Size: a a a

2021 October 07
Group-IB
#comeback_sachkov
❤️Сейчас мы хотим сказать большое спасибо всем, кто подключился к нашей кампании в поддержку Ильи  — #comeback_sachkov! Мы видим, как в соцсетях вы постите свои личные истории, связанные с Ильей, его фотографии, рассказываете как Group-IB или Илья лично помогли вам, поддержали в трудную минуту.  

✅Чем больше людей узнают о том, какой на самом деле Илья Сачков, чем больше присоединятся к этой кампании, тем выше шансы на благоприятный исход этого дела. Мы публикуем лишь несколько из постов — их, конечно гораздо, больше. Мы признательны всем вам за смелость и честность!
Telegram
Group-IB
#comeback_sachkov
Возвращайся, Илья!

🤝В эти дни мы получаем большое количество слов поддержки в адрес Ильи и Group-IB. Огромное спасибо каждому из вас за это!  Мы верим в невиновность Ильи. Для всей команды очень важно, что вы с нами.

Многие спрашивают, чем  можно помочь, что сделать? Все мы остро переживаем за происходящее и ждем дальнейшего развития событий, поэтому очень важно действовать вместе.

Что мы можем сделать прямо сейчас:

1️⃣Рассказать в постах свои личные истории, связанные с Ильей, каким мы его знаем и любим — честным, прямым, бескомпромиссным человеком, нетерпимым ко злу в любом его проявлении.  

Неважно, что вас связывает с Ильей — может быть вы дружите со школы, учились вместе, работали, участвовали в совместных предпринимательских проектах — важно ваше личное мнение о нем, как о человеке.

2️⃣Запостить фото Ильи, свои фото с ним.
3️⃣Отметить аккаунт Ильи @sachkot
4️⃣Поставить наш официальный хэштег в поддержку Ильи: #comeback_sachkov
5️⃣Добавить в конце поста: Возвращайся, Илья!…
источник
Group-IB
источник
Group-IB
источник
2021 October 08
Group-IB
#DigitalForensics
Group-IB подтвердила факт взлома сайта The Bell и отправки фейковой рассылки

🔹 Специалисты Лаборатории компьютерной криминалистики Group-IB подтвердили факт получения неустановленными лицами неправомерного доступа к административной панели сайта www.thebell.io и установили обстоятельства инцидента  2 сентября 2021 года, когда злоумышленники отправили от имени The Bell фейковую рассылку провокационного содержания.

🔹В ходе исследования стало известно, что 29 августа с 19:01 по 19:57 (UTC +8) атакующие направляли запросы, указывающие на попытки эксплуатации уязвимости, позволяющей осуществлять удаленное выполнение кода.  

🔹А в период с 30 августа 17:40 (UTC +8) по 31 августа 10:15 (UTC +8) сайт The Bell активно сканировался при помощи ПО Burp Suite — инструмента, предназначенного в том числе для проверки наличия уязвимостей у веб-приложений.

🔹«30 августа 2021 года атакующими был получен доступ к административной панели вебсайта www.thebell.io, что позволило им осуществить несанкционированную почтовую рассылку 2 сентября 2021 года», — говорится в отчете.

🔹Специалисты Group-IB подчеркивают, что для проведения дальнейшего расследования необходимо привлечение правоохранительных органов. 13 сентября 2021 года The Bell подал заявление в полицию — в отдел МВД России по району Арбат. Материалы расследования экспертов Group-IB могут быть переданы The Bell в правоохранительные органы.
источник
2021 October 12
Group-IB
#утечки #БД
Не на тех поставили: данные почти 10 млн пользователей букмекерской платформы утекли в сеть

🔹В даркнете выставили на продажу базу данных о почти 10 млн учетных записей букмекерской конторы и онлайн-казино Pin-Up.betPin-Up.bet, сообщает РБК. Большая часть данных связана с Россией, хотя сам сайт в нашей стране был заблокирован по решению Федеральной налоговой службы.

