• Cassandra: криптор, который любит держаться в тени

      Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и на этот раз. Внутри архива находился исполняемый файл Cassandra Crypter — популярный криптор, полезной нагрузкой которого могут выступать различные семейства вредоносного программного обеспечения. Алексей Чехов, аналитик CERT-GIB, рассказывает, как Cassandra проникает на компьютер жертвы и приводит с собой других незваных гостей.

      Читать далее
    • Артем Артемов: «Компьютерная криминалистика — это чистый дофамин»

        С ноября прошлого года я руковожу Лабораторией компьютерной криминалистики в нашем европейском офисе в Амстердаме.  Моя основная задача как компьютерного криминалиста — исследование цифровых носителей. Ноутбуки, смартфоны, диски, флешки… все, что угодно. Даже умный холодильник, подключенный к интернету, тоже оставляет цифровые следы. Вот вы можете не знать, как за вами следят потихоньку, что вы едите. Проще говоря, наша задача — найти улики, следы преступников в цифровом мире. Если раньше криминалистика занималась расследованием преступлений в материальном мире — офлайне: эксперты снимали отпечатки пальцев, анализировали следы пепла или пороха, образцы тканей и так далее, то в век развития информационных технологий появилось новое направление. Теперь мы ищем цифровые «отпечатки» в киберпространстве. Мы - киберкриминалисты.

        Читать далее
        • –3
        • 3,3k
        • 7
      • Билет в никуда: Group-IB зафиксировала рост мошеннических ресурсов по продаже железнодорожных и авиабилетов

          Накануне майских праздников от мошенников нет покоя ни на земле, ни в воздухе. Ну, и в Интернете само-собой. После того, как Владимир Путин в конце апреля объявил выходными дни с 1 по 10 мая CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB) зафиксировал всплеск мошенничества в интернете, связанного с продажей авиа и железнодорожных билетов. "Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используют социальную инженерию для привлечения потенциальных жертв", — говорит Ярослав Каргалев, заместитель руководителя CERT-GIB. Эксперты призывают пользователей быть внимательнее при покупке билетов онлайн — полезные рекомендации в конце статьи.

          Читать далее
          • –2
          • 1,2k
          • 1
        • Бег по граблям: 10 «уязвимостей» компьютерного криминалиста

            Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), — "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.

            Читать далее
          • Group-IB обнаружила фишинг-киты, нацеленные на 260 брендов

              Команда CERT-GIB (Центр мониторинга и реагирования на инциденты информационной безопасности Group-IB) проанализировала инструменты для создания фишинговых страниц, так называемые, фишинг-киты, и выяснила, что в 2020-м году с их помощью фишинговые сайты чаще всего создавались под различные онлайн-сервисы (онлайн-шоппинг, онлайн-кинотеатры и др.), электронную почту, а также под финансовые организации. Суммарно Group-IB обнаружила фишинг-киты, нацеленные свыше чем на 260 уникальных брендов в России и за рубежом.

              Фишинг-кит — это набор готовых инструментов для создания и запуска фишинговых веб-страниц, подделанных под сайт конкретной компании или нескольких сразу. Как правило, фишинг-киты продаются в даркнете, на специализированных форумах. С их помощью преступники, не обладающие глубокими навыками программирования, могут легко разворачивать инфраструктуру для масштабных фишинговых атак и быстро возобновлять ее работу в случае блокировки.  Исследователям по кибербезопасности фишинг-киты интересны прежде всего тем, что анализ одного такого «набора» позволяет разобраться в механизме реализации фишинговой атаки и установить, куда отправляются похищенные данные. Помимо этого, исследование фишинг-китов зачастую помогает обнаружить цифровые следы, ведущие к разработчикам такого «товара».

              Как и в 2019 году, главной мишенью фишеров были онлайн-сервисы (30.7%): похищая учетные данные пользовательских аккаунтов, злоумышленники получали доступ к данным привязанных банковских карт. Привлекательность почтовых сервисов для атак в прошлом году снизилась, а доля фишинг-китов, нацеленных на них, сократилась до 22.8%. Тройку замыкают финансовые учреждения, на которые приходится немногим более 20%. В 2020 году наиболее часто эксплуатируемыми в фишинговых наборах брендами были Microsoft, PayPal, Google и Yahoo.

