Летом мы опубликовали исследование, в котором аналитики Центра кибербезопасности F.A.C.C.T. рассказали про обнаруженную ими сеть из более чем 1300 доменов, распространяющих вредоносные программы под видом популярных утилит, офисных приложений вместе с ключами активации или активаторами. В итоге пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.

С недавнего времени злоумышленники стали продвигать ссылки на вредоносные ресурсы через GitHub — крупнейший веб‑сервис для хостинга IT‑проектов и их совместной разработки.

В некоторых экзотических странах водятся жуки, которые питаются муравьями, а из их экзоскелетов сооружают себе на спине камуфляж для маскировки. Что общего у насекомых Acanthaspis petax и операторов спам-рассылок? И те и другие прикрывают свою активность с помощью множества экзоскелетов или аккаунтов-пустышек для охоты и ухода от хищников либо антиспам-систем.

Письма якобы от YouTube  начали массово поступать на адреса сотрудников российских компаний. Внутри сообщений было обсуждение ролика с предложением мгновенного заработка через крупную инвестиционную платформу. Однако есть нюанс: отправители этих писем желают только нажиться на наиболее доверчивых получателях писем. Каким образом спамеры научились использовать популярный видеохостинг для распространения мошеннического контента, и какие существуют способы борьбы против нового приема злоумышленников рассказывает руководитель отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T. Антон Афонин.

Специалисты компании F.A.C.C.T. зафиксировали использование в России новой мошеннической схемы, позволяющей злоумышленникам отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google. Впервые об этой проблеме сообщили исследователи из компании Checkpoint в сентябре 2023 года. И вот, полгода спустя, этот инструмент взяли на вооружение мошенники, работающие по России. Все подробности — у Антона Афонина, руководителя отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T.

Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили pdf‑файл с политинформацией о прошедших президентских выборах с модифицированным стилером SapphireStealer. Эту вредоносную программу, способную перехватывать учетные данные из браузеров и из мессенджера Telegram, злоумышленники распространяли с поддельного ресурса, мимикрирующего под домен Правительства РФ.

Учитывая, что это первый случай, когда киберпреступники во время выборов распространяли ВПО, замаскированное под официальные документы Центральной избирательной комиссии, не исключено, что подобный вектор атаки они могут использовать и во время следующих выборов — Единый день голосования назначен на 8 сентября 2024 года.

Новость о взломе iPhone издателя «Медузы»* Галины Тимченко с помощью шпионской программы Pegasus не стала сенсацией для специалистов, которые уже много лет следят за разработкой от израильской компании NSO Group.

И хотя сами разработчики утверждают, что создавали программу исключительно для благих целей — борьбы с террористами и опасными преступниками, как это часто случается с легитимными инструментами (например, с популярным фреймворком для пентестеров CobaltStrike, — прим. авт) их уже давно активно используют и прогосударственные хакерские группы, и спецслужбы, и киберпреступники.

^{* организация признана нежелательной в России, внесена в реестр иноагентов}

Эксперты Group-IB Threat Intelligence — Илья Шумеев, специалист по анализу вредоносного кода, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода, проанализировав новые атаки, выяснили, что заражение происходило при посещении сайтов, замаскированных под профильные ресурсы для бухгалтеров и юристов. В атаках использовался уже давно и хорошо известный троян Buhtrap RAT, хотя качество используемых инструментов ощутимо деградировало по сравнению с более ранними кампанииями. По мнению экспертов, данная активность похожа на деятельность последователей преступной группы Buhtrap. Напомним, что ущерб от атак данной группы в 2020-2022 гг, по оценкам экспертов Group-IB, оценивается как минимум в 2 млрд рублей. Глобальный же ущерб, нанесенный Buhtrap'ом, за все время активности может достигать 6-7 млрд рублей.

Для того, чтобы понять, как атаковали российский бизнес, и с головой погрузиться в изучение матрицы наиболее часто используемых атакующими тактик, техник и процедур (TTPs), давайте сначала ответим на вопрос: кто атаковал?

Если еще пять лет назад практически 70% всей хакерской активности, с которой сталкивались эксперты Лаборатории компьютерной криминалистики Group-IB во время реагирований (Incident Response), было связано с целевыми атаками на финансовый сектор, то в прошлом году самым популярным типом киберугроз оказались.... Да, верно программы-вымогатели. На них пришлось 68% всех инцидентов.

В нашем новом блоге речь пойдет про распространенные ошибки пользователей публичных облаков — мы подробно поговорим о публичных бакетах и репозиториях пользователей и покажем как и почему эти недостатки стоит устранять. Мы надеемся, что он поможет компаниям лучше понимать логику действий атакующих и, соответственно, более качественно выстроить свою защиту. Ниже мы разберем распространенные недостатки со стороны пользователей облаков и дадим рекомендации, как их избежать.

Закон Архимеда, если верить популярной легенде, всплыл из мыльной пены в ванной древнегреческого инженера. И не он один. Герой нашего нового блога о “Профессиях будущего”, принимая ванну, придумал решение для борьбы с вредоносными ботами. Кто после этого скажет, что кодинг — это скучно? 

