEye обычно попадает на машины пользователей через зараженные pdf- или xls-файлы, а также посредством drive-by загрузок. Последнее время его <a href='http://www.securelist.com/ru/blog/40915/Novyy_eksployt_k_Java_uyazvimosti_v_arsenale_BlackHole'>устанавливает</a> новый Java-эксплойт, приобщенный к набору BlackHole.</p> http://www.securelist.com/ru/blog/40961/Carberp_vymogaet_dengi_za_dostup_k_Facebook http://www.securelist.com/ru/blog/40961/Carberp_vymogaet_dengi_za_dostup_k_Facebook 20 Jan 2012 16:55:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>Независимый исследователь Ян Дрёмер (Jan Dr&#246;mer) и Дерк Колберг (Dirk Kollberg) из компании Sophos <a href='http://nakedsecurity.sophos.com/koobface/' target=_blank>опубликовали</a> свои находки, позволившие установить реальные имена ботоводов Koobface.</p><p><p>Ботнет, сформированный на базе червя Koobface (в классификации ЛК Net-Worm.Win32.Koobface), досаждает пользователям Сети <a href='http://www.securelist.com/ru/weblog/207758719/Dvoynoy_udar_po_2_0'>с середины 2008 года</a> и как угроза не утратил своей актуальности, несмотря на множественные попытки его низложить. Операторы Koobface, именующие себя «Ali Baba & 4», используют его, в основном, для накрутки рейтинга рекламных сайтов и распространения поддельных антивирусов, зарабатывая на этом <a href='http://www.securelist.com/ru/blog/40184/Koobface_poteryal_tri_klyuchevykh_servera'>миллионы</a>. Вначале червь терроризировал лишь участников социальной сети Facebook, из-за пристрастия к которой и получил свое имя (Koobface &#8213; анаграмма от Facebook). Однако со временем зловред <a href='http://www.securelist.com/ru/analysis/208050579/Razvitie_informatsionnykh_ugroz_v_tretem_kvartale_2009_goda'>освоил</a> другие социальные сервисы, а в начале минувшего года и вовсе <a href='http://www.securelist.com/ru/blog/40433/Koobface_razdruzhilsya_s_Facebook'>распрощался</a> с Facebook &#8213; видимо, из-за стойкого противодействия, которое ему оказывала служба безопасности этого сайта.</p> http://www.securelist.com/ru/blog/40960/Ali_Baba_4_Koobface_v_litsakh http://www.securelist.com/ru/blog/40960/Ali_Baba_4_Koobface_v_litsakh 19 Jan 2012 16:06:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В США предъявлены <a href='http://www.justice.gov/usao/nys/pressreleases/January12/zdoroveninvladimirandzdoroveninkirillindictmentpr.pdf' target=_blank>обвинения</a> 54-летнему москвичу Владимиру Здоровенину, уличенному в кибермошенничестве и биржевых махинациях. Подозреваемый был задержан около года назад в Цюрихе и на днях прибыл в Нью-Йорк на основании договора об экстрадиции.</p><p><p>Согласно обвинительному акту, россиянин, вместе с сыном Кириллом Здоровениным, 2 года охотились за ключами к банковским и брокерским счетам, распространяя вредоносные программы либо покупая пользовательские данные на черном рынке. Украденные реквизиты семейный дуэт использовал для перекачки чужих сбережений на свои счета в Латвии и России, а также для отмывания денег через подставные компании &#8213; путем имитации бойкой торговли в Сети. Доступ к взломанным брокерским аккаунтам позволял мошенникам манипулировать курсом акций, которые они покупали, а затем выгодно продавали через свою компанию Rim Investment Management, Ltd.</p><p><p>В расследовании преступной деятельности, обошедшейся американцам в сотни тысяч долларов, принимало участие ФБР. Обвинения против отца и сына Здоровениных были выдвинуты в мае 2007 года, но за отсутствием ответчиков не были оглашены. Правонарушителям инкриминируются преступный сговор, мошенничество с использованием компьютерной техники, почтовой и проводной связи, а также кража приватной информации при отягчающих обстоятельствах и махинации с ценными бумагами. По совокупности это чревато тюремным сроком до 142 лет. Здоровенин-младший пока не найден.</p> http://www.securelist.com/ru/blog/40959/Iz_Evropy_v_Ameriku_za_pravym_sudom http://www.securelist.com/ru/blog/40959/Iz_Evropy_v_Ameriku_za_pravym_sudom 19 Jan 2012 15:50:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Челябинске <a href='http://www.mvd.ru/news/show_100845/' target=_blank>возбуждено</a> уголовное дело против двух молодых людей, которые на заказ воровали регистрационные данные электронной почты с помощью вредоносной программы.