🔹База появилась в продаже 5 октября, рассказал РБК Олег Дёров, руководитель группы исследования публичных утечек Group-IB, а сами данные содержат: ФИО, электронный адрес, дату рождения, телефонный номер, хешированный пароль (bcrypt), пол, страну, адрес, данные об аккаунте (баланс, валюта и т.д.). Платёжных данных в записях нет, либо они удалены, так как продажа или публикации платёжных данных запрещены правилами форума. По заявлению автора утечки, БД относится к концу 2020 года, ее стоимость — 10 000$.

🔹По словам эксперта Group-IB, несмотря на то, что пароли в базе хранились в хешированном виде, к тому же использовался алгоритм bcrypt, который считается достаточно безопасным и сложным к атаке с перебором паролем, подобные утечки несут серьезную угрозу для пользователей. Наличие электронных адресов и номеров телефонов позволяет злоумышленникам проводить массовые спам-рассылки. А со знанием дополнительных данных из этой утечки (имена, адреса, дни рождения, данные об аккаунте и т.д.), мошенники могут провести целевые фишинговые или вишинговые атаки.

🔹Всего в сентябре 2021 года команда Group-IB обнаружила около 120 опубликованных (не на продажу) баз данных. Средний размер каждой базы составлял около 2.5 миллионов строк, хотя лишь 7 из этих 120 баз крупнее, чем утечка Pin-Up.bet. «Данная утечка является достаточно крупной, но не рекордной ни для мира, ни для России. Например, в 2012-2014 годах произошли массовые утечки Вконтакте и Рамблер. Каждая из них содержала данные о более чем 90 миллионах пользователей», — напомнил Олег Дёров.
источник
Group-IB
#comeback_sachkov

🤝Наша веранда пока не такая огромная, чтоб вместить команду Group-IB из Москвы, Сингапура, Амстердама, Дубая и, конечно, вас всех! Но это не важно, если все за одно.

🤝Спасибо, что поддерживаете нас, спасибо за посты, письма и сообщения в директ. Мы знаем, что вы с нами — публично или нет — неважно!

🤝Многие из вас знакомы с Ильей лично: мы будем рады если вы присоединитесь к нашей акции #comeback_sachkov
Уже 130+ постов под этим хэштэгом, полных теплых, искренних слов поддержки, участия и понимания. Спасибо вам за это, и, конечно, мы будем рады новым историям!


Возвращайся, Илья!
источник
Group-IB
источник
2021 October 14
Group-IB
#FakeDate
Не ходи к нему на встречу: Group-IB исследовала мошенническую схему со лжесвиданиями

🕵️‍♀️Group-IB обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.

🙈Первые случаи использования в России схемы Fake Date с приглашением на фейковые свидания в «антикино» — кинотеатр с залами для двоих — специалисты Group-IB фиксировали еще в 2018 году после обращений обманутых любителей романтики. Однако расцвет этой интернет-аферы пришелся на период, связанный с пандемией коронавируса.

😍В этом году самым популярным «местом для свидания» у мошенников оказались театры и стендап-шоу (60%). Чуть менее раскрученные локации — фейковые рестораны, СПА и кальянные (35%). А вот «антикино» уже не в почете — 5%.
источник
Group-IB
#FakeDate
Разбитое сердце: как работает схема со лжесвиданиями

💔Красотку из Tinder звали Анна: "Я в тиндере всего день, не привыкла общаться в интернете и тем более знакомиться:) Я больше за живое общение. Но у меня щас неделя сильно загружена… Завтра правда немного времени найдется, иду на спектакль в 8 вечера, если хочешь можем сходить вместе!".

💔Чтобы пойти на свидание, нужно купить билет — Анна сама скинула ссылку на сайт театра.... Но правда в том, что никакого первого свидания в партере не будет, деньги, перечисленные за билет, украдут, а Анна больше не выйдет на связь. Так работает популярная мошенническая схема Fake Date (с англ. — фейковое свидание).

💔Сценарий и механику этой популярной интернет-аферы аналитик CERT-GIB подробно описала в новом блоге: независимо от места для романтической встречи cценарии везде примерно одинаковые: симпатичная девушка знакомится в сервисах Tinder, Badoo или соцсетях с кавалером, быстро переводит диалог в мессенджер (обычно, Telegram) и сама приглашает на свидание. Как бы случайно у «девушки» оказывается билет на какой-то спектакль или на выступление звезды разговорного жанра — якобы подарили на день рождения, мама заболела и не смогла пойти, больше не с кем пойти и прочее.

