• Осеннее обострение: как хакеры из RTM устроили масштабную атаку на банки и предприятия от лица госучреждений

      image


      Этой осенью Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей.

      Текст: Семен Рогачев, младший специалист по анализу вредоносного кода Group-IB
      Читать дальше →
    • Вебинар Group-IB: «Криминалистическое исследование RDP артефактов в Windows»



        Специалисты Лаборатории компьютерной криминалистики Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар об исследовании RDP артефактов в Windows. Вебинар начнется 27-го ноября 2018 года в 11:00 (мск), проведет встречу Александр Иванов, ведущий эксперт Group-IB по компьютерной криминалистике.

        Читать дальше →
      • Спецкурс Group-IB: “Безопасность мобильных приложений”

        • Tutorial
        image

        Всем привет!

        Специалисты Group-IB, одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, подготовили осенний двухмесячный курс про уязвимости мобильных приложений. Мы приглашаем всех, кто интересуется информационной безопасностью мобильных технологий, подать заявку на обучение.

        Курс стартует 4 октября 2018 года. Прием заявок до 15 сентября.
        Читать дальше →
      • Деньги на ветер: почему ваш антифишинг не детектирует фишинговые сайты и как Data Science заставит его работать?

          image

          В последнее время фишинг является наиболее простым и популярным у киберпреступников способом кражи денег или информации. За примерами далеко ходить не нужно. В прошлом году ведущие российские предприятия столкнулись с беспрецедентной по масштабу атакой — злоумышленники массово регистрировали фейковые ресурсы, точные копии сайтов производителей удобрений и нефтехимии, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей, не говоря уже про репутационный ущерб, который понесли компании. В этой статье мы поговорим о том, как эффективно детектировать фишинговые сайты с помощью анализа ресурсов (изображений CSS, JS и т.д.), а не HTML, и как специалист по Data Science может решить эти задачи.
          Читать дальше →
        • Наследник Zeus: чем опасен троян IcedID для клиентов банков

            Эксперты Group-IB проанализировали троян, атакующий клиентов банков США, и выложили в публичный доступ результаты глубокого разбора формата динамических конфигурационных данных с Python-скриптами и информацию по CnC-серверам.

            image

            В ноябре 2017 года команда исследователей из IBM X-Force опубликовала отчет по новому трояну — IcedID, который нацелен преимущественно на клиентов американских банков. Бот обладает многими возможностями печально известного вредоносного ПО Zeus, в том числе: загружает и запускает модули, собирает и передает на сервер аутентификационные данные, информацию о зараженном устройстве, осуществляет атаку man-in-the-browser (MITB). Несмотря на то, что по своим функциональным возможностям новый троян оказался похож на другие популярные банкеры — Trickbot, GOZI, Dridex, активно атакующие клиентов банков, IcedID использует нестандартный бинарный формат хранения конфигурационных данных. Другой отличительной особенностью этого вредоносного ПО является возможность развертывания прокси-сервера прямо на зараженной машине для проведения атаки MITB.
            Читать дальше →
            • +16
            • 2,8k
            • 6
          • Схемы хищений в системах ДБО и пять уровней противодействия им

              image

              В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту.

              Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем мобильного
              банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн-услуги и покупки в интернет-магазинах.

              Заинтересовавшись возможностями финансового агрегатора, клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины/пароли для входа в интернет-банк на сервер злоумышленникам. После этого преступники переводили деньги на заранее подготовленные банковские счета суммами от 12 000 до 30 000 руб. за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников, — все SMS-подтверждения транзакций блокировались.
              Читать дальше →
            • Веста Матвеева: борьба с киберпреступностью – это моральный выбор

                Знакомьтесь: Веста Матвеева – эксперт в области информационной безопасности Group-IB.

                Специализация: расследование киберпреступлений.

                Чем известна: Веста регулярно участвует не только в расследованиях, но и в задержаниях, допросах и обысках участников хакерских групп. За 6 лет провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследований Group-IB, успешно раскрыла несколько дел и продолжает работать в этом направлении.
                Читать дальше →
              • Когда хакеры быстрее антивирусов

                  FinCERT, структурное подразделение ЦБ по информбезопасности, в своем свежем отчете назвал группу Cobalt главной угрозой для банков, а ее атаки — основным трендом. Cobalt, действительно, сейчас одна из самых активных и агрессивных преступных групп. За год — подсчитали эксперты — она совершила не менее 50 успешных атак по всему миру, постоянно тестируя новые инструменты, изменяя векторы атак и цели. Помимо бесконтактных атак на банкоматы, Cobalt старается получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. В этой статье мы покажем, почему традиционные средства защиты не могут спасти от хакерских атак подобных групп. И что делать, чтобы защитить свой бизнес от финансовых и репутационных потерь.
                  Читать дальше →
                • По следам CyberCrimeCon 2017: Тенденции и развитие высокотехнологичной преступности

                    Десятого октября в Москве прошла ежегодная конференция Group-IB CyberCrimeCon 2017. В этом году эксперты отрасли — специалисты по кибербезопасности из банковской сферы, Интерпола, полиции Европы — обсуждали новые цели хакеров, говорили об эволюции атак и изучали практические кейсы.

