Как стать автором
Обновить
80.65
Рейтинг
Сначала показывать

Выпустили пар: мошенники используют метод Browser-in-the-Browser для кражи аккаунтов у игроков на Steam

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *IT-компании

"Хочу рассказать историю, как я недавно лоханулся и потерял свой аккаунт Steam со 100+ играми и донатом на общую сумму больше 15 тыщ рублей". Или вот: "Несколько косарей в Стим вложено, и штук 20 игр, некоторые с дополнениями, на нем висит". Таких историй десятки, если не сотни. В июле специалисты Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB 24/7) обнаружили более 150 мошеннических ресурсов под один из самых популярных у геймеров онлайн-сервисов — платформу Steam. Для кражи логинов-паролей от учетных записей злоумышленники используют новую фишинговую технику Browser-in-the-Browser — из-за нее фейковые страницы довольно легко спутать с легальным ресурсом. Иван Лебедев, руководитель группы по защите от фишинга CERT-GIB, и Дмитрий Ерошев, аналитик CERT-GIB, разбирались, как работает новая схема.

Читать далее
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 5.8K
Комментарии 17

Новости

Зафар Астанов: «Бороться с киберпреступностью помогает супероружие — наши технологии»

Блог компании Group-IB Информационная безопасность *Карьера в IT-индустрии

Возможно, вы уже догадались, что весь стэк инженерных технологий Group-IB, читай каждый наш продукт, служит одной очень важной цели — обнаружить киберпреступника и остановить его, защитив от его действий компании и их клиентов. О наших бойцах из сферы киберкриминалистики и реагирований на инциденты, а также из киберразведки (Threat Intelligence) вы уже знаете. Сегодня мы перенесемся в мир антифрода — борьбы с финансовым мошенничеством. Именно этим занимается новый герой нашего проекта “Киберпрофессии будущего” — Зафар Астанов. Он расскажет о том, какие схемы придумывают мошенники и как работают технологии, защищающие 200 млн клиентов банков по всему миру.  В конце статьи, как всегда, ссылка на актуальные вакансии Group-IB.

Читать далее
Всего голосов 5: ↑2 и ↓3 -1
Просмотры 2K
Комментарии 2

Разбираем мощный «движок» Managed XDR

Блог компании Group-IB Информационная безопасность *

Управлять кибербезопасностью, анализировать события в сети, молниеносно останавливать атаки — что умеет новое комплексное решение Group-IB

О необходимости использовать так называемую эшелонированную защиту от кибератак на рынке информационной безопасности говорят уже не один десяток лет. Суть этой концепции заключается в установке на пути злоумышленников ряда барьеров в виде средств защиты на разных уровнях — периметре, серверах, рабочих станциях, удаленных рабочих станциях и др. Как правило, комплектовать свой арсенал средств защиты начинают со стандартного набора: антивирус (AV), антиспам ( Antispam), межсетевые экраны, желательно, класса NGFW (Next-Generation Firewall), различные системы обнаружения и предотвращения вторжений IDS/IPS (Intrusion Detection System, Intrusion Prevention System) и, например, “песочницы” для анализа вредоносного ПО в изолированной среде (Sandbox).

Читать далее
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 1.8K
Комментарии 0

“Патриоты” с большой дороги: вымогатели из Conti выложили данные более 850 международных компаний

Блог компании Group-IB Информационная безопасность *

Компания Group-IB исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — “ARMattack”. Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете Group-IB “АРМАДА CONTI. КАМПАНИЯ ARMATTACK”. С начала 2022 года Conti опубликовали данные  156 компаний,  атакованных группой. Суммарно их список жертв насчитывает свыше 850 организаций из самых разных отраслей, .а также госведомства и даже целое государство.

Читать далее
Всего голосов 2: ↑1 и ↓1 0
Просмотры 3K
Комментарии 0

«Золотой век» Buhtrap: разбираем троян-долгожитель

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими траншами, причем все платежные переводы, как и положено, были подписаны цифровой подписью — токеном главбуха. Безопасник хотел разобраться, как это произошло.

