• Мутные воды: как хакеры из MuddyWater атаковали турецкого производителя военной электроники



      У иранских прогосударственных хакеров — большие проблемы. Всю весну неизвестные публиковали в Telegram «секретные сливы» — информацию о связанных с правительством Ирана APT-группах — OilRig и MuddyWater — их инструментах, жертвах, связях. Но не о всех. В апреле специалисты Group-IB обнаружили утечку почтовых адресов турецкой корпорации ASELSAN A.Ş, занимающуюся производством тактических военных радиостанций и электронных систем обороны для вооруженных сил Турции. Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB, и Никита Ростовцев, младший аналитик Group-IB, описали ход атаки на ASELSAN A.Ş и нашли возможного участника MuddyWater.
      Читать дальше →
      • +19
      • 6.8k
      • 1
    • Четыре JavaScript-сниффера, которые подстерегают вас в интернет-магазинах



        Практически каждый из нас пользуется услугами онлайн-магазинов, а значит, рано или поздно рискует стать жертвой JavaScript-снифферов — специального кода, который злоумышленники внедряют на сайт для кражи данных банковских карт, адресов, логинов и паролей пользователей.

        От снифферов уже пострадали почти 400 000 пользователей сайта и мобильного приложения авиакомпании British Airways, а также посетители британского сайта спортивного гиганта FILA и американского дистрибьютора билетов Ticketmaster.

        Аналитик Threat Intelligence Group-IB Виктор Окороков рассказывает о том, как снифферы внедряются в код сайта и крадут платежную информацию, а также о том, какие CRM они атакуют.
        Читать дальше →
        • +12
        • 7.4k
        • 9
      • По следам RTM. Криминалистическое исследование компьютера, зараженного банковским трояном



          Об атаках банковского трояна RTM на бухгалтеров и финансовых директоров писали довольно много, в том числе и эксперты Group-IB, но в публичном поле пока еще не было ни одного предметного исследования устройств, зараженных RTM. Чтобы исправить эту несправедливость, один из ведущих специалистов Group-IB по компьютерной криминалистике — Олег Скулкин подробно рассказал о том, как провести криминалистическое исследование компьютера, зараженного банковским трояном в рамках реагирования/расследования инцидента.
          Читать дальше →
          • +15
          • 9.2k
          • 7
        • Вебинар Group-IB «Новый взгляд на Threat Hunting: о технологиях выявления инфраструктуры атакующих»



            В этом квартале клиентам Group-IB Threat Intelligence стал доступен новый аналитический инструмент, позволяющий выявлять связанную сетевую инфраструктуру на основе графового анализа.
            Читать дальше →
          • WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?



              Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
              Читать дальше →
              • +16
              • 19.1k
              • 5
            • Как Android-троян Gustuff снимает сливки (фиат и крипту) с ваших счетов



                Буквально на днях Group-IB сообщала об активности мобильного Android-трояна Gustuff. Он работает исключительно на международных рынках, атакуя клиентов 100 крупнейших иностранных банков, пользователей мобильных 32 криптокошельков, а также крупных e-commerce ресурсов. А вот разработчик Gustuff — русскоязычный киберпреступник под ником Bestoffer. Еще недавно он нахваливал свой троян как «серьезный продукт для людей со знаниями и опытом».

                Специалист по анализу вредоносного кода Group-IB Иван Писарев в своем исследовании подробно рассказывает о том, как работает Gustuff и в чем его опасность.
                Читать дальше →
              • Вебинар Group-IB «Подход Group-IB к киберобразованию: обзор актуальных программ и практических кейсов»



                  Знания в сфере информационной безопасности – сила. Актуальность непрерывного процесса обучения в этой области обусловлена стремительно меняющимися тенденциями киберпреступлений, а также потребностью в новых компетенциях.

                  Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Подход Group-IB к киберобразованию: обзор актуальных программ и практических кейсов».

                  Вебинар начнется 28-го марта 2019 года в 11:00 (МСК), проведет его Анастасия Баринова, ведущий тренер по компьютерной криминалистике.

                  Что интересного будет на вебинаре?


                  На вебинаре мы расскажем о:

                  • Современных трендах киберобразовательных программ;
                  • Популярных темах и форматах для технических специалистов и других подразделений;
                  • Курсах по информационной безопасности от Group-IB – программа, результаты, сертификация.
                  Читать дальше →
                • Вебинар Group-IB «Взгляд криминалиста на защиту объектов КИИ в 2019 году»



                    Настал тот самый момент, когда вы подали списки о категорировании объектов КИИ во ФСТЭК и приступаете к перенастройке сети?

                    Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Взгляд криминалиста на защиту объектов критической инфраструктуры в 2019 году».

