#COVID_fake
COVID-комбо: фейковые QR-коды предлагают в нагрузку к сертификату о вакцинации

📱Введение QR-кодов при посещении общественных мест — ресторанов, кафе, ТЦ, а также при поездках на поездах и перелетах на самолетах, может вызвать рост нелегальной торговли QR-кодами в телеграм-каналах и на теневых форумах, прогнозируют эксперты Group-IB. Так уже произошло с всплеском криминальных предложений о продаже поддельных сертификатов о вакцинации. Этой осенью их количество в 20 раз превысило летние показатели.

📱В отличие от ситуации июня-июля, когда злоумышленники предлагали купить отдельно QR-код, сертификат о вакцинации или результат ПЦР-теста, сейчас довольно много комбо-предложений: сертификат о вакцинации предлагают вместе с внесением информации на госпортал, что уже подразумевает генерацию QR-кода. Подобных объявлений в телеграм-каналах, на теневых форумах и в соцсетях специалисты Group-IB обнаружили более 3 000.

📱«Сейчас QR-коды предлагают уже с проведением через государственные сервисы (информация о вакцинации якобы будет отображаться на официальном сайте) — стоимость такой услуги в среднем составляет 4 000 рублей, — рассказал Евгений Егоров, ведущий аналитик Департамента Digital Risk Protection Group-IB. —  Также существует продажа QR-кодов, которые перенаправляют проверяющих на поддельный сайт государственного сервиса с информацией о вакцинации заказчика, он стоит 2 500 рублей̆.  В целом, предложений по продаже QR-кодов с услугой проведения через государственные сервисы значительно больше, чем QR-кодов, ведущих на поддельные сайты".

📱Напомним, что в конце июня по указу мэра Москвы для посещения ресторанов и кафе москвичам нужно было иметь специальный QR-код, который генерируется через госпортал. Инициатива не просуществовала и месяца и была отменена 19 июля. Однако за это время мошенники успели подзаработать на любителях заведений общепита. Предложения о продаже QR-кодов занимали третье место после предложений о покупке сертификатов о вакцинации и ПЦР-тестов.

#CyberCrimeCon21 #cybersecurity #zerotoleranceforcybercrime
Представляем спикеров CyberCrimeCon2021

🕵️‍♀️2 декабря Антон Ушаков, зам руководителя департамента расследований высокотехнологичных преступлений европейской штаб-квартиры Group-IB, и Роберто Мартинез, старший аналитик Threat Intelligence Group-IB, выступят на треке «Киберпреступные группировки»  с докладом «Взлёт и падение группы The Fraud Family».  

Летом этого года национальная полиция Нидерландов объявила об успешной спецоперации по задержанию участников преступной группы Fraud Family — помощь следствию оказали сотрудники европейской штаб-квартиры Group-IB — Центра исследования киберугроз в Амстердаме. В результате расследования были задержаны 24-летний мужчина и его 15-летний сообщник, которых обвиняют в продаже и разработке вредоносных программ для фишинга. Фальшивые страницы были замаскированы под ресурсы крупных европейских банков — с их помощью мошенники обманом похищали данные банковских карт жителей Нидерландов и Бельгии.

Fraud Family — помощь следствию оказали сотрудники европейской штаб-квартиры Group-IB — Центра исследования киберугроз в Амстердаме. В результате расследования были задержаны 24-летний мужчина и его 15-летний сообщник, которых обвиняют в продаже и разработке вредоносных программ для фишинга. Фальшивые страницы были замаскированы под ресурсы крупных европейских банков — с их помощью мошенники обманом похищали данные банковских карт жителей Нидерландов и Бельгии.

☝️Все подробности этого расследования прозвучат на CyberCrimeCon2021.  Другие темы трека «Киберпреступные группировки»:
📌«Незваные гости: кто продает доступ в вашу сеть»
📌EvilCorp: результаты расследования
📌 Все еще киберугроза №1: как изменились атаки с использованием программ-вымогателей
📌 Ликвидировать одного, ликвидировать всех: нейтрализация известного синдиката, занимающегося банковским мошенничеством.

✅Ждем вас 2 декабря на CyberCrimeCon 2021! Регистрация по ссылке.

#RedCurl #шпионаж

🕵️‍♀️Group-IB обнаружила следы новых атак хакеров RedCurl, занимающихся коммерческим шпионажем и кражей корпоративной документации. На этот раз целью группы оказался российский ритейлер, входящий в ТОП-20 крупнейших интернет-магазинов России.

