Как стать автором
Обновить

Родина в опасности: Group-IB назвала топ-3 шифровальщиков, атакующих российский бизнес

Время на прочтение 4 мин
Количество просмотров 2.3K
Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Компания Group-IB составила список самых агрессивных программ-вымогателей, которые в 2020-2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos — каждый из них совершил более 100 атак на российский бизнес, говорится в новом исследовании Group-IB «Как операторы программ-вымогателей атаковали российский бизнес в 2021». Всего же в уходящем году количество атак программ-вымогателей в России увеличилось более чем на 200%, а максимальная запрошенная сумма выкупа составила 250 млн рублей.  

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 1

Эскалация киберугрозы: Group-IB проанализировала ключевые тренды развития киберпреступности

Время на прочтение 7 мин
Количество просмотров 892
Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Компания Group-IB, один из лидеров в сфере кибербезопасности, провела масштабное исследование андеграундного рынка, выявив ключевые очаги распространения угроз для бизнеса и государственного сектора. В отчете Hi-Tech Crime Trends аналитики фиксируют сращивание киберкриминальных групп в рамках поставленных на поток партнерским программ. Их используют шифровальщики, продавцы доступов в скомпрометированные сети, мошенники, занимающиеся фишингом и скамом. Эти альянсы приводят к эскалации угроз и новым жертвам киберпреступности в мире. 

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

Аттракцион невиданной жадности: средний запрашиваемый выкуп вымогателей достиг $247 000

Время на прочтение 5 мин
Количество просмотров 815
Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Group-IB, один из лидеров в сфере кибербезопасности, второй год подряд выпускает отчет, посвященный самой опасной угрозе для бизнеса и госсектора во всем мире. В новом отчете “Программы-вымогатели 2021-2022” названы самые агрессивные операторы шифровальщиков, совершившие наибольшее число кибератак в мире — в 2021 году ими стали группы LockBit, Conti и Pysa. Запрашиваемые злоумышленниками суммы выкупа в прошлом году достигли астрономических величин — средний размер требуемого выкупа вырос до $247 000. Россия уже перестала быть тихой гаванью — количество реагирований Лаборатории цифровой криминалистики Group-IB на атаки программ-вымогателей в первом квартале 2022 года выросло в 4 раза по сравнению с аналогичным периодом 2021 года. 

Читать далее
Рейтинг 0
Комментарии 1

Охотимся на техники и тактики атакующих с использованием Prefetch-файлов

Время на прочтение 4 мин
Количество просмотров 7K
Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *


Файлы трассировки, или Prefetch-файлы, появились в Windows еще со времен XP. С тех пор они помогали специалистам по цифровой криминалистике и реагированию на компьютерные инциденты находить следы запуска программ, в том числе вредоносных. Ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин рассказывает, что можно найти с помощью Prefetch-файлов и как это сделать.
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Комментарии 0

Книжная полка компьютерного криминалиста: 11 лучших книг по Digital Forensics, Incident Response и Malware Analysis

Время на прочтение 6 мин
Количество просмотров 62K
Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *


Хотите разобраться в компьютерной или мобильной криминалистике? Научиться реагированию на инциденты? Реверсу вредоносных программ? Проактивному поиску угроз (Threat Hunting)? Киберразведке? Подготовиться к собеседованию? В этой статье Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, собрал топ-11 книг по компьютерной криминалистике, расследованию инцидентов и реверсу вредоносных программ, которые помогут изучить опыт профессионалов, прокачать свои скиллы, получить более высокую должность или новую высокооплачиваемую работу.
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Комментарии 2

Расследование инцидентов ИБ in the wild: неожиданные источники информации

Время на прочтение 6 мин
Количество просмотров 8.6K
Блог компании Ростелеком-Солар Информационная безопасность *
image

О расследовании компьютерных инцидентов, или Digital Forensics, уже много всего написано, есть много готового аппаратного и программного инструментария, основные артефакты операционных систем хорошо известны и описаны в пособиях, книгах и статьях. Казалось бы, что тут сложного – читай мануал и находи требуемое. Но встречаются технически сложные случаи, когда анализ тех самых общеизвестных артефактов не дает достаточной информации для восстановления хронологии событий. Как быть в такой ситуации? Разбираем на реальных примерах наших расследований.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Комментарии 5

