Как видно из последних новостей, приложения-вымогатели продолжают набирать обороты и становятся всё опаснее. Злоумышленники переходят на всё более сложные формы криптографических программ и проводят целенаправленные атаки. Угрозу со стороны вымогателей показывает лаборатория Касперского в новом докладе, однако в нём есть и позитивные моменты. Исследователи считают, что конкуренция между авторами вымогателей заставит некоторые из них сойти со сцены.

Киберпреступники получают значительные прибыли благодаря вымогателям, которые варьируются от сотен до тысяч долларов. Многие используют рассылку по электронной почте, не выбирая жертв. Другие хакеры целенаправленно нацеливаются на сети предприятий, создавая под них фишинговые электронные письма и требуя значительно больший выкуп. К их числу относятся и авторы вымогателя PetrWrap, который на этой неделе попал в поле зрения СМИ.

При всей опасности вымогатели ещё не достигли пика и хакеры ищут пути их распространения в новых странах. Уже существуют варианты вымогателей с возможностью динамического изменения требований в записке в зависимости от местоположения жертвы. Это должно увеличить шанс получения выкупа.

Растущая популярность вымогателей в виде сервиса позволяет пользователям без технических знаний купить подписку в обмен на процент от прибыли. Это может значительно увеличить число злоумышленников и вымогателей. Одновременно растёт сложность и разнообразие приложений.

Лаборатория Касперского видит спасение в совместной работе специалистов и правоохранительных органов. В частности, компания является одним из основателей проекта No More Ransom. Он в прошлом июле был запущен совместно с Intel Security, полицией Нидерландов и Европолом. Здесь пострадавшие могут получить ключи для бесплатной расшифровки файлов, если определённое семейство вымогателей было взломано. Также здесь предоставляется информация о том, как избежать инфицирования.

В последние несколько месяцев компания Google регулярно обнаруживает и оглашает уязвимости программного обеспечения других компаний, особенно Microsoft. В мае компания нашла в Windows вопиющую уязвимость, в ноябре прошлого года обнародовала потенциальный эксплоит в операционной системе через 10 дней после того, как сообщила о нём в Microsoft. Были и другие подобные инциденты.

На этой неделе их стало на один больше, поскольку Google обнародовала уязвимость безопасности Windows, которая позволяет получить доступ к памяти ядра. О ней было сообщено в марте 2017 года в рамках программы Google Project Zero. В программе говорится об уязвимостях в программном обеспечении различных компаний, в том числе самой Google. Уязвимость была закрыта во вторничных патчах за июнь, Microsoft попросила продлить стандартный срок в 90 дней, после которых Google публикует информацию. Однако Google утверждает, что баг не был исправлен корректно, Microsoft это подтвердила.

Системный вызов nt!NtNotifyChangeDirectoryFile позволяет в режиме пользователя просматривать и получать доступ к неинициализированной области памяти. Google утверждает, что постоянная активация уязвимости позволяет при выполнении локального входа в систему прочитать другие участки адресного пространства ядра.

Microsoft сообщила о возможности использования этой уязвимости на операционных системах от Windows 7 до Windows 10. Патч ожидается в следующем месяце или в августе, пока же уязвимости присвоена средняя степень тяжести.

Крупная атака приложения-вымогателя проводится на этой неделе на европейские организации, напоминая о неприятностях начала мая в виде атаки WannaCry. Больше других пострадала Украина, в том числе Центральный банк, метро и Киевский аэропорт. Затронута и энергетическая компания Укрэнерго, хотя на поставки электричества потребителям это не повлияло.

О проблемах сообщает работающая в сфере доставок датская компания Maersk, есть пострадавшие во Франции и Великобритании. В России затронуты компьютеры компании Роснефть, хотя степень поражения неизвестна. Специалисты лаборатории Касперского определили вирус как Petrwrap, что относит его к семейству приложений-вымогателей Petya, о котором мы сообщали в прошлом году. Один из обнаруженных образцов кода был скомпилирован 18 июня, так что он занимается инфицированием компьютеров уже больше недели. Несмотря на это, сканер VirusTotal показывает, что эту версию вымогателя способны определить всего 4 антивируса из 61.

