Хакеры майнят Monero, взламывая компьютеры через эксплойт NSA

Новый троян, использующий инструмент взлома Агенства национальной безопасности США (NSA), заражает компьютеры на OC Windows, заставляя их майнить XMR (Monero). Об этом пишет Bitcoin.com.

Первым вирус Trojan.BTCMine.1259 обнаружил российский антивирус Dr.Web. Троян заражает компьютеры, использующие незащищенный протокол SMB через инструмент взлома NSA Exploit Doublepulsar.

После создания бэкдора и установки вредоносных программ хакеры оценивают количество свободных ресурсов компьютера, и вирус начинает майнить XMR в пользу хакера. При этом вредоносное ПО долгое время может оставаться незамеченным, поскольку периодически отключается при запуске утилиты Task Manager.

Trojan.BtcMine.1259 — далеко не единственный вирус, использующий Exploit Doublepulsar. По аналогичной схеме действует вирус Eternalminer, нацеленный на Linux-серверы, и нашумевший вирус-вымогатель WannaCry.

Ранее для майнинга Monero хакеры научились взламывать Linux-системы посредством уязвимости SambaCry (EternalRed) и трояна Linux.MulDrop.14, нацеленного на старые одноплатные устройства на базе Raspberry Pi с Raspbian OS.

Подписывайтесь на новости ForkLog в Facebook!

Powered by WPeMatico

Южнокорейская хостинговая компания выплатит более миллиона долларов в биткоинах кибервымогателям

Южнокорейская хостинговая компания Nayana согласилась заплатить около $1,1 млн в биткоинах кибервымогателям, которые с помощью вируса-шифровальщика заблокировали 150 принадлежащих фирме серверов. Об этом пишет Nag.ru.

В результате атаки недоступными оказались почти 3,5 тысячи клиентских сайтов.

«Мы провели переговоры с хакерами и теперь готовим деньги на покупку биткоинов, чтобы восстановить работу зашифрованных серверов», – заявил глава компании Хван Чилхон.

Несмотря на то, что специалисты в области информационной безопасности считают, что своими действиями Nayana подтолкнет других хакеров активизировать атаки на Корею, в компании утверждают, что другого выхода у нее нет.

По словам Хван Чилхона, он прекрасно понимает, что платить выкуп противозаконно. Однако решение пойти на условия вымогателей было принято, поскольку иначе компания ставит под удар сотни тысяч людей, работающих у ее клиентов. Услугами Nayana преимущественно пользуются небольшие организации и стартапы.

«Решение Nayana создает очень плохой прецедент и угрожает ростом риска взлома других хостинговых компаний страны», – считает Шин Дэ-кью, глава отдела реагирования на интернет-инциденты Агентства интернет-безопасности Кореи.

К тому же, нет никаких гарантий, что получив деньги хакеры восстановят данные на серверах.

«Переговоры с вымогателями – худшее решение. Если злоумышленники не расшифруют данные, компания ничего не сможет сделать», – заявил Лим Чон-ин, профессор кафедры киберзащиты при сеульском Университете Коре.

Также он добавил, что властям страны не следует считать происшедшее частным инцидентом, и призвал сделать все возможное, чтобы найти злоумышленников и не допустить дальнейших атак.

В Агентстве интернет-безопасности Кореи (KISA) заявили, что начнут исследование в области восстановления зашифрованных данных, чтобы снизить ущерб от кибервымогательства. Также в KISA добавили, что планируют присоединиться к проекту Европола No More Ransom («Больше никаких выкупов»), в рамках которого жертвы вымогателей могут воспользоваться обновляемой базой бесплатных программ-декрипторов для расшифровки файлов.

Ранее сообщалось, что имевшая место в мае массовая кибератака на компьютеры с использованием вируса WannaCry привела к ущербу, размер которого превысил $1 млрд.

Подписывайтесь на новости Forklog в Facebook!

Powered by WPeMatico

Захватывающая история The DAO: работа над ошибками

17 июня 2016 года произошла, пожалуй, самая масштабная атака за всю историю криптоиндустрии — из-за ошибки в коде перспективный и очень популярный в то время проект The DAO лишился более 60 миллионов долларов. Журнал ForkLog решил вспомнить эту дату и попытаться проанализировать, к чему привело это событие.

