Η ESET συνδέει εκτεταμένη διακοπή ρεύματος στην Ουκρανία με κυβερνο-κατασκοπεία

Οι ερευνητές υποστηρίζουν ότι δεν ήταν ένα μεμονωμένο περιστατικό και σχετίζεται με επιθέσεις σε μέσα ενημέρωσης, κυβερνητικές υπηρεσίες και άλλους παρόχους ενέργειας

Στις 23 Δεκεμβρίου τα μισά σπίτια της περιοχής Ivano-Frankivsk στην Ουκρανία, έμειναν χωρίς ηλεκτρικό ρεύμα για αρκετές ώρες, επηρεάζοντας περίπου 700.000 κατοίκους. Οι ερευνητές της ESET υποστηρίζουν ότι η διακοπή ρεύματος δεν ήταν ένα μεμονωμένο περιστατικό, καθώς και άλλοι πάροχοι ηλεκτρικής ενέργειας στην Ουκρανία είχαν αποτελέσει ταυτόχρονα στόχο κυβερνο-εγκληματιών.

Τα περιστατικά συνδέονται με επιθέσεις σε μέσα ενημέρωσης και στοχευμένη κυβερνο-κατασκοπεία ενάντια σε ουκρανικές κυβερνητικές υπηρεσίες. Αναλύοντας το κακόβουλο λογισμικό των επιθέσεων αυτών, KillDisk, οι ερευνητές της ESET διαπίστωσαν ότι η νέα παραλλαγή του συγκεκριμένου malware περιλαμβάνει κάποια πρόσθετη λειτουργία με στόχο να σαμποτάρει βιομηχανικά συστήματα.

Σύμφωνα με τους ερευνητές της ESET, οι επιτιθέμενοι χρησιμοποίησαν το backdoor του BlackEnergy για να εμφυτέψουν ένα στοιχείο του KillDisk στους υπολογιστές που στόχευαν, για να καταστήσουν αδύνατη τη λειτουργία της επανεκκίνησης.

Το backdoor trojan BlackEnergy έχει σπονδυλωτή δομή και περιλαμβάνει διάφορα στοιχεία, τα οποία γίνονται download για να εκτελέσουν συγκεκριμένες ενέργειες. Το 2014, χρησιμοποιήθηκε σε μια σειρά από επιθέσεις κατασκοπείας στον κυβερνοχώρο εναντίον στόχων υψηλού προφίλ στην Ουκρανία, που είχαν σχέση με την κυβέρνηση. Στις πρόσφατες επιθέσεις κατά των εταιρειών ηλεκτρικής ενέργειας, έγινε λήψη και εκτέλεση ενός καταστρεπτικού trojan KillDisk, σε συστήματα που είχαν ήδη μολυνθεί με το trojan BlackEnergy.

Πηγή

Advertisements

Γερμανία: Κυβερνοεπίθεση στην Καγκελαρία;

Η καγκελαρία στο Βερολίνο δέχθηκε κυβερνοεπίθεση, υποστηρίζει η γερμανική εφημερίδα Bild, σημειώνοντας ότι χρησιμοποιήθηκε ο «δούρειος ίππος» ονόματι Regin. Η κυβέρνηση ωστόσο διαψεύδει.

Το κακόβουλο πρόγραμμα (trojan) έφθασε μέσω USB στον υπολογιστή της υπεύθυνης του τμήματος ευρωπαϊκής πολιτικής στην καγκελαρία, γράφει η γερμανική εφημερίδα και επισημαίνει ότι η στενή συνεργάτης της καγκελαρίου Μέρκελ είχε πάρει στο σπίτι της το «φλασάκι» για να τελειώσει μια ομιλία στον προσωπικό της υπολογιστή και την επομένη το έφερε στη δουλειά . Μόλις το έβαλε στον υπολογιστή της στην καγκελαρία χτύπησε συναγερμός και διαπιστώθηκε ότι πρόκειται για το κακόβουλο πρόγραμμα Regin. Έλεγχος όλων των υπολογιστών υψίστης ασφαλείας στην καγκελαρία δεν αποκάλυψε ωστόσο την ύπαρξη άλλων δούρειων ίππων.