💔Она скидывает QR-код своего билета и предлагает купить место рядом с ней, а также направляет ссылку, где можно билет приобрести. Пользователь оплачивает «билет» — теряет деньги, а девушка больше не выходит на связь.

💔В некоторых случаях, жертве придется заплатить трижды: — при "оплате" своего билета, второй раз — при незапланированной покупке еще одного билета, например, для «подруги», и третий — при оформлении возврата.

💔Любопытно, что схема Fake Date практически полностью переняла у другой популярной интернет-аферы  — «Мамонта» иерархию, техническую базу, модель функционирования и даже слэнг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников (воркеров) координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки — кинотеатры, театры, рестораны, кальянные, генерацией билетов, чеков, подробными скриптами. Для продвинутых скамеров налажена даже продажа записанных «голосовушек» — аудио и видео сообщений от лица девушек, предлагающих сходить на свидание.  Подробнее — в блоге Group-IB.
источник
2021 October 18
Group-IB
#deepfake
Слышу звон: мошенники с помощью дипфейка украли у банка $35 млн

🗣В ОАЭ мошенники с помощью аудиодипфейка смоделировали голос директора крупной компании и обманули менеджеров банка, которые перевели на их счет $35 млн.  Это довольно редкий (но не единичный  случай!), когда преступники используют аудиодипфейки. В 2019 году в Великобритании злоумышленникам удалось украсть €220 тыс. у энергетической компании. Тогда они выдали себя за генерального директора фирмы и убедили сотрудника перевести деньги на мошеннический счет.

🗣В отличие от фейковых видео, где различные артефакты работы нейросетей все еще можно увидеть невооруженным глазом (например, заметить, так называемый Эффект зловещей долины ), определить фейковое аудио на слух гораздо сложнее, рассказал Газете.ру Владимир Калугин, руководитель отдела специальных проектов департамента Digital Risk Protection Group-IB.

🗣«Аудиофейки, как правило, тоже создаются с помощью нейросетей, но в основе лежат проверенные и неплохо развитые технологии: анализ образца голоса и модулирование на его основе синтетического профиля. Анализ звукового ряда применяется, например, в музыкальной индустрии, в том числе для улучшения вокальных партий, а модулирование — при переводе текста в речь (text-to-speech), с которым мы знакомы по работе умных голосовых помощников типа Siri, «Алисы» и многих других. Кроме того, аудиофейки передаются как голосовые сообщения — через мессенджеры или по телефону. В таком случае запись в несколько измененном виде и с помехами не вызывает подозрений».

🗣По словам эксперта Group-IB, технология создания дипфейков является широко доступной и из-за этого количество мошенничеств с использованием дипфейков будет только расти: «На рынке существует много решений как для профессионалов, так и для новичков. Некоторые сервисы созданы для удобного решения вполне легальных задач, например озвучивания видео. Но при этом они могут быть использованы как инструмент для создания аудиофейка».
источник
2021 October 19
Group-IB
#резолюция
Двоичный кодекс: Россия и США внесли в ООН совместную резолюцию по кибербезопасности

🌐Россия и США внесли на рассмотрение Генеральной Ассамблеи ООН совместную резолюцию об ответственном поведении государств в киберпространстве, сообщает "КоммерсантЪ". Документ выглядит неожиданно с учетом длительного соперничества двух держав. Год назад, к примеру,  США и Россия внесли на рассмотрение Генассамблеи ООН две конкурирующие резолюции, и, хотя в итоге обе были приняты (большинство стран решило не ссориться ни с кем и поддержало оба документа), все это создавало пространство для соперничества и закулисных интриг, оказывало негативное влияние на эффективность обоих механизмов. Так что разработка совместной резолюции — это своего рода дипломатический прорыв.

🕵️Напомним, что основатель Group-IB Илья Сачков неоднократно заявлял о необходимости введения международного моратория на использование цифрового оружия и более тесном сотрудничестве государств в вопросах расследования киберпреступлений:  

📍Одним из важнейших шагов на пути к киберстабильности является введение международного моратория на использование цифрового оружия. Начиная с 2016 года мы озвучиваем эту идею на заседаниях экспертных комитетов Государственной думы, МИД России, Совета Европы и ОБСЕ. Сейчас этот вопрос актуален как никогда: цифровое оружие при его применении дает возможность неограниченному кругу лиц тиражировать атаку.