На первый взгляд все переводы казались легальной операцией. Однако некоторая странность в них все-таки была: пароль для входа в систему клиент-банк был не напечатан на клавиатуре, а скопирован из буфера. Записи видеокамер показали, что в этот момент за компьютером никого не было — бухгалтер уходил на обед. Выходит, к ПК кто-то подключился удаленно? Ответ на вопрос, как это произошло, дали специалисты Лаборатории цифровой криминалистики Group-IB: компьютер главбуха был заражен вредоносной программой. И это оказался... наш старый знакомый — троян-долгожитель Buhtrap.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 2.4K
Комментарии 0

Майские сливы: в даркнете выросло количество утекших баз данных российских компаний

Блог компании Group-IB Информационная безопасность *

В мае и в начале июня в даркнете было выложено рекордное количество баз данных российских компаний — более 50. Для сравнения в апреле было 32, а в марте всего —16.Среди жертв, чьи базы были выложены в публичный доступ, оказались компании, относящиеся к интернет-сервисам доставки, медицине,  телекому, интернет-ритейлу, онлайн-образованию, строительству и др Большинство баз данных популярных компаний были выложены в публичный доступ для бесплатного скачивания — злоумышленники стремятся не заработать, а нанести максимальный ущерб компаниям и их клиентам.

Общее количество строк 19 наиболее крупных утечек в мае — начале июня, по оценкам экспертов Group-IB Threat Intelligence, составляет 616,6 млн строк. Практически все базы включают имена клиентов, их телефоны, адреса, даты рождения, а некоторые хеш-пароли, паспортные данные, подробности заказов или результаты медицинских анализов. Актуальность большинства баз — весна этого года. 

«Раньше многие крупные утечки баз данных, выставленных на продажу, оказывались компиляцией старых баз или агрегацией нескольких баз из открытых источников. Однако в последнее время мы видим на хакерских форумах актуальные и весьма информативные базы данных популярных сервисов, которые бесплатно выкладываются в паблик — мотив у злоумышленников не столько заработать, сколько нанести как можно более серьезный ущерб компаниям, — считает Олег Деров, руководитель отдела исследования киберпреступности Threat Intelligence, Group-IB. — Риск в том, что эти данные могут быть использованы в дальнейших кибератаках и в мошеннических схемах».

Читать далее
Рейтинг 0
Просмотры 2.7K
Комментарии 1

Game over: Group-IB выявила мошеннические схемы с оплатой в PlayStation Store и Brawl Stars

Блог компании Group-IB Информационная безопасность *

Group-IB, один из лидеров в сфере кибербезопасности, обнаружила новые мошеннические схемы, связанные с пополнением счета в магазине PlayStation Store и продажей игровой валюты в популярной мобильной игре Brawl Stars. Всего же эксперты Group-IB Digital Risk Protection выявили около 250 мошеннических ресурсов известных брендов и разработчиков игр, куда злоумышленники нагоняют трафик. 

Фишинговый сайт магазина PlayStation Store был обнаружен в конце мая в ходе исследования сети мошеннических ресурсов, торгующих фейковыми виртуальными картами. Проблема с официальной оплатой в PS Store возникла после того, как 10 марта Sony остановила продажи консолей и работу своего виртуального магазина в России. Теперь злоумышленники предлагают россиянам приобрести подарочные карты-ваучеры для пополнения счета в  PlayStation Store. 

Читать далее
Рейтинг 0
Просмотры 1.6K
Комментарии 0

Миссия выполнима: продолжаем знакомиться с физическим пентестом. Часть 2

Блог компании Group-IB Информационная безопасность *IT-компании

Итак, вы уже получили всю необходимую информацию в результате разведки — о том, как это сделать мы говорили в первой части статьи.  Помните, на чем мы остановились? Мы предупреждали, что выполнять любые работы по физическому проникновению можно только при подписанном договоре с заказчиком и непосредственно по поручению работодателя! 

Теперь самое время сформировать план реализации сценариев проникновения. Важно отметить, что в план обязательно должна входить заключительная фаза — отход после достижения цели.

В этом разделе также стоит сказать пару слов про сами инструменты: физический пентест — это не всегда локпикинг. 

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 4K
Комментарии 1

Миссия выполнима: знакомимся с физическим пентестом

Блог компании Group-IB Информационная безопасность *IT-компании

"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику Group-IB надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект. 

Однако сразу на проходной его взяли на прицел два сотрудника IT-департамента, которые внимательно следили за каждым шагом гостя. Разумеется, они не были в курсе проводимого пентеста, а аудитор никак не мог раскрыть им детали операции. Эксперту пришлось включить невозмутимый покерфейс и заболтать своих охранников, чтобы незаметно раскидать на территории объекта “зараженные” флешки. Любопытные сотрудники фармкомпании начали вставлять USB-накопители в свои рабочие ПК, еще когда эксперт Group-IB был на производстве, и увлеченно делали это весь день — в том числе после работы на личных ноутах (упс!)