🎯Про русскоязычную группу RedСurl специалисты Group-IB впервые рассказали в прошлом году. С 2018 — 2020 гг. она совершила 26 атак. Среди ее целей — строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации из России, Украины, Великобритании, Германии, Канады и Норвегии. И вот спустя 7 месяцев — уже в 2021 году — атаки RedСurl возобновились.

👉Новый аналитический отчет Group-IB «RedCurl. Пробуждение» описывает изменение тактики и инструментов группы, используемых для проникновения в сети компаний, интересующих хакеров или их заказчиков.

✅Скачать отчет  «RedCurl. Пробуждение» 👈

🖐Пять любопытных фактов о RedCurl:

📌Шпионаж в коммерческой сфере, на чем специализируется RedСurl, остается пока еще редким и уникальным явлением.
📌«Фирменным стилем» RedСurl является отправка фишинговых писем в разные департаменты организации от имени HR-команды.
📌Методы RedCurl являются уникальными для русскоязычной хакерской сцены: первоначальное заражение, закрепление на зараженном устройстве, продвижение в сети, кража документов — все это осуществляется за счет самописных и нескольких публичных инструментов.
 📌Несмотря на высокий уровень контроля сети жертвы, группа не занимается шифрованием, не выводит деньги со счетов. Ее задача — как можно незаметнее добыть ценные сведения.
📌RedCurl интересуют: деловая переписка по электронной почте, личные дела сотрудников, документация по различным юридическим лицам, судебным делам и другая внутренняя информация. С момента заражения до кражи данных проходит от 2 до 6 месяцев.

✅Все подробности — в новом аналитическом отчете  «RedCurl. Пробуждение» 👈

#CyberCrimeCon21 #cybersecurity
Представляем спикеров CyberCrimeCon2021

🕵️‍♀️До нашей конференции остается десять дней — самое время назвать спикеров секции «Кибершпионаж и уязвимости». 2 декабря Никита Ростовцев, аналитик отдела анализа APT Group-IB, выступит с докладом «Мировое турне APT41: анализ новых кампаний и мониторинг деятельности группы».

⚔️Весной этого года авиакомпания Air India сообщила о масштабной утечке данных о пассажирах. Ранее аналогичные инциденты происходили в авиакомпаниях Singapore Airlines и Malaysia Airlines. Оказалось, что все они пользовались услугами одного и  того же поставщика ИТ-услуг, который подвергся хакерской атаке. Летом аналитики Group-IB Threat Intelligence обнаружили еще одну —  ранее неизвестную кибератаку на Air India, за которой стояла китайская прогосударственная группа APT41 — эта кампания получила кодовое имя ColunmTK.

☝️Про эти и другие кейсы подробно расскажет в своем выступлении Никита Ростовцев.  Остальные темы трека «Кибершпионаж и уязвимости»:

📌АРТ-кампания с использованием Cobalt Strike, нацеленная на европейские правительства;
📌Мастер маскировки: APT-группа ChamelGang и ее арсенал;
📌 Искусство кибервойны: APT-группировки в Азиатско-Тихоокеанском регионе, связанные со шпионажем;
📌 Небезопасная десериализация в Java;
📌Zoom: взлом самого популярного программного обеспечения во время пандемии.

✅Ждем вас 2 декабря на CyberCrimeCon 2021! Регистрация по ссылке.

#ransomware
Родина в опасности: Group-IB назвала топ-3 шифровальщиков, атакующих российский бизнес

🕵️‍♀️Эксперты Group-IB составили список самых агрессивных программ-вымогателей, которые в 2020-2021 годах работали на территории России. Ими оказались операторы шифровальщиков Dharma, Crylock, Thanos —  в общей сложности на них приходится более 300 атак, говорится в новом исследовании Group-IB «Как операторы программ-вымогателей атаковали российский бизнес в 2021».

💰Всего же в уходящем году количество атак программ-вымогателей в России увеличилось более чем на 200%.  Средняя сумма выплаченного выкупа в России в 2021 году составляет 3 млн рублей, максимальная — 40 млн рублей. А вот рекорд по максимальной сумме запрашиваемого выкупа  поставила группировка OldGremlin — они рассчитывали получить от жертвы 250 млн рублей.

⚔️Как и во всем мире, в России одной из основных причин популярности программ-вымогателей стала партнерская модель Ransomware-as-a-Service («Вымогательство как услуга») — именно так работают Dharma, Crylock и Thanos. Другие группы, как  например, русскоязычная RTM сами добавили в свой арсенал программы-вымогатели, чтобы в случае неудачи с кражей денег, развернуть шифровальщик на всю скомпрометированную сеть.