📍Мир не готов к встрече с глобальной киберугрозой. Причина – большинство компаний или целых государств живут в уверенности, что они защищены. В реальности инцидентов не происходит потому, что их пока никто никогда не атаковал.

📍К сожалению, крупные изменения в международном законодательстве происходят обычно после крупных трагедий. Лига наций возникла после Первой мировой – понадобились такие кошмарные кампании, как Верденская, с невероятным количеством жертв, чтобы люди сели за стол переговоров и договорились о разоружении. Затем политики опять не смогли договориться, случилась Вторая мировая и образование ООН, затем Карибский кризис и ограничение гонки вооружений, потом история с утечкой сибирской язвы, после чего СССР прекратил испытания бактериологического оружия. Ситуация не должна требовать жертв, чтобы заговорили о недопущении создания кибероружия на уровне стран. Все компьютерные атаки должны быть криминализированы, никаких послаблений – ни одна страна не должна даже во сне видеть себя создающей кибероружие. Каждый инцидент должен расследоваться до конца, а участники – строго караться.

📍Кибербезопасность — вне политики. Межгосударственный обмен в области данных о киберпреступниках  это и есть залог международной стабильности. И я призываю к этому всех. Политическая ситуация сейчас напряженная, существующих международных механизмов противодействия киберпреступности недостаточно – соответственно преступники используют противоречия между государствами, чтобы успешно скрываться долгие годы. Этому нужно положить конец, пока ситуация не вышла из-под контроля.
источник
Group-IB
#UNINA
Group-IB и Университет Неаполя (UNINA) открыли Центр компетенций по поиску и исследованию киберугроз

🇮🇹Buone notizie!  Неаполитанский университет имени Фридриха II,  один из старейших университетов в мире, основанный еще в 1224 году, совместно с Group-IB открыл на базе вуза Центр компетенций по поиску и исследованию киберугроз — Threat Hunting & Investigation Competence Centre.

🇮🇹UNINA и Group-IB планируют развивать сотрудничество по трем основным направлениям: обучение, ведение отраслевых технологических проектов, а также проведение стажировок для студентов с прицелом на их дальнейшее трудоустройство.

🇮🇹«Мы рады открыть Центр компетенций в сотрудничестве с Group-IB, — заявил ректор UNINA Маттео Лорито.  — Наш университет находится в авангарде инициатив по обучению вопросам ИТ-безопасности, предлагая широкий диапазон программ: от стандартных учебных курсов до инициатив, подобных созданию Threat Hunting & Investigation Competence Centre. Мы заранее готовим наших студентов к новым вызовам рынка труда».

🇮🇹На фоне постоянно растущего количества киберугроз специалисты в сфере кибербезопасности в наши дни нарасхват: количество открытых вакансий в этой области  в мире выросло на 350% с 2013 по 2021 год.  «Мир остро нуждается в специалистах по кибербезопасности, — уверен Джулио Вада, менеджер по развитию бизнеса Group-IB в Италии. — Я надеюсь, что вместе с UNINA мы поможем студентам сформировать фундаментальные знания в области кибербезопасности, а также укрепим их решимость как в выборе профессии, так и в дальнейшем развитии карьеры».
источник
2021 October 20
Group-IB
#мессенджеры
Дали течь: как сделать переписку в мессенджерах защищенной

📱Споры о том, какой мессенджер является самым надежным и безопасным, идут уже давно, но исследователи так и не пришли к единому мнению.  Например, специалисты из Artezio назвали самыми защищенными Signal, Wickr Me и Viber. А вот у экспертов Group-IB было несколько иное мнение на этот счет — абсолютно защищенных мессенджеров не бывает.  Если не касаться конкретных брендов, Павел Супрунюк, заместитель руководителя Департамента Аудита и Консалтинга Group-IB, советует при выборе защищенного мессенджера обратить внимание на наличие следующих технологий:  

📍 сквозное шифрование,
📍возможность анонимной регистрации без выгрузок адресной книги телефона,
📍возможность проверить подлинность собеседника (сверка ключей),
📍отношение мессенджера к данным, которые он оставляет на устройстве пользователя (есть ли фактическое удаление того, что пользователь удалил в интерфейсе),
📍открыты ли спецификации и исходные коды мессенджера всему миру.

