Gordon

До двух лет лишения свободы грозит украинцу, которого подозревают в создании и распространении вредоносного программного обеспечения, взломе компьютеров и администрировании сайта по продаже логов. 16 марта полиция открыла уголовное дело по признакам уголовного преступления, предусмотренного ч.1 ст.361-1 УК Украины (Создание с целью использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт). Досудебным расследованием установлена информацию в отношении лица, известного на «хакерском» форуме «bhf.io» под никнеймами «kr3wka», «naf4nya» и «Nafаnya». Пользователь, по версии следствия, осуществляет распространение вредоносного программного обеспечения и непосредственно занимается несанкционированным вмешательством в работу электронно-вычислительных машин (компьютеров). В результате аналитически-розыскных мероприятий работниками отдела противодействия киберпреступности в Запорожской области удалось даенонимизировать хакера. Им оказался житель Запорожья, который зарегистрирован в социальной сети «Вконтакте» под именем «Олег Хаджийский». Также было установлено, что данный гражданин является администратором веб-ресурса «stealacc.store», с помощью которого осуществляется продажа логов (конфиденциальная информация пользователей всемирной сети Интернет по электронным платежным системам, пароли от почтовых ящиков, ключи от электронных кошельков криптовалют и прочее), которые были получены им в результате использования вредоносного программного обеспечения. Кроме этого установлено, что для получения денежных средств за продажу вредоносного программного обеспечения мужчина использует собственную банковскую карточку Приватбанка. Следствие уже получило разрешение на доступ к сведениям о движении денежных средств на счет.​

Эксперты Positive Technologies Максим Горячий и Марк Ермолов выступили на конференции Black Hat, где рассказали об обнаружении технологии Intel VISA, предназначенной для отладки и выявления брака в процессорах и других микросхемах. Проблема заключается в том, что эта функциональность потенциально может быть включена злоумышленниками. Ранее об Intel VISA не было известно широкой общественности, а технология позволяет считывать данные из памяти и перехватывать сигналы периферийных устройств. Несмотря на то, что Intel VISA по умолчанию отключена на коммерческих системах, эксперты нашли несколько способов ее активации. Исследователи выяснили, что микросхемы PCH (Platform Controller Hub), установленные на материнских платах современных ПК на базе Intel, содержат полноценный логический анализатор сигналов, который называется Intel Visualization of Internal Signals Architecture (VISA). Эта технология дает возможность отслеживать состояние внутренних линий и шин системы в режиме реального времени. Аналогичный анализатор реализован также в современных процессорах Intel. Через микросхему PCH, которую исследовали эксперты, осуществляется взаимодействие процессора с периферийными устройствами (дисплеем, клавиатурой, веб-камерой и так далее.), поэтому этот чип имеет доступ практически ко всем данным компьютера. «Мы выяснили, что подключиться к Intel VISA можно на обыкновенных материнских платах, и для этого не требуется специальное оборудование, — рассказывает эксперт Positive Technologies Максим Горячий. — С помощью VISA нам удалось частично реконструировать внутреннюю архитектуру микросхемы PCH». Исследователи полагают, что Intel VISA используется для проверки наличия брака при производстве чипов Intel. Вместе с тем, благодаря огромному количеству параметров, эта технология позволяет создавать собственные правила для захвата и анализа сигналов, которые могут быть использованы злоумышленниками для получения доступа к критически важной информации. В ходе выступления на Black Hat было продемонстрировано, как можно считывать сигналы с внутренних шин передачи информации (например, шин IOSF Primary, Side Band и Intel ME Front Side Bus) и других внутренних устройств PCH, несанкционированный доступ к которым позволяет перехватить данные из памяти компьютера. Проанализировать технологию позволила ранее выявленная экспертами Positive Technologies уязвимость INTEL-SA-00086 в подсистеме Intel Management Engine, которая также интегрирована в микросхему PCH. Недостаток в IME дает злоумышленникам возможность атаковать компьютеры — например, устанавливать шпионское ПО в код данной подсистемы. Для устранения этой проблемы недостаточно обновления операционной системы, необходима установка исправленной версии прошивки. Издание ZDNet цитирует представителей Intel, которые уверяют, что показанная на BlackHat проблема требует физического доступа к устройству и фактически была устранена с выходом патчей для INTEL-SA-00086 в ноябре 2017 года. С этим заявлением эксперты Positive Technologies не согласны, они объясняют, что прошивку Intel можно понизить до уязвимой версии и все равно добиться включения VISA.