Немного предыстории

На заре ICO, то есть всего-то около года назад — 28 мая 2016, закончилась распродажа токенов проекта по децентрализованному управлению инвестициями The DAO, который основала команда стартапа Slock.it.

До поры до времени у The DAO дела шли очень хорошо: и сообщество проект полюбило, и Виталик Бутерин стоял за него горой, и краудсейл прошел, мягко говоря, успешно — собрали более 12 миллионов ETH, что на тот момент составляло около 165 миллионов долларов (сегодня — более 4,3 миллиарда долларов!).

13 июня 2016 года, за несколько дней до взлома, журнал Forklog писал:

«за последние сутки The DAO вырос в стоимости почти на 16% по отношению к доллару ($ 0,158) и более чем на 5% по отношению к ETH (0.000228)». (Для справки: биткоин тогда стоил 695 долларов).

Что-то пошло не так…

Однако буквально за неделю до краха The DAO редакция нашего журнала опубликовала несколько занимательных материалов, которые напрямую рассказывали о возможных уязвимостях проекта. Это «Атаки Влада: обзор основных уязвимостей The DAO» и интервью со Стефаном Туалем, сооснователем и операционным директором стартапа Slock.it, который как раз занимался созданием инвестиционного фонда The DAO.

В разговоре с Туалем годичной давности ForkLog интересовался тем, насколько оправданы опасения сообщества насчет возможных атак на проект. Оценивая содержание этого текста сейчас, можно сказать, что команда Slock.it отнеслась несерьезно и к возможным уязвимостям, и даже к честному разговору о них.

«Я спокоен по поводу будущего The DAO. Все произошедшие события сделали его самым большим проектом в истории, финансируемым за счет краудфандинга, и по сути самым крупным венчурным проектом. The DAO позволит появиться компаниям, которые в ином случае никогда бы не существовали», — заявил 10 июля 2016 года Стефан Туаль.

В это же время пользователи GitHub и участники проекта забили тревогу по поводу «ужасной атаки на контракты кошельков». К решению этой проблемы подключился и сам Стефан Туаль, который уже на следующий день опубликовал ссылку на фикс и анонсировал серию апгрейдов ПО. Эту уязвимость Туаль назвал «рекурсивным вызовом» — именно она и привела проект The DAO к краху.

Рекурсивный вызов и крах The DAO

Именно столько в пятницу 17 июня в 9 часов утра стоил ETH:

А примерно в полдень стало известно, в чем причина резкого падения цены токена: The DAO атакована, украдено $50 миллионов.

На рынке началась паника. Под горячую руку попали и основатели The DAO, и Виталик Бутерин, и Ethereum. Многие криптоэксперты и члены сообщества хоронили эти проекты прямо в одной могиле. Кульминацией обширной дискуссии вокруг произошедшего стало эпичное появление непосредственно атаковавшего The DAO.

Представим, что после ограбления банка во время разбирательств между полицией и плачущими вкладчиками внезапно появляется человек в маске и говорит: «Спокойно, ребята! Это моих рук дело, но все законно». Вот примерно это и произошло, правда, в онлайн-пространстве: атаковавший написал открытое письмо, в котором не то что не признавал вины, но и грозил судом в случае, если его лишат «награбленного».

«Я внимательно изучил код the DAO и решил поучаствовать после того, как нашел функцию, при запуске которой разделение вознаграждается дополнительными эфирами. Я задействовал данную функцию и законно получил 3 641 694 эфира. Хочу поблагодарить the DAO за эту награду. (…) Я оставляю за собой право принять любые и все возможные легальные действия против любых соучастников незаконных краж, заморозок или изъятия моих законно полученных токенов ETH, и я продолжаю активно работать с моей юридической фирмой. Все эти соучастники в ближайшее время получат соответствующие уведомления на свои почтовые адреса. Я надеюсь, что это событие станет ценным опытом для сообщества Ethereum, которому я желаю всего наилучшего», — говорилось в письме.

Однако позже эксперты признали это письмо, достойное того, чтобы войти в историю криптовалют, подделкой. И тем не менее точка в этом вопросе пока не поставлена. Возможно, в будущем мы узнаем удивительные и никому не известные подробности произошедшего 17 июня 2016 года.

