#GIB_Global #MEA
Путь на Восток: Group-IB открыла штаб-квартиру в Дубае

🔹Сегодня Group-IB объявила об открытии в Дубае Центра исследования и атрибуции киберугроз на Ближнем Востоке и в Африке. На церемонии открытия ближневосточной штаб-квартиры присутствовал Крейг Джонс, директор INTERPOL по расследованию киберпреступлений, а также представители более 30 клиентов Group-IB в регионе — банков, страховых компаний, предприятий энергетического сектора и госучреждений. Центр в Дубае наряду c глобальной штаб-квартирой Group-IB в Сингапуре и европейской штаб-квартирой в Амстердаме должен стать одним из ключевых опорных пунктов для координации международной борьбы с киберпреступностью.

🔹«Киберпреступность носит глобальный характер, при этом в каждом регионе — свой уникальный ландшафт угроз. Понимая, как развивается ситуация на Ближнем Востоке, какие угрозы характерны для этого региона и какой урон они ему могут нанести, вместе с Group-IB мы сможем ослабить влияние этих рисков на регион и минимизировать потенциальный ущерб, — отметил Крейг Джонс, директор INTERPOL по расследованию киберпреступлений. — Обладая обширными знаниями и опытом, команда Group-IB в Дубае будет играть ключевую роль в исследовании регионального ландшафта угроз и локальной поддержке своих клиентов и партнеров. В рамках развития Глобальной программы Интерпола по борьбе с киберпреступностью в мире мы планируем дальнейшее расширение партнерства с Group-IB, в том числе в рамках оперативной деятельности по борьбе с киберпреступностью. На Ближнем Востоке этому будет способствовать взаимодействие с новым офисом компании».  

🔹Еще со времен атаки вируса Stuxnet Ближний Восток являлся испытательным полигоном для цифрового оружия, нацеленного на энергетический сектор и другие объекты критической инфраструктуры. По данным отчета Group-IB Hi-Tech Crime Trends 2020/2021, в настоящее время в регионе MEA действует по меньшей мере 18 спонсируемых государством APT-групп, включая APT33, MuddyWater и APT41. В числе актуальных киберугроз —  продажи доступа к скомпрометированным корпоративным сетям и атаки программ-вымогателей: в прошлом году как минимум 12 компаний и предприятий на Ближнем Востоке стали жертвами шифровальщиков. Все подробности – в нашем пресс-релизе.

#скам #ЕГЭ
«Слив не засчитан»: Group-IB и школа Tumo выявили сотню мошеннических ресурсов, торгующих «ответами» к госэкзаменам

📑Вчера, в первый день ЕГЭ, почти четыре десятка выпускников удалили с экзаменов за различные нарушения. Призываем Минпросвещения и Роскомнадзор пойти дальше и поудалять из Рунета мошеннические сайты, группы в соцсетях и телеграм-каналы, где выпускникам предлагают купить за 400-1200 рублей «шпаргалки» с ответами к государственным экзаменам. Получив деньги, мошенники отправляют ученикам фейковые ответы, не имеющие ничего общего с подлинными, или просто вносят покупателей в «черный список» и больше не выходят на связь.

🕵️‍♀️«Продажа фейковых ответов к госэкзаменам — это довольно популярный пример сезонного мошенничества, — замечает Андрей Бусаргин, заместитель генерального директора Group-IB по направлению защиты от цифровых рисков. — Group-IB и  школа креативных технологий для подростков Tumo заключили соглашение, в рамках которого специалисты Group-IB будут проводить открытые уроки по цифровой гигиене, рассказывать подросткам, как не стать жертвой злоумышленников и почему их не надо спонсировать». Все подробности по ссылке 👉 https://www.group-ib.ru/media/gib-tumo/

✅Курс от специалистов Group-IB пройдет в TUMO Moscow 9 и 23 июня, в рамках специального проекта «Месяц защиты подростков». Вход свободный по предварительной регистрации, которая откроется на сайте TUMO.

#ransomware #REvil#REvil
Полная прожарка от REvil

⚙️В прошлые выходные JBS Foods, один из крупнейших производителей мяса, был вынужден приостановить работу нескольких своих предприятий в США, Австралии и Канаде из-за атаки программы-вымогателя. Reuters, а позже и ФБР, сообщили, что за атакой стоит группа REvil. Кто это и чего они добиваются, РБК рассказал Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. Вот несколько основных тезисов:

📌До последнего времени программа-вымогатель REvil распространялась по публичной партнерской программе. Это значит, что использовать ее может довольно широкий круг киберпреступников с разным уровнем подготовки. Атакованы могут быть как небольшие компании, с которых попросят выкуп до $100 тыс., так и гиганты, вроде Acer, — в этом случае счет идет уже на десятки миллионов долларов.

