По сообщению ряда операторов персональных данных, 10 августа 2015 года, зафиксирована массовая рассылка неизвестными лицами от имени Роскомнадзора обращений с требованием осуществить блокировку обрабатываемых персональных данных ввиду нарушения требований Федерального закона «О персональных данных» (без конкретизации соответствующих нарушений), говорится в сообщении, размещенном на сайте ведомства. В данных «обращениях» упомянуто «Постановление Роскомнадзора № 319 от 10.08.2015 г.», а также прилагается RAR-файл, который предлагается открыть с использованием пароля roscomnadzor.
«Обращаем внимание, что распространяемая фальшивка не имеет к Роскомнадзору никакого отношения, а открытие RAR-файла может повлечь повреждение информационной системы оператора», – предупреждают сотрудники федеральной службы. – «Считаем также необходимым отметить, что применение Роскомнадзором мер реагирования в части блокирования обрабатываемых оператором персональных данных осуществляется исключительно в рамках контрольно-надзорных мероприятий, порядок и условия которых определены законодательством Российской Федерации».
Роскомнадзор уже становился жертвой спам-рассылок два года назад. Тогда операторы персональных данных получали поддельные письма от имени ведомства о блокировке ресурсов за нарушения закона. Роскомнадзор отметил, что все сведения о нарушении операторами закона поступают в службу только через реестр, а служба не рассылает предписаний о блокировке ресурсов в виде писем.
Не остался без внимания мошенников и выход новой операционной системы от Microsoft, он состоялся в конце июля. Windows 10 рекламируется как самая безопасная среди всех версий Windows с поддержкой биометрических логинов и блокировкой входа на сайты, которые могут быть прикрытием для фишинг-атак, с Windows Defender, который поможет защитить компьютер от вредоносных программ. Многие пользователя получили электронные письма с предложением бесплатного обновления ОС якобы от Microsoft.
По данным экспертов Talos, подразделения компании Cisco, которое занимается исследованием и анализом угроз для информационной безопасности, киберпреступники в попытке обмануть пользователей и установить на их компьютеры программу-вымогатель, маскируют спам-атаку под почтовую рассылку от корпорации Microsoft. То обстоятельство, что пользователям приходится ждать обновления до Windows 10 в очереди, лишь увеличивает вероятность успешной реализации данной атаки.
Как отмечают специалисты, поддельные письма рассылаются с таиландского сегмента IP-адресов, мошенники используют цветовую схему, аналогичную той, которую использует корпорация Microsoft, однако в тексте самого письма есть настораживающие детали вроде неестественных символов, хотя хакеры всеми силами пытаются придать посланию правдоподобный вид. После того, как пользователь прочитал письмо, загрузил содержащийся в нем архив, распаковал его и запустил содержимое, он становится владельцем персональной версии CTB-Locker, одной из разновидностей программ-вымогателей.
Подразделение Talos отмечает высокую интенсивность заражения подобным вредоносным ПО. Злоумышленники используют спам-атаки и эксплойт-наборы для того, чтобы распространять в интернете множество самых разнообразных программ-вымогателей. При этом их назначение одинаково: с помощью ассиметричного шифрования заблокировать файлы пользователя таким образом, чтобы необходимый для расшифровки открытый ключ на зараженной системе отсутствовал. Кроме того, при помощи технологий Tor и Bitcoin злоумышленники получают возможность сохранять инкогнито и быстро и без лишнего риска получать денежные средства, поступающие в результате киберпреступлений.
Программа CTB-Locker имеет ряд интересных особенностей, выделяющих ее из основной массы программ-вымогателей, зафиксированных подразделением Talos. Во-первых, это тип шифрования. В то время, как большинство аналогичных программ применяет для шифрования ассиметричный алгоритм RSA, CTB-Locker использует алгоритм эллиптических кривых. Он хоть и предоставляет похожий механизм шифрования с применением открытого и закрытого ключей, но является совсем другим алгоритмом и имеет при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа.
Во-вторых, временной интервал. CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов. Также вирус-вымогатель обменивается информацией с центром управления и контроля. Последние версии подобных программ для обмена информацией с центром используют зараженные сайты, построенные на технологии Wordpress. CTB-Locker, судя по всему, для этих целей использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля, что тоже не совсем обычно для программ-вымогателей. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666.
Исследование, проведенное подразделением Talos, позволило определить доменные имена, присутствующие в передаваемых данных. Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля. Еще одной особенностью CTB-Locker является использование для коммуникаций порта номер 21, который ассоциируется с трафиком FTP и обычно не блокируется межсетевыми экранами. Как показал анализ данных, передаваемых CTB-Locker по 21 порту, в данном случае идет обмен информацией с центром управления и контроля.
Как отмечают специалисты Talos, угрозы, исходящие от программ-вымогателей, будут расти до тех пор, пока злоумышленники не найдут более эффективных методов получения денежной выгоды от зараженных компьютеров. В качестве меры защиты пользователям настоятельно рекомендуют установить антивирусные программы, сделать резервные копии своих данных и хранить их вне компьютера, чтобы у атакующих не было возможности получить доступ к ним. А также быть более бдительными при открытии электронных писем от любых адресатов – хакеры не упустят любого заметного события, чтобы организовать очередную спам-рассылку вирусного программного обеспечения.
.png)