Инциденты

Предварительные итоги эпидемии червя Santy

Сегодня утром было обьявлено о том, что поисковая система Google ввела блокировку поисковых запросов создаваемых червем Santy. Это было сделано как попытка остановить эпидемию. Я думаю, что это недостаточно полное решение проблемы. Что может помешать автору червя — запустить в сеть новую версию, которая будет использовать для поиска новых жертв, не Google, а любой другой поисковый сервер? Например, MSN или Yahoo?

Еще более тревожным является тот факт, что ночью нами был обнаружен новый вариант Santy. Возможно, что код червя попал в руки «script kiddies», которые будут вносить в него различные изменения — как это было, например, в случае с Lovesan. Мы все помним, что настоящий автор Lovesan так и не был арестован, зато были арестованы несколько «со-авторов», которые просто изменили текстовые строки в оригинальном файле червя.

Крайне сложно оценить реальное число сайтов, которые были заражены червем за последние 24 часа. Поисковые системы сообщают только о числе страниц, на которых были обнаружены тексты, создаваемые червем. Многие из сайтов были оперативно вылечены системными администраторами или просто временно отключены. По весьма предварительным оценкам, которые я пытался сделать — заражено червем могло быть несколько сотен сайтов по всему миру. Возможно, что в действительности счет шел на тысячи.

P.S. Максимальное число генераций червя, обнаруженное нами, составляет 24.

Предварительные итоги эпидемии червя Santy

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике