На прошлой неделе Ponemon Institute опубликовал анализ финансовых потерь, которые несут коммерческие и правительственные организации из-за кибератак. В исследовании использовались данные по 45 американским организациям.

Так, в среднем атаки кибер-злоумышленников обходятся компании в 3,8 миллионов долларов ежегодно, причем эта цифра может колебаться от 1 до 52 миллионов долларов в год. В целом, на все организации, участвующие в исследовании, пришлось порядка 50 успешных кибератак в неделю.

Наиболее дорого компаниям обходятся веб-атаки, распространение вредоносного кода и внутрисетевые утечки информации. На борьбу с этими видами киберпреступлений уходит более 90% всех затрат компании в данной области.

За четырехнедельный период исследования 80% компаний пережили нападение вирусов, червей и троянов. 73% подверглись атакам фишеров и социально-техническим нападениям, в ходе которых злоумышленники пытаются ввести в заблуждение пользователей или администраторов. В 62% случаев потери компании были связаны с внутрисетевыми утечками информации. В 47% совершались попытки распространения вредоносного ПО, и еще 29% всех нападений были связано с внедрением вредоносного кода и попытками включить компьютер в бот-сеть.

Для устранения проблем, вызванных кибератакой, организации требуется в среднем 14 дней, причем ежедневные затраты при этом составляют 17696 долларов. Внутрисетевые атаки обходятся "дороже" по времени - до 42 дней и более. Это объясняется тем, что утечка конфиденциальной информации грозит срывом деловых операций, что в результате приводит к увеличению внешних затрат компании на 42%. В год перерасход компании может составить до 36% прямых производственных затрат, 13% косвенных расходов на оплату труда, 8% накладных расходов, 30% амортизированной стоимости. Производительность при этом снижается на 13%.

От кибератак страдают любые организации, вне зависимости от отрасли производства, но более других для киберпреступников привлекательны организации, оказывающие финансовые, энергетические услуги, а также услуги по обеспечению безопасности.

Крупные компании чаще подвергаются кибератакам, однако небольшие организации, несмотря на относительно меньший интерес к ним со стороны криминальных участников интернет-сообщества, несут заметно большие потери в процентном соотношении. И если крупные организации более интересны для фишинг-атак, что средние и небольшие компании чаще подвергаются атакам, нацеленным на распространение вредоносного ПО и вирусов.

Американские власти оштрафовали троих латышей за соучастие в хищении конфиденциальной информации из базы D.A. Davidson & Co. с целью шантажа.

Согласно материалам дела [PDF 197 Кб], взлом сервера брокерской компании был осуществлен в конце декабря 2007 года. Действуя по методу SQL-инъекции, хакеры украли из клиентской базы 192 тыс. записей и начали вымогать деньги у Davidson & Co. за сокрытие следов утечки. Они атаковали компанию электронными письмами, предлагая уничтожить компрометирующую информацию в обмен на денежные переводы в страны Западной и Восточной Европы, но успели получить лишь малую толику от востребованных 80 тыс. долларов.

Как показало следствие, в утечке данных была отчасти виновата сама Davidson & Co., не озаботившаяся обеспечением надлежащей защиты сетевых ресурсов. В прошлом году компании пришлось отвечать по групповому иску в связи с этим инцидентом и компенсировать ущерб своим клиентам, выложив 1 млн. долларов. А в апреле нынешнего года Davidson & Co. была оштрафована на 375 тыс. долларов регулятором фондового рынка FINRA — за халатное отношение к безопасности конфиденциальной информации.

Не ушли от ответа и виновники кибератаки, трое из которых были депортированы из Европы и предстали перед американским судом. Учитывая их чистосердечное раскаяние и готовность участвовать в расследовании, власти не стали отправлять этих иностранцев, нанятых для сбора плодов шантажа, за решетку. 33-летний Виталий Дроздов приговорен к штрафу в 11,5 тыс. долларов, 30-летний Александр Хохолко и 26-летний Евгений Кузьменко заплатят по 1,5 тыс. долларов. Следствие в отношении четвертого соучастника, инициатора и исполнителя взлома, проходящего по делу как Роберт Бортко, пока не закончено.

RU-CENTER предупреждает об учащении случаев перехвата контроля над доменными именами через кражу пароля к административной панели, с последующим изменением настроек адресации домена.

Разумеется, злоумышленники имеют шанс получить пароль администратора посредством обычного фишингового письма, снабженного ссылкой на поддельную страницу регистрации. Если его получатель недостаточно осмотрителен и не позаботился о средствах оповещения об опасности, предотвратить утечку идентификаторов достаточно проблематично. Однако последнее время злоумышленники практикуют в Рунете несколько иную схему «угона» доменов.