                    Вебинар начнется 13-го марта 2019 года в 11:00 (МСК), проведет его Веста Матвеева, ведущий специалист отдела Расследований.

                    Что интересного будет на вебинаре?


                    Данный вебинар не будет посвящен рассказу о формальном выполнении требований ФЗ-187 или необходимых для этого средствах защиты.

                    1. Криминалист Group-IB расскажет, от чего стоит защищаться сегодня и как не потерять контроль над собственной сетью при атаке.
                    2. Также мы поделимся собственным взглядом на проблему защиты инфраструктуры на основании обширного опыта расследований компьютерных атак на объекты КИИ.
                    Читать дальше →
                  • Вебинар «167-ФЗ. Как банки могут выполнить требования ЦБ к антифрод-системам» — 26 февраля 2019, 11:00 МСК



                      Cпециалисты Group-IB и «Инфосистемы Джет» подготовили вебинар на тему «167-ФЗ: Как банки могут выполнить требования ЦБ к антифрод-системам».

                      Вебинар состоится 26 февраля 2019 года в 11:00 (МСК), проведут его Павел Крылов, руководитель направления по защите от онлайн-мошенничества Group-IB, и Алексей Сизов, руководитель направления противодействия мошенничеству Центра прикладных систем безопасности, Инфосистемы Джет.

                      Что интересного будет на вебинаре?


                      Вы узнаете:

                      1. Почему банкам важно следовать 167-ФЗ;
                      2. Какие антифрод-технологии выявляют признаки мошеннических платежей, установленные Банком России;
                      3. Как банки могут выполнить требования регулятора.
                      Читать дальше →
                    • Вебинар от Group-IB: «Red Team или Пентест» 12.02.2019



                        Как повысить готовность вашей организации противостоять масштабным атакам и получить более реалистичное понимание рисков для вашей инфраструктуры?

                        Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Red Team или Пентест: что нужно вашей инфраструктуре?». Вебинар начнется 12-го февраля 2019 года в 11:00 (МСК), проведет его Андрей Брызгин, руководитель направления Аудита и Консалтинга.

                        Что интересного будет на вебинаре?


                        На вебинаре вы узнаете:

                        1. Чем редтиминг отличается от пентеста;
                        2. Использование каких инструментов и векторов атак предполагают оба исследования;
                        3. Как в рамках редтиминга удавалось проникнуть в периметр Заказчика на примере реальных кейсов из практики Group-IB.
                        Читать дальше →
                      • Вебинар Group-IB «Intelligence-driven SOC и можно ли без него обойтись?»



                          Cпециалисты отдела мониторинга и реагирования на инциденты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Intelligence-driven SOC и можно ли без него обойтись?». Вебинар начнется 18-го декабря 2018 года в 11:00 (МСК), проведет его Александр Калинин, руководитель отдела мониторинга и реагирования на инциденты CERT-GIB.

                          Почему стоит присоединиться к вебинару?


                          На вебинаре вы узнаете, как работает с инцидентами информационной безопасности разной степени тяжести CERT-GIB — центр круглосуточного реагирования.

                          Мы на реальных примерах продемонстрируем:

                          1. на самом ли деле нужны Intelligence системы и штат высококвалифицированных специалистов, или развитие текущих систем обеспечения безопасности уже достаточно шагнуло вперед для того, чтобы в автоматическом режиме принимать решения о критичности того или иного инцидента;
                          2. общую схему работы CERT-GIB в части поддержки клиентов TDS;
                          3. каких ключевых вещей может не хватать традиционному SOC.

                          А также разберем разберем кейсы с рассылками от MoneyTaker и Silenсe, и какую роль сыграли технологии в защите инфраструктуры клиентов.
                          Читать дальше →
                        • Осеннее обострение: как хакеры из RTM устроили масштабную атаку на банки и предприятия от лица госучреждений

                            image


                            Этой осенью Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей.

                            Текст: Семен Рогачев, младший специалист по анализу вредоносного кода Group-IB
                            Читать дальше →
                          • Вебинар Group-IB: «Криминалистическое исследование RDP артефактов в Windows»



                              Специалисты Лаборатории компьютерной криминалистики Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар об исследовании RDP артефактов в Windows. Вебинар начнется 27-го ноября 2018 года в 11:00 (мск), проведет встречу Александр Иванов, ведущий эксперт Group-IB по компьютерной криминалистике.

                              Читать дальше →
                            • Спецкурс Group-IB: “Безопасность мобильных приложений”

                              • Tutorial
                              image

                              Всем привет!

                              Специалисты Group-IB, одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, подготовили осенний двухмесячный курс про уязвимости мобильных приложений. Мы приглашаем всех, кто интересуется информационной безопасностью мобильных технологий, подать заявку на обучение.