              Читать далее
            • Почему грустит «Веселый Роджер»: аудитория интернет-пиратов растет, а их заработки снижаются

                Group-IB в шестой раз оценила рынок интернет-пиратства в России — в 2020 году он составил $59 млн, что на 7% ниже показателей 2019 года. Пираты так и не смогли восстановить базу видеоконтента после ликвидации «Большой тройки» CDN, потеряли на рекламе и вступили в борьбу за зрителя с легальными онлайн-кинотеатрами, нарастившими аудиторию в условиях пандемии.

                Читать далее
              • Охота на «Мамонта»: подробное исследование мошеннической схемы с фейковыми курьерскими сервисами

                  Поводом к началу этой работы послужил, можно так сказать, энтомологический интерес к активности мошенников, работающих по новой схеме с фейковой курьерской доставкой товаров, заказанных через интернет. Первое массовое использование в России схемы «Курьер», или «Мамонт» («мамонтом» на сленге мошенников называют жертву»), специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после обращений обманутых пользователей. Однако пик мошеннической активности пришелся на 2020 год в связи с пандемией, переходом на удаленку и увеличением спроса на 30%-40% на онлайн-покупки и, соответственно, услуги курьерской доставки. Если летом прошлого года CERT-GIB заблокировал 280 фишинговых ресурсов, эксплуатирующих тему курьерской доставки товаров, то к декабрю их количество выросло в 10 раз — до 3 000 сайтов. Евгений Иванов, руководитель группы по выявлению и реагированию на киберинциденты CERT-GIB, и Яков Кравцов, зам. руководителя отдела спецпроектов Департамента защиты от цифровых рисков Group-IB, рассказывают, как разоблачали схему «Мамонт» и как с ней бороться.

                  Читать далее
                • Мастера перевоплощений: охотимся на буткиты

                    Прогосударственые хакерские группы уже давно и успешно используют буткиты — специальный вредоносный код для BIOS/UEFI, который может очень долго оставаться незамеченным, контролировать все процессы и успешно пережить как переустановку ОС, так и смену жесткого диска. Благодаря тому, что подобные атаки сложно выявить (вендорам ИБ удалось лишь дважды самостоятельно обнаружить такие угрозы!), наблюдается рост интереса к подобному методу заражения компьютеров и среди финансово мотивированных преступников — например, операторов TrickBot. Семен Рогачев, специалист по исследованию вредоносного кода Group-IB, рассказывает как охотиться за подобными угрозами в локальной сети и собрать свой тестовый стенд с последним из обнаруженных UEFI-буткитов Mosaic Regressor. Бонусом - новые сетевые индикаторы компрометации, связанные с инфраструктурой Mosaic Regressor, и рекомендации по защите в соответствии с MITRE ATT&CK и MITRE Shield.

                    Читать далее
                    • +13
                    • 3,9k
                    • 9
                  • Киберугроза №1: рейтинг самых активных и жадных вымогателей

                      Шифровальщики фактически стали киберугрозой №1 как для бизнеса, так и для государственных органов: число успешных атак в прошлом году выросло более чем на 150% к 2019 году, а средний размер суммы выкупа увеличился более чем в два раза и составил в 2020 году $170 000, говорится в свежем отчете Group-IB «Программы-вымогатели 2020-2021 гг».

                      Самыми жадными вымогателями оказались группы Maze, DoppelPaymer и RagnarLocker — сумму выкупа, которые они требовали от жертвы, составляла в среднем от $1 000 000 до $2 000 000. В итоге, вдохновленные успехом киберкриминала в игру вступили даже прогосударственные хакерские группы, такие как Lazarus и APT27.

                      Читать далее
                    • Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам»



                        У нас новый проект: начиная с этого поста мы будем знакомить вас с профессиями и ведущими специалистами Group-IB, расскажем об их работе, исследованиях и кейсах, о том, как и где можно пройти обучение и, конечно, дадим ссылку на актуальные вакансии. Первый гость — Анастасия Тихонова, ее интервью мы даем прямой речью и, что называется, без купюр.
                        Читать дальше →
                      • Kremlin RATs: история одной мистификации

