Symantec: В Австралии до сих пор наблюдаются атаки, похожие на Petya

Олег Иванов 01 Сентября 2017 - 15:33

Домашние пользователи

Малый и средний бизнес

Symantec

Вирусы-вымогатели

Вирусы-шифровальщики

...

Symantec: В Австралии до сих пор наблюдаются атаки, похожие на Petya

По словам экспертов компании Symantec, в Австралии до сих пор наблюдаются тысячи попыток заражения компьютеров, в ходе которых используются те же эксплойты и механизмы взлома, что и во вредоносных кампаниях WannaCry и Petya.

«К сожалению, в австралийских компаниях наблюдается тенденция не сообщать об инфицировании своих сетей, что крайне негативно сказывается на противодействии таким атакам» - утверждает технический директор Symantec, Ник Саввидес (Nick Savvides).

«Австралия входит в десятку самых часто атакуемых стран, в частности, из-за того, что организации в этой стране склоны платить вымогателям. Также стоит отметить, что австралийцы имеют довольно непринужденное отношение к кибербезопасности и резервному копированию данных, что делает их идеальными жертвами» - продолжает Саввидес.

Symantec опубликовала интересный отчет, в котором говорится о том, что до появления Petya и WannaCry основная угроза со стороны вредоносов-вымогателей заключалась в обширных спам-кампаниях и таргетированные атаки на организации.

Также приводится статистика: в течение первых шести месяцев 2017 года на долю организаций приходилось 42 процента всех заражений вымогателями, в 2016 году 30 процентов, в 2015 29 процентов.

Америка по-прежнему является наиболее пострадавшей от вымогательства страной, на долю которой приходится 29 процентов всех инфекций в 2017 году. На долю Японии приходится 9 процентов, Италии - 8 процентов, Индии и Германии - 4 процента.

Закрывают десятку самых атакуемых стран Нидерланды, Великобритания, Австралия, Россия и Канада, на долю каждой из этих стран приходится 3 процента атак.

Symantec считает, что атаки, подражающие механизму WannaCry и Petya, не окажут такого же влияния, так как используют уязвимость EternalBlue, о которой достаточно широко известно. Организации будут стараться устранить эту брешь, если обнаружат ее у себя в сети.

«EternalBlue позволял распространять вымогатели гораздо проще, однако атаки Petya доказали, что существуют альтернативные методы распространения. Эти методы могут быть не столь легкими и эффективными, однако в руках квалифицированных злоумышленников они могут представлять серьезную угрозу для неподготовленных организаций» - говорится в докладе.

Саввидес из Symantec также уточнил, что сейчас авторы вымогателей сосредоточены на атаках на домашние компьютеры пользователей. Они требуют выкуп в размере от 300 до 1000 долларов США, в среднем жертвы из, например, Австралии платят 625 австралийских долларов.

Что касается прогнозов, то Саввидес выразил уверенность в том, что в будущем киберпреступники, скорее всего, начнут фокусироваться на небольших предприятиях, увеличив выкуп до десятков тысяч долларов.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.