Жнец: новый вирус, который обрушит весь мировой интернет. Новый вирус превращает компьютеры Apple в «кирпичи Новый вирус атакует Mac

МАССИВНЫЙ ботнет, который накапливался в течение

последних нескольких недель, угрожает разрушить Интернет, предупреждают
израильские специалисты по кибербезопасности.

Ботнет (англ. Botnet, МФА: ; произошло от слов robot и
network) - компьютерная сеть, состоящая из определенного количества
хостов, с запущенными ботами - автономным программным обеспечением. Чаще
всего бот в составе ботнета - это программа, скрытая доступность на
устройствах и разрешении злоумышленнику. Обычно используются для
нелегальной или неодобряемой деятельности - рассылки спама, перебора
паролей на удалённой системе, атак на отказ в обслуживании (DoS и DDoS
атаки).

Новый ботнет использует всевозможные наборы устройств, в том числе

маршрутизаторы WiFi и веб-камеры. После взлома они будут совместно
отправлять всплески данных на обеспечивающие работу Интернета серверы,
что приведет к их сбоям и, в конечном итоге, к работе автономном режиме.

Примерно в это же время в прошлом году была подобная атака, вызванная
ботнетом Mirai - она выключила Интернет почти на всем Восточном
побережье США.

Однако сейчас израильские исследователи безопасности из Check Point
обнаружили то, что они назвали совершенно новым и более сложным
ботнетом, полная активность которого может вызвать настоящий
«кибер-ураган».

«Пока мы оцениваем, что во всем мире, включая США, Австралию и
определенные области между ними, уже затронуты более миллиона
организаций. И их число только увеличивается. Наши исследования
показывают, что в данный момент мы переживаем период спокойствия перед
очень большим штормом. Следующий кибер-ураган скоро придет».

Таким образом получается, что ботнет, названный израильскими
специалистами Reaper (ЖНЕЦ), уже заразил сети как минимум миллиона
компаний. Количество зараженных устройств и компьютеров уже не поддается
определению.

Используя систему предотвращения вторжений Check Point (IPS)
исследователи заметили, что хакерами все чаще предпринимаются попытки
использовать комбинацию уязвимостей, обнаруженных в различных
смарт-гаджетах. Это их данные, полученные в течении сентября.

И с каждым днем вредоносное ПО обнаруживает все больше и больше
уязвимостей в устройствах. Особенно это касается беспроводных IP-камер,
таких как GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys,
Synology и прочих.

Стало очевидно, что попытки нападений исходили из разных источников и
различных устройств, что означало: атака распространялась самими
устройствами.

Один технический сайт, оценивая угрозу, предупреждает, что этот “жнец” выкосит весь Интернет.

Check Point сообщает, что пока мы переживаем «спокойствие перед
бурей» компании должны заблаговременно начать подготовку к атаке с
распределенным отказом в обслуживании (DDoS), которая может потенциально
заблокировать ресурсы.

Атаки DDoS стали известными благодаря команде Lizard Squad,
кибер-банде, которая вошла в сеть PlayStation во время Рождества 2014
года. Они предполагают наводнение веб-сайтов или других целей
перегрузочным трафиком, что вызывает их обрушение. Поэтому экспертам по
безопасности всех фирм и компаний предлагается не просто просканировать
свои сети, но и превентивно отключить максимальное количество
гаджетов, рассматривая их как зараженные.

Частным владельцам устройств предлагается сделать то же самое, хотя
единственное, что неспециалисты могут сами заметить - это более
медленные скорости соединения, особенно по Wi-Fi.

======================================== =

Ряды мощных ботнетов для устройств интернета вещей (Internet of
Things, IoT), продолжают пополняться. Недавно в сети был замечен новый
конкурент ботнетов Mirai и Necurs, получивший название IoT_reaper, с
середины сентября выросший до гигантских масштабов. По оценкам
исследователей из компаний Qihoo 360 Netlab и Check Point, в настоящее
время в состав ботнета входит порядка 2 млн устройств. В основном это
IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы.

