#кардшоп #утечка

И к вечерним новостям: хакеры взломали других хакеров и выложили данные в сеть. Бывает? Да. Но редко.

Команда Group-IB Threat Intelligence & Attribution первой зафиксировала взлом данных пользователей кардшопа Swarmshop, произошедшего 17 марта. База данных была опубликована на различных площадках в даркнете и содержала 12 344 учетных записи администраторов кардшопа, продавцов краденых карт и покупателей, включая их ники, зашифрованные пароли, контактные данные, историю активности и состояние баланса на счетах. В общем, все по красоте.

Заметим, что это уже не первый взлом Swarmshop другими киберпреступниками. В январе 2020 года данные шопа уже были слиты. Тогда комментариев от нелегального ресурса не последовало, однако, сам сайт не работал несколько часов якобы из-за перехода на новый сервер. Да, но нет.

Несмотря на то, что данные пользователей хакерских форумов достаточно часто сливаются “коллегами по цеху”, взлом кардшопа с полным набором информации об админах, продавцах, покупателях, а еще и всей украденной базой платежных и персональных данных случается крайне редко. В базе, выложенной по ссылке, содержались данные 623 036 банковских карт, 69 592 номеров социального страхования канадцев и американцев.

Вероятнее всего, киберпреступниками двигала месть.

Подробности весеннего слива у нас в блоге. Впрочем, как и рекомендации о том, как узнавать о таких бричах первыми и как действовать компаниям, вовлеченным в инцидент.
➡️https://www.group-ib.com/blog/swarmshop

🎥 «Ура, лучший гость вернулся!», «Чуваку респект, ответы его прокачали меня»,  «Обожаю) Настоящий кибергость)», «Я хочу еще 100 выпусков!!»  — не нужно быть детективом, чтобы догадаться, чем вызван ажиотаж в комментариях под новым видео на канале «Люди PRO». У Сергея Павловича вышел свежий выпуск с Сергеем Никитиным, заместителем руководителя Лаборатории компьютерной криминалистики Group-IB — и вечер пятницы самое время его посмотреть.  
👉Из этой серии вы узнаете:
📌Wikiмафия в России: почему вдруг удаляют статьи?
📌Про обнальщиков и обнал-сервисы;
📌Наш звонок очень важен для вас: снова про мошеннические колл-центры;
📌Жалко: отношение Сергея Никитина к киберпреступникам;
📌 Почему надо реформировать систему ФСИН?  
📌Размеры зарплат у начинающих компьютерных гениев;
📌И как всегда подарки от Group-IB за самый интересный вопрос!

🎞 Все выпуски с Сергеем Никитиным тут. Смотрим, комментируем, ждем следующих выпусков💪

#Axoft #partners
Group-IB подписала дистрибуторский контракт с Axoft

🔹Group-IB и Axoft, глобальный сервисный IT-дистрибутор программного обеспечения, объявляют о подписании дистрибуторского соглашения. Около 4000 партнеров Axoft в России и Беларуси получат доступ к инновационным технологиям Group-IB для обнаружения и предотвращения кибератак, слежения за преступниками, а также исследования киберугроз и реагирования на инциденты.

🔹C апреля на технологическом демостенде дистрибутора можно будет ознакомиться с работой Group-IB Threat Hunting Framework, а до конца года партнерам Axoft и их клиентам будет представлена комплексная система Threat Intelligence & Attribution, представляющая собой новый класс решений для сбора данных об угрозах и атакующих, релевантных для конкретной организации, с целью исследования, проактивной охоты за хакерами и защиты сетевой инфраструктуры.

🔹«Прямой доступ к высокотехнологичным решениям Group-IB поможет партнерам Axoft увидеть работу уникальных технологий компании вживую, что позволит им предлагать своим заказчикам более сложные и комплексные проекты в сфере кибербезопасности, выводящие защиту клиентов на новый международный уровень»,  – отметил Шалва Гогуа, директор по работе с партнерами Group-IB в России и СНГ.

🔹29 апреля в 11.00 пройдет онлайн-семинар «Новые возможности с Cyber Defender Partner Program Group-IB». На нем речь пойдет о преимуществах партнерской программы,  портфеле и маржинальности решений, работе партнерского и образовательного портала. Семинар предназначен для представителей партнерского канала — владельцев бизнеса, директоров по развитию бизнеса, коммерческих директоров, руководителей отделов продаж и топ-менеджеров. Участие в мероприятии бесплатное, но требуется предварительная регистрация.