Администрация крупнейшей на сегодняшний день подпольной торговой площадки Dream Market объявила о прекращении ее деятельности. Согласно сообщению на главной странице сайта, закрытие намечено на 30 апреля текущего года, а управление всеми операциями будет передано «партнерской компании». При этом нужно отметить, что в последнее время у Dream Market наблюдаются технические проблемы, судя по всему, связанные с постоянными DDoS-атаками на сайт. Появление этого сообщения совпало с выходом пресс-релизов ФБР, Европола и американского Управления по борьбе с наркотиками, которые рассказали о масштабной совместной операции SaboTor, направленной на борьбу с торговлей наркотиками в даркнете. Правоохранители отчитались о десятках арестов и обысков. Например, сообщается, что уже был арестован 61 человек, а также были закрыты 50 учетных записей в даркнете, с помощью которых пользователи занимались незаконной деятельностью. К этому можно прибавить 65 ордеров на обыск, благодаря котором удалось обнаружить и изъять 299,5 кг наркотических средств, 51 единицу огнестрельного оружия и более 6,2 млн евро (из них около 4 млн в криптовалюте, 2 млн наличными и примерно 35 000 в золоте). Кроме того, в ходе операции SaboTor было допрошено 122 человека. В этом свете совсем неудивительно, что пользователи Dream Market паникуют. В социальных сетях распространяются самые разные теории, вплоть до предположений, что торговую площадку уже контролируют правоохранительные органы, и заходить на Dream Market (и новый сайт, чье открытие ожидается позже) небезопасно. Цитата: DO NOT log into Dream Market. Law enforcement in some country can apparently run a darknet market for a month without shutting it down while logging all data and lying to the public the entire time. This happened with Hansa during Operation Bayonet. #darknet — DarkDotFail (@darkdotfail) March 26, 2019 https://twitter.com/...f_src=twsrc^tfw The "a partner company" is bizarre. Possible rebrand. Possible retirement. Possible LE. Operation Bayonet 2.0? Somebody with a lot of money wanted the market? No mention of this on the Dream forums either FWIW. — Caleb (@5auth) March 26, 2019 https://twitter.com/...f_src=twsrc^tfw Опасения пользователей вряд ли можно назвать беспочвенными. Достаточно вспомнить о том, что произошло с маркетплейсом Hansa Market в 2017 году. Напомню, что тогда торговую площадку закрыли правоохранительные органы. Однако этот факт не афишировали, а полиция продолжала поддерживать работоспособность Hansa Market еще некоторое время, что помогло собрать множество улик и информации о клиентах этой торговой площадки. Dream Market существует с 2013 года, и сейчас он остался последним активным маркетплейсом из некогда известной большой четверки, в которую также входили AlphaBay, Hansa Market и RAMP. Как уже было упомянуто выше, AlphaBay и Hansa Market были закрыты правоохранительными органами в 2017 году, и том же году российское МВД отчиталось о прекращении деятельности RAMP. Если Dream Market действительно прекратит свою работу в следующем месяце, из относительно крупных торговых площадок в даркнете останутся, к примеру, T•chka и Wall Street Market. • Source: https://www.dea.gov/...law-enforcement • Source: https://www.europol....buyers-dark-web • Source: https://www.fbi.gov/...-sabotor-032619

Apple анонсировала банковскую карту Apple Card с бесплатным обслуживанием и кэшбеком. Открываются новые горизонты господа!

Последняя волна атак Elfin (APT33) была зафиксирована в феврале нынешнего года. В течение последних трех лет кибершпионская группировка Elfin (другое название APT33), предположительно финансируемая правительством Ирана, активно атакует организации в США и Саудовской Аравии. Как сообщают специалисты компании Symantec, жертвами группировки стали представители разных сфер. Помимо правительственного сектора, Elfin также интересуют производственные, инженерные и химические предприятия, исследовательские организации, консалтинговые фирмы, финансовые и телекоммуникационные компании и пр. За последние три года жертвами Elfin стали 18 организаций в США, в том числе компании из списка Fortune 500. Некоторые из них были атакованы с целью осуществления дальнейших атак на цепочку поставок. В одном случае крупная американская компания и принадлежащая ей фирма на Среднем Востоке стали жертвой Elfin в один и тот же месяц. Последняя волна атак была зафиксирована в феврале нынешнего года. Для их осуществления злоумышленники пытались эксплуатировать известную уязвимость в утилите WinRAR (CVE-2018-20250), позволяющую устанавливать файлы и выполнять код на системе. Эксплоит попал на компьютеры двух сотрудников атакуемой организации через фишинговое письмо со вложенным вредоносным файлом JobDetails.rar. После его открытия на систему загружался эксплоит для CVE-2018-20250. Elfin была замечена исследователями в декабре 2018 года в связи с новыми атаками Shamoon. Незадолго до атаки Shamoon одна из компаний Саудовской Аравии была заражена вредоносным ПО Stonedrill из арсенала Elfin. Поскольку атаки последовали сразу одна за другой, эксперты предположили, что между ними может быть связь. Тем не менее, на сегодняшний день никаких других свидетельств причастности Elfin к атакам Shamoon обнаружено не было. Помимо бэкдора Stonedrill, группировка также использует бэкдор Notestuk, открывающий доступ к файлам на атакуемой системе, и кастомизированный бэкдор на языке AutoIt. Наряду с инструментами собственного производства злоумышленники также применяют ПО, купленное на черном рынке, в том числе трояны Remcos, DarkComet, Quasar RAT и пр.

Сотрудники киберполиции разоблачили преступную группу, совершавшую масштабные мошеннические схемы в сети. Об этом сообщает пресс-служба Департамента киберполиции Национальной полиции Украины. По информации пресс-центра ведомства, в ходе своей преступной деятельности злоумышленники создали около десяти фиктивных фирм. Эти компании занимались оказанием услуг по оналйн-продаже сельскохозяйственной техники. В результате своей деятельности они получали около миллиона гривен ежемесячно. Операцией по разоблачению преступников занимались сотрудники Киевского управления Департамента киберполиции и детективы полиции Полтавщины под процессуальным руководством прокуратуры Полтавской области. Отмечается, что в состав мошеннической группы входило семь человек в возрасте от 28 до 44 лет. Как удалось установить правоохранительным органам, преступная организация функционировала в течение последних нескольких лет. Злоумышленники распространяли на разных интернет-ресурсах информацию о продаже дорогостоящей сельскохозяйственной техники, цены на которую были значительно занижены. Обычно их клиентами становились частные предприниматели, которые пытались таким образом сэкономить на покупке техники, но при этом теряли свои средства. С целью маскировки и анонимизации своих действий преступники регистрировали фиктивные предприятия на подставных лиц. А для того, чтобы скрыть следы мошенничества, во время администрирования расчетных счетов фиктивных предприятий, аферисты использовали разные анонимайзеры и прокси серверы в разных странах мира. Кроме того, мошенники пользовались разными онлайн-сервисами для учета полученных денег и распределения прибыли, а также фиксирования информации о потенциальных «клиентах». Правоохранители провели санкционированные обыски. По их результатам изъята компьютерная техника, большое количество дополнительных носителей информации и черновые записи участников преступной группы. Всю изъятую технику направлено на экспертизу. Сейчас продолжается досудебное расследование по ч. 3 ст. 190 (мошенничество) УК Украины. Решается вопрос об объявлении подозрения каждому из участников преступной группы. Полиция устанавливает лица, которые также могли стать жертвами преступных действий мошенников.