📌У REvil есть разные партнеры и то, что они говорят на русском языке, совсем не означает, что хакеры — русские.

📌По характеру атаки на  JBS Foods четко читается почерк финансово мотивированных хакеров, сейчас нет доказательств причастности атакующих к прогосударственным хакерским группам.

👉 Подробнее о том, как действуют шифровальщики, об актуальных способах защиты и продотвращения кибератак, можно прочитать в недавнем отчете Group-IB «Программы-вымогатели 2020-2021 гг».

#Профессии #DigitalForensicsAnalyst #Спецпроект #Хабр
#Профессии #DigitalForensicsAnalyst #Спецпроект #Хабр
Артем Артемов: «Компьютерная криминалистика — это чистый дофамин»

🕵️‍♀️ «Представьте, что произошла атака на большое промышленное предприятие. Мотив — шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся — и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от нее попадаем на какой-то левый сервер, начинаем копать и буквально минут за сорок находим следы заражения и куски знакомого кода. Несколько дней ты находишься буквально в прострации, и вдруг наступает озарение!  Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И все совпадает: к офису подруливает машина, человек внутри открывает ноутбук и в это время идет подключение к сети организации через их wi-fi точку. Да, да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определенное время вся коммуникация заканчивается, машина уезжает. Щелк. Пазл сложился». Многие истории, которые рассказывает Артем Артемов, руководитель Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB в Амстердаме, похожи на остросюжетный детектив.

✅Сегодня в рамках спецпроекта, в котором мы знакомим читателей Хабра с профессиями и ведущими специалистами Group-IB, Артем Артемов подробно и без купюр рассказывает о своей работе, расследованиях, задержаниях, преступных группах, о том, как и где можно пройти обучение на Digital Forensics Analyst, а в качестве бонуса — полезные ссылки на литературу и актуальные вакансии в Group-IB!

👉Кто пропустил первую часть, не расстраивайтесь  — здесь Анастасия Тихонова, руководитель отдела исследования сложных киберугроз Департамента Threat Intelligence Group-IB, рассказывает о том, кто такие прогосударственные хакеры, чем закончится «гонка кибервооружений» и почему даже самые очень умные киберпреступники совершают ошибки?

#атрибуция #fontpack
Всплыло окно с просьбой обновить Flash Player, браузер или шрифты? Осторожно! Возможно, ваши данные хотят украсть.

🔹У нас в Group-IB Threat Intelligence только и разговоров что об атрибуции. С каждым годом делать это все сложнее, поскольку уникального вредоносного ПО становится меньше, "партнерок" (коллабораций между злоумышленниками) — все больше, а количество и качество атак растет.

🔹В нашем новом блоге Никита Ростовцев, аналитик Group-IB Threat Intelligence, покажет атрибуцию на практике, используя в качестве объекта исследования один хакерский лендинг, который специалисты Group-IB отслеживают под кодовым названием FontPack. Вы узнаете, каким образом и что именно этот лендинг распространяет, а также другие интересные штуки, которые наши специалисты обнаружили в ходе исследования.

Переходите по ссылке и читайте!

#базы #черныйрынок
На хакерском форуме рекламируют продажу якобы клиентской базы DDoS-Guard

🔹Сообщение о продаже базы данных, предположительно, принадлежащей DDoS-Guard — российской  компании, которая предоставляет услуги по обеспечению защиты от DDoS-атак, доставке контента и веб-хостинга — система Group-IB Threat Intelligence & Attributions обнаружила  26 мая на популярном хакерском форуме exploit[.]in. Автор объявления сначала выставил лот на аукцион со стартовой ценой в $500 000, вскоре снизив цену до $350 000. Продавец уверяет, что у него есть не только данные о клиентах DDoS-Guard, включая их имена, IP-адреса и платежную информацию, но даже исходный код инфраструктуры DDoS-Guard (однако отказывается предоставить пробники самой базы).

🔹«Злоумышленник зарегистрировал свою учетную запись на exploit[.]in в январе 2021 года, и с тех пор пытался купить доступы к различным корпоративным сетям, —  отмечает Олег Дёров, аналитик Group-IB Threat Intelligence. — Несмотря на регулярную активность, его аккаунт до сих пор не имеет высокой репутации, также у него отсутствует депозит, который обычно свидетельствует о серьёзности намерений продавца. Отмечу, что это уже второй его аккаунт — первый был заблокирован ещё в 2020 года за отказ проводить сделки через  “гарант"».

🔹Недавно DDoS-Guard оказалась в центре международного скандала: в январе 2021 года российская компания предоставляла свои услуги для популярной среди сторонников экс-президента США Дональда Трампа соцсети Parler после того, как ей было отказано в услугах веб-хостинга на платформе AWS.  В России под защитой DDoS-Guard находятся десятки известных ресурсов, однако есть и весьма «подозрительные пассажиры»

🔹В прошлогоднем отчете Group-IB о теневых покровителях онлайн-пиратства, DDoS-Guard была названа в числе тех, чьи услуги по хостингу и защите от DDoS используют злоумышленники: интернет-пираты, скамеры, онлайн-казино. Сейчас Роскомнадзор ограничивает доступ пользователей к 4 000 ресурсов (домены или URL-адреса), которые размещены или размещались на сетевых адресах DDoS-Guard: кроме пиратских ресурсов (48%), РКН блокирует многочисленные сайты азартной тематики (45%), магазины наркотиков (4%), в том числе RCclub и зеркала Hydra.

🔹«Различные «мутные» сайты используют услуги DDoS-Guard как поставщика-защиты от DDoS-атак, и, тем самым, скрывают реальный хостинг, — замечает Ярослав Каргалев, заместитель руководителя CERT-GIB. — На наши многочисленные уведомления, что они защищают нелегальные ресурсы представители компании отвечают, что они не являются владельцами сайта, и не могут модерировать или удалять информацию, а администратору сайта предоставляют только защиту от DDoS. Наличие подобной «безопасной среды»  серьезно мешает глобальным усилиям по борьбе с киберпреступностью».  

🔹И, добавим, несет определенные риски для DDoS-Guard. Не зря ж предупреждал Вячеслав Бутусов: «Если ты пьёшь с ворами, опасайся за свой кошелёк».

#скам #онлайнмошенничество #саммит
Приглашаем на Group-IB Digital Risk Summit 2021!

🔹Опять беспокоит служба безопасности Х-банка? Фейковые страницы продажи авиабилетов? Розыгрыши в Инстаграм от липовых звезд? Сайты-клоны курьерских сервисов или жулики на досках объявлений? В четверг, 10 июня, приглашаем вас на первый глобальный — эфир из Амстердама — Digital Risk Summit, где расскажем  об актуальных цифровых рисках, таких как: scam, онлайн-пиратство, онлайн-контрафакт, утечки данных, незаконное использование личного бренда в онлайн-среде, и о методах защиты.

Ключевые темы:

👉 Тенденции и прогнозы в кибербезопасности на 2021 год
👉 Scam-угрозы — главный растущий тренд 2021 года
👉 Как управлять человеческими рисками в кибербезопасности
👉 Решение Group-IB Digital Risk Protection
👉 Практические кейсы от мировых компаний по защите бренда
👉 Group-IB Scam Intelligence

🔹Ведущие специалисты Group-IB  представят новые технологии защиты от scam-угроз и практические кейсы от международных клиентов.

Присоединяйтесь, чтобы узнать больше об основных цифровых рисках! Регистрация здесь.

До встречи в четверг!

#ransomware
Шифровальщики и не только: актуальные киберугрозы

🎥Недавно в Instagram мы провели не совсем обычный прямой эфир. Илья Сачков пригласил на стрим Дмитрия Волкова, технического директора Group-IB и основателя одного из первых в мире направлений Threat Intelligence & Attribution. Больше часа Илья подробно расспрашивал гостя об актуальных киберугрозах и, в первую очередь, конечно, о программах-вымогателях, группах, которые за ними стоят, о способах предотвращения кибератак и охоте (хантинге) на киберпреступников.

🙏В наш чат прилетело множество интересных вопросов от зрителей — спасибо всем, кто их задал! На большую часть вопросов Илья и Дима успели ответить в прямом эфире. Оставшуюся часть — вместе с полной расшифровкой беседы — мы решили выложить здесь, в нашем блоге.