С развитием интернета вещей (IoT), начинают множится и вирусы, при
помощи которых можно вывести электронику из строя. Причем сама сущность
IoT предполагает наличие множества подключенных устройств. Для ботнетов
это отличная "среда обитания": заразив одно устройство, вирус копирует
себя на все доступные девайсы.

В конце прошлого года мир узнал о гигантском (почти 5 млн устройств)
ботнете, состоящем из роутеров. Со взломом роутеров столкнулся и
немецкий телеком-гигант Deutsche Telekom, чьи пользовательские
устройства оказались заражены вредоносом под названием Mirai. Сетевым
оборудованием дело не ограничилось: проблемы с безопасностью были
обнаружены в "умных" посудомойках Miele и кухонных плитах AGA. "Вишенкой
на торте" стал зловред BrickerBot, который, в отличие от "коллег", не
просто заражал уязвимые устройства, а полностью выводил их из строя.

Наличие в домашней сети плохо сконфигурированного или содержащего
уязвимости IoT-устройства может повлечь за собой печальные последствия.
Один из самых распространенных сценариев — включение устройства в
ботнет. Это, пожалуй, самый безобидный вариант для его владельца, другие
варианты использования более опасны. Так, устройства из домашней сети
могут использоваться в качестве промежуточного звена для совершения
противозаконных действий. Кроме того, злоумышленник, получивший доступ к
IoT-устройству, может шпионить за его владельцем с целью последующего
шантажа - история уже знает подобные инциденты. В конце концов (и это
далеко не самый худший сценарий) зараженное устройство может быть
попросту сломано.

Специалисты "Лаборатории Касперского" ранее проводили эксперимент,
настроив несколько ловушек ("ханипотов"), которые имитировали различные
"умные" устройства. Первые попытки несанционированного подключения к ним
эксперты зафиксировали уже через несколько секунд.

За сутки было зарегистрировано несколько десятков тысяч обращений.
Среди устройств, атаки с которых наблюдали эксперты, более 63% можно
определить как IP-камеры. Около 16% составили различные сетевые
устройства и маршрутизаторы. Еще 1% пришелся на Wi-Fi-ретрансляторы,
TV-приставки, устройства IP-телефонии, выходные ноды Tor, принтеры,
устройства "умного дома". Остальные 20% устройств однозначно опознать не
удалось.

Если посмотреть на географическое расположение устройств, с
IP-адресов которых эксперты видели атаки на ханипоты, можно наблюдать
следующую картину: в топ-3 стран вошли Китай (14% атакующих устройств),
Вьетнам (12%) и Россия (7%).

Причина роста числа таких атак проста: интернет вещей сегодня
практически не защищен от киберугроз. Подавляющее большинство устройств
работает на Linux, что упрощает жизнь преступникам: они могут написать
одну вредоносную программу, которая будет эффективна против большого
количества устройств. Кроме того, на большинстве IoT-гаджетов нет
никаких защитных решений, а производители редко выпускают обновления
безопасности и новые прошивки.

Недавно стало известно о появлении нового ботнета IoT_reaper, который
с середины сентября распространился примерно на 2 млн устройств,
сообщается в исследовании компаний Qihoo 360 Netlab и Check Point.

По словам исследователей, код вредоносного ПО, используемого для
создания ботнета, включает фрагменты кода Mirai, но при этом содержит
ряд новых функций, отличающих Reaper от конкурентов. Главное его отличие
заключается в методе распространения. Если Mirai ищет открытые
Telnet-порты и пытается скомпрометировать устройство, используя перечень
распространенных или ненадежных паролей, то Reaper ищет уязвимости,
которые в перспективе дают возможность заражать большее количество
устройств.

По мнению Qihoo 360 Netlab, вредоносное ПО включает среду для
осуществления скриптов на языке Lua, что дает возможность операторам
добавлять модули для разных задач, например DDoS-атак, перенаправления
трафика и пр.