#Forensics #Habr
Бег по граблям: 10 «уязвимостей» компьютерного криминалиста  

🕵️‍♀️Политика добралась и до форензики. Так случалось и раньше, что западные разработчики отказывались поставлять в Россию некоторые технологии и оборудование, но в этом году израильская Cellebrite отказалась продавать оборудование для криминалистического исследования мобильных устройств по причине того, что это оборудование якобы использовалось для попыток (попыток!) взлома девайсов, изъятых у Любови Соболь. Между тем доподлинно известно, что взломать эти устройства с помощью оборудования Cellebrite невозможно — у него просто нет такого функционала. Но это еще полбеды — есть еще более пугающие приметы того, что пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем.... Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), — "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, — поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB и советует, чего лучше не делать:

📌Ставить на «быструю форензику»;
📌Слепо доверять результатам работы «программ-комбайнов»;
📌Неэффективно использовать программные и аппаратные средства;
📌Использовать распознавание текста в графических файлах и видеофайлах;
📌 Пытаться делать все «одним специалистом» и др

#APT #шпионаж
НИИ шагу назад: почему атакуют российскую науку?

🕵️‍♀️На фоне пандемии выросла активность иностранных хакеров в отношении российских НИИ, которые специализируются на разработке вакцин от коронавируса, а также военных и авиационных проектах, сообщает "КоммерсантЪ". «Еще со времен "холодной войны" научно-исследовательские центры и НИИ являлись одной из точек притяжения шпионов, а в последние годы — и прогосударственных хакеров из разных стран, — напоминает  Анастасия Тихонова, руководитель отдела исследования APT компании Group-IB. —  Похищенная секретная информация о ведущихся  разработках, позволяет  использовать чужие данные для собственных исследований, опережая конкурентов.  Если говорить про Россию, то в последнее время большой интерес у иностранных прогосударственных хакеров вызывают НИИ, которые специализируются на военных и авиационных разработках. Кроме того, в период пандемии, в группе риска находятся НИИ, ответственные за разработку вакцин».

🕵️‍♀️К сожалению, жертва слишком поздно замечает заражение, и в связи с этим реагирование на инцидент  затягивается, напоминает эксперт. Например, в одном из кейсов первое "пробитие" НИИ было аж в  2017 году и только в 2020-м предприятие решило провести реагирование. Сложно представить, сколько данных могло быть получено хакерской группировкой за это время и перенаправлено для дальнейшего изучения специалистами своей страны! Иногда кибершпионы могут и дольше оставаться незамеченными. Пример: в одной из компаний поставленный на «пилот» наш комплекс Group-IB Threat Hunting Framework, который позволяет защититься от сложных целевых атак в технологической сети, сразу обнаружил 6 видов различных вредоносных программ и бэкдоров — банковский троян в бухгалтерии, шпионские программы на мобильных устройствах сотрудников, которые подключались к рабочему wi-fi, бэкдоры и трояны на рабочих машинах. И это несмотря на установленные на серверах и рабочих компьютерах антивирусы и другие средства защиты.

🕵️‍♀️В целом, если говорить о мировых тенденциях, то шпионаж все чаще  сменяется активными попытками уничтожения объектов инфраструктуры.  Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети.  Согласно отчету Group-IB Hi-Tech Crime Trends 2020-2021, на международной карте наибольшее количество  активных в этот период прогосударственных хакерских групп было сосредоточено в трех странах мира: в Китае – 23 группы, в Иране — 8, в Северной Корее — 4 группы.

#вебинар
👉 Напоминаем, что сегодня в 18:00 мск стартует мастер-класс Школы Миллиардера Forbes «Киберриски-2021: кто и как будет атаковать ваши компании после пандемии?».
🕵️ Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB, расскажет о том, что угрожает бизнесу в 2021 году и как защитить компании от кибератак. Участие бесплатное. Регистрация по ссылке: https://bit.ly/31KuM68

#DigitalRiskProtection
Критическое обновление: Group-IB фиксирует скам-атаку на пользователей Facebook в 84 странах мира

🧨Group-IB предупредила Facebook о масштабной атаке на пользователей Facebook Messenger в 84 странах мира, включая Россию. Впервые эксперты Group-IB Digital Risk Protection зафиксировали мошенническую схему летом 2020 года — злоумышленники распространяли ссылки на скачивание несуществующего  «обновления» Facebook Messenger. В апреле 2021 года число фейковых постов в Facebook, предлагающих установить «последнее обновление» мессенджера, достигло 5700, а количество поддельных профилей социальной сети, которые использовались в данной схеме, — почти 1000.

