Как стать автором
Обновить
91.27
Сначала показывать

Попробуй спрячься: расширяем возможности обнаружения эксплуатации WinRM

Время на прочтение 9 мин
Количество просмотров 2.9K

Идея написать блог о том, как злоумышленники используют для перемещения в инфраструктуре жертвы возможности службы Windows Remote Management (WinRM) (Т1021.006), возникла у Антона Величко, руководителя Лаборатории компьютерной криминалистики компании F.A.C.C.T., еще в январе 2022 года. И виной тому стали не затянувшиеся новогодние праздники и наличие свободного времени, как может показаться, а как раз наоборот. В тот момент криминалисты F.A.C.C.T. столкнулись с очередным «праздничным» всплеском кибератак на российские компании, и в процессе реагирования на инцидент у одного из наших клиентов обнаружили интересный кейс, о котором Антон Величко и его соавтор — Кирилл Полищук захотели подробно рассказать.

Читать далее
Рейтинг 0
Комментарии 0

Криминалист F.A.C.C.T. заявил, что новый IPhone 15 подвержен риску заражения шпионской программой Pegasus

Время на прочтение 5 мин
Количество просмотров 3.4K

Новость о взломе iPhone издателя «Медузы»* Галины Тимченко с помощью шпионской программы Pegasus не стала сенсацией для специалистов, которые уже много лет следят за разработкой от израильской компании NSO Group.

И хотя сами разработчики утверждают, что создавали программу исключительно для благих целей — борьбы с террористами и опасными преступниками, как это часто случается с легитимными инструментами (например, с популярным фреймворком для пентестеров CobaltStrike, — прим. авт) их уже давно активно используют и прогосударственные хакерские группы, и спецслужбы, и киберпреступники.

* организация признана нежелательной в России, внесена в реестр иноагентов

Читать далее
Всего голосов 7: ↑4 и ↓3 +1
Комментарии 6

Buhtrap расставил новые «ловушки для бухгалтеров»

Время на прочтение 6 мин
Количество просмотров 3.1K

Эксперты Group-IB Threat Intelligence — Илья Шумеев, специалист по анализу вредоносного кода, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода, проанализировав новые атаки, выяснили, что заражение происходило при посещении сайтов, замаскированных под профильные ресурсы для бухгалтеров и юристов. В атаках использовался уже давно и хорошо известный троян Buhtrap RAT, хотя качество используемых инструментов ощутимо деградировало по сравнению с более ранними кампанииями. По мнению экспертов, данная активность похожа на деятельность последователей преступной группы Buhtrap. Напомним, что ущерб от атак данной группы в 2020-2022 гг, по оценкам экспертов Group-IB, оценивается как минимум в 2 млрд рублей. Глобальный же ущерб, нанесенный Buhtrap'ом, за все время активности может достигать 6-7 млрд рублей.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 0

Зашифрованные: как атаковали российский бизнес

Время на прочтение 5 мин
Количество просмотров 4.7K

Для того, чтобы понять, как атаковали российский бизнес, и с головой погрузиться в изучение матрицы наиболее часто используемых атакующими тактик, техник и процедур (TTPs), давайте сначала ответим на вопрос: кто атаковал?

Если еще пять лет назад практически 70% всей хакерской активности, с которой сталкивались эксперты Лаборатории компьютерной криминалистики Group-IB во время реагирований (Incident Response), было связано с целевыми атаками на финансовый сектор, то в прошлом году самым популярным типом киберугроз оказались.... Да, верно программы-вымогатели. На них пришлось 68% всех инцидентов.

Читать далее
Всего голосов 10: ↑8 и ↓2 +6
Комментарии 9

Не время витать в “облаках”

Время на прочтение 14 мин
Количество просмотров 2.1K

В нашем новом блоге речь пойдет про распространенные ошибки пользователей публичных облаков — мы подробно поговорим о публичных бакетах и репозиториях пользователей и покажем как и почему эти недостатки стоит устранять. Мы надеемся, что он поможет компаниям лучше понимать логику действий атакующих и, соответственно, более качественно выстроить свою защиту. Ниже мы разберем распространенные недостатки со стороны пользователей облаков и дадим рекомендации, как их избежать.