Проблемы с энтропией при генерации серийных номеров при помощи инструментария для удостоверяющих центров EJBCA привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее количество проблемных сертификатов было выписано компаниями Apple, GoDaddy, Google, Actalis и SSL.com. Проблема связана с использованием при формирования серийных номеров случайного числа, включающего 63 бита энтропии, вместо 64 бит. Соответственно сложность подбора каждого числа снизилась с 264 до 263 комбинаций (разница около 9 квинтиллионов). Требования, регламентирующие деятельность удостоверяющих центров, с сентября 2016 года предписывают применение как минимум 64-разрядных серийных номеров, поэтому все находящиеся в обиходе проблемные сертификаты подлежат отзыву и замене. Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу. Чтобы избежать появления отрицательных значений и для соответствия требованиям спецификации в формируемом числе принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA, который поддерживает генерацию серийных номеров в диапазоне от 32 до 160 бит. Получение 64-битового значения без учёта описанной особенности (фактическое поведение при настройках по умолчанию отличается от ожидаемого) привело к тому, что значение одного бита оказалось изначально известным. Снижение числа бит в серийном номере незначительно снижает стойкость сертификата к атакам, основанным на подборе коллизий - становится проще подобрать параметры, на основе которых можно получить поддельный сертификат с идентичной цифровой подписью. Тем не менее стойкости 63 битовой энтропии более чем достаточно для обеспечения безопасности в современных реалиях и угроза компрометации исключена даже при использовании уязвимых хэш-функций MD5 и SHA1, которые на практике не применяются и не поддерживаются браузерами с начала 2017 года. Наибольшее число проблемных сертификатов было создано компанией Apple - около 878 тысяч TLS-сертификатов, из которых время жизни ещё не истекло для 558 тысяч. Ещё около двух тысяч проблемных сертификатов было сгенерировано для S/MIME. Сертификаты генерировались с 2016 года. В 2017 году в процессе автоматизированного тестирования было выдано предупреждение о недостаточном размере серийного номера, но данное предупреждение по недосмотру оказалось не замечено. Некоторые другие охваченные проблемой удостоверяющие центры: * Компания Actalis выдала 350 тысяч проблемных сертификатов, из которых остаются активными 224 тысячи. * Компания GoDaddy изначально предположила наличие 1.8 млн проблемных сертификатов, но точный анализ показал, что проблема присутствовала только в 286 тысячах сертификатов, из которых 12152 остаются активными (проблемные сертификаты выписывались с 2016 года). * Компания Google с 2016 года выписала около 100 тысяч проблемных сертификатов, из которых активными остаются только 7100. * Компания SSL.com сформировала 6931 проблемных сертификатов. * Компания Camerfirma выдала 924 проблемных сертификата, все из которых активны. * Компания QuoVadis выдала 157 проблемных TSL-сертификатов и 118 сертификатов S/MIME, все из которых активны; * Компания Siemens сгенерировала 35 проблемных сертификатов; Так как сертификаты должны быть отозваны в течение 5 дней (пункт 4.9.1.1 правил, регламентирующих работу удостоверяющих центров), в ближайшее время возможно появление предупреждений о проблемах с безопасным доступом к сайтам, с владельцами которых не смогли связаться удостоверяющие центры или администраторы которых не успели установить новый сертификат.