🔹А в качестве затравки: рейтинг ТОП-3 самых актуальных киберугроз от Дмитрия Волкова:

🔻Угроза номер один, которая касается абсолютно всех, — не важно, государственная это компания, объект критической инфраструктуры, малый и средний бизнес или огромная транснациональная компания, — это шифровальщики, программы-вымогатели.
🔻Угроза номер два — это то, что влияет на стабильность инфраструктуры в отдельно взятой стране:  такие критические объекты, атака на которые может привести к сценариям, которые принято называть «сценариями судного дня». Это угрозы, исходящие от так называемых APT, проправительственных групп хакеров.
🔻И третье — это атаки на массовый рынок, ритейл, любые e-commerce-сайты со стороны ботов, скрейпинга, различного рода мошеннические схемы. Ну и поскольку мы в России, здесь угроза номер один для подобного рода компаний — это социальное мошенничество.

#instagram #livestream #digitalrisk
Илья Сачков, CEO и основатель Group-IB, проведет новый Instagram-стрим уже в эту среду!

🔹В преддверии Digital Risk Summit 2021 разговор пойдет про одну из самых актуальных проблем - онлайн-мошенничество.

🔹Мировая пандемия заставила бизнес еще быстрее выйти в онлайн. Мошенники воспользовались повесткой: все помнят фейки с продажей цифровых пропусков? А теперь ещё и сертификаты о вакцинации. Независимо от этого почти каждый из нас сталкивался с фейковыми аккаунтами звезд, банков и крупных компаний, рекламирующих несуществующие товары и услуги. Поддельные сайты по продажам авиабилетов, фейковые курьерские службы, бронирование отелей и другие уловки — все это мы обсудим и разберём способы защиты пользователей и бизнеса.

🔹Как скамеры зарабатывают на нашем доверии? Каковы масштабы незаконного использования чужих брендов ? Что делать владельцам бизнеса и как обычным пользователям не попасть в эти сети?

🔹Гостем станет руководитель Group-IB Digital Risk Protection - Андрей Бусаргин, который знает о теневой индустрии онлайн-мошенников буквально все. Андрей трудится в кибербезе уже более 10 лет и с удовольствием поделится лайфхаками для пользователей и стратегиями защиты для компаний.

🔹Старт в эту среду в 20:00 по московскому времени. Подключиться можно через профиль @sachkot.

Стрим обещает быть жарким! Не пропустите!

#вебинар #форензика
Вебинары от специалистов по компьютерной криминалистике!

Ищите возможность расширить свои знания по форензике? Рады анонсировать сразу два вебинара от наших специалистов!

1️⃣ Вспомнить все: анализ памяти для поиска следов commodity malware

👉 15 июня, на вебинаре Светлана Островская, тренер Лаборатории компьютерной криминалистики Group-IB, поделится универсальным набором знаний о commodity malware и покажет, как проводить анализ памяти для поиска его следов.

Вы сможете:

🔹Познакомиться с последними трендами из мира ВПО
🔹Научиться искать следы аномальной активности в памяти
🔹Извлекать вредоносную полезную нагрузку

Регистрация здесь.

2️⃣ Как избежать хаоса при реагировании на инцидент ИБ

👉 17 июня Анатолий Тыкушин, специалист по компьютерной криминалистике Group-IB, поделится наблюдениями из собственной практики и расскажет, как не упустить необходимые для анализа данные и повысить вашу готовность к любому инциденту ИБ.

Вы узнаете:

🔹Must-have для эффективного реагирования
🔹Как наладить процессы реагирования в команде
🔹Как подготовить источники событий ИБ

Записаться можно здесь.  До встречи!

🎯Говорит и показывает Амстердам!  Сегодня в 15.00 по мск начнется онлайн-трансляция первого глобального Digital Risk Summit 2021. У нас в гостях представители Всемирной организации здравоохранения (ООН), аналитического агентства Forrester, независимого международного проекта по борьбе со скамом Scamadviser и многие другие уважаемые эксперты.