🧨Чтобы усыпить бдительность пользователей, мошенники использовали в аккаунтах, с которых распространялись сообщения, названия, созвучные популярному мессенджеру: Messanger, Meseenger, Masssengar и тд., а в качестве аватарки загружали официальную иконку приложения. В самих рекламных публикациях говорилось о новых функциях мессенджера, при чем как реальных, так и вымышленных  — например, предлагали скачать несуществующую Gold-версию мессенджера. В самом сообщении содержалась короткая ссылка, однако, перейдя по ней, пользователи попадали на фишинговый сайт с фиктивной формой для авторизации.  В итоге жертва могла потерять доступ к своему аккаунту и “слить” другие свои персональные данные.  

🧨«Злоумышленники не только умело играют на человеческих чувствах —  любопытство, страх, жажда наживы, но и используют технологии продвижения, обхода модерации и маскировки своих мошеннических схем, — предупреждает Андрей Бусаргин, заместитель генерального директора Group-IB по направлению Digital Risk Protection. — Для того чтобы выявить эти схемы и защитить пользователей, бренды должны на несколько шагов опережать злоумышленников, выявить и заблокировать всю мошенническую цепочку — от начала до конца, а решения для защиты от цифровых рисков могут стать в этом случае «серебряной пулей».

🧨Исследование мошеннической схемы с Facebook Messenger было проведено с использованием платформы Group-IB Digital Risk Protection. Благодаря применению нейросетей, искусственного интеллекта и автоматизированного графового анализа данных о киберугрозах Group-IB Threat Intelligence & Attribution, система DRP позволяет в режиме реального времени отслеживать инфраструктуру мошенников и ликвидировать ее еще на этапе подготовки атак.

#FIN7
⚔️Пишут, что русскоязычная хакерская группировка FIN7 атакует крупные американские компании, используя инструменты для пентестеров.  В этом нет ничего необычного. Как и большинство серьезных финансово мотивированных групп,  FIN7 после "пробития" цели часто используют для закрепления и продвижения по сети атакованной организации  фреймворки для проведения тестов на проникновение, например, Cobalt Strike и Metasploit. Впрочем, бывает, что FIN7 довольно изобретательны в своих атаках.  Показательным примером такого «креатива» могут служить атаки BadUSB, которые описаны экспертами из Trustwave SpiderLabs: злоумышленники присылали письма по обычной почте от имени компании Best Buy с поддельным подарочным сертификатом на $50 и зараженным USB флэш-накопителем. В письме сообщалось, что на «флэшке» содержится список товаров, которые можно оплатить с помощью сертификата. После подключения к компьютеру USB-устройство выполняло PowerShell-команду, которая в свою очередь загружала и запускала бэкдор Griffon.

⚔️В целом, группа FIN7 довольно давно известна экспертам Group-IB — раньше мишенью преступников в России и СНГ были, в основном, банки и платежные системы, в то время как в Европе, США и странах Латинской Америки преступники атаковали сети розничной торговли, e-commerce, новостные ресурсы, гостиницы и др. Как и многие финансово-мотивированные группы FIN7 со временем переключились на атаки с использованием программ-вымогателей, так как они значительно проще в реализации и при этом  могут принести хакерам такую же прибыль, что и целевые атаки.

⚔️«В 2020 году FIN7 принимала самое активное участие в Big Game Hunting, атаках на крупные компании с целью вымогательства выкупа за расшифровку данных, — напоминает Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB. — Мы фиксировали, как FIN7 некоторое время была партнером операторов шифровальщика REvil, которые стоят, например, за атаками на Acer и Honeywell, а позже переключилась использование собственной программы-вымогателя Darkside.  При этом их аппетиты росли - суммы выкупа  исчислялись в миллионах долларов. Подробнее — в нашем отчете «Программы-вымогатели 2020/2021». В своей практике мы видели кейсы, где жертвами вредоносных рассылок FIN7 становились и российские компании, но чаще всего это скорее тестирование возможностей вредоносного программного обеспечения, чем реальная атака».

#Apple #ransomware
Мимо «яблочка»: получат ли операторы вымогателя REvil выкуп от Quanta Computer и Apple?