Читать далее
Рейтинг 0
Комментарии 0

Александр Батенёв: «Крутой программист работает за деньги, но никогда не ради денег»

Время на прочтение 14 мин
Количество просмотров 12K

Закон Архимеда, если верить популярной легенде, всплыл из мыльной пены в ванной древнегреческого инженера. И не он один. Герой нашего нового блога о “Профессиях будущего”, принимая ванну, придумал решение для борьбы с вредоносными ботами. Кто после этого скажет, что кодинг — это скучно? 

Занимаясь исследованиями киберпреступлений и реагированиями на инциденты, специалисты Group-IB постоянно сталкивались с парадоксом: компании, чью инфраструктуру атаковали, чьи данные были слиты или чьи деньги похищены, пользовались разными средствами кибербезопасности. Но это не останавливало преступников.

Опыт Group-IB позволял восстанавливать всю цепочку преступления, исследовать инструменты, тактику, мотивацию атакующих. “Используя эти знания, мы могли бы не только расследовать, что произошло, или реагировать на инцидент в режиме реального времени, но и… предотвращать киберпреступления” — подумали лет десять назад отцы-основатели Group-IB.

Так, если совсем кратко, начался наш путь к предикативной аналитике и разработке сложных технологий мониторинга, прогнозирования и предупреждения атак — Threat Intelligence и Fraud Protection, о которых мы подробно рассказывали в нашем блоге. Пришло время заглянуть "под капот". О том, что программистам делать в кибербезе, что их драйвит и какими качествами нужно блеснуть на собеседовании, рассказывает главный разраб Group-IB — Александр Батенёв. 

Читать далее
Всего голосов 20: ↑10 и ↓10 0
Комментарии 10

BEC в ребро: чем опасна компрометация деловой переписки и как ее предотвратить?

Время на прочтение 7 мин
Количество просмотров 2K

Летом этого года менеджеры компании, поставляющей решения для нефтегазового комплекса, обнаружили в своей корпоративной почте подозрительную активность. Все входящие письма от филиала международного банка оказались в папке «Удаленные». В ней, например, обнаружили как запросы на выделение очередного кредитного транша в $ 1 млн, так и ответ банка о переводе $700 000 на какой-то "левый" незнакомый счет. Расследование показало: неизвестные получили доступ к почтовому ящику директора по корпоративному финансированию и в момент обсуждения очередного транша вмешались в переписку, и указали свой подставной счет. А потом, заметая, следы, отправили всю цепочку писем и все входящие от банка в папку "Удаленные". 

Компрометация деловой электронной почты (Business Email Compromise, BEC) — довольно популярный в последнее время тип атак, нацеленный на руководителей или сотрудников финансовых департаментов — их обманом заставляют перевести деньги на мошеннические счета. При этом, как показывает практика, мультифакторная аутентификация, до недавнего времени предотвращавшая большинство атак на электронную почту, с развитием методов злоумышленников, уже не гарантирует надежной защиты от компрометации. Специалисты Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов и Павел Зевахин разбирались, в чем дело.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Кит Split: в погоне за многоликим китом фишинга

Время на прочтение 8 мин
Количество просмотров 1.1K

Мы привыкли к тому, что злоумышленники, занимающиеся фишингом, таргетируют какие-то определенные сферы или бренды. Будь то скам-команды, работающие по схемам Fake Courier или Fake Date, угонщики мобильных банков через раздачу бесплатной пиццы, бесконечные предложения о компенсациях за все подряд или розыгрыши скинов в Steam.

