Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, отмечает значительный рост активности криминальных групп, работающих по схеме «Мамонт» против жителей России и стран СНГ. Эксперты компании насчитали этой осенью 16 активных крупных скам-групп, в составе которых действуют более 20 тыс. человек. Общий ущерб от действий злоумышленников по схеме «Мамонт» во всех странах с 2021 года превысил 8,6 млрд рублей. Аналитики F.A.C.C.T. связывают растущую активность «Мамонта» с развитием мошеннических сервисов, а также их интеграцией с другими преступными схемами.

Специалисты департамента киберразведки компании F.A.C.C.T. летом и осенью 2024 года зафиксировали многочисленные атаки на российских и белорусских владельцев Android-устройств с использованием вредоносного программного обеспечения — CraxsRAT. Злоумышленники распространяли ВПО в мессенджерах под видом легитимных обновлений мобильных приложений популярных сервисов и госучреждений: Госуслуги, Минздрав, Минцифры России, Центральный Банк РФ, а также операторов связи или популярных антивирусов. Судя по всему, троян активно используется как финансово мотивируемыми группами, так и теми, чей целью является кибершпионаж.

Компания F.A.C.C.T., ведущий разработчик решений в сфере информационной безопасности, и ООО «САВРУС» объявляют заключении партнерского соглашения и старте разработки интеграции платформы киберразведки F.A.C.C.T. Threat Intelligence с системой мониторинга и корреляции событий информационной безопасности (SIEM) САВРУС. Интеграция систем повысит уровень защиты и установит новые стандарты в области быстрого обнаружения и реагирования на угрозы.

Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, отмечает 50% рост числа эмитированных банками Беларуси платёжных карт, реквизиты которых опубликованы злоумышленниками. За год система киберразведки F.A.C.C.T. Threat Intelligence обнаружила 3040 реквизитов скомпрометированных карт белорусских банков, размещённых злоумышленниками в мессенджерах, на форумах или в кардшопах в даркнете. По данным F.A.C.C.T., в «паблике» видны лишь около 10% от общего числа скомпрометированных карт, остальные используются непосредственно для хищения денежных средств в мошеннических схемах или проведения сложных и масштабных атак. Об этом аналитик F.A.C.C.T. Threat Intelligence Владислав Куган заявил сегодня на международном форуме «БАНКИТ-2024» в Минске.

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, выпустила первое подробное исследование группировки «двойного назначения» Shadow/Twelve, активно атакующей российские организации. В отчете «Тени не скроются: Расследование атак группировки Shadow» эксперты Лаборатории цифровой криминалистики F.A.C.C.T. изучили десятки атак вымогателей Shadow, Comet, DARKSTAR и хактивистов Twelve, и детально изложили технические детали, на основании которых прослеживается тесная связь этих группировок.

По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и по состоянию на сентябрь 2024 года, было обнаружено более 500 вредоносных писем атакующего.

Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности. 

20 сентября специалисты F.A.C.C.T. Threat Intelligence обнаружили вредоносный файл «17_09_2024.msc», в процессе выполнения которого жертве демонстрировался интересный документ-приманка. Речь о письме Минтруда РФ директорам предприятий оборонно-промышленного комплекса. Изучая приманку, специалисты предположили, что за атакой с использованием этого файла стоит группа кибершпионов  Sticky Werewolf — весной этого года они уже использовали похожий документ. Однако совокупность TTP и инфраструктурные особенности указывали на то, что первоначальная гипотеза могла быть ошибочной, а на самом деле за атакой стоит совершенно другой злоумышленник. В настоящий момент эксперты F.A.C.C.T. отслеживают эту активность под именем MimiStick. Подробностями поделились Артем Грищенко, ведущий специалист по анализу вредоносного кода, F.A.C.C.T., и Алена Шандер, аналитик группы исследования сложных угроз, F.A.C.C.T.

Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый необычный способ доставки майнера Xmrig —  вредоносного ПО, предназначенного для скрытой добычи криптовалют —  при помощи настроенных автоматических ответов почтового адреса. Рассылка autoreply-писем велась с скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.

Не так давно аналитики ЦК обратили внимание на волну однотипных вредоносных рассылок по российским компаниям — маркетплейсам, ритейлу, финансовым и страховым компаниям. Всего с конца мая было зафиксировано около 150 подобных писем.

Российские компании — F.A.C.C.T. и «Инновационные Технологии в Бизнесе» — объявили сегодня о технологической интеграции системы мониторинга и корреляции событий информационной безопасности Security Capsule SIEM (SC SIEM) с системой киберразведки F.A.C.C.T. Threat Intelligence. Техническое сотрудничество предоставит пользователям SC SIEM более глубокий проактивный подход к защите от актуальных киберугроз, обнаружению сложных целевых атак.

Весной этого года эксперты F.A.C.C.T. впервые рассказали о новой группе кибершпионов PhantomCore, атакующих российские организации с начала 2024 года. Группировка получила своё название по имени их уникального трояна удаленного доступа PhantomRAT.