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Время на прочтение 8 мин
Количество просмотров 58K
Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *


В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Читать дальше →
Всего голосов 35: ↑35 и ↓0 +35
Комментарии 21

Крошка Енот: как операторы JS-сниффера FakeSecurity распространяли стилер Raccoon

Время на прочтение 20 мин
Количество просмотров 3.1K
Блог компании Group-IB Информационная безопасность *


Летом 2020 года специалисты Group-IB обратили внимание на необычную кампанию по распространению стилера Raccoon. Сам стилер хорошо известен: он умеет собирать системную информацию, данные учетных записей в браузерах, данные банковских карт, а также ищет информацию о крипто-кошельках.

Сюрприз оказался в другом. Никита Ростовцев, аналитик Group-IB Threat Intelligence & Attribution, рассказывает, как в ходе исследования удалось восстановить хронологию вредоносной кампании, установить связи с другими элементами инфраструктуры злоумышленников. Забегая вперед, отметим, что «енот» оказался прикормленным уже известной нам группой.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 1

Три этюда о пиратском софте: как скачанная программа может втянуть вас в киберпреступление

Время на прочтение 5 мин
Количество просмотров 11K
Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *Софт


Случалось такое: надо срочно найти утилиту под специфическую задачу, например, «конвертер видео», но точного названия не знаешь и надо гуглить? Другие пытаются сэкономить и сразу используют установщик для пиратского софта. Перейдя по первой же ссылке в поисковой выдаче и обнаружив заветную кнопку Download, пользователь без особых раздумий запускает скачанный софт, даже не подозревая, какую опасность может скрывать обычный, на первый взгляд, файл. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассматривает три кейса, жертва которых могла стать «входными воротами» для вредоносной программы и даже случайным соучастником хакерской атаки. Помните: 23% пиратских ресурсов представляют опасность — содержат вредоносные программы либо присутствуют в «черных списках» антивирусных вендоров.
Читать дальше →
Всего голосов 16: ↑12 и ↓4 +8
Комментарии 16

Обновки AgentTesla: командный центр в Telegram, TorProxy, стилер паролей и другие новые фичи

Время на прочтение 5 мин
Количество просмотров 2.4K
Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

Недавно мы писали про протектор, который скрывает вредоносную программу AgentTesla, заслуженного пенсионера на рынке вредоносного ПО. Однако AgentTesla и не думает уходить со сцены, своей популярностью он обязан в том числе постоянной поддержке продукта разработчиками — в этом году авторы AgentTesla снова обновили свой стилер. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассказывает о новых возможностях AgentTesla.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

Охота на «Мамонта»: подробное исследование мошеннической схемы с фейковыми курьерскими сервисами

Время на прочтение 15 мин
Количество просмотров 10K
Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Поводом к началу этой работы послужил, можно так сказать, энтомологический интерес к активности мошенников, работающих по новой схеме с фейковой курьерской доставкой товаров, заказанных через интернет. Первое массовое использование в России схемы «Курьер», или «Мамонт» («мамонтом» на сленге мошенников называют жертву»), специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после обращений обманутых пользователей. Однако пик мошеннической активности пришелся на 2020 год в связи с пандемией, переходом на удаленку и увеличением спроса на 30%-40% на онлайн-покупки и, соответственно, услуги курьерской доставки. Если летом прошлого года CERT-GIB заблокировал 280 фишинговых ресурсов, эксплуатирующих тему курьерской доставки товаров, то к декабрю их количество выросло в 10 раз — до 3 000 сайтов. Евгений Иванов, руководитель группы по выявлению и реагированию на киберинциденты CERT-GIB, и Яков Кравцов, зам. руководителя отдела спецпроектов Департамента защиты от цифровых рисков Group-IB, рассказывают, как разоблачали схему «Мамонт» и как с ней бороться.