                    На конференции мы также представили свой отчет о трендах киберугроз для финансового сектора. Сегодняшний пост — это резюме того, о чем мы говорили: о тенденциях развития преступлений в области высоких технологий.

                    Читать дальше →
                    • +16
                    • 8,6k
                    • 2
                  • По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB

                      image

                      В июле 2016 года работа First Bank, одного из крупнейших банков Тайваня, была парализована. Банк столкнулся с масштабной атакой: люди в масках одновременно опустошили три десятка банкоматов на $2 млн. Полиция терялась в догадках: на корпусах банкоматов не было ни следов взлома, ни накладных устройств — скиммеров. Злоумышленники даже не использовали банковские карты.

                      Как все происходило, зафиксировали видеокамеры: люди в масках подходили к банкоматам, звонили по мобильному — банкомат выдавал деньги, преступники складывали их в рюкзаки и убегали. После такого масштабного налета восемь крупнейших банков страны приостановили выдачу наличных в 900 банкоматах.

                      То, с чем столкнулся First Bank, называется логической атакой. Ее суть в том, что киберпреступники получают доступ к локальной сети банка и из нее устанавливают полный контроль над банкоматами. Удаленно они получают команду на выдачу денег. Сообщники взломщиков — “мулы” — забирают деньги и передают их организаторам атаки. Таким образом Cobalt — самая активная и опасная преступная группа — меньше чем за год атаковала банки в двух десятках стран мира.
                      Читать дальше →
                    • Как крадут деньги, которых нет. Или кое-что новенькое о криптовалютах

                        Привет, Хабр!

                        Безусловно, ты знаешь о криптовалютах очень много, но сегодня мы принесли тебе кое-что новенькое: исследование вредоноса, созданного для кражи кошельков 80 криптовалют, включая биткойн вместе со всеми реквизитами доступа к ним.

                        Обнаружили мы его в ходе программы непрерывного мониторинга безопасности сети Интернет и тут же разобрали на запчасти несколько семплов вредоноса. Таких комбайнов по автоматизированному уводу криптокошельков у владельцев пока мало, но будет больше, мы уверены.

                        Ниже мы расскажем о том, как вредонос работает, и как не оказаться в группе риска. И конечно ещё раз просуммируем информацию о самих криптомонетах и их родственниках.

                        Кстати, финансовые регуляторы считают биткойн и всех его друзей валютными суррогатами, и мы ни в коем случае не пропагандируем их использование, а наоборот, призываем пользоваться фиатными деньгами как надёжным и стабильным платёжным инструментом. (Тут мог бы быть смайл)
                        Читать дальше →
                      • Технический отчет о деятельности преступной группы, занимающейся целевыми атаками — Anunak

                          Во второй половине 2014 года мы уже неоднократно упоминали про целевые атаки на крупные финансовые учреждения как новую ступень мошенничества. Ведь теперь денежные средства похищают не у «мелких юрлиц», а у крупных финансовых компаний, в которых, казалось бы безопасность должна быть на высшем уровне и сложность совершения преступления приближается к «Hell». Однако, учитывая не стихающий поток подобных преступлений, а также особую актуальность на фоне текущего финансового состояния страны, мы решили обновить пост и добавить новых подробностей касательно группы Anunak, которая использует одноименного трояна, также известного как Carbanak. Название Carbanak происходит от склейки двух слов Anunak+Carberp.

                          Краткий экскурс


                          После задержаний членов группы Carberp в России, некоторые участники остались без работы, однако, полученный за долгие годы работы опыт позволил им занять новую нишу. Один из участников быстро понял, что можно украсть тысячу раз по $2 000 и заработать 2 миллиона долларов, а можно украсть всего лишь один раз и сразу всю сумму.

                          С 2013г. активизировалась организованная преступная группа, нацеленная на банки и электронные платежные системы России и пост советского пространства. Особенностью является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом денежные средства похищаются не у клиентов, а у самих банков и платежных систем. Если доступ был получен злоумышленниками в сеть государственного предприятия, то целью злоумышленников является промышленный шпионаж.

