BOMBERuss

Команда исследователей Cisco OpenDNS представила отчет о малвари WildFire, которую с недавних пор активно распространяет крупный ботнет Kelihos. Эксперты пишут, что пока шифровальщик WildFire еще малоизвестен на рынке, но, судя по всему, он является новой версией вредоносов Zyklon и GNL, и был создан русскоязычными хакерами.

WildFire распространяется стандартным для шифровальщиков способом: через спамерские письма, к которым приложены вредоносные документы Word. Используя социальную инженерию, злоумышленники убеждают пользователей открыть такой файл, после чего срабатывают вредоносные макросы, и в систему попадает вымогательское ПО.

Исследователи сообщили, что исходные коды WildFire пока остаются загадкой, так как малварь прошла несколько стадий обфускации: сначала был задействован ConfuserEx, затем какой-то неизвестный криптер, и после .NET Reactor. Тем не менее, экспертам удалось установить, что WildFire связывается управляющими серверами на четырех разных доменах, где регистрирует инфекцию, получает пароль и user ID.

Специалисты MalwareHunterTeam, которые тоже изучили новую инфекцию, отмечают, что взломать шифрование WildFire, не получив пароль, невозможно.

Исследовав C&C-серверы вредоноса, команда OpenDNS обнаружила в коде одного из доменов комментарии на русском языке, из чего был сделан вывод, что за угрозой, возможно, стоят русскоговорящие преступники. Также удалось установить, что сервер заработал 20 июня 2016 года, и лишь через день, 21 июня, специалисты заметили WildFire впервые.

Специалисты MalwareHunterTeam тоже заметили комментарии на русском языке. В частности, в старой версии инструмента для дешифровки данных присутствовала фраза:

«Алты́нного во́ра ве́шают, а полти́нного че́ствуют».

По данным экспертов, в настоящее время WildFire атакует только пользователей из Голландии. Скорее всего, злоумышленники пока только тестируют свое детище, прежде чем отпустить его «в большое плавание», хотя WildFire и выглядит уже законченным продуктом.

Ранее, в апреле-мая 2016 года, WildFire был известен под именами Zyklon и GNL. Тогда было замечено, что шифровальщик атаковал пользователей из Германии и Нидерландов. В то время вымогатель подменял расширения зашифрованных файлов на .locked и .zyklon.

По данным OpenDNS, спам-кампания по распространению WildFire стартовала в двадцатых числах июня 2016 года, но настоящую активность мошенники начали проявлять лишь после 11 июля текущего года. Графики ниже демонстрируют значительный прирост вредоносных писем в этот период времени.

Эксперты полагают, что WildFire имеет все шансы превратиться в серьезную угрозу, так как за этим шифровщиком определенно стоят профессионалы, а не очередные скрипт-кидди, арендовавшие малварь в даркнете.

В Минэкономразвития предупредили, что оборудования, которое позволит хранить данные в соответствии с «антитеррористическими» законами, нет даже за границей. В ответ на это президент России Владимир Путин поручил Минкомсвязи и Минпромторгу подготовить техническое задание по производству оборудования.

Владимир Путин поинтересовался у министра связи Николая Никифорова, как исполняются поручения, выданные им при подписании «закона Яровой». Поправки должны вступить в силу 1 июля 2018 г. С этой даты российские операторы связи и интернет-провайдеры будут обязаны по полгода хранить весь трафик своих клиентов – звонки, письма, файлы, разговоры и три года – информацию о самих фактах передачи информации. А у интернет-сервисов возникнет обязанность передавать правоохранительным органам ключи для расшифровки как трафика в целом, так и отдельных сообщений пользователей.

Никифоров доложил президенту, что Минкомсвязи прорабатывает вопрос хранения данных.

«Это надо сделать оперативно. Надо загружать свои предприятия, тем более это хороший гарантированный заказ», — заявил Путин.

В большинстве случаев российская промышленность еще не производит подходящего оборудования. Министр связи сообщил, что Минкомсвязи и представители телекоммуникационной индустрии уже готовят для российских предприятий соответствующее техническое задание.

Заместитель главы Минэкономразвития Олег Фомичёв, выступая на пресс-конференции в ТАСС, заявил, что необходимого для хранения звонков и переписки пользователей оборудования «нет нигде».

«Вопрос с оборудованием гораздо сложнее, потому что, насколько мы видели оценки, когда этот вопрос обсуждался, такого класса оборудования и в таком количестве и за рубежом нигде на самом деле на сегодняшний день нет», — сказал Фомичёв.

По данным «Ведомостей», российская компания «T-платформы» уже работает над созданием системы хранения данных, которая могла бы удовлетворить нужды операторов. Но производство всей элементной базы на территории России невозможно, рассказали в компании. В РФ возможна сборка, а производство – лишь частично: например, диски, лежащие в основе любой системы хранения, могут закупаться за рубежом, а процессоры, управляющие системой, будут российскими («Т-платформы» намерены использовать процессоры «Байкал»). Именно производители дисков – Hitachi, Seagate и др. – могут выиграть благодаря пакету Яровой больше всего, считает гендиректор компании «Новые облачные технологии» Дмитрий Комиссаров.

Kraftway, по словам ее гендиректора Алексея Кравцова, уже производит системы хранения данных, специализируясь на создании платформы для их безопасного хранения. Российскому IT-бизнесу и новый закон, и заявление президента дают шанс конкурировать с крупнейшими мировыми производителями, доволен Кравцов.

Если задача заместить импортное оборудование для хранения переписки, разговоров и контента будет поставлена «Ростеху», то непременно будет решена, говорил сенатор Озеров, отстаивая законопроект в Совете Федерации. В четверг представитель «Ростеха» ограничился тем, что подтвердил наличие у предприятий госкорпорации такого оборудования.

«Антитеррористический пакет» законопроектов разработали депутат Госдумы Ирина Яровая и член Совета Федерации Виктор Озеров. Путин подписал закон 7 июля. В тот же день глава государства поручил Минкомсвязи и Минпромторгу до 1 сентября предоставить расчёты по срокам и затратам на организацию производство необходимого для хранения данных ПО и оборудования.

Пруф: http://www.macdigger.ru/macall/putin-poruchil-organizovat-v-...

Пикабубаяннадзор ругается на картинку сервера.

Министерство обороны России совместно с ФСБ готовит ряд контрмер, направленных на противодействие растущему количеству кибератак с использованием трояна NetTraveler. Напомним, ранее исследователи Proofpoint зафиксировали всплеск активности в рамках международной кампании по кибершпионажу, организованной сетью NetTraveler. По большей части новая кампания направлена на производителей оружия, различные правозащитные организации и продемократические группы из России и близлежащих стран, в том числе Монголии, Беларуси и других европейских государств.

Министерство пока не раскрывает информацию об объектах кампании, однако по словам осведомленных источников, хакеры осуществили серию кибератак на ряд крупных российских промышленных предприятий. В частности, на научно-производственную корпорацию «УралВагонЗавод», крупного производителя танков (название компании не разглашается), холдинг «Вертолеты России» и другие предприятия, пишет издание SC Magazine.

По словам топ-менеджера НПО «Энергия» Сергея Степаничева, в связи с растущим количеством кибератак, многие российские оборонные предприятия решили отложить ранее анонсированную компьютеризацию производственных процессов. Это вызвано опасениями в отношении утечки информации, поскольку большинство компьютерных систем используют web-серверы и ПО производства иностранных компаний.