«Μια τέτοιου είδους επίθεση δεν έγινε, δήλωσε η αναπληρώτρια κυβερνητική εκπρόσωπος Κριστιάνε Βιρτς τη Δευτέρα στο Βερολίνο. Δεν υπήρξε προσβολή του συστήματος πληροφορικής της καγκελαρίας, υπογράμμισε η εκπρόσωπος. Η Κριστιάνε Βιρτς δεν θέλησε να αναφερθεί σε περισσότερες λεπτομέρειες υπενθυμίζοντας απλά την προβλεπόμενη διαδικασία: «Σε περίπτωση που κυβέρνηση και Ομοσπονδιακή για την Ασφάλεια των Πληροφοριακών Συστημάτων κρίνουν ότι συντρέχει λόγος, θα ενημερώσουν την αρμόδια Κοινοβουλευτική Επιτροπή Έλεγχου του Κοινοβουλίου». Παρά τις επανειλημμένες ερωτήσεις των δημοσιογράφων η εκπρόσωπος δεν αποκάλυψε αν έχει ήδη ειδοποιηθεί η αρμόδια επιτροπή του κοινοβουλίου. Η Κριστιάνε Βιρτς τόνισε ωστόσο ότι για τέτοιου είδους συμβάντα ενημερώνεται η επιτροπή της βουλής και όχι η κοινή γνώμη.

Αντιδρώντας στις δηλώσεις της κυβερνητικής εκπροσώπου, ο Σάντρο Γκάικεν, ειδικός σε ζητήματα διαδικτυακής ασφαλείας στο Ινστιτούτο Πληροφορικής του Πανεπιστημίου του Βερολίνου δήλωσε στο τηλεοπτικό πρόγραμμα n-tv: «Είναι απλοϊκό να διαψεύδεται το συμβάν, το οποίο είναι ενδεικτικό για το ενδιαφέρον που έχουν ακόμα οι μεγάλες μυστικές υπηρεσίες. Ο δούρειος ίππος Regin αναγνωρίστηκε από τα συστήματα ασφαλείας μόνο και μόνο επειδή ήταν ήδη γνωστός. Θα πρέπει να θεωρήσουμε δεδομένο ότι έχουν γίνει στο παρελθόν επιτυχημένες κυβερνοεπιθέσεις εναντίον της καγκελαρίας».

Τέλη Νοεμβρίου η εταιρία Symantec που ειδικεύεται στον εντοπισμό και καταπολέμηση ιών και δούρειων ίππων είχε αναφέρει την ύπαρξη του Regin, ο οποίος είναι σε θέση να φωτογραφίζει όσα βλέπει στην οθόνη του ο χρήστης, να χειρίζεται το ποντίκι, να υποκλέπτει κωδικούς πρόσβασης, να ελέγχει την ανταλλαγή δεδομένων και να επαναφέρει δεδομένα που έχουν σβηστεί». Σύμφωνα μάλιστα με την ειδησεογραφική ιστοσελίδα The Intercept τόσο η αμερικανική μυστική υπηρεσία GCHQ όσο και η αμερικανική NSA συμμετείχαν στην δημιουργία αυτού του πολύπλοκου κατασκοπευτικού δούρειου ίππου.

Πηγή

Turla: Εργαλείο κατασκοπείας στοχεύει κυβερνήσεις και διπλωμάτες

Μία εκστρατεία κυβερνοκατασκοπείας που περιλαμβάνει τα γνωστά malware Wipbot και Turla έχει στοχεύσει συστηματικά κυβερνήσεις και πρεσβείες σε μία σειρά χωρών του πρώην Ανατολικού μπλοκ. Το Trojan.Wipbot (ή με την ονομασία Tavdig) αποτελείται από ένα back door που χρησιμοποιείται για να διευκολύνει την αναγνώριση της δραστηριότητας, πριν ο επιτιθέμενος μεταβεί σε μακρόχρονη παρακολούθηση με τη χρήση του Trojan.Turla (επίσης γνωστό και ως Uroboros, Snake και Carbon). Υπολογίζεται ότι αυτός ο συνδυασμός malware έχει χρησιμοποιηθεί σε κλασσικού τύπου δραστηριότητες κατασκοπείας τα τελευταία 4 χρόνια. Λόγω των επιλεγμένων στόχων και του εξελιγμένου malware που χρησιμοποιήθηκε, η Symantec πιστεύει ότι πίσω από αυτές τις επιθέσεις κρύβεται μία ομάδα που έλαβε κρατική χρηματοδότηση.