Эксперты Check Point считают, что Reaper может на некоторое время
парализовать работу интернета. "По нашим оценкам, более миллиона
организаций уже пострадали от действий Reaper. Сейчас мы переживаем
спокойствие перед сильным штормом. Киберураган скоро настигнет
интернет", - отмечается в сообщении Check Point

Среди зараженных устройств - беспроводные IP-камеры компаний GoAhead,
D-Link, AVTech, Netgear, MikroTik, Linksys, Synology и другие.
Некоторые компании уже выпустили патчи, устраняющие большинство
уязвимостей. Но у потребителей нет привычки устанавливать обновления
безопасности для устройств.

МАССИВНЫЙ ботнет, который накапливался в течение

Новый ботнет использует всевозможные наборы устройств, в том числе

Один технический сайт, оценивая угрозу, предупреждает, что этот “жнец” выкосит весь Интернет.

=========================================

В декабре прошлого года кибер-атака на украинскую электроэнергетическую сеть привела к отключению электроэнергии в северной части Киева - столице страны и прилегающих районах. Но только теперь специалисты по компьютерной безопасности смогли обнаружить виновника этих кибератак на украинские промышленные системы управления.

Компания ESET, создатель антивирусного программного обеспечения из Словакии и специализирующаяся на защите критически важных инфраструктур компания Dragos Inc. заявили, что обнаружили новую опасную вредоносную программу, которая нацелена на критически важные промышленные системы управления и способна вызывать отключения электроэнергии.

В кибер-атаке в декабре 2016 года против украинской электросети «Укрэнерго» был использован червь «Industroyer» или «CrashOverRide» (Industroyer/CrashOverRide). Это новое, очень продвинутое вредоносное ПО для саботажа электросетей. По мнению специалистов по компьютерной безопасности CrashOverRide на сегодня является самой большой угрозой для промышленных систем управления после Stuxnet - первой вредоносной программы, предположительно разработанной США и Израилем для саботажа иранских ядерных объектов в 2009 году.

В отличие от червя Stuxnet, CrashOverRide не использует уязвимости программного обеспечения «нулевого дня» для выполнения своих вредоносных действий. Вместо этого он опирается на четыре протокола промышленной связи, используемые во всем мире в инфраструктуре электроснабжения, системах управления транспортом и других критически важных инфраструктурных системах.

Вредоносная программа CrashOverRide может управлять коммутаторами и автоматическими выключателями электрических подстанций, разработанными десятилетиями назад, позволяя злоумышленнику просто отключить распределение мощности, вызвав тем самым каскадные сбои подачи электроэнергии. Возможно даже причинение непоправимого ущерба самому управляющему оборудованию.

Индустриальный вредоносный код - это бэкдор, который сначала устанавливает четыре компонента полезной нагрузки для управления коммутаторами и автоматическими выключателями. Далее червь подключается к удаленному серверу управления для приема команд от злоумышленников.

Как говорят специалисты из ESET «Полезная нагрузка CrashOverRide показывают глубокие знания своих разработчиков в организации управления промышленными системами. Кроме того, вредоносная программа несет ряд дополнительных функций, позволяющих ей скрываться от сканеров антивирусов и удалять все следы своего вмешательства в компьютерную систему. На сегодняшний день существуют всего четыре вирусные программы, нацеленные на промышленные системы управления. Это печально известный Stuxnet, Havex, BlackEnergy и теперь, получается CrashOverRide. Но в отличие от Havex и BlackEnergy, предназначенных для промышленного шпионажа, CrashOverRide как и Stuxnet - это программа для саботажа».

В компании Dragos говорят о новом черве практически то же самое: «Функции и структура CrashOverRide не служит цели промышленного шпионажа. Единственная реальная особенность этого вредоносного ПО - атака систем управления, которая приведет к электрическим отключениям».

Анализ нового вредоносного ПО предполагает, что CrashOverRide, если он будет работать в полную силу, может привести к перебоям в подаче электроэнергии гораздо более глобальным, нежели те что были в декабре 2016-го на Украине.

