#fakeshops
Кардеры-каннибалы: Group-IB выявила крупнейшие сети  фишинговых сайтов под кардшопы

🦴Аналитики Group-IB Threat Intelligence обнаружили три крупнейшие сети фейкшопов — UniFake, JokerMantey, и SPAGETTI. Мошенники зарабатывают деньги на начинающих неопытных кардерах, создавая и распространяя фишинговые сайты под кардшопы — подпольные магазины по продаже скомпрометированных платежных данных. Чем ни «кардеры-каннибалы»?

🦴Например, SPAGETTI — самая крупная из обнаруженных сетей — насчитывает более 3000 доменных имен, многие из которых являются копиями самых популярных кардерских сайтов в андеграунде, таких как: Joker's Stash, BriansClub, Uniсс, Ferum shop, ValidCC и других. Создателям этой сети за все время работы удалось получить не менее 9200 входящих транзакций на различные криптокошельки на общую сумму более $1,200,000 (большая часть которых была получена в Bitcoin – 23 BTC по курсу на 12 октября 2021).

🦴Как правило, фейкшопы не создаются по одному. Для охвата большего количества пользователей (покупателей украденных данных банковских карт) создатели фейкшопов проводят рекламу на андеграундных форумах, чатах Telegram и обманом заставляют переходить жертв по своим ссылкам, а также объединяют свои сайты в гигантские сети.

🦴Специалисты Group-IB изучили как создаются и поддерживаются фейкшоп-сети. В этом блоге мы расскажем как аналитикам отличить оригинальный кардшоп от фейкового и как провести правильную атрибуцию фейкового ресурса.

#COVID_fake
Новая волна: количество предложений о продаже поддельных сертификатов о вакцинации выросло в 20 раз

📑С начала сентября специалисты Digital Risk Protection Group-IB выявили 3158 новых предложений о продаже сертификатов о вакцинации. Это в 20 раз выше предыдущих показателей лета 2021 года! Большинство новых предложений опубликованы в чатах Telegram. По сравнению с летом 2021 года изменились время изготовления и стоимость сертификатов о вакцинации. Тогда, напомним, цены варьировались от 3 000 рублей до 30 000 рублей при сроке изготовления около трех недель, однако сейчас при стоимости от 4 000 рублей до 12 000 рублей,  готовый сертификат обещают доставить покупателю уже через 3 дня.

📑Растет и сам “ассортимент”  услуг, рассказал "Россия-24" Евгений Егоров, ведущий аналитик Департамента Digital Risk Protection Group-IB. Продавцы предлагают приобрести не только сертификаты российских вакцин: «Спутник V», «ЭпиВакКорона», «КовиВак» (с переводом на английский язык), но и сертификаты зарубежных вакцин: Pfizer, CoronaVac, AstraZeneca, Moderna. Основными источниками распространения информации о продаже сертификатов  являются все те же публичные чаты Telegram, сайты-одностраничники, страницы в социальных сетях.

📑Кроме сертификатов о вакцинации, продавцы подделок предлагаю купить положительные или отрицательные ПЦР-тесты, справки на наличие или отсутствие антител к Covid-19, QR-коды и медотводы от вакцинации. Эксперты Group-IB Digital Risk Protection напоминают, что подделка официальных документов, их приобретение, а также использование заведомо подложных документов, в том числе сертификатов о вакцинации, относится к уголовному преступлению — ст. 327 УК РФ. Кроме проблем с законом, велики риски, что покупатели поддельных сертификатов могут столкнуться с мошенниками, которые похищают деньги или данные банковских карт.

#COVID_fake
🙈Как мы предупреждали, очередная волна пандемии открывает новые возможности для обмана. На одном из свежих мошеннических сайтов от имени несуществующего госучреждения  — Федеральной организации по борьбе с COVID-19 —  обещают выплаты «от нашего правительства»  в размере 9 879 рублей. На сайте говорится, что уже перечислили 19 млрд  рублей — матпомощь якобы получили 23 млн человек.

🙈Единственное условие — наличие банковской карты, надо заполнить форму с данными получателя, внести все реквизиты банковской карты, включая CVV-код(!). Деньги якобы приходят в течение 5 рабочих дней. «На самом деле человек передает мошенникам сведения о себе, своей банковской карте, он может сразу потерять деньги, а его персональные данные могут быть проданы или использованы в другой мошеннической схеме, —  предупреждает Евгений Егоров, ведущий аналитик Digital Risk Protection Group-IB.  —  К сожалению, эта мошенническая схема нацелена на самые незащищенные слои населения".

Успейте зарегистрироваться на CyberCrimeCon2021 — главное событие в мире кибербеза!

🕵️‍♀️Десятый год подряд Group-IB проводит международную конференцию CyberCrimeCon, посвященную исследованию киберпреступности, анализу инцидентов и хакерских групп, атакующих компании по всему миру.

🕵️‍♀️В этом году, 2 декабря, ССС вновь объединит экспертов, аналитиков, разработчиков, исследователей со всего мира — словом всех тех, кто разделяет наши принципы нетерпимости к киберпреступности. #zerotoleranceforcybercrime

🕵️‍♀️Участников online-конференции ждет:

📌 10+ часов взрывного контента от ведущих мировых экспертов;  
📌2 параллельные тематические секции: «Киберпреступные группировки» и «Кибершпионаж и уязвимости»;
📌17 спикеров со всего мира.