Το Turla προσφέρει στον επιτιθέμενο ισχυρές δυνατότητες κατασκοπείας. Σεταρισμένο να ξεκινά κάθε φορά που κάνει έναρξη ο υπολογιστής, μόλις ο χρήστης ξεκινήσει τη λειτουργία ενός Web browser, ανοίγει ένα back door που επιτρέπει την επικοινωνία με τους επιτιθέμενους. Μέσω αυτού του back door, οι επιτιθέμενοι μπορούν να αντιγράφουν αρχεία από τον μολυσμένο υπολογιστή, να σβήνουν αρχεία, και να φορτώνουν και να εκτελούν άλλες μορφές malware, μεταξύ άλλων δυνατοτήτων.

Η ομάδα πίσω από το Turla βασίζεται σε μία διττή στρατηγική επίθεσης που περιλαμβάνει μόλυνση των θυμάτων μέσω spear phishing emails και επιθέσεις τύπου watering hole.Οι επιθέσεις watering hole έχουν επαρκείς δυνατότητες έκθεσης, με τους επιτιθέμενους να παραβιάζουν μία σειρά νόμιμων ιστοσελίδων και να προσβάλουν μόνο τα θύματα που τις επισκέπτονται από προεπιλεγμένες ΙΡ διευθύνσεις. Αυτές οι παραβιασμένες ιστοσελίδες φέρουν το Trojan.Wipbot. Είναι πολύ πιθανό, ότι το Wipbot χρησιμοποιείται έπειτα ως downloader για να μεταφέρει τον Turla στο θύμα.

Θύματα

Ενώ οι μολύνσεις αρχικά εμφανίστηκαν σε μία σειρά από Ευρωπαϊκές χώρες, μία πιο βαθιά ανάλυση αποκάλυψε ότι αρκετές μολύνσεις στη Δυτική Ευρώπη έγιναν σε υπολογιστές που ήταν συνδεδεμένοι με ιδιωτικά δίκτυα των χωρών του πρώην Ανατολικού μπλοκ. Αυτές οι μολύνσεις συνέβησαν στις πρεσβείες των χωρών αυτών.

Ανάλυση στις μολύνσεις αποκάλυψε ότι οι επιτιθέμενοι είχαν εστιάσει σε ένα μικρό αριθμό χωρών. Για παράδειγμα, το Μάιο του 2012, το γραφείο του πρωθυπουργού μίας χώρας μέλους της πρώην Σοβιετικής Ένωσης παραβιάστηκε. Αυτή η μόλυνση εξαπλώθηκε γρήγορα και περισσότεροι από 60 υπολογιστές στο γραφείο του πρωθυπουργού τέθηκαν σε κίνδυνο.

Μία άλλη επίθεση έγινε σε έναν υπολογιστή στην πρεσβεία της Γαλλίας σε μία ακόμη χώρα που ανήκε στην πρώην Σοβιετική Ένωση, στο τέλος του 2012. Κατά τη διάρκεια του 2013, η μόλυνση εξαπλώθηκε σε άλλους υπολογιστές συνδεδεμένους με το δίκτυο του υπουργείου εξωτερικών της συγκεκριμένης χώρας. Επίσης, μολύνθηκε και το υπουργείο εσωτερικών. Επιπλέον έρευνα εντόπισε μία συστηματική εκστρατεία κατασκοπείας που είχε ως στόχο το διπλωματικό σώμα. Παρόμοιες μολύνσεις είχαν υποστεί πρεσβείες στο Βέλγιο, στην Ουκρανία, στην Κίνα, στην Ιορδανία, στην Ελλάδα, στο Καζακστάν, στην Αρμενία, στην Πολωνία και στη Γερμανία.

Τουλάχιστον πέντε ακόμη χώρες στην περιοχή έχουν γίνει στόχος παρόμοιων επιθέσεων. Ενώ οι επιτιθέμενοι έχουν κυρίως εστιάσει στο πρώην Ανατολικό μπλοκ, βρέθηκαν και άλλοι στόχοι. Αυτοί περιλαμβάνουν το υπουργείο υγείας μίας Δυτικοευρωπαϊκής χώρας, το υπουργείο παιδείας μίας χώρας στην Κεντρική Αμερική, μία κρατική αρχή ηλεκτρισμού στη Μέση Ανατολή και έναν οργανισμό παροχών υγείας στις Η.Π.Α.

