Pull to refresh
28
Karma
10.2
Rating
  • Followers 92
  • Following
  • Posts
  • Comments

Пропуск заказан: Group-IB помогла Финансовой гвардии Италии задержать торговцев поддельными COVID-сертификатами

Group-IB corporate blog Information Security *

Компания Group-IB оказала содействие Финансовой гвардии Италии (Guardia di Finanza) в расследовании деятельности мошенников, которые через Telegram торговали поддельными Green Passes. «Зеленые пропуска» — это электронные сертификаты с QR-кодом, свидетельствующие о том, что его владелец либо вакцинировался, либо уже переболел COVID-19, либо имеет отрицательный тест. В ходе операции “NO-VAX FREE” Guardia di Finanza провела задержания и обыски в Венето, Лигурии, Апулии и Сицилии у нескольких администраторов Telegram-каналов, которые уже признались в мошенничестве.

Читать далее
Total votes 7: ↑7 and ↓0 +7
Views 707
Comments 0

Родина в опасности: Group-IB назвала топ-3 шифровальщиков, атакующих российский бизнес

Group-IB corporate blog Information Security *Research and forecasts in IT IT-companies

Компания Group-IB составила список самых агрессивных программ-вымогателей, которые в 2020-2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos — каждый из них совершил более 100 атак на российский бизнес, говорится в новом исследовании Group-IB «Как операторы программ-вымогателей атаковали российский бизнес в 2021». Всего же в уходящем году количество атак программ-вымогателей в России увеличилось более чем на 200%, а максимальная запрошенная сумма выкупа составила 250 млн рублей.  

Читать далее
Total votes 9: ↑9 and ↓0 +9
Views 1.6K
Comments 1

Кардеры-каннибалы: Group-IB выявила крупнейшие сети фейкшопов. Часть 1

Group-IB corporate blog Information Security *Research and forecasts in IT IT-companies

Каждый пользователь интернета регулярно сталкивается с фишинговыми сайтами. И киберпреступники — не исключение. Аналитикам Group-IB Threat Intelligence удалось выявить несколько крупных групп мошенников, которые зарабатывают деньги на начинающих неопытных кардерах, создавая и распространяя фишинговые сайты под кардшопы — подпольные магазины по продаже скомпрометированных платежных данных. Эти сайты аналитики Group-IB называют фейкшопами.

Большое количество фейкшопов в сети вызывают проблемы не только у пользователей андеграундных форумов — киберпреступников, но и могут создавать сложности специалистам по киберразведке. Размещенные на них поддельные данные могут привести к появлению ложной статистики при мониторинге и описании кардшопов, а скопированные дизайны оригинальных ресурсов могу ввести в заблуждение даже опытного антифрод аналитика.

Читать далее
Total votes 6: ↑3 and ↓3 0
Views 3.4K
Comments 1

Снова в деле: Group-IB обнаружила атаки на ритейл хакеров RedCurl

Group-IB corporate blog Information Security *Research and forecasts in IT IT-companies

Group-IB обнаружила следы новых атак хакеров RedCurl, занимающихся коммерческим шпионажем и кражей корпоративной документации у компаний из различных отраслей. На этот раз в фокусе группы оказался российский ритейлер, входящий в топ-20 крупнейших интернет-магазинов России. Новый аналитический отчет Group-IB «RedCurl. Пробуждение» описывает изменение тактики и инструментов группы, используемых для проникновения в сети компаний, интересующих хакеров или их заказчиков. Всего на счету RedCurl на данный момент 30 атак.

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views 671
Comments 5

Очень темные дела: BlackMatter и его жертвы

Group-IB corporate blog Information Security *Reverse engineering *Research and forecasts in IT IT-companies

Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга вновь возьмутся за старое. Помните, как августе, в нашей первой статье о BlackMatter мы говорили о том, что новый вымогатель появился сразу после исчезновения из публичного поля двух самых активных и агрессивных преступных группировок – DarkSide и REvil, атаковавших такие крупные компании, как Toshiba, JBS S.A., Colonial Pipeline и Kaseya. Но, если летом у исследователей еще были вопросы, кто стоит за новой программой-вымогателем, то сейчас ни у кого не осталось сомнений, что BlackMatter является продолжателем дела DarkSide, и если новичок еще не затмил своего прародителя, то это лишь вопрос времени.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 3.2K
Comments 2

Свидание, которого не было: как работает мошенническая схема Fake Date

Group-IB corporate blog Information Security *Research and forecasts in IT IT-companies

Group-IB обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.

