НОВОСТИ в сфере БЕЗОПАСНОСТИ

[San-Sanich]

«Лаборатория Касперского» продлила соглашение о сотрудничестве с Интерполом

В рамках сотрудничества «Лаборатория Касперского» будет оказывать Интерполу широкую консультационную поддержку в расследовании киберпреступлений, проводить тренинги для сотрудников организации и предоставлять данные о новейших цифровых угрозах, а также инструменты для их изучения.

+ Полный текст +

Кроме того, компания будет поддерживать инициативы Интерпола по расширению экспертизы правоохранительных органов разных стран мира в борьбе с IT-угрозами и злоумышленниками.«С ростом числа сложных угроз международное сотрудничество и обмен экспертизой становятся важны как никогда раньше. Мы рады объявить, что продолжаем наше партнёрство с Интерполом и предоставляем ему возможность пользоваться данными и технологиями, необходимыми для борьбы с киберпреступлениями по всему миру», — написал Евгений Касперский, генеральный директор «Лаборатории Касперского».
«Лаборатория Касперского» работает в сфере информационной безопасности с 1997 года. Компания ведёт свою деятельность в 200 странах и территориях мира и имеет 35 региональных офисов в 31 стране на 5 континентах. Штат сотрудников «Лаборатории Касперского» насчитывает свыше 4 тысяч высококвалифицированных специалистов, аудитория пользователей продуктов и технологий компании составляет 400 млн человек и 270 тысяч корпоративных клиентов. В портфолио разработчика насчитывается более 30 ключевых продуктов и сервисов.

[San-Sanich]

«Лаборатория Касперского» представила универсальное решение для защиты физической и виртуальной IT-инфраструктуры

«Лаборатория Касперского» объявила о расширении портфеля продуктов для корпоративного рынка и выпуске решения Kaspersky Security для бизнеса «Универсальный». Таким образом, теперь заказчикам доступны на выбор четыре уровня защитного комплекса: «Стандартный», «Расширенный», «Универсальный» и Total.
Kaspersky Endpoint Security для бизнеса «Универсальный» объединяет в одном продукте необходимые функции управления и контроля для всех типов конечных точек — как виртуальных, так и физических. Помимо средств защиты, в составе решения представлены инструменты системного администрирования, патч-менеджмента и шифрования.Kaspersky Security для бизнеса «Универсальный» доступен на территории России, Беларуси, Закавказья, стран Средней Азии и продаётся через партнёров «Лаборатории Касперского». В рамках приобретаемой лицензии компании могут менять соотношение виртуальных и физических рабочих станций, а также серверов.

[San-Sanich]

«Лаборатория Касперского» представила универсальное решение для защиты физической и виртуальной IT-инфраструктуры

«Лаборатория Касперского» объявила о расширении портфеля продуктов для корпоративного рынка и выпуске решения Kaspersky Security для бизнеса «Универсальный». Таким образом, теперь заказчикам доступны на выбор четыре уровня защитного комплекса: «Стандартный», «Расширенный», «Универсальный» и Total.
Kaspersky Endpoint Security для бизнеса «Универсальный» объединяет в одном продукте необходимые функции управления и контроля для всех типов конечных точек — как виртуальных, так и физических. Помимо средств защиты, в составе решения представлены инструменты системного администрирования, патч-менеджмента и шифрования.Kaspersky Security для бизнеса «Универсальный» доступен на территории России, Беларуси, Закавказья, стран Средней Азии и продаётся через партнёров «Лаборатории Касперского». В рамках приобретаемой лицензии компании могут менять соотношение виртуальных и физических рабочих станций, а также серверов.

[San-Sanich]

«Лаборатория Касперского» расширит область применения KasperskyOS

«Лаборатория Касперского» сфокусируется на развитии экосистемы бизнес-приложений сторонних разработчиков для своей безопасной операционной системы KasperskyOS.