Возвращаясь к атаке, нужно напомнить, что кража была совершена как раз из-за уязвимости под названием «рекурсивный вызов» — она позволяла бесконечно снимать средства The DAO и переводить их в дочернее ДАО посредством многократного разделения ДАО, повторно собирая ETH в рамках одной транзакции.

Однако окно для создания дочернего ДАО составляло ровно 27 дней, и средства с кошелька все это время нельзя было вывести. Сообщество начало искать пути «восстановления справедливости» и в конце концов остановилось на во всех смыслах жестком предложении Виталика Бутерина.

Утешительные итоги

Год спустя можно с уверенностью сказать, что атака на The DAO не погубила ничего, кроме непосредственно The DAO, и подарила сообществу Ethereum Classic, вокруг которого собралось пусть и небольшое, но влиятельное сообщество. Взлом The DAO наоборот показал, что криптовалютный мир весьма устойчив к подобным потрясениям, даже в том зачаточном состоянии, которое было год назад.

Хотелось бы отметить, что в самом начале огромного бума ICO, начавшегося после провала The DAO, на Forklog вышел материал под названием «Уроки DAO: куда приводят мечты». Сейчас эти уроки можно назвать основами успешного выбора ICO в качестве инвестиций. Они не потеряли своей актуальности и сейчас, поэтому их можно процитировать целиком.

  1. Внимательно анализируйте ICO. Важно понимать, что вы покупаете и с какой целью. Жадность и погоня за быстрой наживой рано или поздно приводят к финансовым потерям. Безусловно, даже самые провальные в своей сути криптовалютные проекты в среднесрочной перспективе могут иметь колоссальный спекулятивный потенциал. И если как инвестор вы рассчитываете именно на это, не стоит вкладывать больше денег, чем вы готовы потерять.
  2. Отложенный релиз лучше небезопасного кода. Разработчики The DAO, по всей видимости, не ожидали такого финансового успеха, и это сделало проект привлекательным не только для инвесторов, но и для злоумышленников. Тем не менее, ничто не мешало на некоторое время заморозить проект, ограничив возможность работы с основным контрактом. И только после проведения тщательного тестирования при поддержке сообщества и специалистов по блокчейну и безопасности — запускать основной функционал проекта. То, с чем мы столкнулись в реальности, — непозволительная халатность программистов. В результате репутация отдельных разработчиков пострадала если не окончательно, то очень сильно.
  3. Здесь львы. Идеализм и благие намерения, которыми переполнено криптовалютное сообщество, опьяняют и отвлекают от реального положения дел. В то время как количество новых криптовалют и проектов растет почти экспоненциально, пора обратиться к истории фондовых рынков, чтобы не повторять ошибок прошлого.
  4. Эмоции и паника никогда не приводят к конструктивному решению проблемы.

О том, что произошло после атаки на The DAO, читайте в материале ForkLog, который будет опубликован 22 июня — в день годовщины хардфорка Ethereum.

Tanya Otter

И не забывайте следить за нашими новостями в Twitter, тем более что он теперь стал, как говорят, такой красивый!

Powered by WPeMatico

CEO The Walt Disney: биткоин-вымогатели не похищали “Пиратов Карибского моря”

Глава компании The Walt Disney отрицает факт кражи «Пиратов Карибского моря 5». Об этом пишет Vladtime.

Как сообщает издание, переговоры с биткоин-вымогателями действительно велись, однако, на самом деле, фильм украден не был. По мнению Боба Айгера, похищение было вымышленным и являлось не более чем блефом. Злоумышленники хотели обогатиться за счет шантажа, но корпорация не пошла у них на поводу, хотя и возникали определенные опасения.

Также, по словам Айгера, если бы фильм на самом деле был украден, то уже давно бы появился в интернете, поскольку с момента получения первых угроз прошло почти две недели.

Согласно данным журналистского расследования издания Torrent Freak, злоумышленники могли заполучить не пятую часть «Пиратов Карибского моря», а восьмую часть фильма «Звездные войны», которую похитил работник студии Lucasfilm в черновом варианте.

Напомним, ранее ForkLog сообщал о том, что хакеры требуют от компании The Walt Disney выкуп в биткоинах за якобы украденный ими фильм «Пираты Карибского моря 5», который еще только готовится к выходу на экраны.

Подписывайтесь на новости ForkLog в Twitter!