✅Присоединяйтесь, чтобы узнать больше об основных цифровых рисках, таких как: scam, онлайн-пиратство, онлайн-контрафакт, утечки данных, незаконное использование личного бренда в онлайн-среде. Наши эксперты расскажут о самых масштабных мошеннических схемах — «Мамонт», «Кроличья Нора», как с помощью технологий Group-IB Digital Risk Protection выявлять новые схемы и следить за преступными группами, добиваясь их ликвидации. Доступен русский перевод. Регистрация тут 👉 https://digitalrisks.group-ib.ru/

#скам #фишинг
Мировая «скамдемия»: мошенничество стало основным киберпреступлением в Интернете

🔹«Скамдемия»  — это когда у бизнеса везде болит, а традиционные лекарства-примочки не работают. Сегодня Group-IB представила анализ мошеннических схем в глобальной сети: суммарно на мошенничество приходится 73% всех киберпреступлений в Интернете, из них 56% — на скам (обман с добровольным платежом и раскрытием своих данных) и 17% на фишинг (кража данных банковских карт). Анализируя ущерб от мошенничества, Group-IB выявила не менее 70 активных скам-групп, работающих по схеме «Мамонт». Из них 54 нацелены на российских граждан. Менее чем за год они похитили у пользователей около 700 млн рублей.

🔹Доклад Group-IB, анализирующий многообразие мошеннических схем и текущий ущерб для индустрий в разных странах, представлен сегодня, 10 июня, в Амстердаме в рамках первой онлайн-конференции Digital Risk Summit 2021, с участием представителей Всемирной организации здравоохранения (ООН), аналитического агентства Forrester, независимого международного проекта по борьбе со скамом Scamadviser и других. Трансляция в России начнется в 15:00.

#DigitalRiskProtection
Фейк не пройдет: Group-IB представила автоматизированную систему ликвидации цифровых рисков

⚔️«Атаки, направленные на бизнес, конечно, случаются реже, чем на простых пользователей, но ущерб от них гораздо выше, — рассказывает Андрей Бусаргин, заместитель генерального директора международной компании Group-IB. —  Был такой кейс: у известной металлургической компании появился фальшивый сайт-клон, который был идентичен настоящему, но с другим телефоном и адресом электронной почты. Он проработал всего два дня, но успел получить один платеж на €2 млн».

♣️Использовать известный бренд или имя селебрити, чтобы под этим прикрытием обманывать людей, — излюбленный ход мошенников в интернете. И чем популярнее бренд или личность, тем больше вероятность появления фейков под них. Для пресечения мошеннических схем уже недостаточно классических методов мониторинга и «поштучной» блокировки ссылок. Борьба с цифровыми рисками требует профессиональных интеллектуальных решений.

🖥Новый продукт Group-IB — автоматизированная система Digital Risk Protection помогает защищать цифровые активы, бренд, личную и корпоративную репутацию с использованием технологий искусственного интеллекта. За год с ее помощью удалось предотвратить ущерб на сумму $443 млн для компаний из России, Европы, Азиатско-Тихоокеанского региона и Ближнего Востока.

🔹 Пристально изучая индустрию интернет-мошенничества более 10 лет, Group-IB пришла к использованию нейронных сетей и адаптивного скоринга: технологии позволяют автоматизировать сложные процессы выявления и классификации типа мошенничества, использованного под конкретную компанию и индустрию в любой стране мира. Как это работает?  Все подробности 👉 в Forbes Заказать демо и узнать больше о DRP можно здесь 👉https://www.group-ib.ru/digital-risk-protection.html

#APT
Крадущийся код, затаившийся дракон

🤝Любопытная, конечно, вещь: между РФ и Китаем с 2015 года действует соглашение в сфере кибербезопасности, в рамках которого стороны обязуются не атаковать друг друга. Но жизнь, как известно, диктует свои суровые законы.

⚔️«Российские организации стабильно становятся целями проправительственных групп разных стран мира, в том числе и из Китая, — замечает  Анастасия Тихонова, руководитель отдела исследования сложных киберугроз Департамента Threat Intelligence Group-IB. — Согласно нашему отчету Hi-Tech Crime Trends 2020-2021 наибольшее количество активных прогосударственных групп сосредоточено именно в Китае – 23.  Большинство атак в России приходятся на государственные или промышленные объекты, НИИ, различных военных подрядчиков».

🖥Чаще всего, первоначальным вектором атаки является отправка  по электронной почте фишинговых писем с вредоносным вложением, подчеркивает эксперт. Чтобы попасть в сеть жертвы, атакующие используют не только проверенные временем эксплойты, но в последнее время тратят силы и средства для обнаружения 0-day уязвимостей ( "нулевого дня").  

🎯 «Главная цель APT —  шпионаж: они получают доступ к конфиденциальным данным организаций и пытаются как можно дольше скрыть свое присутствие — известны случаи, когда атакующие, находясь в сети, несколько лет оставались нераскрытыми», — добавляет Тихонова.