Эксперты Threat Intelligence компании F.A.C.C.T. обнаружили новые атаки кибершпионской группы Sticky Werewolf. Одно из писем, перехваченных системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR, было отправлено от имени Минстроя России. В сообщении говорится о якобы изменениях в приказе Министра обороны №80 от 2020 года об оснащении объектов техническими средствами охраны. 

Судя по заголовкам письма, еще одной вероятной целью атакующих должен был стать российский научно-исследовательский институт, занимающийся проблемами микробиологии, в том числе разработкой вакцин.

Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников на российские компании. В этом посте эксперты F.A.C.C.T. называют инструменты и список адресов, которые использовались злоумышленниками в атаках, начиная с февраля 2023 года.

Центр кибербезопасности F.A.C.C.T. зафиксировал новую активность трояна DarkWatchman RAT. На этот раз злоумышленники пытались атаковать российские компании под видом фейковой почтовой рассылки от популярной курьерской службы доставки Pony Express.

Эксперты департамента Threat Intelligence (Киберразведка) и Центра кибербезопасности компании F.A.C.C.T. предупреждают о новых атаках кибершпионской группы XDSpy.

Вчера, 22 ноября, были обнаружены вредоносные рассылки, нацеленные на почту одного из российских металлургических предприятий, а также НИИ, занимающийся разработкой и производством управляемого ракетного оружия.

Новая группа вымогателей, называющая себя Werewolves (оборотни), с июня 2023 года активно атакует российские компании, требуя за расшифровку и непубликацию украденных данных выкуп в размере от $130 000 до $1 млн. "Лям зеленых" преступники готовы платить инсайдерам за компрометирующую информацию о компании и ее топ-менеджерах.

Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. обнаружили новую преступную группу вымогателей Werewolves . Злоумышленники создали собственный DLS-сайт на русском и английском языках, где выкладывают данные об атакованных компаниях.

Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, зафиксировала резкий рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В третьем квартале 2023 года количество подобных писем в 11 раз превысило показатели аналогичного периода прошлого года. Самыми популярными подменными буквами у киберпреступников стали — Е, О, С, А.

Недавно мы рассказывали про массовый угон аккаунтов популярных мессенджеров — решения F.A.C.C.T. в 2023 году выявили около 1900 фишинговых страниц, предназначенных для кражи учетных записей в мессенджере Telegram, и более 170 —  для “угона” аккаунтов в WhatsApp.

Параллельно появились новости про запрет на использование в российских ведомствах и госкомпаниях популярных зарубежных смартфонов и мобильных приложений для передачи конфиденциальных данных.

На этом фоне задача создать продукт, который защищает корпоративные данные настолько хорошо, насколько это вообще возможно, выглядит хотя и злободневной, но немного фантастичной идеей. Возможно ли вообще такое? Оказывается, да.

После нашей недавней публикации о взаимосвязи двух преступных группировок, атакующих крупный российский бизнес, — Twelve и Shadow, последняя провела ребрендинг. Теперь бюджеты российских компаний киберпреступники "чистят" под названием Comet (C0met).

Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, и Координационный центр доменов .RU/.РФ подписали соглашение о сотрудничестве. Документ подтверждает компетенции команды мониторинга и реагирования на инциденты информационной безопасности F.A.C.C.T. (далее — CERT-F.A.C.C.T.) по оперативной блокировке в Рунете ресурсов, откуда идет управление бот-сетями, распространение вредоносных программ или фишинга. Аналогичные соглашения были заключены с регулятором домена .su АНО "Росниирос" и Центром взаимодействия компьютерных сетей "МСК-IX". 

CERT (Computer Emergency Response Team) — общепринятое название команд реагирования на инциденты информационной безопасности. Первый CERT появился в США в 1988 для локализации сетевого вируса — «Червя Моррисона», парализовавшего работу  6 000 интернет-узлов. Позднее подобные команды «компьютерного спецназа» стали создаваться по всему миру при университетах, IT-компаниях или государственных агентствах. 