⚔️Меньше чем через пять суток истекает ультиматум, который хакерская группа REvil выдвинула одному из ключевых партнеров Apple — тайваньскому производителю электроники Quanta Computer.  Напомним, что злоумышленники проникли в компьютерную систему подрядчика Apple и зашифровали его данные программой-вымогателем, предварительно сделав их копии. За неразглашение полученной информации киберпреступники потребовали от Quanta Computer $50 млн в криптовалюте Monero. Потом условия изменились — операторы REvil напрямую обратились к Apple, предложив заплатить выкуп уже до 1 мая, но, если не получат деньги, то продадут скопированные данные конкурентам.

⚔️Если Quanta решит вести переговоры, то, действительно, может выбить «скидку», однако ожидать, что злоумышленники согласятся на несколько сотен тысяч вместо десятков миллионов долларов не стоит, рассказал  «Известиям»  Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB:  «Apple, а точнее их подрядчик — Quanta Computer, уже потеряли данные. Конечно, QC могут заплатить выкуп, но и в этом случае 100% гарантии, что злоумышленники вернут и восстановят все данные, нет. Многое еще зависит от партнера, который стоял за атакой. Как известно, REvil распространяется по модели "программа-вымогатель-как-услуга"(RaaS), поэтому использовать это вредоносное ПО может большое количество разных групп. О публичных случаях передачи украденных данных напрямую конкурентам мне неизвестно, но преступные группы, в том числе REvil, регулярно проводят аукционы по продаже ценной информации о жертвах, которые отказались платить выкуп, иногда прямо на тех же сайтах, где часть данных выкладывалась в публичный доступ».

⚔️По словам эксперта,  восстановление инфраструктуры Quanta может занять значительное время, более того, если компания несерьезно относится к своей информационной безопасности, то может повторно стать жертвой подобной атаки: «Самое главное сейчас для них — оперативно и детально расследовать текущий инцидент, и закрыть те бреши в сетевой инфраструктуре, которые позволили злоумышленникам успешно достичь своей цели. Иначе стоит ждать повторения атаки».

#forensic
Обратный взлом: Signal против Cellebrite

⚔️Наблюдаем тут нешуточную битву интеллектов: израильская компания Cellebrite, крупнейший разработчик софта для мобильной криминалистики, в декабре прошлого года объявила о взломе мессенджера Signal и доступе к его данным. В Signal взлом опровергли, а в апреле 2021 года сами заявили, что "вскрыли" один из флагманских продуктов  Cellebrite — программно-аппаратный комплекс UFED, с помощью которого компьютерные криминалисты могут извлекать данные из мобильных устройств.

⚔️Представитель Signal  рассказывает, что во время прогулки подобрал упавший с грузовика пакет, внутри которого оказались новые версии программного обеспечения Cellebrite, аппаратный ключ, предназначенный для предотвращения пиратства, и множество адаптеров. Эксперты  внимательно изучили UFED и приложение Physical Analyzer, и были удивлены, обнаружив, что «безопасности собственного программного обеспечения Cellebrite уделялось очень мало внимания: там  отсутствуют стандартные отраслевые средства защиты от эксплойтов». «Signal заявила, что нашла уязвимости в  UFED, например, небезопасную обработку данных при процессинге образов телефонов, и пообещали вставлять в Signal файлы, которые будут ломать UFED при попытке распарсить их», — комментирует Сергей Никитин, зам руководителя Лаборатории компьютерной криминалистики Group-IB.

⚔️Мимоходом Signal тыкает в Cellebrite острой палкой,  обвиняя в сотрудничестве с  "авторитарными режимами в республике Беларусь, России, Венесуэле и Китае; эскадронами смерти в Бангладеш; военной хунтой в Мьянме; и теми, кто стремится к насилию и угнетению в Турции, ОАЭ и других странах".  На самом деле список официальных клиентов Cellebrite в последнее время значительно поредел — с марта этого года израильская компания прекратила поставки своего оборудования в Россию и Беларусь. Почему? Оно якобы использовалось для попыток взлома мобильных устройств, изъятых у опозиционеров, например, у Любови Соболь. Предлог немного надуманный, поскольку продукты Cellebrite, которые официально поставлялись в Россию, не могли взломать модели смартфонов выше iPhone 4.