Занимаясь исследованиями киберпреступлений и реагированиями на инциденты, специалисты Group-IB постоянно сталкивались с парадоксом: компании, чью инфраструктуру атаковали, чьи данные были слиты или чьи деньги похищены, пользовались разными средствами кибербезопасности. Но это не останавливало преступников.

Опыт Group-IB позволял восстанавливать всю цепочку преступления, исследовать инструменты, тактику, мотивацию атакующих. “Используя эти знания, мы могли бы не только расследовать, что произошло, или реагировать на инцидент в режиме реального времени, но и… предотвращать киберпреступления” — подумали лет десять назад отцы-основатели Group-IB.

Так, если совсем кратко, начался наш путь к предикативной аналитике и разработке сложных технологий мониторинга, прогнозирования и предупреждения атак — Threat Intelligence и Fraud Protection, о которых мы подробно рассказывали в нашем блоге. Пришло время заглянуть "под капот". О том, что программистам делать в кибербезе, что их драйвит и какими качествами нужно блеснуть на собеседовании, рассказывает главный разраб Group-IB — Александр Батенёв. 

Привет ХАБР. Тема, которой посвящена эта статья с одной стороны важна, ведь в кибер-пространстве «неспокойно». Каждый день приходят новости, что ту или иную компанию взломали хакеры, получили дампы или зашифровали данные. Защищаться от кибер-угроз, выстраивая целую инфраструктуру из всевозможных средств защиты хорошо и нужно, но никогда не стоит забывать о разведке. В кибер-пространстве как в армии. Хорошо, когда на границах вырыты окопы, дежурит артиллерия и ПВО, но без разведки не понятно куда и чем противник будет атаковать. В цифровом мире базовая военная стратегия в целом не отличается. Разведка важна и нужна, чтобы быть готовыми и собирать данные, которые собирают злоумышленники о вас и вашей инфраструктуре. В этой статье разберем вопрос о том как создавалось направление кибер-разведки(OSINT open-source intelligence ) в компании.

С чего зародилась идея создания направления OSINT?

В наше время стал мейнстримом тренд на защиту персональных данных и всякой конфиденциалки в компании. Запрос на поиск источников утечек и их закрытия очевиден. Самое сложное расставить приоритеты или ответить на вопрос: "Что будем собственно искать?" Если открыть внутренние документы любой компании, то сведений, составляющих какую-либо из тайн (персональные, конфиденциальные, коммерческие) большое количество. Важно выбрать те, которые являются самыми важными для контроля и утечки которых реально можем находить и устранять.

Путем расстановки приоритетов и реальных возможностей мы выделили основные направления для OSINT:

Летом этого года менеджеры компании, поставляющей решения для нефтегазового комплекса, обнаружили в своей корпоративной почте подозрительную активность. Все входящие письма от филиала международного банка оказались в папке «Удаленные». В ней, например, обнаружили как запросы на выделение очередного кредитного транша в $ 1 млн, так и ответ банка о переводе $700 000 на какой-то "левый" незнакомый счет. Расследование показало: неизвестные получили доступ к почтовому ящику директора по корпоративному финансированию и в момент обсуждения очередного транша вмешались в переписку, и указали свой подставной счет. А потом, заметая, следы, отправили всю цепочку писем и все входящие от банка в папку "Удаленные". 

Компрометация деловой электронной почты (Business Email Compromise, BEC) — довольно популярный в последнее время тип атак, нацеленный на руководителей или сотрудников финансовых департаментов — их обманом заставляют перевести деньги на мошеннические счета. При этом, как показывает практика, мультифакторная аутентификация, до недавнего времени предотвращавшая большинство атак на электронную почту, с развитием методов злоумышленников, уже не гарантирует надежной защиты от компрометации. Специалисты Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов и Павел Зевахин разбирались, в чем дело.

Мы привыкли к тому, что злоумышленники, занимающиеся фишингом, таргетируют какие-то определенные сферы или бренды. Будь то скам-команды, работающие по схемам Fake Courier или Fake Date, угонщики мобильных банков через раздачу бесплатной пиццы, бесконечные предложения о компенсациях за все подряд или розыгрыши скинов в Steam.

В этом ретроспективном блоге мы решили рассказать о группировке фишеров, сумевшей максимально диверсифицировать свои “активы”. Для регистрации тысячи своих доменов злоумышленники использовали сотни фейковых "личностей" - поэтому мы дали им рабочее название Split. И как легендарного белого кита из "Моби Дика", скрывавшегося в пучине, эту группу было очень сложно выследить. Однако мы сделали это.

Популярная в России мошенническая схема со лже-свиданиями — Fake Date в этом году вышла за пределы страны. Аферисты активно осваивают новые рынки: страны СНГ и Европы, а также США, Арабские Эмираты, Австралию и Турцию. Чаще всего в качестве приманки злоумышленники используют  фейковые ресурсы театров, кинотеатров, доставок еды, а также фейковые ресурсы с услугами эскорта. За рубежом по схеме Fake Date сейчас работают не менее четырех крупных скамерских команд. Юлия Зинган, старший аналитик Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB, 24/7) и Екатерина Антонова, аналитик CERT-GIB, 24/7, рассказывают, почему это произошло.