Ozon, ведущая e-commerce -платформа в России, и компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, в первом полугодии 2023 г. заблокировали почти 11 500 фишинговых ресурсов, которые использовали бренд маркетплейса для обмана покупателей и продавцов. Основными видами мошенничества стали фишинговые сайты с оплатой покупки и доставки товаров, порталы, предлагающие подработку и высокий заработок, а также фейковые сообщения и отдельные каналы в мессенджерах и соцсетях с розыгрышами опросами от имени маркетплейса. 

В 2023 году аналитики F.A.C.C.T. отмечают спад активности мошенников. Например, количество обнаруженных и нейтрализованных скам-порталов за 6 месяцев составило 498, тогда же, как за аналогичный период 2022 года было заблокировано 16 967 сайтов. Число ликвидированых постов и групп в соцсетях и мессенджерах в текущем году составило 161, тогда как в прошлом году их было 611. 

В то же время, фишинг все еще представляет опасность для пользователей — всего за первые 6 месяцев 2023 г. было заблокировано 11 493 фишинговых ресурса, что в 100 раз больше показателей за аналогичный период прошлого года. Около 3500 нейтрализованных доменов участвовали в мошеннической схеме, когда под предлогом покупки несуществующего товара у жертвы похищали деньги и данные с карт. 

Среди многочисленных вымогателей, атакующих российский бизнес, наиболее изощренной является молодая, но довольно амбициозная группа — Shadow. Тщательно готовясь к проведению каждой атаки, похищая конфиденциальные данные и полностью шифруя инфраструктуру жертвы, хакеры рассчитывают на солидный по российсикм меркам выкуп в размере 140-190 млн рублей и очень не любят, когда добыча ускользает у них из-под носа.

После того, как во время недавнего реагирования специалисты F.A.C.C.T. совместно со ИБ-специалистами одной крупной организации успешно отбили атаку Shadow, вымогатели в отместку организовали мощную DDoS-атаку на веб-сайт несостоявшейся жертвы. И это неудивительно. Исследуя атаки Shadow, эксперты компании F.A.C.C.T. обнаружили их связи с хактивистами из группы Twelve и сделали выводы  том, что это одна хак-группа с общими инструментами, техниками, а иногда и сетевой инфраструктурой. 

Сегодня мы расскажем об одном из успешных кейсов с импортозамещением. Для защиты корпоративной почты от киберугроз «Азбука вкуса» ранее использовала технологии иностранного вендора, но отказалась от них в пользу российской разработки. Решение F.A.C.C.T. Business Email Protection было внедрено в марте 2022 года и за это время было заблокировано более 40 000 вредоносных почтовых рассылок, направленных сотрудникам «Азбуки вкуса».

Центр кибербезопасности F.A.C.C.T. зафиксировал кибератаку, нацеленную на крупную российскую страховую компанию.  Под видом зашифрованного архива с итогами фейкового тендера от Минобороны злоумышленники распространяли троян DarkWatchman RAT. До этого он был замечен в кампаниях финансово-мотивированной группы Hive0117, в том числе в массовой рассылке по российским компаниям лже-повесток в мае этого года.

18 июля автоматизированная система защиты электронной почты Business Email Protection от F.A.С.С.T. зафиксировала и заблокировала  почтовую рассылку вредоносного письма, распространяемого под видом информации о выигранном тендере на заключение договора ОСАГО для Минобороны.  Для выполнения условий тендера компании якобы требовались подрядчики. 

XDSpy —  одна из самых таинственных и острожных кибершпионских групп. Впервые ее засек в феврале 2020 года белорусский CERT, хотя сама группа активна как минимум с 2011 года. Большинство целей XDSpy находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании. И несмотря на это международные специалисты так и не определились, в интересах какой страны работает эта группировка. А XDSpy с завидной регулярностью появляется на радарах.

Во вторник, 11 июля, Центр кибербезопасности F.A.C.C.T. сообщил о том, система для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR задетектила вредоносную рассылку. Системе потребовалось всего пару минут, чтобы "сдетонировать" вредоносную нагрузку и извлечь индикаторы, по которым удалось атрибутировать атаку к шпионской группе XDSpy. Среди вероятных целей хакеров оказались несколько российских компаний и организаций, и один из известных научно-исследовательских институтов. 

