Costin Raiu
28 października 2013 Cryptolocker chce twoich pieniędzy! Costin Raiu 24 kwietnia 2013 Trojan dla Androida wykryty w ataku ukierunkowanym Costin Raiu 24 kwietnia 2013 Nowe ataki z użyciem exploitów PDF wymierzone w aktywistów ujgurskich i tybetańskich Costin Raiu 28 lutego 2013 Narastające cyberataki przeciwko ujgurskim użytkownikom systemu OS X firmy Apple Costin Raiu 25 września 2012 Hotmail: Twoje hasło było za długie, dlatego rozwiązaliśmy ten problem dla ciebie Costin Raiu 5 lipca 2012 Prezent na urodziny Dalajlamy Costin Raiu |
Każdego dnia Kaspersky Lab przetwarza ponad 300 000 nowych próbek szkodliwego oprogramowania. Ogromna większość tych szkodliwych plików to tzw. crimeware – programy komputerowe stworzone w celu uzyskania korzyści finansowych i wykorzystywane przez cyberprzestępców do zarabiania pieniędzy. Spośród pozostałych, niewielka ilość powstaje wyłącznie do celów cyber-szpiegostwa i jest wykorzystywana przez szereg różnych zaawansowanych cyberprzestępców.
To, co pozostaje, stanowi jeszcze mniejszy odsetek całości i obejmuje rzadkie, nietypowe okazy. Wipery - wysoce destrukcyjne programy - należą do najrzadszych rodzajów szkodliwego oprogramowania, jednak ich wykorzystywanie wzrosło w ciągu ostatnich kilku lat.
Wcześniej szkodliwe oprogramowanie pisali w większości entuzjaści komputerowi, cyber-chuligani i dowcipnisie. Z tego względu destrukcyjne wirusy, lub trojany, były znacznie bardziej rozpowszechnione. Jednym z...
Analizy
Blog
Być może czytaliście na temat szkodliwego oprogramowania o nazwie Cryptolocker - nowego trojana szantażysty, który szyfruje pliki użytkownika i żąda pieniędzy w zamian za ich odzyskanie przez użytkownika.
W przeszłości pojawiały się podobne szkodliwe programy, np. niesławny trojan GPCode, który wykorzystywał klucze RSA w celu szyfrowania. W 2008 r. złamaliśmy 660-bitowy klucz wykorzystywany przez GPCode’a i zaoferowaliśmy ofiarom tego szkodnika metodę deszyfrowania i odzyskiwania swoich danych. Następnie autorzy GPCode’a uaktualnili klucz RSA - jego długość wynosiła już 1024 bity i mógł zostać złamany jedynie przez Agencję Bezpieczeństwa Narodowego.
Cryptolocker wykorzystuje również mocny system szyfrowania, który jak dotąd wydaje się niemożliwy do złamania. W przypadku każdej ofiary, łączy się ze swoim centrum kontroli (C2) w celu pobrania publicznego klucza RSA wykorzystywanego do szyfrowania danych.
Analizy
Blog
Kilka dni temu zhakowane zostało konto e-mail tybetańskiego aktywisty wysokiego szczebla, a następnie wykorzystane do rozpropagowania ataków ukierunkowanych na innych aktywistów i obrońców praw człowieka. Najbardziej interesującą rzeczą w tej sytuacji jest fakt, że wiadomości e-mail rozsyłane w ataku posiadały załącznik APK – złośliwy program dla systemu Android.
Atak
Dnia 24 marca 2013 r. konto pocztowe tybetańskiego aktywisty wysokiego szczebla zostało zhakowane i wykorzystane do rozsyłania spear-phishingowych wiadomości...
Analizy
Blog
Wcześniej pisaliśmy o innej kampanii, uderzającej w rządy i różne instytucje, zwanej „MiniDuke”, która również wykorzystywała exploity PDF z wersetami z „Boskiej komedii”. W międzyczasie wpadliśmy na trop innych ataków, które używały tego samego kodu exploitów wysokiego poziomu, z tą różnicą, że tym razem celem byli aktywiści ujgurscy.
Wraz z naszym partnerem, laboratorium AlienVault, podjęliśmy się analizy tych nowych exploitów. Artykuł specjalistów z AlienVault, zawierający...
Analizy
Blog
Jakiś czas temu pisaliśmy o atakach używających złośliwego oprogramowania dla systemu OS X, ukierunkowanych na aktywistów tybetańskich. Oprócz tego, w lipcu 2012 r. donieśliśmy o atakach wykorzystujących złośliwe oprogramowanie dla systemu OS X przeciwko aktywistom ujgurskim. Te późniejsze ataki korzystały z socjotechniki do infekowania maszyn użytkowników szkodliwym oprogramowaniem Backdoor.OSX.MaControl.b.
W ciągu ostatnich miesięcy obserwowaliśmy szereg ataków ukierunkowanych na aktywistów ujgurskich, przede wszystkim wymierzonych w uczestników Światowego Kongresu Ujgurów. W atakach zostało użytych kilka...
Analizy
Blog
Hakerzy natychmiast zabrali się do łamania ich, przy czym ponad połowa z nich została złamana niemal od razu.
Tak szybkie złamanie było możliwe głównie z dwóch powodów:
*samo wykorzystanie funkcji SHA1
*szybkie procesory
Przyjrzyjmy się obu tym czynnikom:
Funkcja SHA1 została stworzona głównie po to, aby zastąpić słabszą funkcję MD5. Z założenia miała być szybsza i rzeczywiście taka jest. Na karcie graficznej AMD / ATI 7970 “hashcat” oblicza nieco ponad dwa miliardy hashy SHA1 na sekundę. To oznacza, że w bardzo krótkim czasie można przetestować wiele kombinacji.
W celu obejścia tego „problemu” powstały nowoczesne i bezpieczniejsze algorytmy, takie jak funkcja sha512crypt stosowana w Ubuntu i najnowszych wersjach systemu...
Analizy
Blog
3 lipca wykryliśmy nową kampanię ataków APT, w której wysyłane były wiadomości z tematem: “Dalai Lama’s birthday on July 6 to be low-key affair”:
Do wiadomości dołączony jest plik .DOC, który wykorzystuje lukę CVE-2012-0158 (nazwa pliku stanowi bardzo popularny temat w przypadku takich ataków).
Tym razem exploit jest przeznaczony dla komputerów działających pod kontrolą systemu Windows.
Kod powłoki x86 w pliku .DOC deszyfruje główne ciało backdoora w blokach o rozmiarze 1 KB przy pomocy...
Analizy
Blog