За относительно короткое время, прошедшее с момента нашей последней публикации об обнаружении ранее неизвестного загрузчика PhantomDL, злоумышленники успели переписать свой троян удаленного доступа  PhantomRAT с языка программирования C# на Go, обогатив его дополнительными командами; разработали PhantomDL 3 версии (v.3), а затем выпустили еще одну версию (v.4), которую частично дополнили возможностями PhantomRAT.

В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года. В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали. До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.

Крупнейший распространитель всероссийских государственных лотерей «Столото» и компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, в первом полугодии 2024 года обнаружили и заблокировали 3 491 мошеннических ресурса, которые действовали под видом популярных государственных лотерей, в том числе нелегально использовали бренд «Столото». Из них 2 962 пришлось на мошеннические сайты, 343 — на фейковые посты, аккаунты и группы в соцсетях, еще 35 – на сообщения в мессенджерах и 151 – на лжемобильные приложения. Этот показатель демонстрирует снижение мошеннической активности относительно аналогичного периода 2023 года на 53% и на 81,3% – относительно первых шести месяцев 2022 года.

Есть ли у злоумышленников выходные и почему они переходят с Gmail на российские почтовые сервисы? На эти и другие вопросы есть ответы у специалистов Центра кибербезопасности F.A.C.C.T. Они проанализировали почтовые рассылки с ВПО за второй квартал 2024 года и выделили такие закономерности.

В апреле – июне фишинговые письма чаще всего отправлялись по четвергам, в 97% обнаруженных рассылок вредоносные программы были спрятаны во вложениях, в качестве бесплатных почтовых сервисов злоумышленники все чащи используют российские, а программы-шифровальщики использовались в качестве основной вредоносной нагрузки.

В ходе анализа недавней атаки кибершпионов XDSpy, направленной на российскую и приднестровскую компании, был обнаружен еще один инструмент, получивший название XDSpy.CHMDownloader. Напомним, что 26 июля злоумышленниками было отправлено письмо с темой: “Договоренности, по поручению начальника”. В этот же день на платформу VirusTotal были загружены RAR-архивы через Web-интерфейс из России и Молдовы, предположительно, организации из этих стран и были целями рассылок.

Специалисты F.A.C.C.T. Threat Intelligence зафиксировали в июле 2024 новые атаки кибершпионской группировки XDSpy, направленные на российские компании. Так, например, XDSpy рассылает фишинговые электронные письма, содержащие ссылку на загрузку RAR-архива, в котором находятся легитимный исполняемый файл с расширением .exe и вредоносная динамически подключаемая библиотеку msi.dll. Для запуска данной библиотеки злоумышленники используют технику DLL Side-Loading. Вредоносная динамически подключаемая библиотека представляет собой загрузчик, отвечающий за загрузку и запуск файла полезной нагрузки, классифицируемый нами как XDSpy.DSDownloader. На момент исследования файл полезной нагрузки был недоступен.

С начала 2024 года аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, государственные учреждения и банки в России и Беларуси.  Целью этих рассылок была кража данных и получение доступа к внутренним системам организаций. Аналитики департамента Threat Intelligence тщательно изучили содержимое рассылок и атрибутировали эти атаки к группе ТА558.

Эксперты F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, назвали точное число баз данных российских компаний, впервые выложенных в публичный доступ в первом полугодии 2024 года — 150. Для сравнения: за аналогичный период прошлого года их было 119. Около 30% от общего числа утечек в 2024 году составили базы данных компаний, специализирующихся на розничной онлайн-торговле.

Сегодняшний глобальный сбой устройств на базе ОС Windows как флэшбек эпидемии шифровальщиков NotPetya и BadRabbit в 2017 году: те же мертвые экраны, коллапс в аэропортах, банках, на железнодорожных вокзалах, биржах и телеканалах. Прошлогодний мем, на котором крупнейший дисплей MSG Sphere в Лас-Вегасе показывает «синий экран смерти», похоже, оказался пророческим.

Ozon, ведущая e-commerce-платформа в России, и компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, в первом полугодии 2024 г. заблокировали 9 341 скам-ресурсов и 3 621 фишинговых сайтов, которые пытались использовать бренд маркетплейса для обмана пользователей. Основными видами мошенничества, с которыми чаще всего сталкивались специалисты, стали интернет-аферы с фейковыми розыгрышами от имени маркетплейса, фишинговые страницы авторизации, покупки или возврата товара. Главный способ продвижения мошеннических сайтов в этом году — это реклама в мессенджерах и соцсетях.

В новом блоге специалисты компании F.A.C.C.T. рассказывают о текущих угрозах для российских компаний от злоумышленника VasyGrek, анализируют его активность на форумах, а также связь с разработчиком вредоносного ПО Mr.Burns, который продает свои разработки, основывающиеся на использовании легитимных инструментов удаленного управления системой. Авторы описывают актуальную вариацию инструмента BurnsRAT, а также информацию о его разработчике — Mr.Burns.