Центр кибербезопасности F.A.C.C.T. зафиксировал массовую рассылку вредоносных писем, нацеленную на российские промышленные, транспортные и IT-компании. В письмах, перехваченных 9 июля автоматизированной системой защиты электронной почты F.A.С.С.T. Business Email Protection, получателям предлагают использовать приложение CryptoBOSS для работы с криптовалютой и VPN.

Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, объявляет о создании круглосуточного Центра кибербезопасности — ЦК F.A.С.С.T.(Cyber Defence Center). Целью новой структуры является непрерывное реагирование в режиме 24/7 на сложные кибератаки и проактивное обнаружения угроз на фоне растущего количества инцидентов информационной безопасности у российских компаний — банков, операторов связи и IT-корпораций, ритейла, промышленных предприятий и объектов ТЭК. 

Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, и компания «Инферит», отечественный производитель компьютерной техники и серверов, объявляют об успешном завершении совместных технических испытаний. Решения, входящие в состав флагманского комплекса для проактивного поиска и защиты от сложных киберугроз F.A.C.C.T. Managed XDR, получили сертификат, подтверждающий совместимость и корректность работы с серверами «Инферит Техника». 

В июне этого года компания «Инферит» (ГК Softline) — объявила о расширении продуктового портфеля: в линейке производителя уже представлены компьютерная техника и серверное оборудование, системное ПО, облачные решения и сервисы. Для оптимальной защиты данных и бизнес-процессов своих российских клиентов «Инферит» уделяет повышенное внимание безопасности оборудования. Недавно проведенное тестирование продемонстрировало корректную интеграцию продуктов F.A.C.C.T. с серверами «Инферит Техника». 

Сотрудники МВД России при поддержке специалистов компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, вычислили и задержали группу мошенников «Jewelry Team». На протяжении полутора лет злоумышленники похищали деньги у россиян, решивших воспользоваться популярным-сервисом поиска попутчиков. 

По данным следствия, начиная с сентября 2021 года участники группы, назвавшие себя «Jewelry Team», размещали на онлайн-сервисе совместных поездок фейковые объявления от имени водителей. Тем, кто откликнулся, предлагали продолжить общение не на сайте, а в мессенджере. Жертве скидывали ссылку на фишинговый ресурс (например, такой: blablacari[.]com) и просили перевести предоплату, чтобы забронировать место в машине. 

В итоге мошенники получали не только «задаток» в размере от 500 до 1500 рублей, но и данные банковской карты, и могли уже сами списать деньги со счета жертвы. Так, у жителя Саратова с карты похитили 30 000 рублей, а у обманутого кировчанина пытались вывести более 3 млн рублей, однако перевод был вовремя заблокирован банком. 

В августе 2022 года по просьбе полицейских специалисты департамента исследования высокотехнологичных преступлений компании F.A.С.С.T проанализировали переписку одного из воркеров группы с Telegram-ботом и, используя систему Threat Intelligence (Киберразведка), проследили историю развития группы, исследовали ее инфраструктуру и установили ее участника. 

Лучшие друзья жуликов — бриллианты

Группа «Jewelry Team» была создана в январе 2021 года. Ее основателями, вероятнее всего, были выходцы из старой скам-команды  «HAUNTED FAMILY». По другой версии, «Jewelry Team» могла быть самостоятельным подразделением этой большой команды, о чем свидетельствует «партнерская» реклама в группе. 

Одна успешная кибератака может остановить производственные процессы и нанести огромный финансовый ущерб. После атаки группы REvil на крупнейшего производителя мяса в мире, корпорацию JBS, — преступники потребовали у жертвы $70 млн за расшифровку данных. Основными киберугрозами для предприятий российского АПК в 2023 году, по данным F.A.С.С.T., являются атаки программ-вымогателей, почтовые рассылки вредоносного ПО, компрометация доступов в корпоративные сети и утечки баз данных компаний.

ГК «Агропромкомплектация» и компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, подписали соглашение о сотрудничестве в сфере кибербезопасности. Отечественные разработки компании F.A.С.С.T для проактивного поиска и защиты от сложных и неизвестных киберугроз уже развернуты в инфраструктуре предприятия.

Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв этих шифровальщиков по всему миру находятся в РФ — 21 компания. Вымогатели требуют выкуп до $100 000 (до 8 млн рублей) за расшифровку данных атакованной компании, но при этом не похищают информацию и не шифруют файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.