Читать далее
Total votes 27: ↑25 and ↓2 +23
Views 12K
Comments 48

Артем Артемов: «Компьютерная криминалистика — это чистый дофамин»

Group-IB corporate blog

С ноября прошлого года я руковожу Лабораторией компьютерной криминалистики в нашем европейском офисе в Амстердаме.  Моя основная задача как компьютерного криминалиста — исследование цифровых носителей. Ноутбуки, смартфоны, диски, флешки… все, что угодно. Даже умный холодильник, подключенный к интернету, тоже оставляет цифровые следы. Вот вы можете не знать, как за вами следят потихоньку, что вы едите. Проще говоря, наша задача — найти улики, следы преступников в цифровом мире. Если раньше криминалистика занималась расследованием преступлений в материальном мире — офлайне: эксперты снимали отпечатки пальцев, анализировали следы пепла или пороха, образцы тканей и так далее, то в век развития информационных технологий появилось новое направление. Теперь мы ищем цифровые «отпечатки» в киберпространстве. Мы - киберкриминалисты.

Читать далее
Total votes 19: ↑8 and ↓11 -3
Views 4.4K
Comments 7

Билет в никуда: Group-IB зафиксировала рост мошеннических ресурсов по продаже железнодорожных и авиабилетов

Group-IB corporate blog Information Security *

Накануне майских праздников от мошенников нет покоя ни на земле, ни в воздухе. Ну, и в Интернете само-собой. После того, как Владимир Путин в конце апреля объявил выходными дни с 1 по 10 мая CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB) зафиксировал всплеск мошенничества в интернете, связанного с продажей авиа и железнодорожных билетов. "Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используют социальную инженерию для привлечения потенциальных жертв", — говорит Ярослав Каргалев, заместитель руководителя CERT-GIB. Эксперты призывают пользователей быть внимательнее при покупке билетов онлайн — полезные рекомендации в конце статьи.

Читать далее
Total votes 4: ↑1 and ↓3 -2
Views 1.4K
Comments 1

Бег по граблям: 10 «уязвимостей» компьютерного криминалиста

Group-IB corporate blog Information Security *Research and forecasts in IT IT-companies

Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), — "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 5.7K
Comments 5

Почему грустит «Веселый Роджер»: аудитория интернет-пиратов растет, а их заработки снижаются

Group-IB corporate blog Working with video *

Group-IB в шестой раз оценила рынок интернет-пиратства в России — в 2020 году он составил $59 млн, что на 7% ниже показателей 2019 года. Пираты так и не смогли восстановить базу видеоконтента после ликвидации «Большой тройки» CDN, потеряли на рекламе и вступили в борьбу за зрителя с легальными онлайн-кинотеатрами, нарастившими аудиторию в условиях пандемии.

Читать далее
Total votes 4: ↑2 and ↓2 0
Views 6.7K
Comments 33

Охота на «Мамонта»: подробное исследование мошеннической схемы с фейковыми курьерскими сервисами

Group-IB corporate blog Information Security *Research and forecasts in IT IT-companies

Поводом к началу этой работы послужил, можно так сказать, энтомологический интерес к активности мошенников, работающих по новой схеме с фейковой курьерской доставкой товаров, заказанных через интернет. Первое массовое использование в России схемы «Курьер», или «Мамонт» («мамонтом» на сленге мошенников называют жертву»), специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после обращений обманутых пользователей. Однако пик мошеннической активности пришелся на 2020 год в связи с пандемией, переходом на удаленку и увеличением спроса на 30%-40% на онлайн-покупки и, соответственно, услуги курьерской доставки. Если летом прошлого года CERT-GIB заблокировал 280 фишинговых ресурсов, эксплуатирующих тему курьерской доставки товаров, то к декабрю их количество выросло в 10 раз — до 3 000 сайтов. Евгений Иванов, руководитель группы по выявлению и реагированию на киберинциденты CERT-GIB, и Яков Кравцов, зам. руководителя отдела спецпроектов Департамента защиты от цифровых рисков Group-IB, рассказывают, как разоблачали схему «Мамонт» и как с ней бороться.