Σημεία επίθεσης

Η ομάδα πίσω από τον Turla χρησιμοποιεί spear phishing emails και watering hole τύπου επιθέσεις για να μολύνει τα θύματά της. Ορισμένα από τα spear phishing emails υποτίθεται ότι προέρχονταν από έναν στρατιωτικό ακόλουθο μίας πρεσβείας στη Μέση Ανατολή και είχε ένα συνημμένο αρχείο που παρίστανε την σύνοψη μίας συνάντησης. Ανοίγοντας το αρχείο, αυτόματα το Trojan.Wipbot εισερχόταν στον υπολογιστή του θύματος. Πιστεύεται ότι το Wipbot μπορεί να είναι ο μηχανισμός πρόσβασης του Turla, καθώς μοιάζουν στη δομή και στον κώδικα.

Από τον Σεπτέμβριο του 2012, η ομάδα έχει παραβιάσει τουλάχιστον 84 νόμιμες ιστοσελίδες για να διευκολύνει τις επιθέσεις τύπου watering hole. Οι ιστοσελίδες που ανήκουν σε διάφορες κυβερνήσεις ή διεθνή πρακτορεία ήταν ανάμεσα σε εκείνες που παραβιάστηκαν από τους επιτιθέμενους.

Εικόνα1. Spear phishing emails και επιθέσεις τύπου watering hole χρησιμοποιούνται για να μολύνουν τα θύματα με τον Trojan.Wipbot, το οποίο μπορεί μετά να χρησιμοποιηθεί για να εγκατασταθεί το Trojan.Turla.

Turla

Η Symantec έχει εντοπίσει τις δραστηριότητες της ομάδας που έχει δημιουργήσει τον Turla εδώ και αρκετά χρόνια. Η ταυτότητα των επιτιθέμενων δεν έχει ακόμη πιστοποιηθεί, αν και όλες οι δραστηριότητες που σχετίζονται με τις επιθέσεις υποδεικνύουν ότι οι περισσότερες επιθέσεις συμβαίνουν κατά τη διάρκεια μίας εργάσιμης ημέρας στη ζώνη ώρας UTC +4.

Το trojan Turla είναι η εξέλιξη ενός παλαιότερου malware, του Trojan.Minit, το οποίο είχε ξεκινήσει τη δραστηριότητά του το 2004. Η σημερινή καμπάνια, είναι αποτέλεσμα μίας καλά καταρτισμένης ομάδας, που είναι ικανή να διεισδύει σε μία σειρά από δίκτυα. Εστιάζει σε στόχους που θα είχαν ενδιαφέρον σε κρατικούς φορείς, ενώ το αντικείμενό του είναι η κατασκοπεία και η υποκλοπή ευαίσθητων δεδομένων.

Η διασπορά των trojans γίνεται με τον εξής τρόπο.

Πηγή

Symantec: Και η Ελλάδα στο «στόχαστρο» των χάκερ-σαμποτέρ Dragonfly

symantec-logo

Μία ομάδα χάκερ-σαμποτέρ, έχει «βάλει στο μάτι» εκατοντάδες δυτικές ενεργειακές εταιρείες, κυρίως πετρελαίου και φυσικού αερίου, κατά πάσα πιθανότητα κάνοντας βιομηχανική κατασκοπεία, σύμφωνα με την αμερικανική εταιρεία κυβερνο-ασφάλειας Symantec. Η Ελλάδα είναι ανάμεσα στις δέκα κυριότερες χώρες με ενεργές «μολύνσεις», όπου οι επιτιθέμενοι υπέκλεψαν πληροφορίες από παραβιασμένα συστήματα, χωρίς να είναι σαφές ποιοί ακριβώς ήσαν οι στόχοι των χάκερ.

Οι χώρες που έχουν πληγεί περισσότερο, είναι οι εξής: Ισπανία (27%), ΗΠΑ (24%), Γαλλία (9%), Ιταλία (8%), Γερμανία (7%), Τουρκία (6%), Ρουμανία, Πολωνία και Ελλάδα (από 5%) και Σερβία (4%).

Η έκθεση αναφέρει πως «είναι πιθανό οι επιτιθέμενοι να έχουν βάση την Ανατολική Ευρώπη», ενώ σύμφωνα με τους «Τάιμς της Νέας Υόρκης», η ομάδα Dragonfly (Λιβελούλη) είναι ρωσικής προέλευσης, κάτι που σχετίζεται με το μεγάλο ειδικό βάρος της ρωσικής ενεργειακής βιομηχανίας. Μεταξύ των στόχων ήσαν πάροχοι υπηρεσιών ενέργειας, μεγάλες εταιρίες παραγωγής ηλεκτρικού ρεύματος, εταιρείες δικτύων παροχής πετρελαίου και πάροχοι βιομηχανικού εξοπλισμού ενέργειας.