Читать далее
Всего голосов 7: ↑6 и ↓1 +5
Комментарии 40

Кардеры-каннибалы: Group-IB выявила крупнейшие сети фейкшопов. Часть 1

Время на прочтение 7 мин
Количество просмотров 5.5K
Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Каждый пользователь интернета регулярно сталкивается с фишинговыми сайтами. И киберпреступники — не исключение. Аналитикам Group-IB Threat Intelligence удалось выявить несколько крупных групп мошенников, которые зарабатывают деньги на начинающих неопытных кардерах, создавая и распространяя фишинговые сайты под кардшопы — подпольные магазины по продаже скомпрометированных платежных данных. Эти сайты аналитики Group-IB называют фейкшопами.

Большое количество фейкшопов в сети вызывают проблемы не только у пользователей андеграундных форумов — киберпреступников, но и могут создавать сложности специалистам по киберразведке. Размещенные на них поддельные данные могут привести к появлению ложной статистики при мониторинге и описании кардшопов, а скопированные дизайны оригинальных ресурсов могу ввести в заблуждение даже опытного антифрод аналитика.

Читать далее
Всего голосов 6: ↑3 и ↓3 0
Комментарии 1

Кардеры-каннибалы: Group-IB выявила крупнейшие сети фейкшопов. Часть 2

Время на прочтение 11 мин
Количество просмотров 652
Блог компании Group-IB Информационная безопасность *Исследования и прогнозы в IT *IT-компании

Если помните, в первой части нашего исследования Руслан Чебесов, руководитель группы исследования андеграундных маркетов Group-IB, и Сергей Кокурин, аналитик андеграундных маркетов Group-IB, рассказали, как и зачем создаются фейкшоп-сети, как аналитикам отличить оригинальный кардшоп от фейкового и как провести правильную атрибуцию фейкового ресурса. В этом посте эксперты от теории перешли к практике и с помощью системы Group-IB Threat Intelligence & Attribution проанизировали самые крупные сети фейкшопов. Давайте посмотрим, что получилось.

Читать далее
Рейтинг 0
Комментарии 0

Вскрывая улей: исследование шифровальщика Hive и его партнёрской программы

Время на прочтение 24 мин
Количество просмотров 3.5K
Блог компании Group-IB Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

За неполный 2021 год более 60% всех исследованных специалистами лаборатории компьютерной криминалистики Group-IB инцидентов пришлось на атаки с использованием программ-вымогателей. Шифровальщики окончательно утвердились в статусе киберугрозы номер один.

В июле 2021 года мировые СМИ вышли с заголовками о рекордном выкупе в $70 миллионов, который группировка REvil требовала от крупнейшего производителя мяса в мире JBS за предоставление ключа для расшифровки данных. Рекорд продержался недолго. Менее полугода потребовалось киберимперии шифровальщиков для того, чтобы рекордная сумма выкупа выросла более чем в 3 раза — до 240 миллионов долларов. В ноябре 2021 года жертвой стал крупнейший европейский ритейлер электроники — MediaMarkt. Как оказалось, за атакой на MediaMarkt стояла ранее державшаяся в тени группировка Hive. Обе группы работали по модели Ransomware-as-a-Service и активно публиковали на DLS-сайтах данные жертв, отказавшихся платить выкуп.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 4

Никита Ростовцев: «Мы способны найти многое, чего не видят другие»

Время на прочтение 11 мин
Количество просмотров 4.1K
Блог компании Group-IB Информационная безопасность *IT-компании

На связи авторы Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat Intelligence, и наш новый гость — Никита Ростовцев. В конце материала, как обычно, — ссылка на актуальные вакансии Group-IB.

Читать далее
Всего голосов 9: ↑1 и ↓8 -7
Комментарии 4

«Золотой век» Buhtrap: разбираем троян-долгожитель

Время на прочтение 12 мин
Количество просмотров 3K
Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими траншами, причем все платежные переводы, как и положено, были подписаны цифровой подписью — токеном главбуха. Безопасник хотел разобраться, как это произошло.

