Компания Positive Technologies раскрыла новую кибергруппировку, которая атакует государственные учреждения как минимум в шести странах.

Сообщество сетевых злоумышленников получило название Calypso. Впервые активность этой группы была выявлена в марте нынешнего года, однако действует она с сентября 2016-го.

Киберпреступники организуют сложные целевые атаки (APT). Злоумышленники взламывают сетевой периметр и размещают на нём специальную программу, через которую получают доступ к внутренним сетям скомпрометированных организаций.

Анализ показывает, что от действий Calypso пострадали госучреждения в Индии (34 % жертв), Бразилии и Казахстане (по 18 %), России и Таиланде (по 12 %), а также в Турции (6 %).

Эксперты говорят, что успеху атак этой группировки во многом способствует тот факт, что большинство утилит, применяемых ею для продвижения внутри сети, широко используются специалистами по всему миру для сетевого администрирования.

В ходе атак преступники при помощи распространённых эксплойтов заражают компьютеры в локальной сети организации и похищают конфиденциальные данные.

Специалисты отмечают, что предотвратить такие атаки можно при помощи систем глубокого анализа трафика. Более подробно о деятельности Calypso можно узнать здесь. 

Генеральная прокуратура Российской Федерации сообщает о том, что в нашей стране значительно увеличилось количество преступлений в сфере информационно-телекоммуникационных технологий.

В частности, в 2017 году число киберпреступлений поднялось с 65 949 до 90 587. Отмечается, что на долю таких деяний пришлось 4,4 % от всех зарегистрированных в России преступных действий.

Иными словами, почти каждое двадцатое преступление в нашей стране совершается в сфере информационных технологий.

Чаще всего в России киберпреступники пытаются получить незаконный доступ к информации. Другим распространённым видом незаконной деятельности является создание, использование и распространение вредоносных компьютерных программ.

Распространение получили мошеннические действия, совершённые с использованием электронных платежных средств. Их количество в первом полугодии 2018 года возросло в семь раз. Наибольшее число указанных преступлений совершено в Ставропольском крае, Мурманской области, Республике Татарстан, в Москве и Саратовской области. 

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучался рынок преступных киберуслуг.

В качестве объектов для изучения были выбраны 25 наиболее популярных англоязычных и русскоязычных теневых торговых площадок. На них зарегистрированы в общей сложности свыше 3 млн пользователей. Специалисты проанализировали более 10 тыс. объявлений; при этом явно мошеннические предложения не учитывались.

Выяснилось, что в целом спрос на услуги по созданию вредоносного программного обеспечения (ПО) втрое превышает предложение. На рынке преступных киберуслуг широко распространены криптомайнеры (20 %), хакерские утилиты (19 %), инструменты для создания ботнетов (14 %), средства для удалённого доступа (12 %) и трояны-вымогатели (12 %).

Наиболее дорогим является вредоносное ПО для проведения логических атак на банкоматы: цена на такие инструменты начинаются с $1500. Стоимость целевой атаки на организацию в зависимости от сложности может превысить $4500. А, скажем, взлом сайта с получением полного контроля над веб-приложением обойдётся злоумышленнику в относительно небольшую сумму — $150.

«Современные кибератаки в большинстве своем основаны на использовании не собственных, а купленных и арендованных у третьих лиц разработок и серверов. Это не только снижает порог входа в киберпреступность и упрощает проведение атак, но и существенно затрудняет или делает невозможной точную атрибуцию целевых атак», — заключают эксперты Positive Technologies. 

Вредоносное программное обеспечение российского происхождения за очень короткий срок — с воскресенья на понедельник — инфицировало свыше 100 тыс. блогов на базе платформы Wordpress. В результате заражения блоги превращаются в площадки для последующей атаки. Вирус получил название SoakSoak.

Google уже успела заблокировать 11 тыс. заражённых доменов, чтобы снизить распространение вируса. По информации фирмы безопасности Sucuri, вирус использует уязвимость в плагине для показа слайд-шоу Slider Revolution. Примечательно, что разработчики этого плагина знали об уязвимости как минимум с сентября этого года, но не устраняли её до тех пор, пока не произошло массовое заражение. Уязвимость получила название RevSlider.

В Sucuri говорят, что пресечь распространение вируса невозможно до тех пор, пока сами владельцы сайтов не примут соответствующие меры, а многие из них даже не подозревают о том, что их блог инфицирован. Для удаления SoakSoak нужно вручную обновить плагин.

В некоторых случаях этот плагин поставляется в комплекте с темой, и тогда он автоматически не обновляется. Затем нужно удалить код в скрипте страницы wp-includes/template-loader.php. Также необходимо удостовериться, что плагин Slider Revolution в самой последней версии.

SoakSoak заставляет страницы блога загрузить дополнительный контент с адреса soaksoak.ru/xteas/code. Sucuri опубликовала страницу для бесплатной проверки блога на предмет заражения. Особенную проблему представляет то, что плагин относится к категории премиальных, что усложняет его обновление.