+ Полный текст +

Таким образом компания намерена существенно расширить область применения программной платформы, которая может быть использована не только в автоматизированных системах управления технологическими процессами (АСУ ТП), телекоммуникационном оборудовании, транспортных и энергетических системах, Интернете вещей, критически важных инфраструктурах и устройствах, но и для решения различных задач в корпоративной среде.
Сообщается, что первым продуктом, который получит поддержку KasperskyOS и войдёт в портфолио доверенного ПО, станет унифицированная платформа для коммуникаций CommuniGate Pro, обеспечивающая передачу электронной почты, голосовых данных, SMS-сообщений и файлов в корпоративной сети. Данный проект будет реализован в рамках технологического партнёрства «Лаборатории Касперского» с компанией CommuniGate Systems.«Мы продолжаем развивать KasperskyOS и расширять пул партнёров, которые создают программные и программно-аппаратные продукты, защищённые на уровне ядра. Для этого мы выстраиваем сотрудничество с российскими производителями ПО. Наш новый шаг в этом направлении — включение в экосистему решений, работающих на KasperskyOS, доверенного инструмента для автоматизации многих ежедневных бизнес-процессов», — прокомментировал Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского».

KasperskyOS создана с нуля и в силу своей архитектуры гарантирует высокий уровень информационной безопасности. Основной принцип работы ОС сводится к правилу «запрещено всё, что не разрешено». Это позволяет исключить возможность эксплуатирования как уже известных уязвимостей, так и тех, что будут обнаружены в будущем. При этом все политики безопасности, в том числе запреты на выполнение определённых процессов и действий, настраиваются в соответствии с потребностями организации. Платформа поставляется в качестве предустановленного программного обеспечения на различных типах оборудования, применяемого в индустриальных и корпоративных сетях

[San-Sanich]

Avast Software: «Мы не передаём личные данные пользователей третьим лицам»

Компания Avast Software выступила с официальным опровержением информации, касающейся сбора и обработки пользовательских данных. Ранее разработчика антивирусного ПО уличили в слежке и торговле сведениями о пользователях и их активности в Сети.

+ Полный текст +

«Главный приоритет Avast — безопасность и конфиденциальность наших пользователей, поэтому мы всегда используем комплексные методы защиты данных. Все недавние сообщения, в которых шла речь о том, что Avast продает личные данные третьим лицам, не соответствуют действительности, — говорится в заявлении Avast Software. — Для того чтобы наши расширения браузера могли эффективно обнаруживать и блокировать угрозы, нам необходимо иметь возможность собирать данные URL. Так работают наши и другие антивирусные решения. Для этого нам не нужны никакие личные данные. Для защиты конфиденциальности наших пользователей, данные, которые мы собираем, лишены всей личной информации (PII), и хранятся в полностью неопознаваемом формате».

В сообщении Avast Software подчёркивается, что собранные данные передаются в собственную маркетинговую аналитическую компанию Jumpshot, которая получает только обезличенные агрегированные статистические данные. «Этот процесс всегда был прозрачным с момента его запуска», — утверждает разработчик защитного ПО.
«Мы всегда прислушиваемся к опасениям, внедряем новые решения по мере необходимости и вносим изменения в наши расширения в соответствии с новой политикой конфиденциальности Mozilla. Мы собираем только те данные, которые необходимы для предоставления наших услуг. Avast соблюдает регламент GDPR — лучшего отраслевого стандарта. Все правила описаны в нашей политике конфиденциальности. У Avast также есть портал конфиденциальности, где наши клиенты могут авторизоваться и проверить, какие именно данные о них хранятся», — говорится в тексте заявления компании.
Ранее, напомним, в СМИ со ссылкой на слова генерального директора Avast Software Ондрея Влчека (Ondrej Vlcek) появилась информация о продаже личных данных пользователей как минимум с 2013 года. Сбор информации происходил не через сам антивирус, а при помощи его расширения для браузеров. Согласно словам Влчека, компания зарабатывает на продаже данных около 5 % от общей выручки. За период первого полугодия Avast заработала 430 млн долларов, следовательно доходы от продажи данных составили более 20 млн долларов.

[San-Sanich]

Avast решила больше не торговать пользовательскими данными и закрывает Jumpshot

Компания Avast, разрабатывающая программные решения для обеспечения информационной безопасности, объявила о ликвидации собственного дочернего предприятия Jumpshot, занимавшегося продажей пользовательских данных третьим лицам.