На первый взгляд все переводы казались легальной операцией. Однако некоторая странность в них все-таки была: пароль для входа в систему клиент-банк был не напечатан на клавиатуре, а скопирован из буфера. Записи видеокамер показали, что в этот момент за компьютером никого не было — бухгалтер уходил на обед. Выходит, к ПК кто-то подключился удаленно? Ответ на вопрос, как это произошло, дали специалисты Лаборатории цифровой криминалистики Group-IB: компьютер главбуха был заражен вредоносной программой. И это оказался... наш старый знакомый — троян-долгожитель Buhtrap.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 1

Старт 2 сезона Security Small Talk: ролики для профи и новичков в ИБ

Время на прочтение 1 мин
Количество просмотров 1.9K
Блог компании Инфосистемы Джет Информационная безопасность *

Мы продолжаем делать видеоконтент, который может быть полезным как начинающим безопасникам, студентам, так и ИБ-и ИТ-специалистам. Сегодня публикуем 2 новых ролика Security Small Talk. В первом смотрите об управлении секретами в DevOps-окружениях, во втором найдете интересные факты о реагировании на инциденты и их расследовании.

Читать далее
Всего голосов 14: ↑14 и ↓0 +14
Комментарии 1

Подборка фильмов и сериалов об OSINT

Время на прочтение 9 мин
Количество просмотров 8.9K
Блог компании T.Hunter Информационная безопасность *

Всем привет! В этом обзорном посте собрал для вас подборку всевозможных произведений кинематографа, так или иначе затрагивающих тему OSINT-исследований. Среди почти двух десятков вариантов найдутся кинокартины на любой вкус: от документалок по следам громких расследований и скандалов в информационную эпоху до художественных сериалов, по-разному обыгрывающих заданную тему.

Безуспешные поиски угонщика самолётов, бесследно растворившегося в небесной лазури с мешком денег полвека назад. Захватывающая история одного из первых сайтов с порноместью и противостояния простых людей с ним. Охота на убийц и сваттеров, культовая классика и неочевидные картины, заслуживающие особого упоминания, — в посте найдутся произведения с большого и малого экранов на любой вкус. Так что всем интересующимся OSINT, не знающих чем занять себя на выходных, добро пожаловать под кат!

Читать далее
Всего голосов 7: ↑4 и ↓3 +1
Комментарии 2

Анна Юртаева: «В кибербезе  сейчас идет самая ожесточенная борьба с криминалом»

Время на прочтение 10 мин
Количество просмотров 5K
Блог компании Group-IB Информационная безопасность *IT-компании

Со времен Эжена Видока, “отца” классических уголовных расследований, их алгоритм мало изменился: сыщик собирает улики, строит гипотезу, исключает лишних подозреваемых и, наконец, выходит на злодея, которого в итоге отправляет за решетку. С киберпреступлениями не все так просто  — ко всем обязательным этапам по сбору и анализу цифровых доказательств, зацепок и артефактов прибавляется атрибуция —  цифровую личность подозреваемого нужно “привязать” к конкретному живому человеку. Киберрасследование может занять пару часов, а, бывает, растягивается на годы, превращаясь в огромный пазл-квест. Новая героиня проекта «Киберпрофессии будущего» — Анна Юртаева — рассказывает о том, как удается вычислить злоумышленника в цифровом мире, даже если он сработал почти безупречно. 

Читать далее
Всего голосов 23: ↑12 и ↓11 +1
Комментарии 10

Зачем вообще защищать данные при передаче?

Время на прочтение 15 мин
Количество просмотров 7.9K
Информационная безопасность *Криптография *Хранение данных *Хранилища данных *Облачные сервисы *

Привет, Хабр! 

Меня зовут Федор и я занимаюсь киберкриминалистикой. Не только на работе (в RTM Group), но и на досуге. Мне нравится исследовать, почему и как кого-то взломали, а еще думать, как сделать так, чтобы этого не происходило. В связи с COVIDом и прочими событиями гораздо больше важных данных все стали пересылать посредством электронной почты и мессенджеров. Соответственно, выросло и количество случаев кражи таких данных. И сегодня мы разберемся, как защищать важную информацию при передаче.

Читать далее
Всего голосов 7: ↑6 и ↓1 +5
Комментарии 3