                          Этим постом мы начинаем двухсерийный технодетектив, в котором встретились "священная триада" доменов: putin, kremlin, crimea и "крысы" — программы удаленного доступа (RAT), а также шпион AgentTesla. Началась история с того, что в конце мая 2020 года сетевой граф Group-IB, наша автоматизированная система анализа инфраструктуры, начал детектировать домены с интересным паттерном *kremlin*.duckdns.org, к которым подключались различные вредоносные файлы. Аналитики Group-IB Threat Intelligence & Attribution исследовали эти домены и установили три кампании по распространению различных RAT. Они шли с 2019 года и были нацелены на пользователей из Польши, Турции, Италии, Украины, России, Казахстана, Болгарии, Беларуси, Греции и Чехии. В ходе расследования была установлена связь между обнаруженными доменами и остальной используемой инфраструктурой, а заодно и с конкретным человеком, который стоит за распространением AgentTesla и других вредоносных программ. Итак, обо всем по-порядку.

                          Читать далее
                        • Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»

                            С ноября 2020 года участились случаи похищения аккаунтов у популярных Telegram-каналов. Недавно эксперты CERT-GIB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (320 тысяч подписчиков). В той атаке использовался стилер Hunter, который Могутину прислали под видом рекламы образовательной платформы. Сам стилер нацелен на устройства под управлением ОС Windows, поэтому атакующие так настойчиво просили журналиста открыть архив на рабочем компьютере, а не с iPhone, чего он — и правильно — делать не стал. Hunter "умеет" автоматически собирать учетные записи на зараженном компьютере, затем отсылает их злоумышленнику и раньше его, к примеру, часто использовали для кражи учетных данных у игроков GTA. Никита Карпов, младший вирусный аналитик CERT-GIB, провел анализ вредоносного файла и раскрывает технические детали того, как хакеры пытались угнать Telegram-канал.

                            Читать далее
                          • Старый конь борозды не испортит: как стилер Pony крадет данные и где их потом искать

                              Если помните, недавно у нас выходила статья про молодой, но уже подающий надежды data stealer Loki. Тогда мы подробно рассмотрели этот экземпляр (версия 1.8), получили представление о работе бота и освоили инструмент, облегчающий реагирование на события, связанные с этим ВПО. Для более полного понимания ситуации, давайте разберем еще одно шпионское ПО и сравним исследованных ботов. Сегодня мы обратим внимание на Pony более старый, но не менее популярный экземпляр data stealer’а. Никита Карпов, аналитик CERT-GIB, расскажет, как бот проникает на компьютер жертвы и как вычислить похищенные данные, когда заражение уже произошло.

                              Читать дальше
                            • Социотехническое тестирование: какое лучше выбрать в 2021 году?



                                В интернете предостаточно статей о важности социотехнического тестирования. В них разбирается само понятие, методика, инструменты и почему так важно его проводить. Все просто: человек — слабое звено в системе защиты любой компании.

                                В этой статье команда департамента аудита и консалтинга Group-IB решила пойти дальше и поделиться своим опытом социотехнического тестирования, которое проводила в этом году. Расскажем, для каких целей использовать данный вид тестирования, какие форматы предпочитали компании, что лучше выбрать в следующем году, а также, каких результатов ждать.

                                Сразу предупреждаем, что текста получилось немало. Поэтому запасайтесь чаем, теплым свитером и любимой музыкой на фоне — перед вами новогоднее чтиво. Также, по нашей классике, спешим предупредить (внимание: дисклеймер), что все совпадения случайны, а читатель сам в праве думать, что в этих историях правда, а что — ложь.
                                Читать дальше →
                              • Три этюда о пиратском софте: как скачанная программа может втянуть вас в киберпреступление



                                  Случалось такое: надо срочно найти утилиту под специфическую задачу, например, «конвертер видео», но точного названия не знаешь и надо гуглить? Другие пытаются сэкономить и сразу используют установщик для пиратского софта. Перейдя по первой же ссылке в поисковой выдаче и обнаружив заветную кнопку Download, пользователь без особых раздумий запускает скачанный софт, даже не подозревая, какую опасность может скрывать обычный, на первый взгляд, файл. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассматривает три кейса, жертва которых могла стать «входными воротами» для вредоносной программы и даже случайным соучастником хакерской атаки. Помните: 23% пиратских ресурсов представляют опасность — содержат вредоносные программы либо присутствуют в «черных списках» антивирусных вендоров.
                                  Читать дальше →
                                • Обновки AgentTesla: командный центр в Telegram, TorProxy, стилер паролей и другие новые фичи