Εκτός όμως από τη βιομηχανική κατασκοπεία, φαίνεται πως ο τρόπος που δρουν οι χάκερ, τους δίνει επίσης την πρόσθετη δυνατότητα να αποκτούν εξ αποστάσεως τον έλεγχο των συστημάτων ελέγχου των ενεργειακών βιομηχανιών και άρα να κάνουν σαμποτάζ, με τρόπο παρόμοιο με αυτό που χρησιμοποίησαν το Ισραήλ και οι ΗΠΑ, όταν επιτέθηκαν με τον ιό Stuxnet στις πυρηνικές εγκαταστάσεις του Ιράν το 2009, καταστρέφοντας το ένα πέμπτο από τα αποθέματα ουρανίου της χώρας.

Οι νέες επιθέσεις καταγράφηκαν για πρώτη φορά από την αμερικανική εταιρεία κυβερνο-ασφάλειας CrowdStrike το καλοκαίρι του 2012 και έκτοτε εκτιμάται, ότι έχουν πλήξει πάνω από 1.000 στόχους σε τουλάχιστον 84 χώρες. Η ομάδα των χάκερ αρχικά στόχευσε εταιρείες άμυνας και αεροπορίας στις ΗΠΑ και τον Καναδά, πριν στρέψει το ενδιαφέρον της σε εταιρείες ενέργειας στις ΗΠΑ και την Ευρώπη στις αρχές του 2013.

H νέα έκθεση της Symantec, που ‘βάφτισε’ τους χάκερ Dragonfly (προηγουμένως είχαν την ονομασία Energetic Bear), δείχνει πλέον το μέγεθος της απειλής, καθώς, σύμφωνα με τα νέα στοιχεία, η εν λόγω ομάδα έχει γίνει πολύ πιο επιθετική και ικανή στις επιθέσεις της.

Ένα από τα «κόλπα» των χάκερ είναι, ότι δεν επιτίθενται απευθείας στα συστήματα της επιχείρησης-στόχου, αλλά «μολύνουν» με το κατάλληλο λογισμικό, ορισμένες ιστοσελίδες που οι εργαζόμενοι στον ενεργειακό τομέα επισκέπτονται συχνά, όταν θέλουν να ανανεώσουν το λογισμικό τους για τον εξοπλισμό των συστημάτων βιομηχανικού ελέγχου (ICS). Με αυτό τον τρόπο, παγιδεύουν τους ανύποπτους εργαζόμενους, οι οποίοι στη συνέχεια «κατεβάζουν» στους υπολογιστές των εταιριών τους το κακόβουλο λογισμικό (τύπου Trojan), το οποίο έτσι διεισδύει στο δίκτυο της εταιρείας-στόχου.

Πάντως, ο εκπρόσωπος της Symantec, Κέβιν Χέιλι, δήλωσε ότι, προς το παρόν τουλάχιστον, δεν υπάρχουν ενδείξεις, ότι οι χάκερ σκοπεύουν να προχωρήσουν σε σκόπιμη πρόκληση ζημιών, όπως στην ανατίναξη κάποιας μονάδας γεώτρησης ή ηλεκτροπαραγωγής. Φαίνεται, όπως είπε, ότι το κατ’ αρχήν κίνητρό τους, είναι να μάθουν περισσότερα πράγματα για τις λειτουργίες, τα στρατηγικά σχέδια και την τεχνολογία των δυτικών ενεργειακών εταιρειών. «Όμως η δυνατότητα για σαμποτάζ υπάρχει πάντα», πρόσθεσε.

Η έκθεση της Symantec, που κάνει λόγο για «συνεχόμενη επίθεση κυβερνοκατασκοπείας», επισημαίνει, ότι οι επιτιθέμενοι «αν είχαν χρησιμοποιήσει τις δυνατότητες σαμποτάζ που είχαν στη διάθεσή τους, θα μπορούσαν να έχουν προκαλέσει ζημιές και προβλήματα στην παροχή ενέργειας στις προσβαλλόμενες χώρες».