В этом ретроспективном блоге мы решили рассказать о группировке фишеров, сумевшей максимально диверсифицировать свои “активы”. Для регистрации тысячи своих доменов злоумышленники использовали сотни фейковых "личностей" - поэтому мы дали им рабочее название Split. И как легендарного белого кита из "Моби Дика", скрывавшегося в пучине, эту группу было очень сложно выследить. Однако мы сделали это.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 0

Свидание на расстоянии: популярная мошенническая схема Fake Date вышла за пределы России

Время на прочтение 6 мин
Количество просмотров 16K

Популярная в России мошенническая схема со лже-свиданиями — Fake Date в этом году вышла за пределы страны. Аферисты активно осваивают новые рынки: страны СНГ и Европы, а также США, Арабские Эмираты, Австралию и Турцию. Чаще всего в качестве приманки злоумышленники используют  фейковые ресурсы театров, кинотеатров, доставок еды, а также фейковые ресурсы с услугами эскорта. За рубежом по схеме Fake Date сейчас работают не менее четырех крупных скамерских команд. Юлия Зинган, старший аналитик Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB, 24/7) и Екатерина Антонова, аналитик CERT-GIB, 24/7, рассказывают, почему это произошло.

Читать далее
Всего голосов 17: ↑14 и ↓3 +11
Комментарии 12

Анна Юртаева: «В кибербезе  сейчас идет самая ожесточенная борьба с криминалом»

Время на прочтение 10 мин
Количество просмотров 5.5K

Со времен Эжена Видока, “отца” классических уголовных расследований, их алгоритм мало изменился: сыщик собирает улики, строит гипотезу, исключает лишних подозреваемых и, наконец, выходит на злодея, которого в итоге отправляет за решетку. С киберпреступлениями не все так просто  — ко всем обязательным этапам по сбору и анализу цифровых доказательств, зацепок и артефактов прибавляется атрибуция —  цифровую личность подозреваемого нужно “привязать” к конкретному живому человеку. Киберрасследование может занять пару часов, а, бывает, растягивается на годы, превращаясь в огромный пазл-квест. Новая героиня проекта «Киберпрофессии будущего» — Анна Юртаева — рассказывает о том, как удается вычислить злоумышленника в цифровом мире, даже если он сработал почти безупречно. 

Читать далее
Всего голосов 23: ↑12 и ↓11 +1
Комментарии 10

Выпустили пар: мошенники используют метод Browser-in-the-Browser для кражи аккаунтов у игроков на Steam

Время на прочтение 7 мин
Количество просмотров 10K

"Хочу рассказать историю, как я недавно лоханулся и потерял свой аккаунт Steam со 100+ играми и донатом на общую сумму больше 15 тыщ рублей". Или вот: "Несколько косарей в Стим вложено, и штук 20 игр, некоторые с дополнениями, на нем висит". Таких историй десятки, если не сотни. В июле специалисты Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB 24/7) обнаружили более 150 мошеннических ресурсов под один из самых популярных у геймеров онлайн-сервисов — платформу Steam. Для кражи логинов-паролей от учетных записей злоумышленники используют новую фишинговую технику Browser-in-the-Browser — из-за нее фейковые страницы довольно легко спутать с легальным ресурсом. Иван Лебедев, руководитель группы по защите от фишинга CERT-GIB, и Дмитрий Ерошев, аналитик CERT-GIB, разбирались, как работает новая схема.

Читать далее
Всего голосов 19: ↑18 и ↓1 +17
Комментарии 18

Зафар Астанов: «Бороться с киберпреступностью помогает супероружие — наши технологии»

Время на прочтение 12 мин
Количество просмотров 2.9K

Возможно, вы уже догадались, что весь стэк инженерных технологий Group-IB, читай каждый наш продукт, служит одной очень важной цели — обнаружить киберпреступника и остановить его, защитив от его действий компании и их клиентов. О наших бойцах из сферы киберкриминалистики и реагирований на инциденты, а также из киберразведки (Threat Intelligence) вы уже знаете. Сегодня мы перенесемся в мир антифрода — борьбы с финансовым мошенничеством. Именно этим занимается новый герой нашего проекта “Киберпрофессии будущего” — Зафар Астанов. Он расскажет о том, какие схемы придумывают мошенники и как работают технологии, защищающие 200 млн клиентов банков по всему миру.  В конце статьи, как всегда, ссылка на актуальные вакансии Group-IB.

