BOMBERuss

Имя хакерской группы Armada Collective не раз попадало в заголовки новостей в конце 2015 года. Тогда злоумышленники явили миру новую вымогательскую тактику: группа угрожала различным организациям массированными DDoS-атаками и требовала заплатить выкуп, чтобы атака не состоялась. 25 апреля 2016 года специалисты компании CloudFlare сообщили, что запугивание от имени Armada Collective по-прежнему прекрасно работает. Хотя хакеры фактически не атаковали еще никого, компании предпочитают заплатить мошенникам.

Минувшей зимой именем Armada Collective уже начали прикрываться многочисленные подражатели. К примеру, сообщалось, что атака на защищенный почтовый сервис ProtonMail, а также DDoS инфраструктуры трех греческих банков – дело рук Armada Collective. Позже стало известно, что в обоих случаях другие хакерские группировки выдавали себя за Armada Collective, очевидно считая, что громкое имя напугает жертв и принесет больше денег.

Эксперты CloudFlare пишут, что новая волна шантажа началась в марте 2016 года. Некая хакерская группа рассылает письма сотрудникам различных компаний. В посланиях хакеры угрожают осуществить на предприятие DDoS-атаку мощностью 1 Тбит/с, если представители компании не заплатят выкуп в размере 20 биткоинов (617 512 рублей по текущему курсу). Мошенники пишут, что «это не шутка» и обещают, что сумма выкупа будет возрастать на 10 биткоинов каждый день, если компания не заплатит вовремя.

На сегодня только среди компаний-клиентов CloudFlare насчитывается более 100 пострадавших от таких писем. Специалисты сообщают, что в разных случаях сумма выкупа может варьироваться от 10 до 50 биткоинов.

Учитывая тот факт, что вымогатели не имеют никакой возможности проследить, кто из жертв оплатил выкуп, а кто нет, мошенники относятся к ним всем одинаково: не атакуют никого. Эксперты CloudFlare еще не зафиксировали ни единого случая претворения угроз в жизнь и проведения DDoS-атак на отказавшуюся платить компанию.

Тот факт, что письма с угрозами являются вполне очевидной фальшивкой, не останавливает компании, которые не желают рисковать всем своим бизнесом. По данным CloudFlare и аналитиков компании Chainalysis, на биткоин-кошелек мошенников суммарно уже поступило более $100 000.

В заключение эксперты пишут, что жертвы подобных почтовых рассылок, обычно сначала обращаются к Google, и ищут информацию об Armada Collective. Специалисты CloudFlare надеются, что их публикация тоже вскоре окажется на первых страницах поисковой выдачи и поможет развенчать миф о «страшных DDoS’ерах». Ведь настоящие хакеры из Armada Collective, судя по всему, отбывают тюремные сроки.

CloudFlare https://blog.cloudflare.com/empty-ddos-threats-meet-the-arma...

Заключение Armada Collective http://www.zdnet.com/article/suspected-members-of-bitcoin-ex...

Пост https://xakep.ru/2016/04/26/armada-collective-scum/

Специалисты компании Sucuri, занимающейся защитой сайтов от вторжений и DDoS-атак, обнаружили необычную разновидность спама, появляющегося на взломанных сайтах. Чтобы скрыться от фильтров, он возрождает полузабытые трюки, которые были в ходу у поисковых оптимизаторов двадцать лет назад.

Специалист Sucuri Питер Грамантик рассказывает в блоге компании про найденный на взломанном сайте фрагмент HTML, который выглядит как поисковый спам с призывом покупать виагру в Канаде.

На первый взгляд в этом объявлении нет ничего необычного. После взлома спам про виагру появляется на сайтах с WordPress или Joomla так часто, что для него даже придумали специальный термин: pharma hack. Как правило, смысл такого спама заключается в том, чтобы окольными путями повлиять на позиции, которые торгующий виагрой магазин занимает в результатах Google.

Внимание Грамантика привлекла одна странность: программное обеспечение Sucuri почему-то не засекло добавленное спамером объявление, хотя оно сверху донизу набито подозрительными словами. Фильтры не должны были пропустить «виагру», но это произошло.

Ларчик открывался просто. Чтобы увидеть, что не так с этим спамом, достаточно выделить его текст. Буквы, которые видят посетители сайта, со всех сторон окружены невидимой бессмыслицей.

Писать белыми буквами по белому фону — это старейший трюк в арсенале поисковых оптимизаторов. Во времена, когда главной поисковой системой считалась Altavista, только ленивый не прятал в подвале сайта невидимый список популярных запросов. Этого было достаточно для того, чтобы обмануть и поисковик, и посетителей.

Времена изменились, и довольно давно. Google и «Яндекс» провести гораздо сложнее, чем Altavista. Сегодня попытка спрятать на странице невидимый текст может закончиться исключением провинившегося сайта из результатов поиска.

С точки зрения поисковой оптимизации объявление про виагру, которое нашёл Грамантик, в лучшем случае бессмысленно, в худшем — опасно. Выходит, что оно рассчитано не на поисковики, а на людей, хотя и распространяется типичным для поискового спама методом.

Что касается доисторических фокусов с невидимым текстом, то их адресат тоже иной. Они призваны обманывать не поисковики, которые видали и не такое, а бесхитростные противоспамовые фильтры — такие, например, как у Sucuri. 

«Древность трюка вовсе не значит, что он устарел», — заключает Грамантик.

Специалист Sucuri Питер Грамантик https://blog.sucuri.net/2016/04/seo-spam-technique-avoid-det...

Пост https://xakep.ru/2016/04/25/weird-pharma-hack/

P.S. Пикабупотребнадзор ругается на таблетки...

В наше время не одна и не две страны мира могут «похвастаться» государственным сетевым фильтром, который ограничивает доступ граждан к ресурсам интернета. Иран, наряду с Китаем, является одним из лидеров в данной области и блокирует доступ практически ко всем социальным сетям, YouTube, почтовым сервисам, множеству торговых площадок и сайтов новостей. Но иранские пользователи используют для обхода блокировок не только привычный VPN, который в стране работает плохо и тоже отсекается властями. Команда активистов The Net Freedom Pioneers создала систему Toosheh, которая позволяет буквально скачивать интернет через тарелки спутникового ТВ.

Власти Ирана очень щепетильны в вопросах сетевой безопасности, всё началось еще в 2010 году, после знаменитого инцидента со SCADA-червем Stuxnet. По сути, в Иране под запретом даже VPN и трафик HTTPS, такие соединения блокируются, что делает практически невозможным даже просмотр видеороликов, не говоря о скачивании больших файлов.

Toosheh предлагает интересную альтернативу. Достаточно подключить к приставке спутникового ТВ флешку, соединиться с каналом Toosheh, включить запись и оставить работать. Сам канал не показывает ничего, кроме текстовых инструкций по настройке системы, но менее чем за час на флешку закачается гигабайт данных из внешнего запрещенного интернета, который в цикле раздается активистами The Net Freedom Pioneers.

Toosheh поставляет данные в формате .ts-файлов, то есть, на первый взгляд, это обычное видео MPEG. Однако если флешку с данными подключить к компьютеру и расшифровать их с помощью официального приложения, пользователь получит свежую подбору контента, в которую входят ролики с YouTube, выступления TED talks, информация с заблокированных сайтов новостей и многое другое. Авторы Toosheh собирают каждый свежий информационный пакет вручную и заявляют, что в сборники входят образовательные и развлекательные материалы, а также контент посвященный правам человека. К примеру, здесь можно найти не только новости и интересные видео, но и инструкции по скачиванию и установке Tor, Psiphon и Lantern.

К сожалению, Toosheh не позволяет запрашивать конкретные файлы и скачивать контент по требованию. Пользователям придется довериться вкусу и выбору разработчиков из The Net Freedom Pioneers.

Тестирование Toosheh стартовало еще в октябре 2015 года, и на сегодняшний день официальное приложение для десктопов скачали более 56 000 раз. Власти Ирана, конечно, не оставили данную инициативу без внимания, так, сайт Toosheh давно заблокирован на территории страны. Впрочем, для обхода запрета пользователям достаточно воспользоваться Tor или каким-либо другим прокси-инструментом. Спутниковый канал Toosheh, тем не менее, не заблокирован до сих пор. Авторы инициативы полагают, что власти просто не имеют технической возможности его заглушить, а спутниковое телевидение в Иране распространено очень широко. По официальным данным Национального совета сопротивления Ирана, спутниковые тарелки есть у 70% жителей страны.