Αναφέρει ακόμη πως «ενώ ο Stuxnet στοχοποίησε τα στενά όρια του Ιρανικού πυρηνικού προγράμματος και το σαμποτάζ ήταν ο κύριος σκοπός του, το Dragonfly φαίνεται να έχει πολύ πιο ευρύ φάσμα, με την κατασκοπεία και την επίμονη πρόσβαση να είναι ο πρωταρχικός σκοπός, και το σαμποτάζ να είναι απλά μια προαιρετική δυνατότητα, εφόσον ζητηθεί».

Πριν από τη δημοσιοποίηση του θέματος, η Symantec ειδοποίησε τα προσβαλλόμενα θύματα και τις σχετικές εθνικές αρχές, που χειρίζονται και ανταποκρίνονται σε περιστατικά ασφάλειας του διαδικτύου.

Πηγή

H Symantec βοηθά τις Αρχές να εξουδετερώσουν το δίκτυο ηλεκτρονικού εγκλήματος Gameover Zeus

symantec-logo

Το FBI, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, καθώς και μια σειρά από διεθνείς υπηρεσίες επιβολής του νόμου αποδυνάμωσαν δύο από τις πιο επικίνδυνες επιχειρήσεις οικονομικής απάτης του κόσμου: το Gameover Zeus botnet και το δίκτυο ransomware Cryptolocker.

Σε συνεργασία με έναν αριθμό εταίρων του ιδιωτικού τομέα, συμπεριλαμβανομένης και της Symantec, το FBI έχει κατασχέσει αρκετές από τις υποδομές που χρησιμοποιήθηκαν από τις δύο αυτές απειλές. Για να ανταποκριθεί η Symantec έχει δημιουργήσει ένα νέο εργαλείο, το οποίο τα θύματα μπορούν να χρησιμοποιήσουν για να αφαιρέσουν πλήρως το Gameover Zeus.

Το Gameover Zeus είναι υπεύθυνο για εκατομμύρια μολυσμένα συστήματα σε όλο τον κόσμο από τις αρχές Σεπτεμβρίου του 2011. Οι επιτιθέμενοι το χρησιμοποιούν για να παρακολουθούν τις online τραπεζικές συναλλαγές, εξαπατώντας εκατοντάδες πελάτες χρηματοπιστωτικών ιδρυμάτων σε παγκόσμιο επίπεδο. Σε μια πρόσφατη ενημέρωση, ένα low level driver component δημιουργήθηκε για να αποτρέψει την απομάκρυνση του Trojan. Η Symantec παρέχει ένα νέο εργαλείο για την απομάκρυνσή του, μαζί με τα πρόσθετα στοιχεία του Trojan.

Το Cryptolocker αποτελεί μια από τις τελευταίες και πιο απειλητικές μορφές ransomware που έχουν δημιουργηθεί. Λειτουργεί κρυπτογραφώντας τα αρχεία του θύματος από τον σκληρό του δίσκο. Αντίθετα με τις περισσότερες απειλές κακόβουλου λογισμικού, δεν έχει βρεθεί fix που να μπορεί να αποκρυπτογραφήσει τα δεδομένα που επηρεάζονται. Αυτό αφήνει το θύμα εκτεθειμένο είτε στην απώλεια προσωπικών αρχείων είτε στο να πληρώσει τους επιτιθέμενους.

Gameover Zeus: Η προηγμένη οικονομική απάτη Trojan

Το Gameover Zeus είναι μια παραλλαγή του Trojan.Zbot, συχνά γνωστό απλά ως «Zeus», που χρησιμοποιεί ένα peer-to-peer δίκτυο και το domain generation algorithm (DGA) για τη δημιουργία εντολής και κατόπιν τον έλεγχο αυτής. Για να αποτραπεί το Gameover Zeus έχουν απενεργοποιηθεί βασικά nodes σε peer δίκτυα μαζί με τα πεδία που παράγονται από το DGA.

Η Symantec παρακολουθεί αυτό το botnet από την πρώτη στιγμή που εμφανίστηκε. Ο botmaster έχει διατηρήσει ένα σχετικά σταθερό δίκτυο εκατοντάδων χιλιάδων μολυσμένων υπολογιστών σε όλο τον κόσμο.