Вначале по открытой базе данных Whois проводится автоматизированный сбор доменных имен, к которым в качестве контакта указан адрес бесплатной почты. Из этих адресов вычленяются те, которые длительное время не использовались и освобождены почтовой службой для повторной регистрации. Злоумышленники регистрируют их на себя и запрашивают восстановление пароля на сайте nic.ru. Получив доступ к управлению доменом, они меняют адрес DNS-сервера на ns1.<имя домена>.ru и ns2.<имя домена>.ru.

Все новые NS- и A-записи теперь указывают на IP-адреса прокси-серверов в подсети, контролируемой «угонщиками». При обращении к соответствующим сайтам все запросы перенаправляются на реальные серверы хостинг-провайдера, поэтому владелец домена может вообще не заметить потери контроля над трафиком. Однако в любой момент злоумышленники могут изменить схему переадресации и направить все запросы на свои веб-сайты.

Согласно статистике RU-CENTER, число пострадавших от этих атак измеряется сотнями. Жертвами «угона» оказались также десятки клиентов российского регистратора и хостинг-провайдера Net Angels. Некоторые провайдеры уже известили пользователей о проблеме и закрыли трафик с поднятых прокси-серверов. RU-CENTER рекомендует администраторам доменов проверить актуальность контактных адресов электронной почты и удостовериться в том, что к почтовому ящику не имеют доступа посторонние лица.

CyberSpy Software, LLC согласилась разрешить во внесудебном порядке конфликт с Федеральной торговой комиссией США (ФТК) относительно продаж мониторинговых программ с нарушением правил добросовестной торговли.

Согласно иску [PDF 442 Кб] ФТК, компания позиционировала RemoteSpy как универсальную программу-шпион, на 100% защищенную от обнаружения. Ответчик также снабжал покупателей подробными инструкциями о том, как установить ее на компьютер пользователя без его ведома — например, замаскировать под безобидный файл, прикрепленный к электронному письму.

По свидетельству ФТК, RemoteSpy способна скрытно регистрировать нажатия клавиш, делать скриншоты, записи бесед по каналам обмена мгновенными сообщениями, собирать пароли, информацию о системе, посещаемых веб-ресурсах и т.п. Собранные данные программа-шпион отсылает на сервер CyberSpy Software. По условиям лицензионного соглашения клиенты могут получить к ним доступ, авторизовавшись на сайте компании. Многие антивирусные компании классифицируют данный продукт как потенциально опасный или даже шпионский.

В соответствии с судебным приказом CyberSpy отныне воспрещается включать в рекламу RemoteSpy провокационные заявления и поощрять клиентов к ее несанкционированному использованию. Ответчик обязан соблюдать общепринятые правила, касающиеся торговли программными продуктами: информировать клиентов о наказуемости противозаконного использования RemoteSpy и установки ее без согласия донора; обеспечить программу соответствующими идентификаторами, сигналами присутствия в системе, опцией отказа от установки.

Поставщик также обязан проследить, чтобы в течение месяца все программы, установленные к моменту вынесения судебного приказа, были деинсталлированы. Наконец, заключение сделки не означает, что CyberSpy или ее партнеры могут в своей дальнейшей деятельности ссылаться на разрешение или одобрение со стороны ФТК.

PS: В ЛК данной программе присвоено наименование not-a-virus:Monitor.Win32.CyberSpy, и классифицируется она как Riskware — продукт, созданный с полезной целью, но в руках злоумышленника способный причинить вред пользователю. В антивирусах ЛК детектирование таких объектов по умолчанию отключено.

Heartland Payment Systems согласилась возместить 41,1 млн. долларов эмитентам MasterCard, которые пострадали от утечки данных в результате взлома платежного процессора этой компании.

Ранее Heartland урегулировала аналогичные конфликты с Visa и American Express, убытки которых были оценены в 60 и 3,6 млн. долларов соответственно. Взлом системы обработки платежей Heartland в числе прочих был поставлен в вину недавно осужденному главарю интернациональной хакерской группировки Альберту Гонсалесу (Albert Gonzalez). Согласно материалам дела, он предоставил налетчикам свой репозиторий и тестировал для них вредоносную программу.

По оценкам, в результате этой кибератаки, проведенной два года назад, в руках хакеров оказались около 100 млн. записей о финансовых операциях. Часть клиентских реквизитов впоследствии была использована для осуществления мошеннических транзакций.