</p><p><p>Расследованием преступной деятельности дуэта занималось ГУ МВД по Челябинской области и местное УФАС. Как удалось установить, идейным вдохновителем незаконного бизнеса являлся 17-летний студент из Челябинска, создавший зловреда, способного перехватывать всю необходимую информацию, включая контрольные вопросы и ответы. Будущий юрист активно рекламировал свою разработку в интернете, предлагая услуги по взлому почтовых ящиков, которые в среднем стоили 1,5 тыс. руб. Он также выставил вредоносную программу на продажу, обещая предоставить «курс молодого бойца» за 3 тыс. руб. </p><p><p>Его подручный, 28-летний безработный из Нижневартовска, выполнял функции менеджера по подбору клиентов и оформлению заказов. Сообщники обслуживали всех желающих, от конкурентов по бизнесу до ревнивых супругов, и принимали оплату через платежные системы. Если клиент отказывался платить, его шантажировали, угрожая раскрыть жертве взлома детали заказа. За полгода преступной деятельности молодые «бизнесмены» произвели 100 попыток заражения, треть которых завершились успехом. </p><p><p>Подельники соблюдали строгую конспирацию, регистрируясь в Сети под чужими или вымышленными именами. Тем не менее, их удалось вычислить; в ходе обысков у злоумышленников были изъяты компьютерная техника и рабочие записи. Уголовное дело открыто по факту нарушения ч. 1 ст. 273 УК РФ («Создание, использование и распространение вредоносных программ»).</p> http://www.securelist.com/ru/blog/40958/Skonchalsya_rossiyskiy_veb_servis_po_vzlomu_pochtovykh_yashchikov http://www.securelist.com/ru/blog/40958/Skonchalsya_rossiyskiy_veb_servis_po_vzlomu_pochtovykh_yashchikov 18 Jan 2012 12:43:00 +0400 webmaster@securelist.com (Мария Наместникова) <p>2012 год еще только начался и пока сложно сказать, каким он будет и что нам принесет. Одно можно сказать точно - лето 2012 года будет наполнено громкими спортивными событиями. В июне в Польше и Украине пройдет Чемпионат Европы по футболу, на который съедутся 16 сильнейших европейских команд и болельщики из стран как вышедших в финальную часть турнира, так и не попавших в нее. </p> <p>Официальный старт продаж билетов на Чемпионат стартовал еще 12 декабря 2012, однако вопреки обыкновению спамеры не спешили воспользоваться Евро 2012 в целом, и стартом продаж билетов в частности, в своих интересах. Лишь по окончании новогодних праздников мы задетектировали первую рассылку, предлагающую билеты на Евро 2012.</p> <p class=c><img src="images/pictures/klblog/207766952.jpg" border="1" alt="" title=""></p> http://www.securelist.com/ru/blog/207766949/God_sporta_v_mire_i_v_spame http://www.securelist.com/ru/blog/207766949/God_sporta_v_mire_i_v_spame 18 Jan 2012 12:22:25 +0400 webmaster@securelist.com (Татьяна Никитина) <p>В Калининграде <a href='http://uvd39.ru/?ELEMENT_ID=967' target=_blank>задержаны</a> трое местных жителей, укравших с банковских счетов около 2 млн. руб. с помощью вредоносной программы.</p><p><p>Как показало расследование, криминальное трио распространяло неназванного зловреда через социальные сети. Когда владелец зараженного компьютера заходил в систему онлайн-банкинга, вредоносная программа перехватывала персональные идентификаторы и отправляла их своим повелителям. Она также блокировала дальнейшие действия клиента банка, чтобы злоумышленники успели перевести его сбережения на свой счет. </p><p><p>Суммы единовременных отчислений с клиентских счетов доходили до 100 тыс. руб. Украденные деньги мошенники обналичивали и делили между собой. В ходе оперативно-розыскных мероприятий у одного из задержанных было обнаружено 217 тыс. руб. </p><p><p>По факту хищения было возбуждено уголовное дело в соответствии с ч.3,4 ст. 159 УК РФ «Мошенничество, совершенное организованной группой в особо крупном размере». На настоящий момент по нему выявлено 14 потерпевших.</p> http://www.securelist.com/ru/blog/40957/Rossiyskiy_vestern http://www.securelist.com/ru/blog/40957/Rossiyskiy_vestern 17 Jan 2012 17:40:00 +0400 webmaster@securelist.com (Татьяна Никитина) <p>ФАС России признала ОАО «Единая электронная торговая площадка» <a href='http://www.fas.gov.ru/fas-news/fas-news_32620.html' target=_blank>виновным</a> в нарушении части 23 статьи 41.10 Закона о размещении заказов, так как его ресурсы не смогли адекватно противостоять DDoS-атаке.</p><p><p>Расследование данного дела было запущено по жалобам пользователей, которые в минувшем декабре не смогли принять участие в онлайн-аукционах из-за сбоя на электронной площадке. Оператор признал, что не смог обеспечить корректность работы программно-аппаратного комплекса в указанный период, и сослался на DDoS-атаку, проведенную неизвестными злоумышленниками 12 декабря. </p><p><p>Тем не менее, ФАС заключила, что ответчик должен быть технически готов к таким событиям. Согласно российскому Закону о размещении заказов, оператор электронной площадки обязан обеспечить непрерывность проведения открытого аукциона в электронной форме, надежность функционирования программных и технических средств, а также предоставить участникам равный доступ к своей площадке. </p><p><p>По факту нарушения российского законодательства на ОАО «Единая электронная торговая площадка» будет заведено административное дело. В соответствии с российским Кодексом об административных правонарушениях ответчику грозят штрафные санкции: в таких случаях должностные лица могут быть оштрафованы на 50 тыс. руб., юридические &#8213; на 300 тыс. руб. </p> http://www.securelist.com/ru/blog/40956/Operatora_onlayn_auktsionov_nakazhut_za_sboy_iz_za_DDoS http://www.securelist.com/ru/blog/40956/Operatora_onlayn_auktsionov_nakazhut_za_sboy_iz_za_DDoS 16 Jan 2012 19:14:00 +0400