Powered by WPeMatico

Ущерб от вируса-вымогателя WannaCrypt превысил $1 млрд

Недавняя массовая кибератака на компьютеры с использованием вируса WannaCrypt привела к ущербу, размер которого превысил $1 млрд. Об этом сообщает портал McClatchy со ссылкой на экспертов компании KnowBe4, занимающейся компьютерной безопасностью.

Here’s one tally of the losses from WannaCry ransomware global attack. @TimJohnson4 reporting https://t.co/48g0k5iGVB

— McClatchyDC (@McClatchyDC) 24 May 2017

При оценке ущерба KnowBe4 учитывала, в числе прочих, потерю данных, снижение производительности, помехи в работе компаний и репутационный ущерб.

При этом сами хакеры заработали намного меньше. За нейтрализацию вируса, зашифровывающего жесткие диски компьютеров, хакеры требовали минимум $300. Однако, по данным на утро 25 мая, пока они получили всего 302 платежа на общую сумму $126 742.

Стратег KnowBe4 Перри Карпентер предположил, что создатели вируса изначально ставили перед собой задачу не получить прибыль, а привлечь внимание. По другой версии, добавил он, на WannaCrypt все же планировали заработать, применив в меньшем масштабе, но распространение вируса вышло из-под контроля.

Вирус WannaCrypt, начавший распространяться 12 мая, поражает компьютеры с операционной системой Windows, на которые не было своевременно установлено обновление, закрывающее эту уязвимость. Из-за особенностей вируса, распространяющегося преимущественно в локальных сетях, от него в основном пострадали компании.

Ранее также сообщалось, что разработчики WannaCrypt выпустили обновление, которое позволяет вредоносной программе действовать в обход специально созданного доменного имени.

Подписывайтесь на новости Forklog в VK!

Powered by WPeMatico

Не WannaCrypt единым: 10 нашумевших случаев вымогательства биткоинов

Вирус WannaCrypt стал одной из наиболее обсуждаемых тем последних дней. Вредоносная программа заражает тысячи компьютеров по всему миру, парализуя работу организаций и предприятий и требуя в качестве выкупа биткоины.

К сожалению, это не первый подобный случай. Проблема вымогающих криптовалюту вредоносов уже не первый год остается одной из наиболее острых. Еще в середине 2015 года Федеральное Бюро Расследований США предупреждало о растущей угрозе распространения криптовымогателей, оценив финансовые потери жертв вредоносного ПО только за период с апреля 2014 по июнь 2015 на сумму более $18 млн.

Нынешняя волна атак WannaCrypt задела уже более 100 стран. Подсчитывать убытки от нее сейчас, вероятно, еще преждевременно, но как минимум было бы ошибочно винить в случившемся биткоин. Деньги протяжении всего своего существования притягивали разного рода преступников, мошенников и аферистов, и то, что современные «пираты» обратились к криптовалюте, можно, скорее, рассматривать как ее признание эффективным и действительно работающим инструмента.

Пока же те, кому этим положено заниматься, пытаются найти пути противодействия подобным атакам, можно вспомнить другие случаи с участием вымогателей биткоинов и попытаться составить примерное представление, во что такая атака может обойтись тому или иному бизнесу.

Avalanche

Киберсеть Avalanche работала с 2009 года, и уже через год Anti-Phishing Working Group объявила эту организацию самой прибыльной фишинговой сетью в мире. Ежедневно сеть рассылала более миллиона сообщений с опасными вложениями и ссылками, заражая до полумиллиона устройств в день. Общие убытки от деятельности Avalanche оцениваются в 100 млн евро.

Avalanche занималась хостингом и распространением примерно 20 семейств вредоносного ПО. Группировка создала ботнет из 500 тысяч устройств, разбросанных по всему миру, с помощью которого провела атаки на 40 крупных финансовых учреждений и множество пользователей в 180 странах.

С появлением криптовалюты у Avalanche появился новый инструмент для «сбора» денег, и среди пострадавших оказалась, в том числе, и Прокуратура американского штата Пенсильвания, выплатившая выкуп в размере $1400 в биткоинах.

В декабре 2016 года совместными усилиями правоохранительных органов 40 стран мира сеть Avalanche, как утверждается, была уничтожена. Во время операции была остановлена работа 220 серверов, зараженных вредоносным ПО, и заблокировано 800 тысяч доменов. В ходе операции были задержаны пять человек, руководивших группировкой, в том числе трое граждан Украины.

Атаки на банки

Банковские структуры в последнее время также становились объектом внимания хакеров.

Так, в ноябре 2015 года группа Armada Collective потребовала выкуп в размере $7 млн от ряда финансовых институтов Греции, угрожая в противном случае нарушить ход работы систем банковских транзакций. Перед этим хакеры уже продемонстрировали серьезность своих намерений, сумев на непродолжительное время вывести из строя системы сразу трех банков.

Как тогда сообщалось, Национальная разведывательная служба Греции обратилась за помощью к ФБР, но, насколько известно, американские спецслужбы рекомендовали банкам согласиться с требованиями злоумышленниками и заплатить выкуп.

Копия одного из писем от имени Armada Collective

Чуть ранее жертвой хакера-вымогателя стал один из банков в Шардже (ОАЭ). Скрывавшийся под ником Hacker Buba злоумышленник сумел проникнуть в базу данных банка и продемонстрировал серьезность своих намерений, выкладывая каждые несколько часов конфиденциальную информацию о клиентах организации в Twitter. Несмотря на то, что администрация соцсети по жалобе банка аккаунт заблокировала, эта мера результатов не дала: уже на следующий день злоумышленник не просто открыл новый аккаунт, но и осуществил акт мести, загрузив выписки банковских счетов 500 клиентов банка.

Представители банка тогда отказались раскрывать сумму, требуемую в качества выкупа, однако сам злоумышленник сообщил, что хочет получить эквивалент $3 млн в биткоинах.

В ноябре 2016 году с требованием хакеров выплатить им часть своих сбережений под угрозой раскрытия информации об их счетах налоговым органам и прессе получили клиенты Valartis Bank Liechtenstein, шестого по величине банка Лихтенштейна. Среди них оказались известные политики, актеры и состоятельные предприниматели из Германии, Швейцарии и других стран.

Насколько известно, в обмен на неразглашение информации требовался выкуп в размере 10% от сбережений клиентов банка — конечно же, в биткоинах. Речь, предположительно, шла о нескольких гигабайтах информации, охватывающей период с октября 2015 года.

Университет Калгари

В июне 2016 года жертвой вымогателей стал Университет Калгари, но, несмотря на то, что учебное заведение согласилось заплатить хакерами 20 тыс канадских долларов в биткоинах, восстановить функциональность сетей ему удалось не сразу.

Вопреки рекомендациям подразделений по борьбе с сетевыми угрозами не соглашаться на требования вымогателей, учебное заведение посчитало, что иного выхода у него не нет. Университет Калгари известен своими ценными научными исследованиями, и в сети хранится большое количество важных документов, ограничение доступа к которым его администрация посчитала недопустимым.

Главный раввинат Израиля

В феврале 2017 года группа хакеров провела атаку на компьютерную систему главного раввината Израиля. В качестве выкупа хакеры потребовали несколько тысяч биткоинов, однако государство приняло решение не вести переговоры о выкупе.

Как тогда отметили местные СМИ, это был первый реальный успех подобных атак в Израиле, поскольку компьютеры главного раввината защищены государственными структурами кибербезопасности.

Ранее наиболее известным подобным случаем в Израиле стал захват компьютерных систем в муниципалитете Нацрат-Илита, за освобождение которых хакер требовал выкуп в размере 10 тысяч шекелей.

Базы данных MongoDB

В конце 2016 года стало известно об атаках на базы данных MongoDB – используя слабости неправильной конфигурации, программы-вымогатели захватывали построенные на открытом исходном коде базы и требовали за восстановление данных от 0.15 BTC до 1 BTC.

В атаках участвовали по крайней мере пять разных хакерских групп, которые захватили контроль более чем над 10 тыс. экземпляров баз данных.

TalkTalk

В конце 2015 года произошел один из наиболее громких случаев с вымогательством криптовалюты в Великобритании — жертвой мошенников стал интернет-провайдер TalkTalk. Клиентская база компании на тот момент насчитывала более 4 млн пользователей, и как утверждали злоумышленники, им удалось получить доступ к значительной части личных данных пользователей. Требуемая сумма выкупа составляла £80 000 фунтов в биткоинах, в противном случае хакеры грозились опубликовать похищенные данные.

Через некоторое время все причастные к атаке были арестованы – ими оказались подростки в возрасте от 17 до 19 лет из Англии и Уэльса. Свою вину они признали и были приговорены к тюремному заключению.

Швейцарские стриптиз-клубы

В феврале 2016 года сразу несколько десятков посетителей стриптиз-клуба Globe в предместьях Цюриха получили письма с угрозами публичного разглашения личных данных. Во избежание разглашения вымогатели предлагали заплатить выкуп биткоинами на сумму свыше $2000 с человека.

Жертвами вымогаталелей стали состоятельные клиенты Globe

Прокуратура Цюриха тогда подтвердила, что расследует заявления от нескольких пострадавших клиентов этого одного из крупнейших стриптиз-клубов страны. Также в местной прессе появились сообщения, что похожие письма получали и посетители некоторых других стриптиз-клубов.

Курортный отель в Австрии

В январе 2017 года стало известно, что хакеры взломали компьютерную систему гостиницы Romantik Seehotel Jägerwirt в Австрии, заблокировав входные двери в номера постояльцев. Руководство 4-звездочного отеля заплатило киберпреступникам выкуп в биткоинах на 1,5 тыс. евро, чтобы получить доступ к системе.

По словам администрации, решение пойти на уступки хакерам было продиктовано тем, что это было попросту дешевле и быстрее, чем нанимать специалистов по безопасности.

Метрополитен Сан-Франциско

В ноябре 2016 года жертвой вымогательского ПО HDDCryptor, инфицировавшего более 2 тысяч систем организации, стало Агентство общественного транспорта Сан-Франциско. В результате атаки были отключены автоматы по продаже проездных билетов «легкого метро» Muni, из-за чего агентству пришлось целый день возить пассажиров бесплатно, пока IT-команда пыталась исправить ситуацию.

В ходе атаки был использован вариант вымогательского ПО HDDCryptor, который поразил панели администраторов, рабочие станции CAD, системы оплаты, SQL-базы, терминалы в отделе потерянных вещей, серверы электронной почты и печати, рабочие станции сотрудников, а также компьютеры в киосках продажи билетов.

За разблокировку данных злоумышленники требовали 100 BTC, однако, насколько известно, агентство отказалось платить выкуп. Биткоин-кошелек хакеров при этом фактически остался пустым: на него было переведено всего 0.0227761 BTC, которые в начале мая были выведены.

Украинские «минеры»

В июне 2015 года группа вымогателей из Украины, действуя под вывеской Dillinger team, начала шантажировать крупные российские компании звонками о минировании коммерческих объектов. Жертвами злоумышленников тогда стали такие торговые сети как «Адамант», «Fortgroup» и «Магнит».

Команда работала по исключительно примитивной схеме —потенциальную жертву уведомляли о намечающихся проблемах через e-mail или посредством телефонного звонка и предлагали заплатить выкуп в биткоинах, чтобы избежать негативных последствий. К примеру с торговой сети «Адамант» требовался выкуп в 150 BTC, но позже сумма была снижена до 60 BTC.

«Обрабатывая» торговую сеть «Магнит», Dillinger team сделали серию звонков о минировании по нескольким городам России: Москва, Санкт-Петербург, Новосибирск, Барнаул, Екатеринбург, Челябинск и другие. Досталось и сети «Адамант», вымогатели произвели целую серию звонков по торговым центрам Санкт-Петербурга.

Сообщалось, что после того, как российским силовикам не удалось договориться с украинскими коллегами о взаимодействии, служба безопасности «Fortgroup» самостоятельно приехала в Украину и нашла способ «повлиять» на вымогателей.

Завершая обзор, нельзя не вспомнить о февральском отчете Kaspersky Lab: как утверждают специалисты этой организации, в 2016 году на долю русскоязычных хакеров пришлось около 75% всех программ-шифровальщиков.

PS. В ходе подготовки этого материала стало известно, что жертвой вымогателей стала компания Walt Disney: как утверждают злоумышленники, им удалось заполучить копию готовящейся к релизу в конце мая пятой серии «Пиратов Карибского моря». В обмен на то, чтобы не публиковать ее в сети до официальной премьеры, они хотят получить «огромную» сумму в биткоинах.

Andrew Asmakov

Powered by WPeMatico