Читать далее
Total votes 7: ↑6 and ↓1 +5
Views 7.7K
Comments 40

Киберугроза №1: рейтинг самых активных и жадных вымогателей

Group-IB corporate blog Information Security *

Шифровальщики фактически стали киберугрозой №1 как для бизнеса, так и для государственных органов: число успешных атак в прошлом году выросло более чем на 150% к 2019 году, а средний размер суммы выкупа увеличился более чем в два раза и составил в 2020 году $170 000, говорится в свежем отчете Group-IB «Программы-вымогатели 2020-2021 гг».

Самыми жадными вымогателями оказались группы Maze, DoppelPaymer и RagnarLocker — сумму выкупа, которые они требовали от жертвы, составляла в среднем от $1 000 000 до $2 000 000. В итоге, вдохновленные успехом киберкриминала в игру вступили даже прогосударственные хакерские группы, такие как Lazarus и APT27.

Читать далее
Total votes 5: ↑3 and ↓2 +1
Views 2.7K
Comments 0

Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам»

Group-IB corporate blog Information Security *Reverse engineering *Cyberpunk


У нас новый проект: начиная с этого поста мы будем знакомить вас с профессиями и ведущими специалистами Group-IB, расскажем об их работе, исследованиях и кейсах, о том, как и где можно пройти обучение и, конечно, дадим ссылку на актуальные вакансии. Первый гость — Анастасия Тихонова, ее интервью мы даем прямой речью и, что называется, без купюр.
Читать дальше →
Total votes 22: ↑16 and ↓6 +10
Views 14K
Comments 31

Kremlin RATs: история одной мистификации

Group-IB corporate blog Information Security *Reverse engineering *Research and forecasts in IT IT-companies

Этим постом мы начинаем двухсерийный технодетектив, в котором встретились "священная триада" доменов: putin, kremlin, crimea и "крысы" — программы удаленного доступа (RAT), а также шпион AgentTesla. Началась история с того, что в конце мая 2020 года сетевой граф Group-IB, наша автоматизированная система анализа инфраструктуры, начал детектировать домены с интересным паттерном *kremlin*.duckdns.org, к которым подключались различные вредоносные файлы. Аналитики Group-IB Threat Intelligence & Attribution исследовали эти домены и установили три кампании по распространению различных RAT. Они шли с 2019 года и были нацелены на пользователей из Польши, Турции, Италии, Украины, России, Казахстана, Болгарии, Беларуси, Греции и Чехии. В ходе расследования была установлена связь между обнаруженными доменами и остальной используемой инфраструктурой, а заодно и с конкретным человеком, который стоит за распространением AgentTesla и других вредоносных программ. Итак, обо всем по-порядку.

Читать далее
Total votes 10: ↑9 and ↓1 +8
Views 4.7K
Comments 3

Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»

Group-IB corporate blog Information Security *Reverse engineering *Research and forecasts in IT IT-companies

С ноября 2020 года участились случаи похищения аккаунтов у популярных Telegram-каналов. Недавно эксперты CERT-GIB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (320 тысяч подписчиков). В той атаке использовался стилер Hunter, который Могутину прислали под видом рекламы образовательной платформы. Сам стилер нацелен на устройства под управлением ОС Windows, поэтому атакующие так настойчиво просили журналиста открыть архив на рабочем компьютере, а не с iPhone, чего он — и правильно — делать не стал. Hunter "умеет" автоматически собирать учетные записи на зараженном компьютере, затем отсылает их злоумышленнику и раньше его, к примеру, часто использовали для кражи учетных данных у игроков GTA. Никита Карпов, младший вирусный аналитик CERT-GIB, провел анализ вредоносного файла и раскрывает технические детали того, как хакеры пытались угнать Telegram-канал.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 5.7K
Comments 10

Старый конь борозды не испортит: как стилер Pony крадет данные и где их потом искать

Group-IB corporate blog Information Security *Reverse engineering *Research and forecasts in IT IT-companies

Если помните, недавно у нас выходила статья про молодой, но уже подающий надежды data stealer Loki. Тогда мы подробно рассмотрели этот экземпляр (версия 1.8), получили представление о работе бота и освоили инструмент, облегчающий реагирование на события, связанные с этим ВПО. Для более полного понимания ситуации, давайте разберем еще одно шпионское ПО и сравним исследованных ботов. Сегодня мы обратим внимание на Pony более старый, но не менее популярный экземпляр data stealer’а. Никита Карпов, аналитик CERT-GIB, расскажет, как бот проникает на компьютер жертвы и как вычислить похищенные данные, когда заражение уже произошло.