#TIA
Microsoft Azure Sentinel предоставит заказчикам возможность использовать уникальные данные Group-IB Threat Intelligence & Attribution

🤝Microsoft и Group-IB сообщают об успешной интеграции Azure Sentinel, облачного решения для управления информационной безопасностью, с системой исследования и атрибуции кибератак Group-IB Threat Intelligence & Attribution (TI&A). Компания Group-IB стала первым разработчиком, прошедшим  интеграцию своей платформы в Azure Sentinel в России и СНГ. Напомним, что TI&A объединяет уникальные источники данных и накопленный опыт в расследовании киберпреступлений и противодействии сложным многоступенчатым атакам по всему миру. Система хранит данные о субъектах угроз, доменах, IP-адресах и инфраструктурах, собранные за 15 лет, в том числе о тех, которые преступники пытались скрыть. Каждый специалист, использующий TI&A, получает доступ к крупнейшей коллекции данных даркнета, продвинутой модели профилирования хакерских групп, а также полностью автоматизированному графовому анализу, который за секунды помогает провести корреляцию данных и атрибутировать угрозы до конкретной преступной группы.

TIA
Group-IB Threat Intelligence & Attribution получила награду SBR Technology Excellence 2021

🙌Прекрасные новости прилетели из Сингапура — Group-IB получила  престижную награду в рамках премии Singapore Business Review Technology Excellence 2021 за разработку Threat Intelligence & Attribution.  Премия SBR присуждается работающим в Сингапуре компаниям, которые находятся на самом пике технологической революции.
🙌«Получение этой награды — момент гордости для наших разработчиков, threat intelligence аналитиков и всей компании, — уверен Шафик Давуд, директор по продажам и глобальному развитию в Азиатско-Тихоокеанском регионе Group-IB. — Наша TI&A является ключевым элементом нашей интеллектуальной экосистемы продуктов для исследования и атрибуции кибератак, охоты за угрозами и защиты сетевой инфраструктуры на основании данных о тактиках, инструментах и активности злоумышленников. Использование TI&A вместе с другими нашими продуктами в клиентской инфраструктуре имеет синергетический эффект с точки зрения кибербезопасности и дает бесконечные возможности для исследования различных типов инцидентов».  
🙌Сейчас системе Group-IB TI&A доверяют банки и финансовые организации, телекоммуникационные компании и компании FMCG в более чем 60 странах мира.

#webinar #education

🔊Открыта регистрация на вебинар «Защита финансовых организаций: универсальный метод борьбы с новыми угрозами», который пройдет 12 мая в 11:00 (GMT+3)
➡️ https://bit.ly/2R1SdWv

Мы расскажем о новом решении Group-IB G-Bundle Finance и разберем актуальные угрозы для финансового сектора:

🔹Шифрование и кража данных с последующим требованием выкупа;
🔹Услуги по «пробиву» клиентов на подпольных форумах инсайдерами в организации;
🔹Штрафы и санкции регулирующих органов, которые узнают об эксплуатируемой атакующими уязвимости в инфраструктуре компании;
🔹Мошенничество с использованием бренда компании или социальной инженерии для кражи денег клиентов из онлайн- и мобильного банкинга.

До встречи!

#мошенничество #авиабилеты
Майская угроза: Group-IB зафиксировала всплеск мошеннических ресурсов по подбору дешевых авиабилетов

🎯В апреле Group-IB выявила 50 фишинговых сайтов по продаже авиабилетов по низким ценам. Для сравнения, за весь 2020 год было зафиксировано 56 таких ресурсов, в январе 2021-го — 9, в феврале — 5, в марте — ни одного. Пик мошенничеств пришелся на последнюю неделю апреля — после того, как Владимир Путин объявил выходными дни с 1 по 10 мая. Вредоносные ресурсы зачастую находились  на первой позиции в поисковой выдаче в Яндексе/Google по запросу  "купить авиабилеты", "дешевые билеты"...

📌"Когда посетитель фейкового сайта вводит данные карты, в том числе CVV-код, для оплаты авиабилетов, деньги уходят на счет злоумышленника, а билетов никто не получает", — пояснил «Известиям» заместитель руководителя  CERT-GIB Ярослав Каргалев. Он добавил, что к преступникам также попадают данные банковской карты, которые они могут использовать для покупок в  Интернете. Особенность апрельских атак в том, что целевая аудитория для мошенников — пользователи смартфонов,  в большинстве случаев фишинговые сайты открываются только с мобильных платформ.

#мошенничество #жд_билеты
Призрачный поезд: ОАО «РЖД» и Group-IB предупредили россиян о фишинговой атаке накануне майских праздников

🚅 Не только в воздухе, но и на земле нет покоя от мошенников — накануне майских праздников злоумышленники создали сеть фальшивых сайтов якобы для продажи электронных билетов на поезда «Сапсан», предупреждают сегодня Group-IB и ОАО «РЖД». По данным CERT-GIB, к середине апреля количество уникальных фишинговых доменов составляло 13 —   большинство ресурсов уже заблокированы, остальные находятся в процессе снятия с делегирования.  

