Угрозы дня: Шифровальщики Обама, Трамп и Меркель. Шпион Pegasus для iPhone и Android

Опасная шпионская программа Pegasus распространяется в 45 странах

Печально известная шпионская программа Pegasus, которая нацелена на устройства iPhone и Android, предположительно, проникла в 45 разных стран по всему миру. Pegasus - профессиональная шпионская программа, созданная израильской компанией NSO Group, разрабатывающей различные шпионские программы. Исследователи из компании The Citizen Lab сообщают, что количество серверов Pegasus увеличилось с 200 в 2016 году до почти 600 в 2018 году. Это может быть признаком того, что NSO Group расширяет свои операции по распространению шпионской программы. Pegasus, как правило, распространяется через специально созданное соединение с эксплойтом (с помощью технологий фишинга), которое при нажатии на него обеспечивает цепочку из эксплойтов нулевого дня для проникновения в операционную систему устройства. В прошлых версиях Pegasus эксплуатировал три уязвимости нулевого дня в iOS для скрытого проведения джейлбрейк устройства и дальнейшей установки шпионской программы.

Исследователи разработали и провели глобальное исследование зондирования кэша DNS на соответствие доменным именам, чтобы определить, в каких странах каждый оператор шпионил. С помощью данной техники было выявлено в общей сложности 45 стран, в которых операторы Pegasus могут проводить операции по наблюдению: Алжир, Бахрейн, Бангладеш, Бразилия, Канада, Кот-д'Ивуар, Египет, Франция, Греция, Индия, Ирак, Израиль, Иордания, Казахстан, Кения, Кувейт, Кыргызстан, Латвия, Ливан, Ливия, Мексика, Марокко, Нидерланды, Оман, Пакистан, Палестина, Польша, Катар, Руанда, Саудовская Аравия, Сингапур, Южная Африка, Швейцария, Таджикистан, Таиланд, Togo, Тунис, Турция, ОАЭ, Уганда, Великобритания, США, Узбекистан, Йемен, а также Замбия. Израильская компания NSO Group, создавшая Pegasus, прокомментировала сообщение о данном списке стран: "Продукт лицензирован только для работы в странах, одобренных в рамках нашей Бизнес-этики, и продукт не будет работать за пределами утвержденных стран". Тем не менее, исследователи The Citizen Lab опровергли эти утверждения.

Европол: Шифровальщики остаются главной киберугрозой

В новом отчете Европола сообщается, что шифровальщики остаются главной угрозой для организаций, причиняя ущерб на миллионы долларов, оставаясь мощным инструментом для киберпреступников и атак со стороны государств. Ущерб от работы таких шифровальщиков как: WannaCry, NotPetya и Bad Rabbit составил более пяти миллиардов долларов. "Преступники становятся более искусными, а инструменты более сложными, но более легкими для получения выгоды, снизилось количество атак, направленных на обычных пользователей и увеличились атаки на малые предприятия и более крупные цели, в которых находятся больше потенциальной прибыли", - говорится в отчете. Одним из примечательных примеров является шифровальщик SamSam, атаковавший компьютеры учреждений здравоохранения и правительства. Требование выкупа часто составляло более 50 000 долларов. Европол призывает к дополнительному сотрудничеству по борьбе с киберугрозами.

База данных, включающая 11 миллионов учетных записей

Была обнаружена огромная база данных клиентов, содержащая 11 миллионов записей личных данных. Данные были доступны в системе управления базами данных MongoDB, расположенной на хостинге провайдера Grupo-SMS USA. Информация была в открытом доступе (необходимо было знать только путь её расположения). Обнаружил ее исследователь по вопросам безопасности Боб Дьяченко. Его исследование показало, что набор данных в последний раз индексировался хакерской поисковой системой Shodan 13 сентября, но неясно, как долго он был открыт для доступа до этой даты. Коллекция имеет размер 43.5 ГБ и содержит 10,999,535 адресов электронной почты, все из них от компании Yahoo!. База также содержит имена, физические адреса, индекс и города проживания. Было выяснено, что часть записей являлись данными пользователей веб-сайта SaverSpy, который предоставляет печатные и цифровые купоны на скидку для широкого спектра продуктов.

Политические деятели как метод распространения шифровальщиков

Компания McAfee опубликовала статью, описывающую интересную технику работы шифровальщиков. Речь идет о группах троянов-вымогателей, использующих профили политических фигур в качестве приманки пользователей для дальнейшего шифрования файлов.

1. Шифровальщик «Барак Обама» - зашифровывал только файлы с расширением .exe, а не пользовательские данные, как большинство подобных вредоносных программ. В коде шифровальщика был обнаружен код по добыче криптовалюты. Примечателен он еще тем, что пытался принудительно завершить процессы некоторых антивирусных продуктов:

• rdata:004DAC80 0000001B C taskkill /f /im kavsvc.exe
• .rdata:004DAC9B 00000019 C taskkill /f /im KVXP.kxp
• .rdata:004DACB4 00000018 C taskkill /f /im Rav.exe
• .rdata:004DACCC 0000001B C taskkill /f /im Ravmon.exe
• .rdata:004DACE7 0000001D C taskkill /f /im Mcshield.exe
• .rdata:004DAD04 0000001D C taskkill /f /im VsTskMgr.exe
• .rdata:004DAD21 00000024 C SOFTWARE\360Safe\safemon\ExecAccess
• .rdata:004DAD45 00000023 C SOFTWARE\360Safe\safemon\MonAccess
• .rdata:004DAD68 00000024 C SOFTWARE\360Safe\safemon\SiteAccess
• .rdata:004DAD8C 00000025 C SOFTWARE\360Safe\safemon\UDiskAccess

По сообщению компании McAfee шифровальщик не смог выгрузить процессы их антивирусной линейки.

2. Шифровальщик «Дональд Трамп» - находился на стадии разработки. Поэтому несмотря на то, что в коде была обнаружена функция шифрования с помощью алгоритма AES, в действительности же он перемещал определенные типы файлов в папку "encrypt", кодировал имена файлов и менял их расширение на .ENCRYPTED. В интерфейсе окна шифровальщика расположена кнопка "Разблокировать файлы" с помощью которой можно было вернуть исходное состояние файлов.

3. Шифровальщик «Ангела Меркель» - зашифровывал файлы с помощью алгоритма AES и менял расширение файлов на .angelamerkel. В качестве выкупа требовалась сумма 1200 евро. Предположительно ориентирован на страны Европейского союза.

Шифровальщики «Дональд Трамп» и «Ангела Меркель» на 46% состоят из идентичного кода.