Метод распространения вымогателя пока неизвестен. Некоторые утверждают, что используется тот же самый эксплоит EternalBlue, который задействовал вымогатель WannaCry, но с этим согласны не все исследователи. Данный эксплоит был опубликован в апреле хакерской группой Shadow Brokers, его автором является Агентство Национальной Безопасности США, используется протокол Windows SMB. Microsoft уже закрыла эту уязвимость во всех версиях Windows, включая Windows XP, однако далеко не все пользователи и организации регулярно ставят последние обновления. Эта уязвимость задействует не только вымогателей, но и вирусы, которые превращают инфицированные компьютеры в криптомайнеры.

В данном случае Petrwrap является простым приложением-вымогателем. Файлы на компьютерах шифруются, размер выкупа в биткоинах составляет $300. На кошелек уже зафиксировано восемь денежных переводов, сумма которых составляет около $2300. Пока неизвестно, были возвращены файлы после получения выкупа или нет. Источник атаки также остаётся неизвестным.

Новая уязвимость была обнаружена в программном продукте Microsoft, на этот раз в Windows-версии коммуникационного приложения Skype. Напомним, на этой неделе стало известно о другой уязвимости, в антивирусе Защитник Windows.

Обнаружил проблему специалист компании Vulnerability Lab Бенджамин Кунц Мехри. Ошибка переполнения буфера известна под номером CVE-2017-9948 в Skype 7.2, 7.35 и 7.36. Использование этой уязвимости не требует взаимодействия со стороны пользователей, атакующий может заставить приложение аварийно закрыться или даже выполнить вредоносный код в системе с одной из этих версий Skype.

Баг обнаружен в библиотеке MSFTEDIT.DLL, его можно использовать при помощи копирования вредоносного файла изображения в буфер обмена и вставки в окно диалога Skype. Изображение хранится на локальной и удаленной системах, происходит ошибка переполнения буфера, падение приложения и открывается дверь перед применением дополнительных эксплоитов.

Для проведения успешной атаки не обязательно выполнять её вручную. Злоумышленники могут подготовить кеш и буфер обмена заранее, права администратора также не требуются. Microsoft ещё 8 июня выпустила патч для версии Skype 7.37.178, установить его рекомендуется как можно скорее. До сих пор сообщений об успешных атаках посредством этой уязвимости не поступало. Уязвимость была опубликована только 26 июня, поэтому теперь о её существовании известно значительно большему числу хакеров. В Skype на других операционных системах подобной уязвимости нет.

Европейская комиссия на протяжении семи лет расследовала действия компании Google в связи с обвинениями в нарушении антимонопольных принципов. Результатом во вторник стал крупнейший штраф.

Google оштрафована на 2,42 млрд. евро за нарушение антимонопольного законодательства Евросоюза, говорится в пресс-релизе. Google злоупотребляла своим доминирующим положением на рынке поисковых движков и давала преимущество другому продукту Google, сервису сравнения магазинов.

Евросоюз требует от Google прекратить подобную практику в течение следующих 90 дней или компания будет оштрафована максимум на 5% средней ежедневной выручки корпорации Alphabet, в состав которой входит Google.

Этот штраф стал новым рекордом, который пришёл на смену предыдущему. В 2009 году компания Intel за нарушение антимонопольного законодательства была оштрафована на сумму 1,1 млрд. евро. Еврокомиссия имеет право накладывать штрафы в размере максимум 10% ежегодных доходов компаний по всему миру, что для Google по итогам 2016 года составляет около $9 млрд. Неизвестно, стоит Google расстраиваться или радоваться тому, что штраф не был в два раза больше.

На этом отношения Еврокомиссии и Google не заканчиваются. В рамках отдельного разбирательства в апреле 2016 Еврокомиссия обвинила Google в злоупотреблении доминирующим положением операционной системы Android в Европе. В этом деле решение пока не объявлено, но крупный штраф вполне вероятен и в данном случае.

Есть у Google и третье антимонопольное разбирательство Еврокомиссии, где её обвиняют в злоупотреблении доминирующим положением на рынке сетевой рекламы.