Вредоносная программа включает в себя взаимозаменяемые, подключаемые компоненты, которые могут позволить CrashOverRide использовать большой спектр утилит для управления электроэнергией или даже запускать одновременные атаки на несколько целей. Более того: в зависимости от подключенных к вирусу дополнительных модулей он может применяться и для удара по другим инфраструктурам, таким как транспорт, газопроводы или даже гидроэлектростанции.

Анализируя программный код CrashOverRide эксперты пришли к заключению, что скорее всего вирус разработан хакерской группой из России, в свое время создавшей червь Sandworm.

СЦЕНАРИЙ НОЧНОГО КОШМАРА ДЛЯ США

Всего несколько недель назад буквально миллионы компьютеров по всему миру были внезапно атакованы компьютерным червем «WannaCry», разработанному Агентством национальной безопасности США. Это вредоносное ПО блокировало сервера и рабочие станции, требуя чтобы инфицированные пользователи выплатили злоумышленникам 300 долларов США в течение нескольких дней. Или цена автоматически повышалась до 600 долларов. Если же деньги на счет злоумышленника так и не поступали - вся информация на дисках инфицированного компьютера полностью уничтожалась.

Сценарий ночного кошмара» - это соединение Industroyer/CrashOverRide с модулем «выкупа», таким какой был использован в Wannacry. Если это вредоносное ПО заразит управляющие системы, то первое с чем столкнуться их операторы - они не смогут получить доступ ни к одному выключателю или системному трансформатору ибо за доступ нужно будет заплатить выкуп.

Поскольку персонал электросетей физически контролирует и трансформаторы, и все большие рубильники, он может обойтись и без выкупа. Но проблема в том, что вирус уничтожит в каждом из этих устройств заводскую прошивку и чтобы всё везде поменять потребуется как минимум месяц. МЕСЯЦ, который половина, если не все США будут сидеть в темноте и без электричества! Что конкретно ВЫ будете делать, если у вас в доме 30 суток не будет света?

Компания Check Point Research, занимающаяся предоставлением услуг киберразведки, обнаружила вирус Reaper, который атакует девайсы, подключенные к интернету вещей. Компания сообщает , что вирус распространяется гораздо быстрее, чем Mirai, «нашумевший» в 2016 году. По некоторым оценкам, он уже заразил два миллиона IoT-устройств.

Вирус Mirai показал, чем может обернуться атака зараженных устройств, подключенных к интернету вещей. В сентябре 2016 года Брайан Кребс (Brian Krebs) опубликовал статью, посвященную группировкам, которые продают услуги ботнетов для осуществления DDoS-атак. После чего на его сайт обрушилась одна из самых мощных DDoS-атак в истории с трафиком 665 Гбит/с.

Что касается нового вируса, то Reaper имеет определенное сходство с Mirai, но на самом деле это полностью новый и гораздо более сложный вредонос, который стремительно распространяется по миру. Так пишут в своем блоге Check Point Research.

Однако новый вирус использует известные уязвимости девайсов. В базе Reaper содержится информация об устройствах следующих компаний: D-Link, Netgear, Linksys, AVTech, Vacron, JAWS и GoAhead.

Некоторые из указанных производителей уже выпустили обновления безопасности, однако не все пользователи их установили. Поэтому многие устройства пока остаются под угрозой.

Комментируя ситуацию, Надир Израэль (Nadir Izrael), сооснователь компании Armis, обеспечивающей безопасность интернета вещей, указал на проблему обновлений.

Он отметил, что большинство подключенных девайсов обновить не так просто. По его словам, у многих из них нет нормального интерфейса, понятного пользователям и ИТ-специалистам. На некоторых стоит стандартный пароль, который владелец может не знать. А часть вообще не поддерживает обновления.

Специалисты проанализировали код Reaper и обнаружили , что вредонос способен проводить DDoS-атаки, но их пока не было. Вероятно, автор вируса ждет, пока тот распространится по миру.

Зараженные устройства автоматически рассылают вирус на другие подключенные гаджеты - по данным Check Point Research, этим «занимается» приблизительно 60% корпоративных сетей, являющихся частью глобальной сети ThreatCloud.