Специалисты исследовательского подразделения Unit 42 компании Palo Alto Networks сообщили о новой вредоносной операции по взлому организаций в сфере криптовалютных операций и финансовых технологий. Целью злоумышленников является сбор учетных данных и другой конфиденциальной информации. Для похищения данных киберпреступники используют обновленную версию трояна для удаленного доступа Cardinal. Вредонос используется с 2015 года, но ИБ-сообщество узнало о нем только в 2017 году. Несмотря на то, что Cardinal уже известен специалистам по кибербезопасности, злоумышленники продолжают использовать его для похищения данных пользователей Windows. Как и предыдущий вариант трояна, новая версия распространяется с помощью фишинговых писем и вредоносных документов. Судя по указанным в полезной нагрузке данным, в новой кампании используется версия Cardinal 1.7.2. По состоянию на 2017 год актуальной версией являлась 1.4, а значит, киберпреступники регулярно обновляют свой троян. В частности, в обновленной версии используются новые техники для обфускации кода. К примеру, для сокрытия образца, изначально написанного на .NET и внедренного в файл .BMP, используется стеганография. Cardinal собирает пароли и логины, делает скриншоты и записывает нажатия клавиш на клавиатуре. Троян также способен загружать новые исполняемые файлы, обновлять себя и менять настройки зараженного компьютера. Когда нужные данные собраны, вредонос деинсталлирует сам себя и удаляет файлы cookie браузера. Новая вредоносная операция направлена на израильские компании, в основном специализирующиеся на разработке ПО для криптовалютного трейдинга и Forex. Свидетельств успешности этих атак в настоящее время зафиксировано не было. Кто стоит за вредоносной кампанией, неизвестно.

Участники группировки десятилетиями держали в секрете причастность Бето О’Рурка к Cult of the Dead Cow. Кандидат в президенты США от Демократической партии Бето (Роберто) О’Рурк (Beto O'Rourke) в подростковом возрасте был участником старейшего хакерского коллектива Cult of the Dead Cow («Культ Мертвой Коровы», CDC). Об этом он рассказал в интервью Reuters. CDC была основана в городе Лаббок (штат Техас) в 1984 году, а свое название получила в честь заброшенной скотобойни. Группировка в широком доступе публиковала инструменты для взлома систем на базе Microsoft Windows (например, RAT Back Orifice). CDC также является автором термина «хактивизм», означающего использование компьютеров для продвижения политических идей, свободы слова, защиты прав человека и обеспечения свободы информации. Деятельность группировки началась до появления Интернета, в то время владельцы компьютеров общались через электронные доски объявлений (Bulletin board system, BBS), для связи использовались коммутируемые телефонные сети. Пользователи могли с помощью модема соединяться с системой, просматривать информацию и оставлять свои сообщения. Большинство участников CDC поддерживали свои электронные доски, распространяя различные электронные статьи. Звонки на дальние расстояния обходились в несколько сотен долларов в месяц, и предприимчивые подростки использовали различные техники, позволявшие им совершать звонки за чужой счет. О’Рурк не раскрыл, какие именно методы применял, чтобы не платить за звонки. По его словам, он передал управление собственной BBS, когда поступил в Колумбийский университет. Как пишет Reuters, участники группировки десятилетиями держали в секрете причастность О’Рурка к CDC. Он сам признался в этом в начале своей избирательной кампании. В настоящее время нет доказательств, что кандидат в президенты участвовал в кибератаках или писал код, позволяющий взломать систему кому-либо еще.