📱 Если мессенджер не имеет сквозного шифрования (end-to-end encryption, E2EE), владельцу мессенджера технически может быть доступна любая информация, которую пользователь ему доверил, за исключением разве что паролей, так как обычно они не хранятся в открытом виде.

📱 Если же сквозное шифрование присутствует, то по задумке, владелец мессенджера не должен иметь доступа к переписке. Самыми типичными метаданными, к которым мессенджер получает доступ – это адресные книги мобильных устройств, то есть номера телефонов и имена.

📱Тут следует сделать несколько оговорок. Во-первых, не у всех мессенджеров со сквозным шифрованием последнее применяется ко всей информации пользователя. Например,  у одного известного мессенджера есть «открытые» чаты без сквозного шифрования, которыми все пользуются по умолчанию, и есть так называемые Secret Chats, которыми нужно воспользоваться специально.

📱Во-вторых, даже при наличии сквозного шифрования, не исключены ситуации, когда возможны бекдоры в клиентской части мессенджера, которая  всегда имеет доступ к открытой части переписки, либо умышленные нарушения в протоколах сквозного шифрования, приводящие к тому, что шифрование перестает быть сквозным. Правда, о фактах наличия таких бекдоров достоверно неизвестно.
источник
2021 October 22
Group-IB
#ransonware
REvil под колпаком: спецслужбы США обосновались на серверах вымогателей

⚔️ФБР, Киберкомандование и Секретная Служба США смогли взломать и взять под контроль сервера преступной группы REvil, сообщает Reuters. До недавнего времени REvil являлась одной из самых агрессивных операторов программ-вымогателей, среди жертв которой были Quanta Computer, один из ключевых партнеров Apple, JBS Foods, крупнейший производитель мяса в мире,  IT-гигант Acer и поставщик MSP-решений Kaseya, управляющий компьютерными сетями тысяч мелких компаний без собственных ИТ-департаментов.

⚔️ "Белая полоса" у REvil закончилась в июле этого года, когда после атаки на Kaseya , у них внезапно «погасла» вся инфраструктура —  сайты и серверы. Тогда эксперты Group-IB предположили, что причиной могла стать международная спецоперация правоохранительных органов.

⚔️Теперь вот и источники Reuters подтвердили, что после атаки на Kaseya ФБР смогла взломать инфраструктуру REvil, получив контроль над некоторыми из серверов, а также завладела универсальным ключом дешифрования, который позволял зараженным через Kaseya компаниям восстанавливать свои файлы без выкупа. После этого члены REvil на несколько месяцев залегли на дно, но в сентябре, когда они попытались восстановить свою инфраструктуру, то перезапустили некоторые внутренние системы, которые, как оказалось, уже находились под контролем правоохранительных органов.

⚔️«Банда вымогателей REvil восстановила инфраструктуру из резервных копий, предположив, что они не были взломаны, — считает Олег Скулкин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB.  — По иронии судьбы, излюбленная тактика вымогателей — компрометация бэкапов — была обращена против них».

✅Несмотря на то, что группа REvil опять исчезла с радаров, у них остались продолжатели, поэтому совсем не лишним будет перечитать блог Олега Скулкина, где он подробно рассказывает о тактиках, техниках и процедурах, которые используют партнеры группы REvil. А чтобы специалисты в области компьютерной безопасности могли лучше подготовиться к атакам, эксперт сопоставил TTP их партнеров с MITRE ATT&CK.👈
источник
2021 October 25
Group-IB
#Scamdemia
Мошенники начали «Игру в кальмара»

🔼Интернет кишит не только новостями и мемами по мотивам популярного южнокорейского сериала «Игра в кальмара», но и мошенническими схемами, предупреждает Газета.ру. Злоумышленники создают фишинговые сайты, распространяют вредоносное ПО и карточки из игры с неопознанными QR-кодами. Например, ESET обнаружила в Google Play приложение, которое предлагало пользователю скачать на телефон обои в стиле Squid Game, но по факту загружало на его устройство вредоносную программу, подписывающую жертву на различные сервисы с ежемесячной оплатой.

⏹«Этой осенью CERT-GIB зафиксировал взрывной рост регистрации доменов, связанных с нашумевшим сериалом от Netflix “Игра в кальмара”, — замечает Юлия Зинган, аналитик CERT-GIB. —  Всего по связанным ключевым словам удалось выявить 2145 доменных имен, более 95% которых были зарегистрированы в сентябре-октябре этого года на волне популярности южнокорейского сериала. Из “осенних” доменов регистрация более 90% приходится на первую половину октября. Большая часть ресурсов ориентирована на иностранного зрителя —  на русскоязычную аудиторию направлено всего чуть больше 2% доменов».

⏺Порядка 38% доменов, зарегистрированных этой осенью, используются как площадки для продажи мерча Squid Game на базе онлайн-платформы Shopify. И хотя, как считают эксперты, данные банковских карт при онлайн-оплате в магазинах на движке Shopify остаются в безопасности, нет никакой гарантии, что оплаченный товар будет доставлен покупателю. Согласно данным Fakespot, около 21% магазинов на базе Shopify являются потенциально мошенническими.  А вот так выглядит фишинговый ресурс в стиле Squid Game, созданный для продажи мерча на Хэллоуин.👇👇👇
источник
Group-IB
источник
Group-IB
🕵️‍♀️INTERPOL сегодня выпустил отчет о тенденциях развития киберпреступности в Африке, в котором назвал пять основных киберугроз для региона: онлайн-мошенничество, вымогательство и шантаж,  компрометация корпоративной почты, программы-вымогатели (шифровальщики), ботнеты.
🕵️‍♀️Подчеркнув, что в отчете использованы данные и опыт партнеров из частного сектора, аналитики INTERPOL напомнили о совместных операциях с Group-IB в Африке:  
📌Falcon. В конце 2020 года полиция Нигерии совместно с Group-IB ликвидировали преступную группу, которая скомпрометировала около 500 тысяч государственных и частных компаний из 150 стран мира.
📌Lyrebird. В мае 2021 года в Марокко местной полицией был задержан злоумышленник, известный в сети как DrHeX. Начиная с 2009 года он занимался фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт.
🕵️‍♀️Скачать отчет INTERPOL можно тут. 👈
источник
2021 October 27
Group-IB
#APT
Нестабильный элемент: Microsoft заявила об активизации Nobelium

⚔️Прогосударственная хакерская группа Nobelium, получившая широкую известность после атаки в конце 2020 года на американского разработчика софта SolarWinds,  более 22 000 раз атаковала клиентов Microsoft с июля по октябрь 2021 года. Как говорится в заявлении корпорации, хакеры штурмовали сети более 140 предприятий, и в 14 случаях успешно. Под прицелом APT чаще других оказывались реселлеры и провайдеры, предоставляющие услуги управления облачными сервисами.

⚔️«Информация об атаках хакерской группы Nobelium (aka Dark Halo) на ИТ-сегмент не стала для нас новостью, — замечает Анастасия Тихонова, руководитель группы исследования сложных угроз Threat Intelligence Group-IB. —  ИТ-сектор является ключевым для этой группы, так как открывает возможность добраться не только до самой жертвы — конкретной IT-корпорации, но и их многочисленных клиентов с помощью supply chain -атак, что наглядно продемонстрировал кейс со взломом разработчика ПО SolarWinds, в результате которой пострадали их клиенты — Microsoft, Cisco, FireEye".

⚔️Уже тогда специалисты Group-IB предположили, что у группы есть своя "специализация" и она не будет сбавлять оборотов. Например, компания Mimecast в начале этого года тоже признала, что подверглась атаке Dark Halo, и злоумышленники получили доступ к адресам электронной почты клиентов компании и другой контактной информации, а также к хешированным учетным данным. Кроме того, атакующие получили доступ и загрузили репозитории с исходными кодом.