                                    Недавно мы писали про протектор, который скрывает вредоносную программу AgentTesla, заслуженного пенсионера на рынке вредоносного ПО. Однако AgentTesla и не думает уходить со сцены, своей популярностью он обязан в том числе постоянной поддержке продукта разработчиками — в этом году авторы AgentTesla снова обновили свой стилер. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассказывает о новых возможностях AgentTesla.
                                    Читать дальше →
                                  • След протектора: как киберпреступники прятали стилеры в презентации от «подрядчика МГУ»



                                      "Привет из МГУ. М.В.Ломоносов,
                                      Внимание: по рекомендации вашей компании мы выступаем в качестве подрядчика МГУ. М.В.Ломоносова под руководством доктора философских наук. Виктор Антонович Садовничий. Нам нужно ваше предложение по нашему бюджету на 2020 год (прилагается). Подайте заявку не позднее 09 ноября 2020 года. Спасибо и всего наилучшего
                                      ".

                                      Получатель этого странного послания, даже очень далекий от научных кругов, сразу обратит внимание на две вещи: как безграмотно оно написано, а, во-вторых, ректор МГУ может быть философом лишь по состоянию души — Виктор Антонович на самом деле доктор физико-математических наук, но никак не философских.

                                      СERT Group-IB подтвердил догадку — сентябрьские почтовые рассылки от имени руководства МГУ им. М.В. Ломоносова — фейковые, более того они несли «на борту» популярные вредоносные программы для кражи данных (Data Stealer) — Loki или AgentTesla . Однако сегодняшний пост не про них, а об одном незаметном помощнике — протекторе, которые защищает программы-шпионы от обнаружения. О том, какие техники использует этот протектор и как аналитикам удалось сквозь них добраться до исполняемого файла AgentTesla, рассказывает Илья Померанцев, руководитель группы исследований и разработки CERT-GIB .
                                      Читать дальше →
                                      • +13
                                      • 4,2k
                                      • 1
                                    • Крошка Енот: как операторы JS-сниффера FakeSecurity распространяли стилер Raccoon



                                        Летом 2020 года специалисты Group-IB обратили внимание на необычную кампанию по распространению стилера Raccoon. Сам стилер хорошо известен: он умеет собирать системную информацию, данные учетных записей в браузерах, данные банковских карт, а также ищет информацию о крипто-кошельках.

                                        Сюрприз оказался в другом. Никита Ростовцев, аналитик Group-IB Threat Intelligence & Attribution, рассказывает, как в ходе исследования удалось восстановить хронологию вредоносной кампании, установить связи с другими элементами инфраструктуры злоумышленников. Забегая вперед, отметим, что «енот» оказался прикормленным уже известной нам группой.
                                        Читать дальше →
                                      • Telegram, Signal, Wickr Me: выбираем самый безопасный мессенджер и разбираемся, существует ли он


                                          Нас часто спрашивают, насколько хорошо те или иные популярные мессенджеры хранят тайны своих пользователей — переписку и пересылаемые файлы, существуют ли риски взлома самих сервисов, да и вообще, есть ли он — идеальный безопасный мессенджер? Команда департамента аудита и консалтинга Group-IB провела сравнительный анализ защищенности трех основных мессенджеров, которых чаще других называют в списке наиболее защищенных. В этой обзорной статье мы представим результаты независимого исследования и дадим свой ответ, какой мессенджер безопаснее.
                                          Читать дальше →
                                        • Зона доступа: 30 способов, которые позволят разблокировать любой смартфон. Часть 2



                                            По правде говоря, технические методы разблокировки мобильных устройств не являются самоцелью для компьютерного криминалиста. Его основная задача — получить доступ к данным, хранящимся в памяти. Поэтому, если исследователю удается извлечь информацию из устройства в обход установленного PIN-кода или графического пароля — необходимость в разблокировке обычно отпадает. С другой стороны, если эксперт все-таки извлекает данные на физическом или логическом уровнях, то он может получить информацию, которая поможет ему в дальнейшем разблокировать девайс. В этой статье Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, продолжает рассказывать о способах, которые позволяют экспертам-криминалистам обойти блокировку мобильного устройства. Первую часть можно посмотреть здесь.
                                            Читать дальше →
                                            • +16
                                            • 11,5k
                                            • 4

                                          Самое читаемое