Читать дальше
Rating 0
Views 3.2K
Comments 0

Социотехническое тестирование: какое лучше выбрать в 2021 году?

Group-IB corporate blog Information Security *Research and forecasts in IT IT-companies


В интернете предостаточно статей о важности социотехнического тестирования. В них разбирается само понятие, методика, инструменты и почему так важно его проводить. Все просто: человек — слабое звено в системе защиты любой компании.

В этой статье команда департамента аудита и консалтинга Group-IB решила пойти дальше и поделиться своим опытом социотехнического тестирования, которое проводила в этом году. Расскажем, для каких целей использовать данный вид тестирования, какие форматы предпочитали компании, что лучше выбрать в следующем году, а также, каких результатов ждать.

Сразу предупреждаем, что текста получилось немало. Поэтому запасайтесь чаем, теплым свитером и любимой музыкой на фоне — перед вами новогоднее чтиво. Также, по нашей классике, спешим предупредить (внимание: дисклеймер), что все совпадения случайны, а читатель сам в праве думать, что в этих историях правда, а что — ложь.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 3K
Comments 0

Обновки AgentTesla: командный центр в Telegram, TorProxy, стилер паролей и другие новые фичи

Group-IB corporate blog Information Security *Reverse engineering *Research and forecasts in IT IT-companies

Недавно мы писали про протектор, который скрывает вредоносную программу AgentTesla, заслуженного пенсионера на рынке вредоносного ПО. Однако AgentTesla и не думает уходить со сцены, своей популярностью он обязан в том числе постоянной поддержке продукта разработчиками — в этом году авторы AgentTesla снова обновили свой стилер. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассказывает о новых возможностях AgentTesla.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 2.1K
Comments 0

След протектора: как киберпреступники прятали стилеры в презентации от «подрядчика МГУ»

Group-IB corporate blog Information Security *Reverse engineering *Research and forecasts in IT IT-companies


"Привет из МГУ. М.В.Ломоносов,
Внимание: по рекомендации вашей компании мы выступаем в качестве подрядчика МГУ. М.В.Ломоносова под руководством доктора философских наук. Виктор Антонович Садовничий. Нам нужно ваше предложение по нашему бюджету на 2020 год (прилагается). Подайте заявку не позднее 09 ноября 2020 года. Спасибо и всего наилучшего
".

Получатель этого странного послания, даже очень далекий от научных кругов, сразу обратит внимание на две вещи: как безграмотно оно написано, а, во-вторых, ректор МГУ может быть философом лишь по состоянию души — Виктор Антонович на самом деле доктор физико-математических наук, но никак не философских.

СERT Group-IB подтвердил догадку — сентябрьские почтовые рассылки от имени руководства МГУ им. М.В. Ломоносова — фейковые, более того они несли «на борту» популярные вредоносные программы для кражи данных (Data Stealer) — Loki или AgentTesla . Однако сегодняшний пост не про них, а об одном незаметном помощнике — протекторе, которые защищает программы-шпионы от обнаружения. О том, какие техники использует этот протектор и как аналитикам удалось сквозь них добраться до исполняемого файла AgentTesla, рассказывает Илья Померанцев, руководитель группы исследований и разработки CERT-GIB .
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 4.4K
Comments 1

Крошка Енот: как операторы JS-сниффера FakeSecurity распространяли стилер Raccoon

Group-IB corporate blog Information Security *


Летом 2020 года специалисты Group-IB обратили внимание на необычную кампанию по распространению стилера Raccoon. Сам стилер хорошо известен: он умеет собирать системную информацию, данные учетных записей в браузерах, данные банковских карт, а также ищет информацию о крипто-кошельках.

Сюрприз оказался в другом. Никита Ростовцев, аналитик Group-IB Threat Intelligence & Attribution, рассказывает, как в ходе исследования удалось восстановить хронологию вредоносной кампании, установить связи с другими элементами инфраструктуры злоумышленников. Забегая вперед, отметим, что «енот» оказался прикормленным уже известной нам группой.
Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 2.4K
Comments 1

Information

Rating
515-th
Works in
Registered
Activity