Разработчики Mozilla намерены добавить в Firefox новую функцию, обеспечивающую защиту пользователей от отслеживания. Речь идет о технике под названием «Letterboxing», уже знакомой пользователям браузера Tor (функционал появился в январе 2015 года). Рекламные сети часто отслеживают определенные функции браузеров, например, размеры окна, для составления профиля пользователей и их отслеживания, когда они изменяют размеры браузера и переходят на новые вкладки и сайты. Принцип работы функции заключается в следующем: при изменении размеров окна браузера на web-страницу будут добавляться серые поля, которые постепенно исчезнут по завершении действия. Идея заключается в том, что «Letterboxing» будет маскировать реальные размеры окна браузера, сохраняя постоянную высоту и ширину за счет добавления серых полей на верхней, нижней, левой и правой частях страницы. Таким образом коды рекламных сетей, отслеживающие изменения размеров окна, будут считывать неправильные данные, и только после отправки кодами информации на свои серверы Firefox удалит серые поля. Функционал поддерживается не только при масштабировании окна браузера, но и при его максимальном увеличении или переходе в полноэкранный режим. В настоящее время функционал доступен в сборке Firefox Nightly, широкая публика сможет оценить функционал с выходом версии Firefox 67, запланированным на май 2019 года. По умолчанию функция отключена. Для того чтобы активировать ее, нужно открыть about:config -> «privacy.resistFingerprinting» и установить значение «true».

В настоящее время существует несколько десятков киберпреступных группировок, объединенных ИБ-экспертами под общим названием Magecart. Группировки используют различные методы, но с одной и той же целью – похитить данные банковских карт пользователей сайтов электронной коммерции. Не все группировки Magecart обладают одинаковым уровнем знаний и умений. По словам специалистов из RiskIQ, одна из них, Group 4, отличается особым профессионализмом. То, как киберпреступникам удается организовывать свой бизнес, внедрять новые методы работы, минимизировать риски и повышать эффективность, указывает на их весьма выдающиеся способности. После отключения части используемой Group 4 инфраструктуры специалистам RiskIQ удалось продолжить мониторинг активности группировки и совершенствования используемых ею техник. В распоряжении Group 4 есть около сотни зарегистрированных доменов, пул серверов для маршрутизации трафика и доставки на системы жертв вредоносного ПО, пишут исследователи. После реорганизации группировка оставила себе только пять доменов с одним IP-адресом. «Домены, связанные со скимминговыми операциями Group 4, просто являются прокси, указывающими на большую внутреннюю сеть. После применения некоторой начальной фильтрации скиммер направляет запросы конечной точке, предоставляющей скрипт скиммера (или легальный скрипт, если посетитель не осуществляет платеж)», - сообщили исследователи. Для маскировки вредоносной активности группировка использует множество легальных библиотек, скрывающих скиммер на странице платежей до начала его активности. Более того, для защиты своей инфраструктуры от полного разрушения киберпреступники добавили пулы примерно из десяти последовательных IP-адресов примерно у пяти разных хостеров. Сами скиммеры регулярно обновляются и получают новые функции, которые предварительно проходят тестирование. Новый функционал как правило отключен по умолчанию, отметили исследователи. В настоящее время код только проверяет наличие платежных форм и похищает данные. Благодаря столь ограниченному функционалу злоумышленникам удалось сократить объем кода всего до 150 строк – это в десять раз меньше по сравнению с тем, каким код был раньше.

Пленум Верховного суда законодательно запретил отмывать доходы, преобразованные из виртуальных активов. Соответствующие поправки внесены в постановление суда от 2015 года о практике по делам о легализации доходов, сообщает портал «Право». Теперь предметом преступлений, предусмотренных ст. 174 и 174.1 о легализации преступных доходов, считаются и виртуальные активы — криптовалюты, полученные в результате противоправной деятельности. Отметим, что пленум не вводил в УК РФ термин «криптовалюта», поскольку он пока официально не прописан в российском законодательстве. Однако необходимость разъяснений по этому вопросу назрела давно, пояснили в ВС. «В последние годы в практике появились случаи, когда полученная от продажи наркотиков криптовалюта вводилась в оборот путем снятия наличности с банковских терминалов», — добавил судья Верховный суд Александр Червоткин.