Со времен Эжена Видока, “отца” классических уголовных расследований, их алгоритм мало изменился: сыщик собирает улики, строит гипотезу, исключает лишних подозреваемых и, наконец, выходит на злодея, которого в итоге отправляет за решетку. С киберпреступлениями не все так просто  — ко всем обязательным этапам по сбору и анализу цифровых доказательств, зацепок и артефактов прибавляется атрибуция —  цифровую личность подозреваемого нужно “привязать” к конкретному живому человеку. Киберрасследование может занять пару часов, а, бывает, растягивается на годы, превращаясь в огромный пазл-квест. Новая героиня проекта «Киберпрофессии будущего» — Анна Юртаева — рассказывает о том, как удается вычислить злоумышленника в цифровом мире, даже если он сработал почти безупречно. 

Возможно, вы уже догадались, что весь стэк инженерных технологий Group-IB, читай каждый наш продукт, служит одной очень важной цели — обнаружить киберпреступника и остановить его, защитив от его действий компании и их клиентов. О наших бойцах из сферы киберкриминалистики и реагирований на инциденты, а также из киберразведки (Threat Intelligence) вы уже знаете. Сегодня мы перенесемся в мир антифрода — борьбы с финансовым мошенничеством. Именно этим занимается новый герой нашего проекта “Киберпрофессии будущего” — Зафар Астанов. Он расскажет о том, какие схемы придумывают мошенники и как работают технологии, защищающие 200 млн клиентов банков по всему миру.  В конце статьи, как всегда, ссылка на актуальные вакансии Group-IB.

Управлять кибербезопасностью, анализировать события в сети, молниеносно останавливать атаки — что умеет новое комплексное решение Group-IB

О необходимости использовать так называемую эшелонированную защиту от кибератак на рынке информационной безопасности говорят уже не один десяток лет. Суть этой концепции заключается в установке на пути злоумышленников ряда барьеров в виде средств защиты на разных уровнях — периметре, серверах, рабочих станциях, удаленных рабочих станциях и др. Как правило, комплектовать свой арсенал средств защиты начинают со стандартного набора: антивирус (AV), антиспам ( Antispam), межсетевые экраны, желательно, класса NGFW (Next-Generation Firewall), различные системы обнаружения и предотвращения вторжений IDS/IPS (Intrusion Detection System, Intrusion Prevention System) и, например, “песочницы” для анализа вредоносного ПО в изолированной среде (Sandbox).

В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими траншами, причем все платежные переводы, как и положено, были подписаны цифровой подписью — токеном главбуха. Безопасник хотел разобраться, как это произошло.

На первый взгляд все переводы казались легальной операцией. Однако некоторая странность в них все-таки была: пароль для входа в систему клиент-банк был не напечатан на клавиатуре, а скопирован из буфера. Записи видеокамер показали, что в этот момент за компьютером никого не было — бухгалтер уходил на обед. Выходит, к ПК кто-то подключился удаленно? Ответ на вопрос, как это произошло, дали специалисты Лаборатории цифровой криминалистики Group-IB: компьютер главбуха был заражен вредоносной программой. И это оказался... наш старый знакомый — троян-долгожитель Buhtrap.

Итак, вы уже получили всю необходимую информацию в результате разведки — о том, как это сделать мы говорили в первой части статьи.  Помните, на чем мы остановились? Мы предупреждали, что выполнять любые работы по физическому проникновению можно только при подписанном договоре с заказчиком и непосредственно по поручению работодателя! 

Теперь самое время сформировать план реализации сценариев проникновения. Важно отметить, что в план обязательно должна входить заключительная фаза — отход после достижения цели.

В этом разделе также стоит сказать пару слов про сами инструменты: физический пентест — это не всегда локпикинг. 

"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику Group-IB надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект. 

Однако сразу на проходной его взяли на прицел два сотрудника IT-департамента, которые внимательно следили за каждым шагом гостя. Разумеется, они не были в курсе проводимого пентеста, а аудитор никак не мог раскрыть им детали операции. Эксперту пришлось включить невозмутимый покерфейс и заболтать своих охранников, чтобы незаметно раскидать на территории объекта “зараженные” флешки. Любопытные сотрудники фармкомпании начали вставлять USB-накопители в свои рабочие ПК, еще когда эксперт Group-IB был на производстве, и увлеченно делали это весь день — в том числе после работы на личных ноутах (упс!)

Кажется, что всё пошло не по плану? И да, и нет. С “физикой” всегда так: планов значительно больше одного, но на месте исполнителю обязательно придется импровизировать, подстраиваясь под ситуацию.

На связи авторы Хабр-проекта “Киберпрофессии будущего”. Продолжаем рассказывать о восходящих звездах и признанных экспертах Group-IB, их работе, исследованиях, а также о новых специальностях. Сегодня мы снова заглянем в глубины интернета — на территорию Threat Intelligence, и наш новый гость — Никита Ростовцев. В конце материала, как обычно, — ссылка на актуальные вакансии Group-IB.