🚅В схеме использован классический сценарий: в поисках доступных билетов на «Сапсан» пользователи, привлеченные рекламой, попадают на сайт мошенников. Желая приобрести билет онлайн, жертва вводит данные банковской карты, в результате теряя и деньги, и данные «пластика».  Отличие схемы в том, что фальшивые ресурсы открывались, в основном, на мобильных устройствах — как на операционных системах iOS, так и Android, однако, встречались и  те, что «работали» в браузерах персональных компьютеров.

 🚅Для того, чтобы не стать жертвой мошенников, ОАО «РЖД» и Group-IB рекомендуют:

📌Не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно, если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др. Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем.
📌Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw вместо оригинального sapsan.su).
📌Обновляйте браузер до последней версии.
📌Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: «возраст» сайта — может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней.
📌Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах. Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.

#DarkPathScammers #UNICC
Нездоровая канитель: Group-IB ликвидировала мошенническую кампанию, имитирующую опрос от ВОЗ

#DarkPathScammers #UNICC
Нездоровая канитель: Group-IB ликвидировала мошенническую кампанию, имитирующую опрос от ВОЗ

🧘В начале апреля Международный вычислительный центр ООН (UNICC) оповестил Group-IB о поддельном сайте, использующем бренд Всемирной организации здравоохранения. Пользователям предлагали ответить на несколько простых вопросов и заработать €200 по случаю Всемирного дня здоровья, который ежегодно проводится 7 апреля под эгидой ВОЗ. Однако вместо обещанных денег жертв перенаправляли на сайты знакомств, платных подписок или мошеннические ресурсы.

🧘Group-IB заблокировала все мошеннические домены — а их оказалось 134 — в течение 48 часов с момента обнаружения, однако дальнейшее исследование показало, что все эти выявленные сайты являлись частью более крупной сетки, которая контролировалась группой мошенников под кодовым названием DarkPath Scammers. Фейковые ресурсы, созданные под ВОЗ, были связаны как минимум с 500 другими мошенническими и фишинговыми ресурсами, имитирующими более 50 известных международных брендов пищевой промышленности, спортивной экипировки, электронной коммерции, программного обеспечения (ПО), энергетики и автоиндустрии. Мошенники рекламируют свои ресурсы с помощью почтовых рассылок, платной рекламы и социальных сетей.

🧘Благодаря собственной системе графового анализа специалисты Group-IB проанализировали десятки SSL-сертификатов, SSH-ключей и DNS, смогли выявить вредоносную инфраструктуру, раскрыть IP-адреса реальных серверов, где хранится фишинговый контент, и обнаружить все домены, связанные в единую распределенную мошенническую сеть.

🧘Большинство мошеннических сайтов, контролируемых DarkPath Scammers, на данный момент остаются активны и по-прежнему нацелены на миллионы пользователей по всему миру. По оценке Group-IB, вся сеть мошенников привлекает ежедневно около 200 000 пользователей из США, Индии, России и других регионов. Group-IB продолжает мониторинг активности мошеннической группы. Подробнее — тут.

#OTISAC #APAC
Group-IB договорилась о партнерстве и обмене данными о киберугрозах с OT-ISAC

📑Центр обмена и анализа оперативной технологической информации (OT-ISAC) — это сообщество по безопасному обмену данными об угрозах для предприятий из сфер энергетики, водоснабжения и других объектов критической инфраструктуры. Штаб-квартира OT-ISAC находится в Азиатско-Тихоокеанском регионе (APAC). Все участники могут безопасно и анонимно обмениваться информацией об угрозах с аналитиками OT-ISAC, которые затем распространяют оповещения внутри сообщества. «Group-IB привносит в это партнерство свои исключительные возможности в области кибербезопасности, и мы рады использовать их опыт для повышения безопасности участников нашего сообщества», —  подчеркнул Джон Ли, управляющий директор OT-ISAC.

📑Инженеры Group-IB напоминают, что кибероружие все чаще используется для совершения диверсий на объектах критической инфраструктуры. Представители этих отраслей должны быть прекрасно осведомлены о противнике и угрозах: кто их атакует, какова их мотивация, какие техники и тактики могут быть использованы в дальнейших атаках. Поскольку Group-IB фокусируется на исследовании и предотвращении продвинутых киберугроз как со стороны финансово мотивированных хакеров, так и прогосударственных групп,  сотрудничество с OT-ISAC должно повысить защиту критической инфраструктуры в Азиатско-Тихоокеанском регионе.