Веб-камера – одно из самых распространенных и важных устройств, которое может использоваться для различных задач. С другой стороны, этот девайс представляет собой наиболее серьезную угрозу вашей личной жизни. Если злоумышленник получит доступ к веб-камере и начнет шпионить за вами, у вас может возникнуть много неприятностей. Однако хорошая новость в том, что управлять камерой удаленно очень сложно так, чтобы никто не догадался. Ниже приведено семь способов, позволяющих проверить ваше устройство на предмет взлома и внешнего управления. 1. Обратите внимание на индикатор Небольшой красный/зеленый/голубой индикатор рядом с объективом сигнализирует о том, происходит ли сейчас запись видео. Когда камера не работает, индикатор должен быть выключен. Если лампочка мигает, и вы не используете камеру, значит, у кого-то еще есть доступ к вашему устройству. Если мерцание происходит постоянно, значит, камера записывает видео. В обоих случаях, устройство, скорее всего, находится под внешним управлением. Иногда индикатор перестает работать, и владелец не особо заботится о починке. Однако отсутствие рабочего индикатора повышает риск того, что кто-то будет использовать устройство без вашего ведома, а вы не сможете заметить ничего подозрительного. 2. Проверьте созданные файлы Если кто-то использует вашу камеру для записи видео, непременно должны появиться видео или аудио файлы, которые вы не создавали. Если в папке с записями присутствуют файлы, о которых вам ничего не известно, скорее всего, эти файлы созданы злоумышленником во время несанкционированного использования камеры. 3. Проверьте используемые приложения Иногда веб-камера может находиться под управлением неизвестного приложения. Подобные ситуации возникают в случае, если вы загрузили вредоносную программу, которая перехватила контроль над устройством. Чтобы разобраться, попробуйте включить камеру. Если появилось сообщение, что девайс уже используется, значит, устройство находится под контролем приложения. В общем, нужно проверить все приложения, у которых есть доступ к камере. 4. Воспользуйтесь сканером вредоносов Теперь пришло время разобраться более конкретно с теми приложениями, которые используют веб-камеру, при помощи сканера вредоносов. Нужно сделать следующее: Загрузить компьютер в безопасном режиме, когда остаются работать только самые необходимые драйвера и программы. В Windows 10 попасть в безопасный режим можно попасть, если напечатать в поиске команду msconfig и нажать Enter. Откроется панель с системной конфигурацией, где вы можете зайти в опции загрузки и выбрать безопасный режим. Система окажется в безопасном режиме после перезагрузки. Как только компьютер оказался в безопасном режиме вначале удалите все временные и другие ненужные файлы, чтобы ускорить сканирование. Запустите любой антивирус, которым вы пользуйтесь, чтобы проверить систему на предмет присутствия вредоносов. Иногда антивирусная программа не обнаружит ничего. В этом случае можно попробовать сканер, встроенный в браузер Google Chrome, у которого часто базы новее. 5. Проверьте камеру на предмет аномального поведения С каждым днем веб-камеры становятся все более функциональнее. Например, могут двигаться из стороны в сторону, для увеличения угла обзора, или иметь встроенный микрофон и колонки и, по сути, выступают в качестве телефона. Кроме того, камеры могут подстраивать линзы, чтобы улучшить разрешение. Если вы заметили, что девайс делает что-то из вышеперечисленного, когда вы не работаете с устройством, вполне вероятно, есть удаленное управление. Обращайте внимание на любые мелочи. Если устройство повернулось или издает подозрительный шум, скорее всего, имеет место быть взлом. 6. Проверьте настройки безопасности веб-камеры Вы можете использовать веб-камеру для наблюдения за домом при условии, что настройки не были скомпрометированы. Если в настройках безопасности вы обнаружили нечто похожее на то, что показано ниже, есть повод призадуматься: Пароль стал стандартным. Вы не можете менять настройки. Фаервол, защищающий веб-камеру, отключен. Имя пользователя административной учетной записи изменено. Совсем нелишним будет проверить и другие настройки на предмет изменений. 7. Проверьте интенсивность трафика Потоки данных в сети могут многое рассказать о том, насколько интенсивно используется интернет. Неожиданные всплески сетевого трафика могут являться сигналом о том, что данные передаются без вашего ведома. Подобную проверку можно сделать в Диспетчере задач. Например, в Windows 10 воспользуйтесь вкладкой Журнал приложений в Диспетчере задач, чтобы посмотреть, какие приложения используют сеть. Здесь можно отследить, отсылает ли данные веб-камера (или любое неизвестное) приложение. В случае обнаружения подозрительного приложения воспользуйтесь утилитой для отслеживания и удаления вредоносов. Следите за вашей веб-камерой Веб-камера предназначена для отслеживания окружающего пространства, но и сама также нуждается в присмотре. В случае любой подозрительной активности сразу же нужно проверить, не взломано ли ваше устройство. Теперь вы знаете, на что обращать внимание, чтобы вовремя обнаружить и разобраться с этой проблемой. В крайнем случае, если вы до конца не уверены, что устройство не находится под внешним управлением и не заражено вирусами, можно рассмотреть вариант с покупкой новой низкобюджетной веб-камеры.