Το Gameover θα μπορούσε να θεωρηθεί η πιο προηγμένη εκδοχή του Zeus, και σε αντίθεση με άλλες παραλλαγές, όπως τα Citadel και IceX Trojans, δεν είναι για μεταπώληση. Το botnet μπορεί να χρησιμοποιηθεί για να διευκολύνει την οικονομική απάτη σε μεγάλη κλίμακα, υποκλέπτοντας χιλιάδες ηλεκτρονικές τραπεζικές συναλλαγές των θυμάτων. Η ομάδα πίσω από το Gameover Zeus το χρησιμοποιεί για την εκτέλεση αυτών των δραστηριοτήτων σε πραγματικό χρόνο. Το Gameover Zeus συνήθως διανέμεται μέσω ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως τιμολόγιο. Όταν ο χρήστης που έχει μολυνθεί επισκέπτεται την ιστοσελίδα του τραπεζικού του λογαριασμού μέσω ενός εκτεθειμένου υπολογιστή, το Gameover παρακολουθεί σε απευθείας σύνδεση την ηλεκτρονική συναλλαγή, χρησιμοποιώντας μια τεχνική γνωστή ως man-in-the-browser (MITB). Το γεγονός αυτό μπορεί να παρακάμψει το two factor authentication και να εμφανίσει παραπλανητικά μηνύματα τραπεζικής ασφάλειας στον χρήστη με στόχο να αποκτήσει πληροφορίες για την έγκριση της συναλλαγής. Από τη στιγμή που οι επιτιθέμενοι λάβουν αυτές τις πληροφορίες μπορούν πλέον να τροποποιήσουν τις τραπεζικές συναλλαγές των χρηστών και να υποκλέψουν τα χρήματά τους.

Η Symantec συνεχίζει να παρακολουθεί το δίκτυο Gameover και να ενημερώνει παρόχους υπηρεσιών Διαδικτύου (ISPs), και τους CERTs σε όλο τον κόσμο. Αυτά τα δεδομένα χρησιμοποιούνται για να βοηθήσουν στον εντοπισμό και στην ενημέρωση των θυμάτων σε μία συνεχή προσπάθεια απομάκρυνσης του botnet.

Cryptolocker:  Ένα αποτελεσματικό εργαλείο εκβιασμού

Το Cryptolocker είναι μία από τις πολυάριθμες απειλές ransomware, οι οποίες επιχειρούν να αποσπάσουν χρήματα από τα θύματα τους, κλειδώνοντας τον υπολογιστή τους ή κρυπτογραφώντας τα αρχεία τους. Το Cryptolocker είναι μία από τις πιο επικίνδυνες παραλλαγές του ransomware, δεδομένου ότι χρησιμοποιεί ισχυρή κρυπτογράφηση που δεν μπορεί να παραβιαστεί.

Η απειλή εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο 2013, και ενώ εξακολουθεί να περιλαμβάνει μόνο ένα μικρό ποσοστό των συνολικών μολύνσεων ransomware, έχει κεντρίσει το δημόσιο ενδιαφέρον, επειδή τα θύματα που δεν έχουν κάνει backup τα αρχεία τους, κινδυνεύουν να τα χάσουν αν δεν πληρώσουν τα λύτρα.

Το Ransomware, συμπεριλαμβανομένου και του Cryptolocker, αποδείχθηκε ότι είναι εξαιρετικά προσοδοφόρο για τους επιτιθέμενους. Οι έρευνες της Symantec δείχνουν ότι κατά μέσο όρο το 3% των μολυσμένων χρηστών θα πληρώσει τα λύτρα. Πιστεύουμε ότι οι διανομείς ransomware έχουν αναμφίβολα κερδίσει δεκάδες εκατομμύρια δολάρια το προηγούμενο έτος.

Τα θύματα συνήθως έχουν προσβληθεί από spam emails, τα οποία χρησιμοποιούν τακτικές ‘social engineering’ για να τους δελεάσουν να ανοίξουν το συνημμένο αρχείο zip.

Προστασία

Η Symantec έχει κυκλοφορήσει ένα νέο εργαλείο που απομακρύνει το στοιχείο του Gameover Zeus. Επισκεφθείτε την σελίδα (http://www.symantec.com/security_response/writeup.jsp?docid=2014-052915-1402-99) για να κατεβάσετε το εργαλείο, που θα σας επιτρέψει να καταργήσετε αυτό το στοιχείο και στη συνέχεια να αφαιρέστε πλήρως το Gameover Zeus.