Читать далее
Всего голосов 5: ↑2 и ↓3 -1
Комментарии 2

Разбираем мощный «движок» Managed XDR

Время на прочтение 16 мин
Количество просмотров 3.7K

Управлять кибербезопасностью, анализировать события в сети, молниеносно останавливать атаки — что умеет новое комплексное решение Group-IB

О необходимости использовать так называемую эшелонированную защиту от кибератак на рынке информационной безопасности говорят уже не один десяток лет. Суть этой концепции заключается в установке на пути злоумышленников ряда барьеров в виде средств защиты на разных уровнях — периметре, серверах, рабочих станциях, удаленных рабочих станциях и др. Как правило, комплектовать свой арсенал средств защиты начинают со стандартного набора: антивирус (AV), антиспам ( Antispam), межсетевые экраны, желательно, класса NGFW (Next-Generation Firewall), различные системы обнаружения и предотвращения вторжений IDS/IPS (Intrusion Detection System, Intrusion Prevention System) и, например, “песочницы” для анализа вредоносного ПО в изолированной среде (Sandbox).

Читать далее
Всего голосов 3: ↑2 и ↓1 +1
Комментарии 0

«Золотой век» Buhtrap: разбираем троян-долгожитель

Время на прочтение 12 мин
Количество просмотров 4K

В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими траншами, причем все платежные переводы, как и положено, были подписаны цифровой подписью — токеном главбуха. Безопасник хотел разобраться, как это произошло.

На первый взгляд все переводы казались легальной операцией. Однако некоторая странность в них все-таки была: пароль для входа в систему клиент-банк был не напечатан на клавиатуре, а скопирован из буфера. Записи видеокамер показали, что в этот момент за компьютером никого не было — бухгалтер уходил на обед. Выходит, к ПК кто-то подключился удаленно? Ответ на вопрос, как это произошло, дали специалисты Лаборатории цифровой криминалистики Group-IB: компьютер главбуха был заражен вредоносной программой. И это оказался... наш старый знакомый — троян-долгожитель Buhtrap.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 1

Миссия выполнима: продолжаем знакомиться с физическим пентестом. Часть 2

Время на прочтение 5 мин
Количество просмотров 5.1K

Итак, вы уже получили всю необходимую информацию в результате разведки — о том, как это сделать мы говорили в первой части статьи.  Помните, на чем мы остановились? Мы предупреждали, что выполнять любые работы по физическому проникновению можно только при подписанном договоре с заказчиком и непосредственно по поручению работодателя! 

Теперь самое время сформировать план реализации сценариев проникновения. Важно отметить, что в план обязательно должна входить заключительная фаза — отход после достижения цели.

В этом разделе также стоит сказать пару слов про сами инструменты: физический пентест — это не всегда локпикинг. 

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 1

Миссия выполнима: знакомимся с физическим пентестом

Время на прочтение 13 мин
Количество просмотров 10K

"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику Group-IB надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект. 

Однако сразу на проходной его взяли на прицел два сотрудника IT-департамента, которые внимательно следили за каждым шагом гостя. Разумеется, они не были в курсе проводимого пентеста, а аудитор никак не мог раскрыть им детали операции. Эксперту пришлось включить невозмутимый покерфейс и заболтать своих охранников, чтобы незаметно раскидать на территории объекта “зараженные” флешки. Любопытные сотрудники фармкомпании начали вставлять USB-накопители в свои рабочие ПК, еще когда эксперт Group-IB был на производстве, и увлеченно делали это весь день — в том числе после работы на личных ноутах (упс!)