Например, для подключения к ботнету IP-камеры GoAhead используется уязвимость CVE-2017-8225 . Файл System.ini зараженного устройства содержит netcat-команду, которая устанавливает соединение с системой атакующего. После чего гаджет самостоятельно начинает поиск других «жертв». Подобным образом, вирус попадает на 10 тысяч новых устройств ежедневно.

Интернет уязвимых вещей

Безопасность интернета вещей - актуальная проблема. Согласно исследованию HP, 80% устройств не требуют от пользователей вводить сложные пароли. Именно этим воспользовался в свое время Mirai: у него в базе было 60 распространенных пар логин – пароль. Простой подбор позволил вирусу 400–500 тысяч устройств.

Существует даже специальная поисковая система Shodan, в которой найти информацию о 100 млн подключенных устройств, в том числе слабозащищенных. Достаточно ввести запрос default password или подобный.

Исследование HP также выявило, что на 60% устройств во время обновления не применяется шифрование. За счет этого злоумышленники могут перехватить файл обновления и встроить в него сторонний код.

09.01.2017, Пн, 13:54, Мск , Текст: Антон Труханов

Пользователи компьютеров Apple подвергаются атакам нового вируса, который вызывает зависание и обрушение системы через электронную почту или сервис iTunes. Хакеры заставляют пользователей звонить по фальшивым номерам техподдержки, вымогая у них деньги.

Новый вирус атакует Mac

Владельцы компьютеров на базе операционной системы Mac OS компании Apple атакованы новым вредоносным ПО, сообщила компания Malwarebytes.

Вирус распространяется через ссылки на сайт с вредоносным ПО. Как только пользователь переходит на сайт, ссылки на который зачастую распространяются через спам по электронной почте, на компьютер устанавливается троянская программа. После установки вредоносное ПО может запустить одну из двух последовательностей действий, в зависимости от версии операционной системы пользователя, говорятся специалистов по безопасности из Malwarebytes.

Атаки через почту и iTunes

В первом случае вирус заполняет штатный почтовый клиент операционной системы Apple письмами со словами "Warning! Virus Detected!" («Внимание! Обнаружен вирус!») в теме письма. Несмотря на отсутствие дальнейших действий, направленных на взаимодействие с пользователем, одномоментный поток новых писем вызывает зависание компьютера, неспособного справиться с такой нагрузкой.

Во втором случае вирус начинает открывать программу iTunes множество раз, что также приводит к краху системы.

Предупреждение о заражении компьютера Mac с рекомендацией позвонить по фальшивому телефону техподдержки

Таким образом, подчеркивают эксперты, в обоих случаях вредоносное ПО заставляет компьютер полностью использовать доступную память, подобно тому, как с помощью большого количества обращений хакеры осуществляют DDoS-атаки на веб-сайты.

Мошенническая схема хакеров

После нанесения вреда системе, вирус оставляет фальшивое сообщение для пользователя в электронной почте или плеере iTunes, согласно которому нужно позвонить по фальшивому номеру техподдержки Apple, чтобы решить возникшую проблему.

Эксперты из Malwarebytes не сообщают, что именно произойдет, если позвонить по номеру, оставленному злоумышленниками, но предполагают, что злоумышленники попытаются заставить пользователя заплатить некую сумму за то, чтобы избавить его от проблем, вызываемых вирусом, под видом сотрудников Apple.

Интересно, что описанный вирус угрожает только пользователям операционной системы Mac, в то время, как версий для устройств на базе родственных мобильной ОС iOS, на которой работают смартфоны iPhone и планшеты iPad, пока замечено не было.

Эксперты отмечают, что данный вирус очень напоминает подобное вредоносное ПО для Windows, которое впервые было замечено в ноябре 2015 г. В случае с операционной системой Microsoft, вирус использовал уязвимость в HTML5, атакуя пользователей через наиболее популярные веб-браузеры и оставляя сообщения от фальшивой техподдержки на веб-страницах.