Πηγή

Προσοχή! Κακόβουλο λογισμικό μπλοκάρει κινητά και tablets

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, ενημερώνει τους πολίτες για την εμφάνιση ενός νέου κακόβουλου λογισμικού ( TROJAN ), με την ονομασία “Simplelocker”, το οποίο προσβάλλει κινητά τηλέφωνα και tablets (smartphones) με λειτουργικό σύστημα ANDROID που κρυπτογραφεί τα αρχεία του χρήστη τους.

Ειδικότερα, με την εγκατάσταση του κακόβουλου λογισμικού στη συσκευή γίνεται ανίχνευση για ύπαρξη εξωτερικού μέσου αποθήκευσης, όπως SD κάρτα μνήμης, σκανάροντάς την για αρχεία τύπου «.jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4». Αφού τα εντοπίσει, στη συνέχεια τα κρυπτογραφεί κατά πρότυπο AES και αλλάζει την κατάληξη (extension) τους με αποτέλεσμα να καθίστανται απροσπέλαστα για το χρήστη τους.

Ακολούθως στην οθόνη της συσκευής εμφανίζεται μήνυμα που ενημερώνει ότι είναι κλειδωμένη για προβολή και διακίνηση αρχείων παιδικής πορνογραφίας, ζωοφιλίας κτλ και απαιτεί από τους χρήστες την καταβολή χρηματικού ποσού για να ξεκλειδωθεί και να αποκρυπτογραφηθούν τα αρχεία της.

Σημειώνεται ότι μέχρι και σήμερα το προαναφερόμενο λογισμικό έχει εμφανιστεί σε χώρες όπως η Ρωσία και η Ουκρανία. Καλούνται οι πολίτες που κατέχουν κινητά τηλέφωνα και tablets με λειτουργικό σύστημα ANDROID, να είναι ιδιαίτερα προσεκτικοί και να λαμβάνουν τα ακόλουθα μέτρα προστασίας της συσκευής τους για την αποφυγή προσβολής της από τον προαναφερόμενο ιό. Συγκεκριμένα:

-Να ελέγχουν και να έχουν πάντοτε ενημερωμένη την έκδοση του λειτουργικού συστήματος ANDROID.

-Να δημιουργούν αντίγραφα ασφαλείας των αρχείων της συσκευής τους (backup) σε τακτά χρονικά διαστήματα.

-Να χρησιμοποιούν εφαρμογές ασφαλείας όπως ένα antivirus, το οποίο πρέπει να είναι πάντοτε ενημερωμένο.

-Να μην κατεβάζουν εφαρμογές από άγνωστες πηγές ή αναξιόπιστες εφαρμογές

-Να μην ανοίγουν συνημμένα αρχεία από μηνύματα ηλεκτρονικού ταχυδρομείου για τα οποία δεν γνωρίζουν με βεβαιότητα τον αποστολέα και το περιεχόμενο του συνημμένου αρχείου.

Υπενθυμίζεται ότι για ανάλογα περιστατικά, οι πολίτες μπορούν να επικοινωνούν με τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος στα ακόλουθα στοιχεία επικοινωνίας:

-Τηλεφωνικά στους αριθμούς 11012 και 210-6476464

-Στέλνοντας e-mail στα ccu@cybercrimeunit.gov.gr, 11012@hellenicpolice.gr

Πηγή

Προβλημάτα στις δοκιμές της Formula 1 εξαιτίας ιού στους υπολογιστές

Στις δοκιμές F1 του Μπαχρέιν της Marussia, οι υπολογιστές της ομάδας κόλλησαν έναν ιό τύπου Trojan, με αποτέλεσμα το μονοθέσιο να κάνει μόλις 29 δοκιμαστικούς γύρους στο τετραήμερο δοκιμών. Σύμφωνα με τον πρόεδρο της ομάδας Formula 1 της Marussia, John Booth όλα ξεκίνησαν την πρώτη μέρα, με ένα Trojan στο σύστημα αεροδυναμικής μέτρησης του μονοθεσίου, και το μεγαλύτερο μέρος της ημέρας δαπανήθηκε για την επίλυση του προβλήματος. Τη δεύτερη ημέρα όλα κύλησαν ομαλά, ωστόσο τις υπόλοιπες εμφανίστηκαν μηχανικά προβλήματα που είναι όμως συνηθισμένα στη δοκιμαστική περίοδο των μονοθεσίων.

Πηγή