Автоматизированная система защиты электронной почты Business Email Protection компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, зафиксировала 10 мая масштабную почтовую рассылку и заблокировала более 600 вредоносных писем, распространяемых под видом мобилизационных повесток. Вредоносные письма были направлены российским компаниям (в том числе HR-специалистам и секретарям) якобы от имени Главного Управления Военного Комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil[.]ru.

В отправленных письмах говорится о том, что получатели должны явиться 11 мая к 8.00 в военный комиссариат для уточнения данных. Оригинал электронной повестки (мобилизационного предписания) находится якобы в приложении к письму.

На самом деле перехваченные вредоносные письма содержат zip-архивы с именами "Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip" и exe-файлом внутри. При автоматическом анализе системой Business Email Protection exe-файлы были атрибутированы как троян удаленного доступа DarkWatchman RAT. Ранее он был замечен в кампаниях финансово-мотивированной группы Hive0117 и использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки.

Специалисты компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, зафиксировали в первые дни мая масштабную почтовую рассылку — более 300 писем — от имени крупнейшего в стране поставщика электрооборудования. Для подмены адреса отправителя злоумышленники использовали популярную технику спуфинга. На «борту» писем находился стилер Loki , предназначенный для кражи учетных данных жертвы.

Эксперты компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, назвали спуфинг — технику подмены адреса отправителя — самой популярной для атак с отправкой вредоносных писем с целью заражения компьютера пользователя в первом квартале 2023 года. Чаще всего «на борту» опасных рассылок находились стилеры и программы-шпионы.

Спуфинг использовался при точечных атаках на российские благотворительные фонды в 2020-2021 гг., когда сотрудники получили поддельные письма от руководства с просьбой перевести средства на указанные реквизиты. За прошедший год спуфинг был замечен в рассылках по российским компаниям шпионского ПО и стилеров — вредоносных программ для кражи данных (логины-пароли, данные банковских карт и криптокошельков) с зараженных компьютеров и смартфонов пользователей. В некоторых случаях злоумышленники подставляли в поле «отправитель» почтовые адреса компаний, в которых работали получатели.

В рамках дальнейшей диверсификации бизнеса российские активы Group-IB, одной из ведущих международных компаний по кибербезопасности, выкуплены локальными акционерами и топ-менеджментом. Новые владельцы сохранили все контракты с российскими клиентами, а также продукты, технологии и сервисы, разработанные в стране. Развитие бизнеса продолжится под новым брендом — F.A.С.С.T. В дальнейшем Group-IB будет представлена только на международном рынке.

F.A.С.С.T. (расшифровывается как Fight Against Cybercrime Technologies), российский разработчик технологий для борьбы с киберпреступлениями, продолжает оказывать услуги кибербезопасности в прежнем объеме и создавать высокотехнологичные решения для предотвращения кибератак, выявления мошенничества, исследования киберпреступлений и защиты интеллектуальной собственности в сети. Главой F.A.С.С.T. назначен один из самых опытных и успешных топ-менеджеров Валерий Баулин, ранее занимавший позицию регионального директора Group-IB. Он отвечает за стратегию компании в России и СНГ, выход на новые рынки, а также устойчивое финансовое развитие бизнеса.

Эксперты Лаборатории компьютерной криминалистики Group-IB зафиксировали атаки новой группы вымогателей Shadow на крупные российские компании. Группа активна, как минимум, с середины марта этого года. За расшифровку данных злоумышленники требуют от жертвы сумму от $1-2 млн. Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Такая же система взаимодействия с жертвами используется в известных партнерских программах RaaS (Ransomware-as-a-Service).

Специалисты Group-IB Threat Intelligence обнаружили новые сайты, которые преступники используют для атак на российских бухгалтеров, юристов и директоров. По почерку, злоумышленники похожи на известную группу Buhtrap.

Group-IB проанализировала актуальные инструменты и сервисы онлайн-мошенников. В опубликованном исследовании говорится, что автоматизация процессов у скамеров достигла уже 80%, хотя еще 4 года назад не превышала и 20%. Технологии «решают» за злоумышленников задачи по привлечению трафика, генерации фишинговых страниц, рассылке писем и сообщений, а также проверке на валидность данных кредитных карт и криптокошельков жертв.

Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, заблокировала в 2022 году более 59 000 фишинговых сайтов, из них более 7 000 — в российском сегменте интернета, что в два раза больше, чем годом ранее. Мошеннические ресурсы похищали у пользователей из России логины и пароли, данные банковских карт, аккаунты в мессенджерах. Так, в прошлому году прошла волна атак с помощью фишинговых ресурсов на пользователей Telegram.

Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, и издательство «Альпина ПРО» выпустили новую книгу Олега Скулкина, руководителя Лаборатории цифровой криминалистики Group-IB, «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей». Это не только первое в России подробное исследование об истории программ-вымогателей, тактиках и техниках преступных групп, но и детальная пошаговая инструкция для специалистов по цифровой криминалистике, реагированию на инциденты и киберразведке как расследовать и предотвращать подобные атаки.  

Специалисты Group-IB Threat Intelligence впервые раскрыли подробности кибератак на ведущие российские IT-компании летом 2022 года. Среди получателей вредоносной рассылки оказалась и Group-IB, однако система Group-IB Managed XDR обнаружила, и заблокировала подозрительные письма. В новом блоге эксперты Group-IB собрали технические доказательства связи выявленной кибератаки с прогосударственной группой Tonto Team, которую многие исследователи относят к Китаю.

Специалисты Group-IB, одного из мировых лидеров в сфере кибербезопасности, назвали точное число баз данных российских компаний, впервые выложенных в публичный доступ в 2022 году — 311 баз. Для сравнения, в 2021 году их было всего 61. Общее количество строк данных пользователей, содержащихся во всех опубликованных сливах, по оценкам экспертов Group-IB, превысило 1,4 млрд.

Аналитики Group-IB Threat Intelligence подсчитали общее количество баз данных российских компаний, оказавшихся на андеграундных форумах и тематических Telegram-каналах в 2022 году — 311. Наибольшее количество утечек пришлось на лето — 140 баз — это в два раза больше, чем за весь 2021 год, когда в публичном доступе оказалась 61 база. Больше всего объявлений было обнаружено на форумах — 241 база, а в Telegram появились 70 баз. Массовая публикация объявлений в мессенджерах — это тренд 2022 года, раньше подобные случаи были единичными.

26 января стало известно о захвате инфраструктуры и ключей дешифровки вымогателей из группы Hive (англ. "Улей") — на их ресурсе сейчас висит заглушка на английском и русском языках с надписью "Сайт конфискован ФБР".

Именно Hive поставила рекорд 2021 года до сумме требуемого выкупа — $240 млн. от концерна MediaMarkt, крупнейшего европейского ритейлера электроники. Согласно свежему аналитическому отчету «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023», в период с июля 2021 года по июнь 2022 года Hive была третьей по активности бандой вымогателей в мире, разместив информацию о 146 жертвах на своем специальном DLS-сайте, где злоумышленники выкладывают данные атакованных компаний.

Крупнейший распространитель всероссийских государственных лотерей «Столото» и Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, в 2022 году обнаружили и заблокировали 38 470 ресурсов, которые действовали под видом популярных государственных лотерей и нелегально использовали бренд «Столото». Из них 26 636 пришлось на мошеннические сайты, 10 903 — на посты и рассылки в мессенджерах, 817 — на фейковые посты, аккаунты и группы в соцсетях, а еще 110 — на мобильные приложения злоумышленников. 

Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, назвала главные киберриски в новом аналитическом отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». Эксперты компании прогнозируют, что в наступившем году программы-вымогатели останутся киберугрозой номер один для бизнеса, рынок продажи доступов в корпоративные сети продолжит расти, а украденные с помощью стилеров данные станут основным способом доступа в сети атакуемых организаций. Антирекорд 2022 года по числу утечек баз данных российских компаний может быть побит, а целевой фишинг и таргетированные атаки на сотрудников компаний снова будут в тренде.

Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, определила ТОП-10 самых популярных фильмов у интернет-пиратов в уходящем году. Рейтинг возглавила картина «Бэтмен» режиссера Мэтта Ривза. Несмотря на рост интереса российской аудитории к нелегальному контенту, рынок онлайн-флибустьеров продолжил свое падение. По данным Group-IB, количество выявленных пиратских онлайн-ресурсов в 2022 году сократилось в 1,7 раза.

Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, зафиксировала активность банковского Android-трояна Godfather, атакующего пользователей популярных финансовых сервисов. География его жертв охватывает 16 стран мира, а в список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков. Эксперты Threat Intelligence выяснили, что Godfather распространялся через официальный магазин Google Play под видом легальных криптоприложений.

Согласно новому исследованию Group-IB жертвами трояна стали пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу. Предположительно, разработчиками Godfather являются, русскоязычные злоумышленники.

Компания Group-IB обнаружила 34 киберпреступные группы, которые распространяют вредоносные программы — стилеры. Русскоговорящие злоумышленники использовали их для кражи паролей игровых аккаунтов в Steam и Roblox, ”учеток” от торговой площадки Amazon и платежной системы PayPal, а также данных банковских карт и криптокошельков. Общей чертой групп является координация через телеграм-ботов на русском языке, однако атакуют они преимущественно иностранных пользователей из США, Бразилии и Индии. В 2022 году стилеры вновь становятся одной из самых серьезных угроз в сфере кибербезопасности.

Вышли из “Мамонта”
Отслеживая развитие популярной в России мошеннической схемы «Мамонт» (aka Classiscam), аналитики Group-IB Digital Risk Protection, обратили внимание на миграцию “воркеров” (так называют рядовых онлайн-жуликов) в более опасную преступную схему, связанную с распространением стилеров.

Стилеры — это вредоносное программное обеспечение (ВПО), которое “умеет” собирать с зараженного компьютера логины-пароли из учетных записей в браузерах, в том числе от почтовых сервисов или соцсетей, данные банковских карт, а также информацию о крипто-кошельках, а затем «передавать» все это своему оператору. После успешной атаки злоумышленники, как правило, идут двумя путями: либо сами «снимают» деньги, благодаря украденным данным, либо продают похищенную ими информацию на теневых формах. По оценкам специалистов Group-IB, в 2022 году стилеры являются одной из самых серьезных угроз в сфере кибербезопасности.

 Group-IB, один из мировых лидеров в сфере кибербезопасности, обнаружила в 2022 году в российском сегменте интернета около 18 000 фишинговых сайтов, что на 15% больше, чем годом ранее. Такой рост эксперты связывают с масштабированием популярной мошеннической схемы «Мамонт» (FakeCourier). Чаще всего в качестве приманки мошенники используют фишинговые ресурсы под видом банков, онлайн-сервисов и платежных систем. На данный момент рост запросов на блокировку вредоносных сайтов от авторизованных партнеров в Координационный центр доменов.RU/.РФ (КЦ) составил 25%. Наибольшее количество запросов на разделегирование мошеннических доменов было направлено специалистами круглосуточного Центра реагирования на инциденты информационной безопасности СERT-GIB (24/7).

Group-IB оценила ежегодный ущерб российских букмекерских контор от онлайн-фрода в 2 млрд рублей — об этом говорится в свежем исследовании Group-IB «Красная карточка: самые популярные виды фрода в сфере онлайн-беттинга». Нечистые на руку игроки активно используют ставочных ботов, средства анонимизации и мультиаккаутинг для выигрыша на ставках в обход правил букмекеров: ежемесячно система Group-IB Fraud Protection фиксирует использование мошеннических инструментов и схем в сотнях тысяч сессий спортивных пари. Заработок недобросовестного игрока составляет в среднем около 300 000 рублей в месяц.

Group-IB, один из мировых лидеров в сфере кибербезопасности, выпустила первый аналитический отчет “OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес”, посвященный русскоговорящей хакерской группировке вымогателей. Всего за два с половиной года «гремлины», по данным Group-IB, провели 16 вредоносных кампаний с целью получения выкупа за расшифровку данных. Второй год подряд вымогатели бьют рекорд: если в 2021 году группа требовала у жертвы 250 000 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб. На данный момент известно, что OldGremlin атакует исключительно российские цели, однако аппетиты группировки потенциально могут иметь более широкую географию.