Фонд развития результативной кибербезопасности Сайберус и ведущий разработчик в сфере информационной безопасности F.A.C.C.T. объявляют о том, что Сайберус совместно с частными инвесторами создают новую ИБ-компанию. Компания сфокусируется на разработке новой линейки технологий для предотвращения и расследования киберпреступлений на основе решений и сервисов F.A.C.C.T.
Решение Managed XDR от компании F.A.C.C.T. защитит пользователей РЕД ОС от сложных и неизвестных киберугроз
Компании «РЕД СОФТ» и F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, сообщают об успешном завершении тестирования на совместимость операционной системы РЕД ОС и решения F.A.С.С.T. Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз. Продукты продемонстрировали стабильную и корректную работу и могут внедряться в ИТ-инфраструктуру заказчика, повышая защищенность цифровой инфраструктуры и готовность к оперативному реагированию на инциденты.
Скам от первого лица: F.A.C.C.T. зафиксировал использование дипфейков Дональда Трампа в криптомошенничестве
Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, отмечает использование дипфейков Дональда Трампа после его победы на президентских выборах в США в рекламе фейковых крипторесурсов. Кроме Трампа, в списке популярных образов у мошенников фигурируют миллиардер Илон Маск, американский журналист Такер Карлсон, сооснователь блокчейн-платформы Ethereum Виталий Бутерин, футболист Криштиану Роналду, модель Ким Кардашьян. Учитывая рост курса биткоина и появление новых мошеннических ресурсов, риски инвесторов вложиться «не туда» довольно высоки: только одна из крупных команд криптоскамеров за 13 месяцев похитила у жертв более $16 млн.
Осеннее обострение: прогосударственные хакерские группы атакуют российские предприятия, связанные с СВО
Осенью 2024 года специалисты F.A.C.C.T. Threat Intelligence зафиксировали большое количество кибератак прогосударственных APT-групп на российские организации, имеющие непосредственное отношение к СВО: воинские части, предприятия ОПК и фонды поддержки участников СВО. Наиболее активными APT-группами были Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas. В новом блоге проанализированы атаки группировок и раскрыта информация об обновлениях в тактиках, техниках и процедурах (TTPs).
Ключевые выводы исследования:
Куда летят Telegramы: угонщики аккаунтов в мессенджерах могут зарабатывать до 2 500 000 рублей в месяц
Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, исследовала работу фишинговых веб-панелей, в которых создаются фишинговые страницы для угона аккаунтов русскоязычных пользователей в популярных мессенджерах Telegram и WhatsApp. По данным аналитиков CERT-F.A.C.C.T., только с помощью одной панели в первом полугодии 2024 года было создано не менее 900 ресурсов для кражи учетных записей, а прибыль участника криминальной схемы с угоном аккаунтов в популярных мессенджерах может достигать 2 500 000 рублей в месяц.
Истории
Заразное приложение: фейки под сотовых операторов, коммунальные платежи и OnlyFans потеснили APK-подделки банков
Специалисты департамента Fraud Protection компании F.A.C.C.T. проанализировали список из 455 приманок, с помощью которых злоумышленники распространяют в мессенджерах вредоносное ПО под видом легитимных обновлений мобильных Android-приложений.
В итоге получился рейтинг наиболее популярных фейков государственных приложений и сервисов, которые используют атакующие для заражения пользователей:
Агент ушёл чёрным ходом: F.A.C.C.T. зафиксировал новых лидеров в почтовых рассылках вредоносного ПО
Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, отмечает новые тенденции во вредоносных рассылках. На первое место среди вредоносных начинок фишинговых писем вырвался стилер Formbook — его доля в рассылках увеличилась в 4 раза. Прежний лидер, AgentTesla, откатился сразу на третью позицию, а вторую строчку заняло малоизвестное ВПО DarkGate. Примечательно, что в фишинговых письмах уже практически не встретишь ссылки — в 82% вложений находится архив, а для доставки ВПО злоумышленники чаще стали использовать офисные документы.