+ Полный текст +

Напомним, в этом месяце в сети Интернет появились сообщения о том, что Avast осуществляет сбор пользовательских данных, которые затем передаются дочерней компании Jumpshot, продающей их третьим лицам. Отмечалось, что ранее Avast использовала для этого браузерные расширения, а позднее сбор данных осуществлялся посредством собственного антивируса. Стоит отметить, что собираемые Avast данные не имеют привязки к конкретным людям, IP-адресам или электронным почтовым ящикам, поэтому фактически могут считаться обезличенными. Несмотря на это, данные сопровождаются особыми идентификаторами, которые сохраняют актуальность до тех пор, пока пользователь не удалит антивирус со своего компьютера.
«Главная задача Avast – обеспечить безопасность своих пользователей в сети и предоставить контроль над конфиденциальностью. Любые действия, которые ставят под угрозу доверие пользователей, являются неприемлемыми для Avast. Приватность наших пользователей является для нас важнейшим приоритетом, поэтому мы решили действовать оперативно. Мы решили закрыть Jumpshot после того, как стало очевидно, что некоторые пользователи подвергают сомнению соответствие предоставления данных Jumpshot с нашей миссией и принципами, которые являются для нас основополагающими», — сказал генеральный директор Avast Ондрей Влчек (Ondrej Vlcek).
Для получения дополнительной информации клиентам Jumpshot рекомендуется связаться с руководством компании. В дальнейшем Jumpshot будет своевременно уведомлять своих клиентов о прекращении предоставления услуг, связанных с передачей данных.

[vladimir1949]

Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет
20.08.2020 11:16

Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа.

+ Полный текст +

Для построения ботнента применяется собственный P2P-протокол, в котором узлы взаимодействуют между собой, координируют организацию атак, поддерживают работу сети и контролируют состояние друг друга. Новые жертвы находятся путём проведения bruteforce-атаки на серверы, принимающие запросы по SSH. При обнаружении нового сервера выполняется перебор по словарю типовых сочетаний из логинов и паролей. Управление может производиться через любой узел, что усложняет выявление и блокирование операторов ботнета.

По данным исследователей ботнет уже насчитывает около 500 узлов, в числе которых оказались серверы нескольких университетов и крупной железнодорожной компании. Отмечается, что основной целью атаки являются сети образовательных учреждений, медицинских центров, государственных учреждений, банков и телекоммуникационных компаний. После компрометации сервера на нём организуется процесс майнинга крипотвалюты Monero. Активность рассматриваемого вредоносного ПО прослеживается с января 2020 года.

Особенностью FritzFrog является то, что он держит все данные и исполняемый код только в памяти. Изменения на диске сводятся только к добавлению нового SSH-ключа в файл authorized_keys, который в дальнейшем используется для доступа к серверу. Системные файлы не изменяются, что делает червь незаметным для систем проверяющих целостность по контрольным суммам. В памяти в том числе держатся словари для перебора паролей и данные для майнинга, которые синхронизируются между узлами при помощи P2P-протокола.

Вредоносные компоненты камуфлируются под процессы "ifconfig", "libexec", "php-fpm" и "nginx". Узлы ботнета отслеживают состояние соседей и в случае перезагрузки сервера или даже переустановки ОС (если в новую систему был перенесён изменённый файл authorized_keys) повторно активируют вредоносные компоненты на хосте. Для коммуникации используется штатный SSH - вредоносное ПО дополнительно запускает локальный "netcat", привязывающийся к интерфейсу localhost и слушающий трафик на порту 1234, к которому внешние узлы обращаются через SSH-туннель, используя для подключения ключ из authorized_keys.



Код компонентов FritzFrog написан на языке Go и работает в многопоточном режиме. Вредоносное ПО включает несколько модулей, запускаемых в разных потоках:

Cracker - выполняет подбор паролей на атакуемых серверах.
CryptoComm + Parser - организует шифрованное P2P-соединение.
CastVotes - механизм совместного выбора целевых хостов для атаки.
TargetFeed - получает список узлов для атаки от соседних узлов.
DeployMgmt - реализация червя, распространяющего вредоносный код на взломанный сервер.
Owned - отвечает за соединение к серверам, на которых уже запущен вредоносный код.
Assemble - собирает файл в памяти из отдельно передаваемых блоков.
Antivir - модуль подавления конкурирующих вредоносных программ, определяет и завершает процессы со строкой "xmr", потребляющие ресурсы CPU.
Libexec - модуль для майнинга криповалюты Monero.