Кажется, что всё пошло не по плану? И да, и нет. С “физикой” всегда так: планов значительно больше одного, но на месте исполнителю обязательно придется импровизировать, подстраиваясь под ситуацию.

Читать далее
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 7.8K
Комментарии 11

Никита Ростовцев: «Мы способны найти многое, чего не видят другие»

Блог компании Group-IB Информационная безопасность *IT-компании

На связи авторы Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat Intelligence, и наш новый гость — Никита Ростовцев. В конце материала, как обычно, — ссылка на актуальные вакансии Group-IB.

Читать далее
Всего голосов 9: ↑1 и ↓8 -7
Просмотры 3.6K
Комментарии 4

Выход на оперативный простор: чем криминалистам поможет книга Practical Memory Forensics

Блог компании Group-IB Информационная безопасность *IT-компании

В британском издательстве Packt Publishing вышла новая книга криминалистов Group-IB — Светланы Островской и Олега Скулкина: “Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory”. Если у Олега это уже четвертое издание (интервью с ним читайте здесь), то Светлану можно поздравить с дебютом. На связи — Дубай, где в ближневосточной штаб-квартире Group-IB работает Света. Мы попросили автора рассказать, о чем книга и на какую полку в библиотечке киберкриминалиста ее можно поставить (спойлер — она должна стать настольной книгой!

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 2.7K
Комментарии 4

Олег Скулкин: «Мы начали следить за шифровальщиками, когда еще мало кто считал их серьезной угрозой»

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *Киберпанк

Соскучились по нашему проекту “Киберпрофессии будущего”? Мы тоже. Возвращаем должок и продолжаем рассказывать о ведущих специалистах Group-IB, об их работе, исследованиях и реальных кейсах, о том, как они пришли в профессию, которой не было, и как научиться тому, что умеют они. В конце материала, как обычно, дадим ссылку на актуальные вакансии Group-IB. И пусть вас не пугает, что пока знаний не хватает и где их получить — непонятно. Наш ответ — в бою. Приходите, учитесь и получайте новую востребованную профессию. Так поступил наш сегодняшний гость — знаковая фигура не только в российской, но и в международной цифровой криминалистике — Олег Скулкин.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 3.8K
Комментарии 1

«Набрали кредитов и вложили последние деньги»: как работает мошенническая схема с инвестициями в акции и криптовалюты

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

"Нас более 150 человек из более 15 стран и 70 разных городов мира и все мы стали жертвами новой схемы кибермошенников, которые под видом инвестиций на липовых брокерских биржах убедили нас перевести последние деньги в биткоины. Очень многие из нас подверглись ложным обещаниям со стороны лжеброкеров, взяли миллионы рублей под кредит и теперь вынуждены продавать своё имущество, чтобы свести концы с концами. Таким образом мошенники похитили у нас около 300 млн. рублей ($4,0 млн)", — такое обращение от обманутых инвесторов получили в прошлом году специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB).

И это только один из примеров. CERT-GIB выявил более 8 000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, и обнаружил более 50 шаблонов-лендингов с различными готовыми инвестиционными сценариями. Примечательно, что домены регистрируются массово и используются в качестве зеркал, обеспечивая работу проекта после приостановки работы одного из доменных имен. Так, в одном из примеров, только с одного почтового адреса с июня по июль 2021 года было зарегистрировано более 320 доменов под мошеннический инвестиционный проект.

Большинство из этих кейсов являются "гибридными схемами", где фишинг используется наряду с телефонным мошенничеством. Как работает эта интернет-афера и на чем зарабатывают мошенники, разбирались специалисты CERT-GIB.

Читать далее
Всего голосов 14: ↑11 и ↓3 +8
Просмотры 9.2K
Комментарии 21

Вскрывая улей: исследование шифровальщика Hive и его партнёрской программы

Блог компании Group-IB Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

За неполный 2021 год более 60% всех исследованных специалистами лаборатории компьютерной криминалистики Group-IB инцидентов пришлось на атаки с использованием программ-вымогателей. Шифровальщики окончательно утвердились в статусе киберугрозы номер один.