⚔️"Что касается атрибуции, то какие-либо внятные доказательства того, что за деятельностью Dark Halo стоят «русские хакеры», отсутствуют, — замечает эксперт Group-IB. — Никаких TTPs, которые могли бы доказать пересечения между действиями Dark Halo и другой-либо известной APT-группой не было предоставлено (за исключением разве что сравнения используемого Dark Halo бэкдора Sunburst с Kazuar RAT, который используют хакеры группы Turla). Однако сходство кода двух вредоносов, к сожалению, еще не является гарантией 100% атрибуции».
источник
Group-IB
#comeback_sachkov
Сергей Никитин записал видео в поддержку Ильи Сачкова

✊«Я знаю Илью уже 11 лет и уверен в его невиновности, — говорит Сергей Никитин, руководитель глобальной штаб-квартиры Group-IB в Сингапуре. — Илья — один из немногих людей, который, по моему мнению, достоин государственных наград в России и в других странах. Этот человек  долго, принципиально и зачастую абсолютно бескорыстно боролся с киберпреступностью по всему миру. Он является настоящим патриотом и уж точно те обвинения, которые ему предъявлены, звучат довольно абсурдно. Его яркий образ у кого-то вызывает восхищение, кто-то, наоборот, не воспринимает его идеи. Но Илья никогда и не пытался угодить всем, он исполнял и, будем надеяться, продолжит исполнять свою миссию - борьбу с киберпреступностью….

✊Конечно, мы хотели бы знать больше, но все версии, которые циркулируют в СМИ — они просто придуманы. Само дело и обстоятельства дела являются засекреченными, и даже адвокаты Ильи дают подписку о неразглашении. Настоящие обстоятельства дела просто не известны. Поэтому, если кто-то пишет, что "знает", в чем именно обвиняют Илью, или "знает", что  произошло, то он или нарушает подписку, или просто придумывает…».
источник
Group-IB
#WiFi #StayCyberSafe
«Здравствуйте. Я ваш новый сосед»: как Идо Хорвич взломал 70% сетей Wi-Fi в Тель-Авиве

🎯«За последние семь лет, что я живу в Тель-Авиве, я четыре раза менял квартиру. Каждый раз я сталкивался с одним и тем же сценарием: интернет-компании требовалось несколько дней для подключения в результате чего я разочаровано смотрел медленный Netflix, — пишет исследователь Идо Хорвич. — У меня есть решение для этого сценария: «Здравствуйте. Я новый сосед». Надо просто поговорить с соседями и постараться  узнать номер их сотового телефона на случай чрезвычайной ситуации. Ну и спросить, можете ли  использовать их Wi-Fi, пока кабельная компания вас не подключит? Я думаю, мы все можем согласиться с тем, что отсутствие Интернета легко попадает в категорию чрезвычайных ситуаций!"

🎯Шутки-шутками, но Хорвич догадался, что номер мобильного телефона часто является также паролем от Wi-Fi, а значит, пароли могут быть легко взломаны или даже угаданы любопытными соседями или злоумышленниками. Чтобы проверить эту гипотезу, он собрал 5000 хэшей сетей Wi-Fi, прогуливаясь по улицам Тель-Авива.

🎯«Мне удалось относительно легко взломать более 70% перехваченных паролей сетей Wi-Fi. В связи с продолжающимся переходом на удаленную работу защита домашних сетей стала обязательной и представляет риск для предприятия, если этого не сделать. Домашние сети редко имеют такие же элементы управления и защиты, как корпоративные", — напоминает исследователь, демонстрируя в своем блоге, как легко можно взломать незащищенные сети Wi-Fi.

🎯А мы еще раз напомним, как защитить от взлома домашний роутер — подробно об этом в своем недавном видео рассказывал Сергей Никитин.

📌Откажитесь от паролей по умолчанию;
📌Установите сложные пароли к сети Wi-Fi и к административной панели роутера; Хорвич, кстати, советует: надежный пароль должен состоять из не менее 10 символов, включать как минимум один символ нижнего регистра, один символ верхнего регистра, один символ и одну цифру. Но, вот Summer$021- плохой вариант.
📌 Измените стандартное имя административной учетной записи;
📌Измените стандартный IP-адрес устройства;
📌 Обновите прошивку и установите новые версии ПО;
📌Отключите WPS и удаленный доступ к роутеру;
📌Отключите слабые протоколы шифрования (как WPA или WPA1). Установите как минимум WPA2, а лучше WPA3. Можно включить комбинированный режим WPA2+WPA3.
источник