Применяемый в FritzFrog P2P-протокол поддерживает около 30 команд, отвечающих за передачу данных между узлами, запуск скриптов, передачу компонентов вредоносного ПО, опрос состояния, обмен логами, запуск прокси и т.п. Информация передаётся по отдельному шифрованному каналу с сериализацией в формат JSON. Для шифрования применяется ассиметричный шифр AES и кодирование Base64. Для обмена ключами используется протокол DH (Diffie-Hellman). Для определения состояния узлы постоянно обмениваются ping-запросами.

Все узлы ботнета поддерживают распределённую БД с информацией об атакуемых и скомпрометированных системах. Цели для атаки синхронизируются по всему ботнету - каждый узел атакует отдельную цель, т.е. два разных узла ботнента не будут атаковать один и тот же хост. Узлы также собирают и передают соседям локальную статистику, такую как размер свободной памяти, uptime, нагрузка на CPU и активность входов по SSH. Данная информация используется для решения о запуске процесса майнинга или использования узла только для атаки других систем (например, майнинг не запускается на нагруженных системах или системах с частым подключением администратора).

Для выявления FritzFrog исследователями предложен простой shell-скрипт. Для определения поражения системы могут использоваться такие признаки как наличие слушающего соединения на порту 1234, присутствие вредоносного ключа в authorized_keys (на всех узлы устанавливается одинаковый SSH-ключ) и присутствие в памяти запущенных процессов "ifconfig", "libexec", "php-fpm" и "nginx", не имеющих связанных исполняемых файлов ("/proc/<PID>/exe" указывает на удалённый файл). Признаком также может служить наличие трафика на сетевой порт 5555, возникающего при обращении вредоносного ПО к типовому пулу web.xmrpool.eu в процессе майнинга криптовалюты Monero.

[vladimir1949]

«Лаборатория Касперского»: на каждом третьем компьютере в России все еще стоит Windows 7
11.05.2021, Вт, 13:02

По данным статистики «Лаборатории Касперского», на 36% компьютеров в России всё ещё установлена операционная система Windows 7, базовая поддержка которой была завершена в январе 2020 года.

Устаревшая версия операционной системы может работать нормально, но, если она уже не поддерживается, её легче атаковать. Когда жизненный цикл системы прекращается, уязвимости остаются незакрытыми, для них не выпускают патчи, что облегчает злоумышленникам доступ к данным.

+ Полный текст +

Доля тех, кто использует Windows 7, среди домашних пользователей составляет 37%, а среди компаний малого и среднего бизнеса — 34%, представителей микробизнеса — 35%. Для небольших предприятий особенно важно своевременно обновлять операционную систему, в частности потому, что они не обладают специально выделенными ресурсами на кибербезопасность. Сейчас компании всё ещё могут продлить поддержку Windows 7 на платной основе, но лишь до 2023 года.

Есть также пользователи и компании, которые применяют ещё более устаревшие версии Windows, такие как XP и Vista, поддержка которых закончилась в 2014 и 2017 годах соответственно. Но их немного — менее 1%. Более половины (56%) используют Windows 10 — новейшую и на данный момент наиболее безопасную версию операционной системы.

«Многие пользователи не спешат устанавливать обновления на операционную систему, опасаясь возможных изменений в интерфейсе и функциональности или просто не желая тратить на это ценное рабочее время. При этом именно обновления позволяют исправить порождающие уязвимости ошибки, с помощью эксплуатации которых в систему могут проникнуть злоумышленники. Обновляться нужно своевременно, ни в коем случае не откладывая в долгий ящик установку как минимум критических апдейтов, — говорит Олег Горобец, эксперт «Лаборатории Касперского». — Нужно понимать, что, как только информация об уязвимости становится известна широкой публике, множество злоумышленников начитают активно использовать её для атак, рассчитывая как раз на тех, кто по каким-то причинам не смог вовремя обновиться. А если вам известно, что ОС скоро будет снята с поддержки, необходимо запланировать действия по её замене заблаговременно, включая замену «железа», если другого выхода нет. Использовать в работе не получающие обновления системы – всё равно что оставлять дом с незапертой дверью: рано или поздно в неё зайдёт кто-то, кому вы не будете рады».