В июле 2021 года мировые СМИ вышли с заголовками о рекордном выкупе в $70 миллионов, который группировка REvil требовала от крупнейшего производителя мяса в мире JBS за предоставление ключа для расшифровки данных. Рекорд продержался недолго. Менее полугода потребовалось киберимперии шифровальщиков для того, чтобы рекордная сумма выкупа выросла более чем в 3 раза — до 240 миллионов долларов. В ноябре 2021 года жертвой стал крупнейший европейский ритейлер электроники — MediaMarkt. Как оказалось, за атакой на MediaMarkt стояла ранее державшаяся в тени группировка Hive. Обе группы работали по модели Ransomware-as-a-Service и активно публиковали на DLS-сайтах данные жертв, отказавшихся платить выкуп.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 3.2K
Комментарии 4

Кардеры-каннибалы: Group-IB выявила крупнейшие сети фейкшопов. Часть 1

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Каждый пользователь интернета регулярно сталкивается с фишинговыми сайтами. И киберпреступники — не исключение. Аналитикам Group-IB Threat Intelligence удалось выявить несколько крупных групп мошенников, которые зарабатывают деньги на начинающих неопытных кардерах, создавая и распространяя фишинговые сайты под кардшопы — подпольные магазины по продаже скомпрометированных платежных данных. Эти сайты аналитики Group-IB называют фейкшопами.

Большое количество фейкшопов в сети вызывают проблемы не только у пользователей андеграундных форумов — киберпреступников, но и могут создавать сложности специалистам по киберразведке. Размещенные на них поддельные данные могут привести к появлению ложной статистики при мониторинге и описании кардшопов, а скопированные дизайны оригинальных ресурсов могу ввести в заблуждение даже опытного антифрод аналитика.

Читать далее
Всего голосов 6: ↑3 и ↓3 0
Просмотры 5K
Комментарии 1

Кардеры-каннибалы: Group-IB выявила крупнейшие сети фейкшопов. Часть 2

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Если помните, в первой части нашего исследования Руслан Чебесов, руководитель группы исследования андеграундных маркетов Group-IB, и Сергей Кокурин, аналитик андеграундных маркетов Group-IB, рассказали, как и зачем создаются фейкшоп-сети, как аналитикам отличить оригинальный кардшоп от фейкового и как провести правильную атрибуцию фейкового ресурса. В этом посте эксперты от теории перешли к практике и с помощью системы Group-IB Threat Intelligence & Attribution проанизировали самые крупные сети фейкшопов. Давайте посмотрим, что получилось.

Читать далее
Рейтинг 0
Просмотры 538
Комментарии 0

Очень темные дела: BlackMatter и его жертвы

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга вновь возьмутся за старое. Помните, как августе, в нашей первой статье о BlackMatter мы говорили о том, что новый вымогатель появился сразу после исчезновения из публичного поля двух самых активных и агрессивных преступных группировок – DarkSide и REvil, атаковавших такие крупные компании, как Toshiba, JBS S.A., Colonial Pipeline и Kaseya. Но, если летом у исследователей еще были вопросы, кто стоит за новой программой-вымогателем, то сейчас ни у кого не осталось сомнений, что BlackMatter является продолжателем дела DarkSide, и если новичок еще не затмил своего прародителя, то это лишь вопрос времени.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 3.8K
Комментарии 3

Свидание, которого не было: как работает мошенническая схема Fake Date

Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Group-IB обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.

Читать далее
Всего голосов 27: ↑25 и ↓2 +23
Просмотры 14K
Комментарии 49

Искусство кибервойны: как китайские группы TaskMasters и TA428 атакуют Россию

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

В середине мая 2021 года эксперты из SOLAR JSOC вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выпустили отчет о серии целенаправленных атак, выявленных в 2020 году. Согласно исследованию, главной целью атакующих в России были федеральные органы исполнительной власти (ФОИВы).

Изучая это исследование, Анастасия Тихонова, руководитель группы исследования сложных угроз Threat Intelligence Group-IB, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода Threat Intelligence Group-IB, поймали себя на мысли, что уже видели похожие инструменты в более ранних APT-атаках из Китая.

Читать далее
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 6.6K
Комментарии 1

Живее всех живых: анализируем первый сэмпл нового шифровальщика BlackMatter

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

Лето 2021 года выдалось жарким не только из-за погоды, но и новостей из мира Ransomware. В конце мая группа DoppelPaymer произвела, пользуясь маркетинговым термином, "ребрендинг", переименовав свои новые программы-вымогатели в Grief (Pay OR Grief). А в июне-июле группы DarkSide и REvil друг за другом последовательно исчезли из публичного пространства после громких атак на компании Colonial Pipeline и Kaseya соответственно. Под конец июля на рынок групп, зарабатывающих вымогательством, вышел новой игрок – BlackMatter. Но вот новый ли?

Читать далее
Всего голосов 17: ↑16 и ↓1 +15
Просмотры 6.4K
Комментарии 9

Информация

Дата основания
Местоположение
Сингапур
Сайт
group-ib.ru
Численность
501–1 000 человек
Дата регистрации