Cбрендили: 80% создаваемых фейковых ресурсов маскируются под известные бренды
Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, зафиксировала в первом полугодии 2024 года значительный рост фишинговых ресурсов, использующих бренды известных финансовых организаций — на 48,3% по сравнению с тем же периодом прошлого года. В сфере электронной коммерции — рост фишинга на 33,7%. Аналитики F.A.C.C.T. связывают тенденцию с развитием мошеннических партнёрских программ, автоматизацией криминального бизнеса и применением искусственного интеллекта.
«Мамонт» штурмует банки: мошенники атакуют клиентов финансовых организаций
Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, отмечает значительный рост активности криминальных групп, работающих по схеме «Мамонт» против жителей России и стран СНГ. Эксперты компании насчитали этой осенью 16 активных крупных скам-групп, в составе которых действуют более 20 тыс. человек. Общий ущерб от действий злоумышленников по схеме «Мамонт» во всех странах с 2021 года превысил 8,6 млрд рублей. Аналитики F.A.C.C.T. связывают растущую активность «Мамонта» с развитием мошеннических сервисов, а также их интеграцией с другими преступными схемами.
Крысиный король: Android-троян CraxsRAT ворует данные пользователей под видом мобильных приложений госучреждений
Специалисты департамента киберразведки компании F.A.C.C.T. летом и осенью 2024 года зафиксировали многочисленные атаки на российских и белорусских владельцев Android-устройств с использованием вредоносного программного обеспечения — CraxsRAT. Злоумышленники распространяли ВПО в мессенджерах под видом легитимных обновлений мобильных приложений популярных сервисов и госучреждений: Госуслуги, Минздрав, Минцифры России, Центральный Банк РФ, а также операторов связи или популярных антивирусов. Судя по всему, троян активно используется как финансово мотивируемыми группами, так и теми, чей целью является кибершпионаж.
F.A.C.C.T. объявляет об интеграции Threat Intelligence с SIEM-системой САВРУС
Компания F.A.C.C.T., ведущий разработчик решений в сфере информационной безопасности, и ООО «САВРУС» объявляют заключении партнерского соглашения и старте разработки интеграции платформы киберразведки F.A.C.C.T. Threat Intelligence с системой мониторинга и корреляции событий информационной безопасности (SIEM) САВРУС. Интеграция систем повысит уровень защиты и установит новые стандарты в области быстрого обнаружения и реагирования на угрозы.
Карты сокровищ: F.A.C.C.T. зафиксировал 50% рост публикаций данных скомпрометированных карт белорусских банков
Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, отмечает 50% рост числа эмитированных банками Беларуси платёжных карт, реквизиты которых опубликованы злоумышленниками. За год система киберразведки F.A.C.C.T. Threat Intelligence обнаружила 3040 реквизитов скомпрометированных карт белорусских банков, размещённых злоумышленниками в мессенджерах, на форумах или в кардшопах в даркнете. По данным F.A.C.C.T., в «паблике» видны лишь около 10% от общего числа скомпрометированных карт, остальные используются непосредственно для хищения денежных средств в мошеннических схемах или проведения сложных и масштабных атак. Об этом аналитик F.A.C.C.T. Threat Intelligence Владислав Куган заявил сегодня на международном форуме «БАНКИТ-2024» в Минске.
Что скрывается в тени: F.A.С.С.T. проанализировал атаки вымогателей Shadow/Twelve на российские компании
Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, выпустила первое подробное исследование группировки «двойного назначения» Shadow/Twelve, активно атакующей российские организации. В отчете «Тени не скроются: Расследование атак группировки Shadow» эксперты Лаборатории цифровой криминалистики F.A.C.C.T. изучили десятки атак вымогателей Shadow, Comet, DARKSTAR и хактивистов Twelve, и детально изложили технические детали, на основании которых прослеживается тесная связь этих группировок.