«Лаборатория Касперского» рекомендует частным пользователям и организациям: использовать актуальную, поддерживаемую производителем версию операционной системы; включать функцию автообновления, если нет возможности предварительно тестировать предлагаемые производителем ОС апдейты; если обновить операционную систему до новейшей версии по каким-либо причинам невозможно, организациям необходимо учесть это в своей модели угроз и отделить уязвимые узлы от остальной сети, по возможности сняв с них задачи, связанные с работой в интернете; обеспечить защиту машин с устаревшими ОС современным решением, способным полноценно и эффективно на них работать. В этом может помочь продукт Kaspersky Embedded Systems Security, который эффективно работает даже на низкопроизводительном оборудовании и под управлением устаревших ОС; если ОС позволяет, использовать передовые решения, снабженные технологиями поведенческого анализа и предотвращения эксплуатации уязвимостей, такие как Kaspersky Small Office Security для предпринимателей и микробизнеса, Kaspersky Security Cloud для малого и среднего бизнеса, а также Kaspersky Security для бизнеса — для компаний с более развитой IT-инфраструктурой. Эти решения помогают снизить риск эксплуатации незакрытых уязвимостей в поддерживаемых ими устаревших системах (Windows 7 и более ранних).

[vladimir1949]

Осторожно: в Google Play под видом модов для Minecraft распространяется вредоносное ПО

В 2020 году уже было удалено более 20 подобных приложений, но теперь «эпидемия» началась вновь

Эксперты «Лаборатории Касперского» предупредили любителей мобильного гейминга о новой опасности. Они обнаружили, что в Google Play снова начали распространяться вредоносные приложения под видом модов для Minecraft.

Как отмечают эксперты, в конце 2020 года из Google Play уже было удалено более 20 подобных приложений, но теперь появились новые версии вредоносного ПО.

+ Полный текст +

Ранее приложения превращали устройство в инструмент для крайне навязчивого показа рекламы. Теперь такие приложения могут по команде злоумышленников запускать полноэкранную рекламу на постоянной основе, загружать дополнительный модуль для сокрытия значка приложения, внезапно открывать браузер, показывать ролики YouTube и открывать страницы приложений в Google Play.

Эксперты также обнаружили приложения, крадущие учётные записи Facebook — такое может проделать подделка под одну рекламную сеть и поддельный клиент для размещения рекламы в TikTok. Они требуют ввести учётные данные Facebook, после чего информация уходит злоумышленникам.

Также было найдено вредоносное приложение File Recovery — Recover Deleted Files, выдающее себя за утилиту для восстановления удалённых файлов. К настоящему моменту разработчики его убрали, и та версия, которая доступна в Google Play сейчас, является безопасной.

Специалисты «Лаборатории Касперского» уже уведомили Google о найденных приложениях с вредоносной «начинкой».

[vladimir1949]

Россиян атакуют через мессенджеры на Android чаще, чем пользователей из других стран
13.07.2021 [11:34]

Специалисты из «Лаборатории Касперского» проанализировали динамику фишинговых атак через популярные мессенджеры и пришли к выводу, что пользователи Android-устройств из России сталкиваются с подобными инцидентами чаще жителей других стран. Почти половина попыток (46 %) перейти из мессенджера по вредоносной ссылке в период с декабря 2020-го по май 2021 года заблокированы продуктами компании в России.

В отчёте отмечается, что фишинговые ссылки в России чаще всего распространяются через WhatsApp. На долю популярного мессенджера компании Facebook приходится 83 % фишинговых ссылок, которые были заблокированы продуктами «Лаборатории Касперского» на территории страны за указанный период. Каждая десятая атака такого типа осуществлялась через Viber, а Telegram злоумышленники использовали в 7 % случаев.

В «Лаборатории Касперского» отметили, что фишинг продолжает оставаться одним из наиболее распространённых видов онлайн-мошенничества. Чаще всего фишинговые атаки нацелены на кражу данных, а столкнуться с ними можно не только в мессенджерах, но и в электронной почте, SMS-сообщениях, социальных сетях и др.

Специалисты рекомендуют пользователям сохранять бдительность и внимательно следить за ссылками, по которым они переходят. Также рекомендуется использовать антифишинговые решения, способные с высокой точностью в режиме онлайн определять потенциально опасные ссылки и блокировать попытки перейти по ним. За счёт этого пользователи смогут избежать проблем, которые могут возникнуть в случае кражи личных данных злоумышленниками в ходе фишинговой атаки.