                          Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии.
                          Читать дальше →
                        • Антифишинг.ру — глобальная база мошеннических Интернет-ресурсов

                            Компанией Group-IB запущен новый проект, направленный на борьбу с мошенническими ресурсами (фишинг) в Интернете, — Antiphishing.ru.



                            Проект курируется и поддерживается CERT Group-IB (CERT-GIB) при активном участии следующих компаний: Яндекс, WOT, Mail.ru, Hosting Community, Координационный центр национального домена, RU-Center.
                            • –3
                            • 6,3k
                            • 9
                          • Реагирование на инциденты в системах интернет-банкинга — инструкция от Group-IB

                            • Tutorial
                            Инструкция предназначена для повышения осведомленности сотрудников корпоративных служб информационной безопасности при реагировании на случаи хищений денежных средств с использованием систем интернет-банкинга. Она была подготовлена на основе обобщенной практики реагирования компьютерных криминалистов Group-IB на случаи мошенничества при компрометации реквизитов систем дистанционного банковского обслуживания.

                            В инструкции подробно указываются причины и признаки инцидентов, пошагово расписываются технические и организационные мероприятия, отдельное внимание уделяется вопросам предупреждения хищений.

                            image

                            Документ сопровождается подробными иллюстрированными приложениями. Этот материал создавался с учетом существующих юридических норм и признанных экспертных рекомендаций и может использоваться для разработки внутренних нормативных документов.
                            Читать дальше →
                            • +10
                            • 10,3k
                            • 8
                          • Выделение паролей в MAC OS X — эволюция malware?

                              Финский исследователь Juuso Salonen опубликовал специальную утилиту (http://juusosalonen.com/post/30923743427/breaking-into-the-os-x-keychain), назначение которой заключается в выделении паролей из подсистемы управления парольной информации Keychain. Keychaindump уже привлекала внимание исследователей, которые убеждены, что подобный подход можно успешно использовать при разработке вредоносного кода под MAC OS X.
                              Впервые, она была представлена в MAC OS 8.6. Keychain хранит различные типы парольной информации (формы к WEB-сайтам, FTP, SSH-аккаунты, доступ к сетевым «шарам», беспроводным сетям, цифровые сертификаты).

                              Файлы Keychain хранятся в ~/Library/Keychains/, /Library/Keychains/, и /Network/Library/Keychains/ соответственно. «login», файл Keychain по-умолчанию, автоматически снимает блокировку сразу же после успешного логина пользователя в систему со своим пользовательским паролем. Тем не менее, реальный пароль к нему может и не отличаться от того, что используется пользователем. При этом не разрешено устанавливать нулевой пароль, автоматическая блокировка осуществляется с течением времени при длительном простое системы.

                              image
                              image

                              Как только пользователь разлочил keychain, пароль превращается в 24-байтовй «master key» и хранится в сегменте памти процесса «securityd». Путем отдельного исследования, была выявлена конкретная хранимая структура в области памяти, которая указывает на «master key». Она содержит поле размером в 8 байт с соответствующим значением «0x18» (24 в HEX'е).
                              Читать дальше →
                            • NIST принимает стандарт для защиты BIOS

                                Национальный институт США по стандартам и технологиям (NIST) обратил внимание на безопасность системы BIOS, с целью защитить её от заражения вирусами, такими как Mebromi и Niwa!mem. Тема довольно специфическая: к настоящему времени существует несколько таких вредоносных программ, в методиках внедрения зловредов в BIOS разбираются считанные специалисты антивирусных компаний. Тем неожиданнее выглядит подобная инициатива со стороны государственной американской организации. Вероятно, эта проблема их сильно тревожит в свете угрозы тотального заражения BIOS на компьютерах, собранных в Китае.



                                Так или иначе, но NIST предложил новые правила безопасности для BIOS на серверах (черновик стандарта, pdf). Ранее они уже выпустили аналогичный стандарт для защиты BIOS на настольных компьютерах (pdf).

                                Новый документ представляет собой руководство для производителей серверного оборудования и серверных администраторов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.
                                Читать дальше →
                              • Исследование вредоносной интернет-активности: Россия снова в лидерах

                                  Group-IB — российский лидер рынка расследования компьютерных преступлений — совместно с сообществом HostExploit представляет очередной отчет Топ 50 «Самые плохие сети и хосты» по итогам II квартала 2012 года. На этот раз отечественные провайдеры значительно ухудшили свои позиции в данном рейтинге. Это напрямую отразилось на положении России в общем зачете стран, в котором она оказалась на верхней строчке.