🎯Наиболее популярным способом проникновения шифровальщиков в сети российских организаций является компрометация публично доступных терминальных серверов по протоколу удаленного рабочего стола (RDP). В 2021 году на них пришлось до 60% всех кибератак, расследованных командой Group-IB. На втором месте — фишинговые рассылки — 22% инцидентов. На третьем — уязвимости в публично доступных приложениях — на них проходится 14% инцидентов.

✅Скачать исследование  «Как операторы программ-вымогателей атаковали российский бизнес в 2021» можно уже сейчас.

#ransomware #RatForest  

📧Вчера мы говорили о том, что электронная почта — это вторая по популярности точка входа для операторов программ-вымогателей.

🎯Именно так, например, работает обнаруженная экспертами Group-IB группа Rat Forest — первоначальный доступ в сети компаний они получают именно с помощью фишинговых рассылок.

⚔️Любопытно, что в своих атаках хакеры из Rat Forest использовали абсолютно легитимное программное обеспечение для удаленного доступа — RMS или TeamViewer, а вместо шифровальщика — криптоконтейнер VeraCrypt, куда перемещали важные для жертв данные и требовали выкуп. В некоторых случаях он достигал 1 млн рублей.  

🕵️‍♀️На скрине — пример фишинговой рассылки от группы Rat Forest, которая была  заблокирована Group-IB Threat Hunting Framework Polygon.

✅Еще больше интересных подробностей вы можете узнать из нового исследования  «Как операторы программ-вымогателей атаковали российский бизнес в 2021».

Мы не хотим, чтобы вы смотрели фильмы в низком качестве, с ужасным переводом и рекламными вставками казино, поэтому в 16-ом выпуске подкаста разбираемся, почему пиратство — отстой.

О пиратстве и кибербезопасности в сфере кино мы поговорили с Андреем Бусаргиным, руководителем департамента защиты от цифровых рисков в компании Group-IB.

Андрей рассказал как и сколько пираты зарабатывают, откуда проще всего украсть фильм, как правообладатели сотрудничают с пиратами (да, и такое бывает), а также мы вместе разобрали самые интересные пиратские кейсы в наших карьерах.

Слушайте по ссылке.

#GreenPass #Italy #FakeCovidCertificates
Green Pass не прошел: в Италии задержаны торговцы поддельными сертификатами  

🇮🇹Group-IB помогла Guardia di Finanza, Финансовой гвардии Италии, задержать группу мошенников, которые торговали в Telegram поддельными Green Pass. «Зелёный паспорт» —  это электронный сертификат с QR-кодом, свидетельствующий о том, что его владелец либо вакцинировался, либо уже переболел COVID-19, либо имеет отрицательный тест. В Италии с 15 октября Green Pass стал обязательным документом  — он нужен не только для посещения музеев, кинотеатров, спортзалов или ресторанов, но и для того, чтобы даже попасть на работу.

🙈Как и в России, на ситуации решили заработать мошенники. Амстердамскому подразделению по расследованию высокотехнологичных преступлений Group-IB удалось выявить 35 телеграмм-каналов, торгующих поддельными «зелеными паспортами».  Чтобы получить сертификат, жертву просят в секретном чате Telegram сообщить продавцу свои персональные данные, якобы необходимые для генерации QR-кода. Цена за подделку составляла  в среднем  около 100 евро — оплатить покупку Green Pass можно было криптовалютой, денежными переводами PayPal или подарочными картами Amazon. Но, получив деньги и данные покупателя, мошенники либо исчезали, либо отправляли жертвам поддельные сертификаты.

🕵️‍♀️Благодаря информации, собранной экспертами Group-IB, Guardia di Finanza провела задержания и обыски в Венето, Лигурии, Апулии и Сицилии.  Подробности спецоперации  “NO-VAX FREE” в видео из Италии👈

#кардинг #JSснифферы
Carding Action: Group-IB совместно с Европолом сохранили за два года европейским банкам €54 млн

🕵️‍♀️Group-IB приняла участие в международной операции Европола Carding Action 2021, направленной на борьбу с подпольным рынком продаж данных банковских карт. За три месяца экспертам удалось собрать и передать европейским полицейским платежные данные 50 000 скомпрометированных банковских карт. Таким образом удалось предотвратить потенциальный ущерб для европейских банков на сумму €14 млн. В прошлом году подобная операция помогла банкам сохранить еще €40 млн.

📑Данные о скомпрометированных картах были собраны из нескольких закрытых источников, таких как инфраструктура ботнетов и JS-снифферов, которые злоумышленники внедряют на сайт интернет-магазинов для перехвата вводимых пользователем данных, а также из подпольных кардшопов и торговых площадок, отслеживаемых системой Group-IB Threat Intelligence & Attribution.