Эксперты в области кибербезопасности неоднократно отмечали, что «русские хакеры» являются одними из самых передовых в мире. Теперь специалисты CrowdStrike подтвердили это, подсчитав с точностью до секунды, сколько времени требуется на взлом киберпреступникам из разных стран. Как сообщается в отчете CrowdStrike, по скорости взлома русские превосходят иранцев, северокорейцев и китайцев, которые также попали в список самых высококвалифицированных хакеров. Под скоростью взлома исследователи подразумевают время между проникновением киберпреступников в сеть и началом похищения данных. Скорость взлома имеет огромное значение для успеха мероприятия, поскольку современные технологи позволяют обнаруживать и отражать кибератаки быстрее, чем когда-либо раньше. Чем быстрее злоумышленник проникнет в сеть, тем больше времени будет у него на похищение данных до обнаружения атаки. Для определения скорости взлома исследователи проанализировали 30 тыс. кибератак, осуществленных в 2018 году. По подсчетам исследователей, от получения доступа к атакуемой сети и до распространения по ней российским киберпреступникам требуется всего 18 минут и 49 секунд – почти в восемь раз меньше, чем северокорейцам, занимающим второе место по скорости взлома. На третьем месте оказались китайцы, которым на взлом требуется 4-5 часов – в два раза больше времени, чем северокорейцам.

Судя по отсутствию требования о выкупе, целью атаки являлось именно уничтожение данных. Неизвестные киберпреступники взломали расположенные в США серверы почтового провайдера VFEmail и удалили все хранящиеся на них данные пользователей. В результате атаки, произошедшей 11 февраля, были отключены почтовый клиент и web-сайт компании. По словам представителей сервиса, атакующие отформатировали все диски на каждом сервере, в результате были потеряны все виртуальные машины, резервные копии и файловые серверы. При этом злоумышленники не оставили требование о выкупе. Судя по всему, целью атаки являлось именно уничтожение данных. «Да, VFEmail практически уничтожен и вряд ли будет восстановлен. Никогда не думал, что кого-то будет волновать мой труд настолько, что они захотят полностью и тщательно уничтожить его», - написал в Twitter основатель VFEmail Рик Ромеро (Rick Romero). В настоящее время сотрудники компании пытаются восстановить работу сервиса. Согласно сообщению на главной странице официального сайта, отправка писем частично работает, однако все данные американских пользователей уничтожены и восстановить их, скорее всего, не удастся. Официальные сайт компании возобновил работу, однако вторичные домены все еще отключены, также не работают спам-фильтры. Как отметил Ромеро, пострадавшие части инфраструктуры были защищены разными паролями. Для их компрометации были использованы по меньшей мере три различных метода. На данный момент мотивы атаки неясны. Вполне возможно, взлом был осуществлен по причине личной мести.