                                  Во II квартале 2012 года произошло возвращение на первое место общего рейтинга российского хоста WEBALTA, который уже возглавлял список в начале 2011 года. Индекс HE «победителя» составил 214,67. Данная автономная система перепрыгнула с четвертой позиции на первую из-за высокой концентрации вредоносных программ и иных угроз, включая XSS-атаки и RFI. Напомним, что в прошлом году WEBALTA уже находилась на верхней строчке благодаря наличию огромного количества эксплойт-серверов и серверов Zeus.



                                  Необходимо отметить, что автономные системы, зарегистрированные в России, продолжают ухудшать свое положение. Если в I квартале 2012 года в списке Топ 50 они занимали пять позиций, то в этот раз — уже девять, в том числе первое и второе место общего рейтинга. Российские хосты являются также лидерами в категориях «C&C-серверы» и «Фишинг-серверы». К сожалению, следствием данной тенденции стало ухудшение общего рейтинга России. В зачете стран Российская Федерация с индексом 359,3 «завоевала» верхнюю строчку, опередив Люксембург, Латвию и Украину. Такое положение дел показывает, что, несмотря на успехи масштабных операций против киберпреступных групп, состоящих в так называемом клубе Carberp, предстоит провести еще много работы по очищению зарегистрированных в России систем.
                                  Читать дальше →
                                • Silent Code — в августе мир увидит комплексную систему защиты переговоров для мобильных устройств

                                    В настоящий момент каждому желающему предоставляется возможность бесплатного тестирования Silent Circle, для этого нужно просто отправить заявку с указанием адреса электронной почты. Проект разрабатывался около 7-ми лет.

                                    image

                                    Идеологами проекта являются:
                                    — Phil Zimmermann (создатель PGP);
                                    — Mike Janke (в прошлом — снайпер подразделения «морские котики» ВМС США);
                                    — Vic Hyder (командир подразделения морской пехоты ВМС США);
                                    — Jon Callas (сооснователь PGP Corporation, технический директор Entrust).

                                    Возможности приложения будут позволять организовать шифрования голосовой, видео и текстовой информации (электронная почта, SMS, средства IM и др.). Приложение адаптировано ко всем современным мобильным платформам, включая Android и Apple iOS. Одной из наиболее интересных функций Silent Code является организация защищенной видеоконференции.

                                    Изначально идея была связана с применением подобных технологий на службе военных, когда солдатам необходимо связаться со своими семьями и близкими, при этом обеспечив надежность и безопасность переговоров. Правительство США обеспокоено появлением подобного приложения в отношении простых смертных, в первую очередь по причине того, что использование Silent Code осложнит возможность перехвата данных в целях оперативно-розыскных мероприятий, что определено Communications Assistance for Law Enforcement Act (CALEA).
                                    Читать дальше →
                                  • Прогнозирование событий и Data Mining — вперед в будущее



                                      В Сети появился интересный сервис мониторинга информации по открытым источникам — Recorded Future.

                                      Он позволяет аккумулировать информацию из более чем 150 000 различных СМИ с возможностью хранения архива до 5 лет с возможностью последующего анализа и извлечения знаний о возможных последствиях произошедшего и будущих событиях.

                                      Автором сервиса является Chris Holden, любезно предложивший нам воспользоваться Recorded Future без внесения оплаты, хотя полный функционал доступен только на коммерческой основе.

                                      Например, сейчас сервис осуществляет непрерывный мониторинг более 8 000 политических лидеров различных государств мира, позволяя отслеживать куда и зачем поедет какой-либо известный деятель. Порой, хорошая аналитика этих событий позволяет установить взаимосвязи в международных отношениях и спрогнозировать наиболее вероятные модели их развития путем анализа истории путешествий выбранного деятеля.

                                      Наиболее интересные кейсы, демонстрирующие возможности системы, отражены на следующих прикладных примерах:

                                      отслеживание возникающих киберугроз и действий хакеров в мире
                                      анализ содержимого писем из круга приближенных Усамы Бин-Ладена
                                      анализ протестной активности
                                      анализ выборов в Греции и Египте
                                      Читать дальше →
                                    • Checkpoint Abra — бреши в «доверенных» флэшках

                                        На рынке ИБ появляются все новые и новые средства защиты конечного клиента (ДБО, ERP/SAP и так далее). Кроме ценовой политики, совсем немногие из нас сталкивались с анализом эффективности защиты, которую они могут реально обеспечить.

                                        Group-IB - уязвимость в Checkpoint Abra

                                        Специалистами компании Group-IB было проведено исследование по анализу возможных брешей продукта Checkpoint Abra, который представляет из себя специально сконфигурированный отделяемый носитель, позволяющий организовать защищенное виртуальное рабочее место на любом компьютере, к которому он подключается.

                                        Читать дальше →

                                      Самое читаемое