✅Подробности об итогах операции Carding Action 2021 в четверг, 2 декабря, на конференции CyberCrimeCon 2021 Group-IB расскажет Хорхе Розаль Косано, руководитель отдела AP Terminal, Европейского центра по борьбе с киберпреступностью Европола. Регистрация на нашу конференцию все еще открыта 👈

⚔️Напомним, что операция Carding Action стартовала в прошлом году. Тогда Group-IB предоставила европейским правоохранительным органам информацию о 90 000 банковских картах. В результате европейским финансовым учреждениям, по данным Европола, удалось предотвратить потенциальные убытки на сумму около €40 млн.

👍Сегодня, 2 декабря, особенный день для рынка кибербезопасности. Юбилейная 10-я конференция CyberCrimeCon стартует сразу в пяти регионах мира — России, Азиатско-Тихоокеанском регионе, в Европе и на Ближнем Востоке. Более 5000 участников со всех континентов, 6 часов трансляции, 17 спикеров, включая представителей ведущих мировых вендоров в сфере кибербезопасности — SentinelOne, Positive Technologies, VNPT Cyber Immunity, Computest, а также представителей Интерпола и Европола — собрала на единой виртуальной площадке компания Group-IB.

🕵️‍♀️Нас ждет первое выступление Дмитрия Волкова, CEO и основателя Group-IB, в качестве хедлайнера конференции, доклады о новых и уже известных хакерских группах - EvilCorp, APT 41, ChamelGang, RedCurl, Fraud Family,  глубокий анализ рынка продажи доступов, изменение тактик в атаках шифровальщиков и многое другое.

✅Зарегистрировались? Тогда готовьтесь подгрузиться в глубины даркнета! А если не успели, мы будем держать вас в курсе!

#CyberCrimeCon21 #cybersecurity #conference
Встречаем новый лого и стиль Group-IB!

⚔️На протяжении всех 18 лет миссия Group-IB остается неизменной. Ее простота скрывает огромные усилия ради одной цели: борьбы с киберпреступностью. Боевой дух творит себе новые формы — они должны и будут меняться.

🕵️‍♀️Открывая CyberCrimeCon2021 Дмитрий Волков, CEO Group-IB, без лишних слов анонсировал новую визуальную концепцию. Group-IB стремится быть лаконичным и понятным брендом в любом регионе мира — это отражается в кратко сформулированной миссии и простом цветовом решении, где есть черный и белый, как два цвета противостояния.  

А неоновый луч, проходящий сквозь цифровой и физический мир, — это как путь героя, на который встает каждый, чья миссия — в борьбе. Идея, заложенная в новый образ Group-IB, была разработана и придумана Ильей Сачковым. “Нам лишь оставалось довести дело до логического финала", — подчеркивает Дмитрий Волков.

#CyberCrimeCon21 #cybersecurity #conference
Собрание в пяти томах: назван график выхода отчетов Hi-Tech Crime Trends

✅Легендарный аналитический отчет Hi-Tech Crime Trends является одним из самых ожидаемых на мировом рынке кибербезопасности.  Он издается вот уже 10 лет, все это время являясь практическим инструментом для широкого спектра экспертов — по информационной безопасности, по риск-менеджменту, по цифровым трансформациям бизнеса, по стратегическому планированию задач в области кибербезопасности и инвестированию в защиту информационных систем.

✅Каждый год Hi-Tech Crime Trends дает прогнозы, которые неминуемо сбываются. Для технических специалистов, среди которых СISO, команды SOC и DFIR, исследователи и аналитики вредоносного кода, а также представители новых профессий, связанных с Threat Hunting ( охота за киберугрозами), отчет Group-IB дает возможность проанализировать актуальность политик кибербезопасности, скорректировать необходимые настройки защиты своих систем и усилить экспертизу в области противодействия киберугрозам, релевантным для их отрасли.

✅Но в этом — юбилейном — году, авторы Hi-Tech Crime Trends создали его особенным! Впервые отчет разделен на 5 томов, которые будут последовательно появляться в течение всего декабря. Согласно анонсированному графику, вас ожидают:

📌2 декабря — отчет “Продажа доступов в корпоративные сети компаний”
📌9 декабря — отчет “Киберимперия шифровальщиков”
📌13 декабря — отчет “Киберугрозы для финсектора”
📌16 декабря — отчет “Военные операции” (ограниченный доступ)
📌20 декабря — отчет “Скам и фишинг”

✅Первый отчет выходит уже сегодня! Следите за новостями!