Материалы:

Оф приложение для десктопов Toosheh https://www.toosheh.org/download

Данные Национального совета сопротивления Ирана http://www.ncr-iran.org/en/news/iran-resistance/14464-iran-r...

Видео https://www.youtube.com/watch?v=SbSt1miw_bk

Пост https://xakep.ru/2016/04/25/toosheh/

В последнее время участились случаи заражения сетей медицинских учреждений различной малварью. Чаще всего больницы атакует вымогательское ПО, но встречаются и случаи хищения данных. С чем связан столь внезапный интерес злоумышленников к медицинским учреждениям? Специалисты IBM X-force полагают, что корень проблемы заключается в том, что больницы защищены гораздо хуже тех же банков. Новое исследование компании Duo Security наглядно подтверждает этот печальный факт.

В начале 2016 года от атаки злоумышленников пострадал Королевский госпиталь в Мельбурне, а затем работа Голливудского пресвитерианского медицинского центра была практически парализована вымогательской малварью. Над медицинскими учреждениями в наши дни довлеет совсем не гипотетическая угроза взлома.

Специалисты Duo Security представили отчет, который объясняет, почему сфера здравоохранения практически беззащитна перед хакерами. Эксперты пишут, что оборудование больниц и софт, который они используют, давно и безнадежно устарели, особенно если сравнивать показатели с финансовым сектором.

Основной проблемой является устаревшее ПО. Согласно отчету, 82% медицинских учреждений используют в работе операционные системы семейства Windows, но лишь 10% из них перешли на новую Windows 10. Большинство больниц по-прежнему работают с Windows 7 (таких насчитывается 76%) и, что гораздо хуже, с Windows XP (таких всего 3%, но и этого слишком много). В частности, отделение патологий в Королевском госпитале Мельбурна было атаковано именно в силу того, что его компьютеры работали под управлением Windows XP. Специалисты Duo Security отдельно указывают и на то факт, что в Windows 7 тоже наличествует более 500 известных уязвимостей, так что вряд ли эту ОС стоит использовать в такой важной сфере, как здравоохранение.

Однако проблема заключается не только в популярности устаревших ОС. Самым популярным браузером в медицинских учреждениях остается Internet Explorer 11, его используют в 33% заведений. Для сравнения, новейший Chrome 48 используют в 28% больниц. Более того, в 22% случаев персонал больниц пользуется старыми версиями Internet Explorer, то есть 8, 9 и 10. В среднем, в других сферах рынка этот показатель не превышает 6%.

Еще одна крупная дыра в безопасности больниц: устаревшие версии Flash и Java. Flash вообще встречается в медицинских учреждениях в два раза чаще, чем на машинах других клиентов Duo Security, а Java в три раза чаще. К тому же персонал больниц в 33% случаев заходит во внутреннюю сеть медицинского заведения с личных устройств, на которых установлены Flash и Java одновременно, что тоже ставит безопасность больниц под угрозу.

На прошлой неделе эксперты IBM X-force опубликовали похожее исследование. В их отчете интерес злоумышленников к медицинским учреждениям объясняется как слабой безопасностью больниц, так и ценностью личных медицинских данных пациентов. На черном рынке медицинская информация ценится высоко, к тому же данные о пациенте обычно содержат не только историю его болезни, но и номер банковской карты, номер социального страхования, физический адрес и адрес email, информацию о занятости, семейном положении и многое другое. Столь подробное «досье» на человека может быть использовано для самых разных махинаций, от узконаправленных фишинговых атак, до мошенничества с медицинской страховкой и кражи личности.

Исследование компании Duo Security  https://duo.com/blog/the-current-state-of-healthcare-endpoin...

Как пострадал Королевский госпиталь в Мельбурне http://www.theregister.co.uk/2016/01/19/melbourne_hospital_p...

Исследование IBM X-force http://www-03.ibm.com/security/data-breach/cyber-security-in...

Пост https://xakep.ru/2016/04/25/hospitals-hacks/