Эксперты F.A.C.C.T. предупредили об атаках Narketing163 на российские компании
По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и по состоянию на сентябрь 2024 года, было обнаружено более 500 вредоносных писем атакующего.
Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.
Ближайшие события
Липкий клон: MimiStick — подражатели или эволюция Sticky Werewolf
20 сентября специалисты F.A.C.C.T. Threat Intelligence обнаружили вредоносный файл «17_09_2024.msc», в процессе выполнения которого жертве демонстрировался интересный документ-приманка. Речь о письме Минтруда РФ директорам предприятий оборонно-промышленного комплекса. Изучая приманку, специалисты предположили, что за атакой с использованием этого файла стоит группа кибершпионов Sticky Werewolf — весной этого года они уже использовали похожий документ. Однако совокупность TTP и инфраструктурные особенности указывали на то, что первоначальная гипотеза могла быть ошибочной, а на самом деле за атакой стоит совершенно другой злоумышленник. В настоящий момент эксперты F.A.C.C.T. отслеживают эту активность под именем MimiStick. Подробностями поделились Артем Грищенко, ведущий специалист по анализу вредоносного кода, F.A.C.C.T., и Алена Шандер, аналитик группы исследования сложных угроз, F.A.C.C.T.
Вредоносный ответ: эксперты ЦК F.A.C.C.T. обнаружили необычный способ рассылки майнера
Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый необычный способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой добычи криптовалют — при помощи настроенных автоматических ответов почтового адреса. Рассылка autoreply-писем велась с скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.
Не так давно аналитики ЦК обратили внимание на волну однотипных вредоносных рассылок по российским компаниям — маркетплейсам, ритейлу, финансовым и страховым компаниям. Всего с конца мая было зафиксировано около 150 подобных писем.
Система F.A.C.C.T. Threat Intelligence интегрирована с Security Capsule SIEM
Российские компании — F.A.C.C.T. и «Инновационные Технологии в Бизнесе» — объявили сегодня о технологической интеграции системы мониторинга и корреляции событий информационной безопасности Security Capsule SIEM (SC SIEM) с системой киберразведки F.A.C.C.T. Threat Intelligence. Техническое сотрудничество предоставит пользователям SC SIEM более глубокий проактивный подход к защите от актуальных киберугроз, обнаружению сложных целевых атак.
Эволюция призрака: новые атаки и инструменты кибершпионов PhantomCore
Весной этого года эксперты F.A.C.C.T. впервые рассказали о новой группе кибершпионов PhantomCore, атакующих российские организации с начала 2024 года. Группировка получила своё название по имени их уникального трояна удаленного доступа PhantomRAT.
За относительно короткое время, прошедшее с момента нашей последней публикации об обнаружении ранее неизвестного загрузчика PhantomDL, злоумышленники успели переписать свой троян удаленного доступа PhantomRAT с языка программирования C# на Go, обогатив его дополнительными командами; разработали PhantomDL 3 версии (v.3), а затем выпустили еще одну версию (v.4), которую частично дополнили возможностями PhantomRAT.
Многоликий ransom: кто стоит за атаками вымогателей Nokoyawa и INC Ransom
В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года. В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали. До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.
«Столото» и F.A.C.C.T. заблокировали почти 3,5 тыс. мошеннических ресурсов в I полугодии 2024 года
Крупнейший распространитель всероссийских государственных лотерей «Столото» и компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, в первом полугодии 2024 года обнаружили и заблокировали 3 491 мошеннических ресурса, которые действовали под видом популярных государственных лотерей, в том числе нелегально использовали бренд «Столото». Из них 2 962 пришлось на мошеннические сайты, 343 — на фейковые посты, аккаунты и группы в соцсетях, еще 35 – на сообщения в мессенджерах и 151 – на лжемобильные приложения. Этот показатель демонстрирует снижение мошеннической активности относительно аналогичного периода 2023 года на 53% и на 81,3% – относительно первых шести месяцев 2022 года.