🕵️‍♀️Все участники CCC смогут первыми ознакомиться с отчетом Hi-Tech Crime Trends, который детально описывает ландшафт киберугроз и помогает компаниям быть на шаг впереди киберпреступников.

✅Ссылка на регистрацию тут 👈

#Ransomware
Очень темные дела: BlackMatter и его жертвы

🔐Cегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы BlackMatter и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS ( Ransomware-as-a-Service) или, как это случалось раньше, после ребрендинга и перегруппировки сил вновь возьмутся за старое.

🔐Помните, как в августе, в нашей первой статье о BlackMatter мы говорили о том, что новый вымогатель появился сразу после исчезновения из публичного поля двух самых активных и агрессивных преступных группировок – DarkSide и REvil, атаковавших такие крупные компании, как Toshiba, JBS S.A., Colonial Pipeline и Kaseya. Но, если летом у исследователей еще были вопросы, кто стоит за новой программой-вымогателем, то сейчас ни у кого не осталось сомнений, что BlackMatter является продолжателем дела DarkSide, и если новичок еще не затмил своего прародителя, то это лишь вопрос времени.

🔐Одной из первых жертв BlackMatter в конце июля 2021 года стало американское архитектурное бюро. С того момента аппетиты вымогателей значительно выросли. Сейчас в списке жертв BlackMatter более полусотни компаний из США, Австрии, Италии, Франции, Японии, средняя сумма выкупа составляет $5,3 млн, а максимальная — $30 млн, которую атакующие потребовали от японской корпорации Olympus. В этом блоге Андрей Жданов, специалист по проактивному поиску киберугроз Group-IB, поделился информацией о результатах исследования новых образцов BlackMatter для Windows и Linux. Когда BlackMatter вернутся в новом обличье, мы будем уже готовы.

Как обычное на первый взгляд письмо может обернуться миллионными убытками для бизнеса? За какими данными охотятся злоумышленники в интернете? Почти треть российских предпринимателей столкнулись с кибератаками за последние два года, показало совместное исследование Bell.Club и Group-IB. Очень часто первоначальной точкой входа в сеть компании становится электронная почта. Но парадокс — 50% не защищают ее ничем, кроме встроенных средств защиты. Как бизнесу защититься от кибератак? Разобрались в специальном проекте The Bell и Group-IB.

#партнеры

#Ransomware
Раздавить Cl0p: Интерпол раскрыл детали операции «Циклон»

⚔️Аресты и обыски, которые прошли летом этого года на Украине, были связаны с международной операцией против вымогателей из группы Cl0p, сообщил Интерпол.  Координировал действия полицейских сингапурский Центр расследований киберпреступлений (Cyber Fusion Centre, CFC). Кроме правоохранительных органов, в операции «Циклон» принимали участие специалисты из Trend Micro, «Лаборатории Касперского», Palo Alto Networks, Fortinet и Group-IB.

⚔️Напомним, что в минувшем июне полиция Украины сообщила о задержании шести человек, которые, как считает следствие, отмывали деньги для операторов шифровальщика Cl0p. Последних пока не поймали, но они уже объявлены в международный розыск —  Интерпол сформировал так называемые красные карточки (Red Notice) и по просьбе Южной Кореи разослал их своим представителям в 194 странах.

⚔️Операторы программы-вымогателя Cl0p известны своими атаками на крупных корейских ритейлеров и учебные заведения США. Злоумышленники не только шифруют файлы, но и похищают данные жертв, угрожая опубликовать их в случае неуплаты выкупа. Ущерб от деятельности стоящей за Cl0p преступной группы, по оценкам  Интерпола, превышает $500 миллионов.

#CyberCrimeCon21 #conference  #cybersecurity #zerotoleranceforcybercrime

До CyberCrimeCon2021 — главного события в мире кибербеза — осталось три недели, значит, самое время поподробнее рассказать про темы и спикеров нашей конференции

🖥В этом году на CyberCrimeCon будут представлены две параллельные секции с экcклюзивным и взрывным контентом — «Киберпреступные группировки» и «Шпионаж и уязвимости». Ведущие специалисты Group-IB совместно с приглашенными экспертами расскажут про современную киберпреступность и поделятся прогнозами на 2022 год.

🕵️‍♀️Один из наших спикеров — Дмитрий Шестаков, руководитель отдела исследований киберпреступности, Group-IB, выступит с докладом «Незваные гости: кто продает доступ в вашу сеть». Напомним, что именно продавцы доступов — главный фактор успеха, стоящий за вспышкой программ-вымогателей.

☝️Другие темы трека «Киберпреступные группировки»:
📌Взлёт и падение группы The Fraud Family
📌EvilCorp: результаты расследования
📌 Все еще киберугроза №1: как изменились атаки с использованием программ-вымогателей
📌 Ликвидировать одного, ликвидировать всех: нейтрализация известного синдиката, занимающегося банковским мошенничеством.

✅Ждем вас 2 декабря на CyberCrimeCon 2021! Регистрация по ссылке.