                              Курс стартует 4 октября 2018 года. Прием заявок до 15 сентября.
                              Читать дальше →
                            • Деньги на ветер: почему ваш антифишинг не детектирует фишинговые сайты и как Data Science заставит его работать?

                                image

                                В последнее время фишинг является наиболее простым и популярным у киберпреступников способом кражи денег или информации. За примерами далеко ходить не нужно. В прошлом году ведущие российские предприятия столкнулись с беспрецедентной по масштабу атакой — злоумышленники массово регистрировали фейковые ресурсы, точные копии сайтов производителей удобрений и нефтехимии, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей, не говоря уже про репутационный ущерб, который понесли компании. В этой статье мы поговорим о том, как эффективно детектировать фишинговые сайты с помощью анализа ресурсов (изображений CSS, JS и т.д.), а не HTML, и как специалист по Data Science может решить эти задачи.
                                Читать дальше →
                              • Наследник Zeus: чем опасен троян IcedID для клиентов банков

                                  Эксперты Group-IB проанализировали троян, атакующий клиентов банков США, и выложили в публичный доступ результаты глубокого разбора формата динамических конфигурационных данных с Python-скриптами и информацию по CnC-серверам.

                                  image

                                  В ноябре 2017 года команда исследователей из IBM X-Force опубликовала отчет по новому трояну — IcedID, который нацелен преимущественно на клиентов американских банков. Бот обладает многими возможностями печально известного вредоносного ПО Zeus, в том числе: загружает и запускает модули, собирает и передает на сервер аутентификационные данные, информацию о зараженном устройстве, осуществляет атаку man-in-the-browser (MITB). Несмотря на то, что по своим функциональным возможностям новый троян оказался похож на другие популярные банкеры — Trickbot, GOZI, Dridex, активно атакующие клиентов банков, IcedID использует нестандартный бинарный формат хранения конфигурационных данных. Другой отличительной особенностью этого вредоносного ПО является возможность развертывания прокси-сервера прямо на зараженной машине для проведения атаки MITB.
                                  Читать дальше →
                                  • +16
                                  • 3.3k
                                  • 6
                                • Схемы хищений в системах ДБО и пять уровней противодействия им

                                    image

                                    В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту.

                                    Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем мобильного
                                    банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн-услуги и покупки в интернет-магазинах.

                                    Заинтересовавшись возможностями финансового агрегатора, клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины/пароли для входа в интернет-банк на сервер злоумышленникам. После этого преступники переводили деньги на заранее подготовленные банковские счета суммами от 12 000 до 30 000 руб. за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников, — все SMS-подтверждения транзакций блокировались.
                                    Читать дальше →
                                  • Веста Матвеева: борьба с киберпреступностью – это моральный выбор

                                      Знакомьтесь: Веста Матвеева – эксперт в области информационной безопасности Group-IB.

                                      Специализация: расследование киберпреступлений.

                                      Чем известна: Веста регулярно участвует не только в расследованиях, но и в задержаниях, допросах и обысках участников хакерских групп. За 6 лет провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследований Group-IB, успешно раскрыла несколько дел и продолжает работать в этом направлении.
                                      Читать дальше →
                                    • Когда хакеры быстрее антивирусов

                                        FinCERT, структурное подразделение ЦБ по информбезопасности, в своем свежем отчете назвал группу Cobalt главной угрозой для банков, а ее атаки — основным трендом. Cobalt, действительно, сейчас одна из самых активных и агрессивных преступных групп. За год — подсчитали эксперты — она совершила не менее 50 успешных атак по всему миру, постоянно тестируя новые инструменты, изменяя векторы атак и цели. Помимо бесконтактных атак на банкоматы, Cobalt старается получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. В этой статье мы покажем, почему традиционные средства защиты не могут спасти от хакерских атак подобных групп. И что делать, чтобы защитить свой бизнес от финансовых и репутационных потерь.
                                        Читать дальше →
                                      • По следам CyberCrimeCon 2017: Тенденции и развитие высокотехнологичной преступности

                                          Десятого октября в Москве прошла ежегодная конференция Group-IB CyberCrimeCon 2017. В этом году эксперты отрасли — специалисты по кибербезопасности из банковской сферы, Интерпола, полиции Европы — обсуждали новые цели хакеров, говорили об эволюции атак и изучали практические кейсы.

                                          На конференции мы также представили свой отчет о трендах киберугроз для финансового сектора. Сегодняшний пост — это резюме того, о чем мы говорили: о тенденциях развития преступлений в области высоких технологий.

                                          Читать дальше →