Кажется, что всё пошло не по плану? И да, и нет. С “физикой” всегда так: планов значительно больше одного, но на месте исполнителю обязательно придется импровизировать, подстраиваясь под ситуацию.

Читать далее
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 12

Никита Ростовцев: «Мы способны найти многое, чего не видят другие»

Время на прочтение 11 мин
Количество просмотров 4.6K

На связи авторы Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat Intelligence, и наш новый гость — Никита Ростовцев. В конце материала, как обычно, — ссылка на актуальные вакансии Group-IB.

Читать далее
Всего голосов 9: ↑1 и ↓8 -7
Комментарии 4

Выход на оперативный простор: чем криминалистам поможет книга Practical Memory Forensics

Время на прочтение 5 мин
Количество просмотров 3.7K

В британском издательстве Packt Publishing вышла новая книга криминалистов Group-IB — Светланы Островской и Олега Скулкина: “Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory”. Если у Олега это уже четвертое издание (интервью с ним читайте здесь), то Светлану можно поздравить с дебютом. На связи — Дубай, где в ближневосточной штаб-квартире Group-IB работает Света. Мы попросили автора рассказать, о чем книга и на какую полку в библиотечке киберкриминалиста ее можно поставить (спойлер — она должна стать настольной книгой!

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 4

Олег Скулкин: «Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой»

Время на прочтение 12 мин
Количество просмотров 5.1K

Соскучились по нашему проекту “Киберпрофессии будущего”? Мы тоже. Возвращаем должок и продолжаем рассказывать о ведущих специалистах Group-IB, об их работе, исследованиях и реальных кейсах, о том, как они пришли в профессию, которой не было, и как научиться тому, что умеют они. В конце материала, как обычно, дадим ссылку на актуальные вакансии Group-IB. И пусть вас не пугает, что пока знаний не хватает и где их получить — непонятно. Наш ответ — в бою. Приходите, учитесь и получайте новую востребованную профессию. Так поступил наш сегодняшний гость — знаковая фигура не только в российской, но и в международной цифровой криминалистике — Олег Скулкин.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 1

«Набрали кредитов и вложили последние деньги»: как работает мошенническая схема с инвестициями в акции и криптовалюты

Время на прочтение 9 мин
Количество просмотров 13K

"Нас более 150 человек из более 15 стран и 70 разных городов мира и все мы стали жертвами новой схемы кибермошенников, которые под видом инвестиций на липовых брокерских биржах убедили нас перевести последние деньги в биткоины. Очень многие из нас подверглись ложным обещаниям со стороны лжеброкеров, взяли миллионы рублей под кредит и теперь вынуждены продавать своё имущество, чтобы свести концы с концами. Таким образом мошенники похитили у нас около 300 млн. рублей ($4,0 млн)", — такое обращение от обманутых инвесторов получили в прошлом году специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB).

И это только один из примеров. CERT-GIB выявил более 8 000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, и обнаружил более 50 шаблонов-лендингов с различными готовыми инвестиционными сценариями. Примечательно, что домены регистрируются массово и используются в качестве зеркал, обеспечивая работу проекта после приостановки работы одного из доменных имен. Так, в одном из примеров, только с одного почтового адреса с июня по июль 2021 года было зарегистрировано более 320 доменов под мошеннический инвестиционный проект.

Большинство из этих кейсов являются "гибридными схемами", где фишинг используется наряду с телефонным мошенничеством. Как работает эта интернет-афера и на чем зарабатывают мошенники, разбирались специалисты CERT-GIB.

Читать далее
Всего голосов 14: ↑11 и ↓3 +8
Комментарии 21

Информация

Сайт
www.facct.ru
Дата регистрации
Дата основания
Численность
501–1 000 человек
Местоположение
Россия