-
Похожий контент
-
Автор KL FC Bot
Система управления контентом WordPress используется на 43,5% сайтов в Интернете, поэтому нет ничего удивительного в том, что злоумышленники постоянно ищут способы атаки на нее. В марте этого года исследователи кибербезопасности хостинговой компании GoDaddy описали продолжающуюся с 2016 года операцию, в рамках которой за последние 8 лет было скомпрометировано более 20 000 веб-сайтов на WordPress по всему миру.
Операция получила название DollyWay World Domination из-за строки кода, найденной в нескольких вариантах вредоносного ПО, — define (‘DOLLY_WAY’, ‘World Domination’). В рамках DollyWay злоумышленники внедряют на сайты вредоносные скрипты с разнообразной функциональностью. Основная цель злоумышленников — перенаправление трафика посетителей легитимных сайтов на посторонние страницы. По состоянию на февраль 2025 года эксперты фиксировали более 10 тысяч зараженных WordPress-сайтов по всему миру.
Для компрометации сайтов злоумышленники используют уязвимости в плагинах и темах WordPress. Через них на сайт сначала внедряется
нейтральный скрипт, не привлекающий внимание систем безопасности, выполняющих статический анализ HTML-кода. А он, в свою очередь, подгружает более опасные скрипты, которые служат для профилирования жертвы, общения с командными серверами и непосредственно перенаправления посетителей зараженных сайтов. Более подробное техническое описание работы этих скриптов можно почитать в оригинальном исследовании.
Как преступники монетизируют свою схему
Ссылки редиректа, которые формирует DollyWay, содержат партнерский идентификатор. Это очень похоже на реферальные программы, которые часто используют, например, блогеры при рекламе тех или иных продуктов или сервисов. С помощью таких идентификаторов сайты определяют, откуда к ним попали пользователи, и обычно отчисляют блогерам процент за покупки тех посетителей, которые пришли через их ссылки. Операция DollyWay World Domination монетизируется очень похожим образом, используя партнерские программы VexTrio и Lospollos.
VexTrio называют Uber в мире киберпреступности. Этот ресурс предположительно активен как минимум с 2017 года, а его основная роль состоит в посредничестве при распространении мошеннического контента, шпионского и вредоносного ПО, порнографии и так далее. Именно VexTrio непосредственно занимается перенаправлением трафика, который приходит от DollyWay, на мошеннические сайты.
View the full article
-
Автор mistorwar
Основным симптомом наличия вируса стало постоянное открытие Chrome браузера с фишинговыми сайтами (клоны вк, whatsapp и почему-то bongacams). От T-Cashback вроде бы получилось избавиться, он больше не появляется в браузере, скорее всего заслуга CureIt. Изначально он находил 3 угроз, теперь только 2. chrome.exe c DPC:MALWARE.URL и hosts возможно HOSTS:SUSPICIOUS.URL. Но вот от них он избавиться не способен, hosts он умудряется "вылечить", но chrome.exe не может и при перезагрузке они снова появляются при проверке. Пока смогу прикрепить только отчет FRST, завтра при необходимости загружу Autologger.
Addition.txtFRST.txt
Ещё была такая особенность, что при уходе машины в спящий режим ПК отключался от интернета и очень неохотно подключался обратно, помогала только перезагрузка.
-
Автор KL FC Bot
12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
Низкое качество расшифровщиков
Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
View the full article
-
Автор KL FC Bot
В конце марта обновилась популярная шпаргалка по приоритетам ИБ-команды, CISO MindMap. Но экономическая реальность начала меняться спустя буквально пару дней после публикации, и теперь, с учетом высоких шансов экономической нестабильности, рецессии, падения цен на нефть и удорожания чипов, у многих компаний и их CISO на повестке дня может возникнуть болезненный вопрос — оптимизация расходов. С учетом этого мы решили взглянуть на CISO MindMap немного иными глазами и выделить те новые или важные ИБ-проекты, которые могут внести вклад в экономию бюджета, не создавая избыточных рисков для организации.
Рационализация инструментов
Приоритетом CISO будет «консолидация и рационализация инструментов ИБ». В данный момент в половине крупных организаций используется более 40 инструментов ИБ, в четверти — более 60. Как правило, такое изобилие ведет к потере продуктивности, утомлению сотрудников от несинхронизированных и неконсолидированных оповещений, а также к избыточным тратам на оплату всех этих инструментов.
Решение этой проблемы — либо консолидация технологического стека в рамках моновендорного подхода (один поставщик платформы ИБ и всех ее компонентов), либо выбор лучшего инструмента в каждой категории. Во втором случае на инструменты накладываются жесткие требования по открытым стандартам коммуникации и возможностям API-интеграции. Второй подход лучше подходит технологически зрелым командам, которые могут выделить внутренние ресурсы (прежде всего время) на то, чтобы корректно и эффективно наладить интеграцию согласно принятым в отделе ИБ процедурам.
View the full article
-
Автор a.n.d.r.e.w
Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
Друзья, прошу помощи. Готов заплатить за работу!
P.S. Во вложении несколько архивов
xls, jpeg -в каждом два файла оригинал + шифрованный
pic - скриншоты
htr - требования
RFST - отчет Farbar Recovery Scan Tool
(местонахождение вируса выяснить не смог)
htr.rar jpeg.rar pic.rar RFST.rar xls.rar
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти