Поговорим про тренды. Количество целевых атак на банки в России (-35%) и хищений в интернет-банкинге у юридических лиц падает. А вот рынок банковских Android-троянов оказался самым динамичным и быстро растущим, говорится в нашем ежегодном отчете (https://www.group-ib.ru/2017-report.html). Ущерб от банковских троянов под Android в России вырос на 136% — он составил $13,7 млн.—  и перекрыл ущерб от троянов для персональных компьютеров на 30%.  Мы предсказывали этот рост еще в прошлом году — заражения вредоносным ПО становятся незаметнее, а хищения автоматизируются при помощи метода автозалива. Долгое время одной из самых из самых активных групп была группировка Cron, ликвидированная в конце 2016 года.

🕵🏻 Картотека GIB:  Группа Cron
Чем известна: Похищали деньги с банковских счетов пользователей. Ежедневно заражали 3 500 телефонов с ОС Android и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей. В 2016 году Cron взял в аренду банковский мобильный троян «Tiny.z» — более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.Статус: Ликвидирована. В ноябре 2016 года, в 6 регионах России задержаны 16 участников Cron. Последний активный участник группы был задержан в начале апреля в Санкт-Петербурге.

Подробнее о группе Cron читайте в нашем блоге: https://www.group-ib.ru/blog/cron

Друзья, поскольку сегодня вечером наблюдается повышенный интерес к теме целевых атак на российские банки, сообщаем:
Речь идет о MoneyTaker, русскоговорящей преступной группе, специализирующейся на целевых атаках на финансовые организации по всему миру. Сейчас она сосредоточила свои усилия на небольших северо-американских банках. Один из банков они ограбили дважды. Кроме Северной Америки группа активно атаковала банки и в других регионах, например, в России. Для обычных пользователей эта группировка угрозы не представляет.
Подробную информацию о MoneyTaker мы предоставили нашим клиентам сервиса Intelligence еще в прошлом году.
Атаки проводятся сезонно и их основной целью в разных странах являются разные системы. Так, в прошлом году в России их интересовали АРМ КБР. Сейчас они сменили свой фокус на карточный процессинг. Прежде всего потому, что система карточного процессинга защищена не так хорошо, как SWIFT, поэтому атакующие достаточно легко вносили изменения в лимиты и оставались незамеченными.
О других причинах повышенного интереса злоумышленников к процессингу и других актуальных тенденциях в области киберпреступлений читайте в нашем отчете Hi-Tech Crime Trends 2017. Скачать его можно по ссылке https://www.group-ib.ru/2017-report.html.
Да, есть и хорошие новости: все клиенты Group-IB защищены от инцидентов, поскольку они отлично детектируются с помощью комплекса защиты от целевых атак Group-IB TDS + Polygon.
Всем хорошего вечера!

Доброе утро! ТАСС уполномочен заявить: http://tass.ru/ekonomika/4692192

🕵🏻 Картотека GIB:  Группа MoneyTaker aka Fin7 — это русскоговорящая преступная группа, которая проводит целевые атаки на финансовые организации по всему миру. Пик активности MoneyTaker был зафиксирован в конце 2016 года, когда они активно атаковали финансовые компании в России, Гонконге, США. Группой уже была совершена успешная атака на АРМ КБР (автоматизированное рабочее место клиента Банка России). Хакеры проникают в корпоративную сеть с помощью целевой почтовой рассылки вредоносных файлов от имени финансовых организаций или в результате компрометации сетей провайдеров, которые предоставляют услуги для финансовых организаций. Весной этого года специалисты Group-IB зафиксировали 13 успешных целевых атак со стороны группы MoneyTaker aka Fin7. Киберпреступники скомпрометировали корпоративные сети организаций, в некоторых случаях получили доступ к конфиденциальным документам, связанным со SWIFT, карточному процессингу, системам по управлению банкоматами и другой крайне чувствительной информациеий для VIP-клиентах банков. О некоторых из атак не догадываются даже сами жертвы. Стоит отметить, что часть атак MoneyTaker на банки связывают с Anunak (aka Carbanak,  FIN Navigator, Teleport Crew, Digital Plagiarist), но мы рассматриваем их как отдельную группу, тесно связанную с участниками группы Anunak.

Друзья, отличные новости!
Случилось то, к чему мы так долго стремились: мы подписали с Интерполом соглашение об обмене информацией - https://www.interpol.int/News-and-media/News/2017/N2017-149
Раньше наше взаимодействие с международными киберполицейскими осуществлялось по отдельным официальным запросам на оперативные данные и аналитику в рамках расследований и реагирования на инциденты. Соглашение же устанавливает правила оперативного обмена информацией на регулярной основе. Ура!
«Для того чтобы эффективно бороться с современными киберугрозами, необходимо выстраивать государственно-частное партнерство, – сказал Нобору Накатани (Noboru Nakatani), исполнительный директор INTERPOL IGCI. – Соглашение, подписанное между Интерполом и Group-IB – это важный шаг в организации процесса предоставления правоохранительным органам по всему миру информации, необходимой им для работы в условиях сложного ландшафта и многообразия киберугроз».

Да, это еще не все:
В рамках подписанного соглашения мы уже передали в Интерпол информацию, которую получили в ходе проведения технического анализа вируса-шифровальщика Bad Rabbit. В ходе исследования наши специалисты обнаружили цифровые следы, которые позволят установить конкретных лиц, причастных к этой атаке.
Эти данные уже используются как самим международными киберполицейскими, так всеми организациями, входящими в Интерпол-комьюнити.
https://rns.online/internet/Group-IB-peredala-Interpolu-tsifrovie-sledi-organizatorov-ataki-Bad-Rabbit-2017-11-02/

А вот еще одна актуальная новость на сон грядущий:
Эксперты Group-IB за последние два дня обнаружили более 500 мошеннических сайтов с предложением новых моделей iPhone. «Айфономаны» рискуют как остаться без смартфона и денег, так и заразить свои устройства вирусом. Доход от одного сайта в месяц может достигать 68 тысяч долларов. Общий потенциальный ущерб специалисты Group-IB оценили в $34 млн.
Тут немного подробнее: https://rns.online/internet/Group-IB-viyavila-bolee-500-moshennicheskih-saitov-po-prodazhe-iPhone-X-2017-11-02/
Чтобы не стать жертвой мошенников Group-IB рекомендует:
1)  Заходите только на официальные сайты компаний.
2)  Проверяйте дату создания сайтов, где вы планируете совершить покупку. Для этого используйте бесплатные Whois сервисы, где по адресу сайта можно узнать дату регистрации, сроки оплаты и информацию о владельце домена.
3)  Не доверяйте низким ценам, не производите предоплату и не переводите деньги на карту или электронный кошелек продавцов.
4)  Не проводите оплату банковской картой на сайтах с небезопасным соединением, без сертификата https. Наличие сертификата в адресной строке существенно снижает риск мошенничества, но в некоторых случаях его тоже подделывают.
5)  Соблюдайте правила цифровой гигиены. Не кликайте подозрительные ссылки. Не оставляйте свои персональные данные на сомнительных ресурсах. Обращайте внимание на доменное имя и интерфейс ресурса. Ставьте последние обновления операционной системы.
Хорошего вечера и доброй ночи!

Тот случай, когда наше "железо" умнее хакеров.  Осенью 2015 года в одном из российских банков произошел неприятный инцидент. Хакерам удалось получить доступ к АРМ КБР (автоматизированное рабочее место клиента Банка России)  и создать фиктивное платежное поручение — десятки миллионов рублей ушли на счета подставной фирмы. Сразу после перевода, заметая следы, злоумышленники вывели компьютер из строя. IT-служба банка начала собственное расследование, но за два месяца не сильно в этом преуспела. Пригласили Group-IB.
Оказалось, что еще за месяц до атаки IT-администраторы заметили подозрительные обращения из сети банка к IP-адресу 85.93.5.87 с разных компьютеров, причем инициатором всегда был системный процесс svchost.exe. Антивирусное сканирование результатов не дало. Тогда мы установили в банке нашу разработку — TDS. Этот программно-аппаратный комплекс, позволяющий анализировать сетевой трафик, обнаруживает работающие в сети вредоносные программы. На TDS в банке был перенаправлен весь исходящий из сети трафик, и уже через две минуты после установки был найден компьютер с установленным ПО для удаленного администрирования Lite Manager. Программный модуль работал скрытно и устанавливал соединения с интернет-ресурсом rus-gazeta.biz. ПО было установлено под учетной записью администратора домена за день до инцидента с использованием программы PsExec, которая позволяет управлять компьютером удаленно посредством терминала и входит в пакет SysInternals от компании Microsoft. Эта информация помогла восстановить схему кражи. http://bosfera.ru/bo/ilya-sachkov-group-ib-logika-prestupnikov-ponyatna-bolshe-deneg-menshe-riskov

Конечно, это неприятно, когда соцсети и мобильные приложения знают о нас слишком много. Иногда они буквально читают наши мысли. Стоит  только поговорить со своей спутницей о предстоящей свадьбе, как на смартфоне в соцсети появится реклама свадебных товаров. Не успели в семье обсудить грязный ковер, как день спустя — появляется реклама чистящих средств. Одни пытаются с этим мириться —  за цифровые блага надо платить (тем более мы сами даем приложениям полный карт-бланш, подписывая соглашение). Другие повышают градус паранойи, освоив несколько простых приемов. Для защиты от прослушки можно, например, ограничить функционал приложения, ограничив его доступ, заклеить камеру и микрофон. Слежка со стороны международных корпораций еще не самое страшное, подчеркивает Руслан Юсуфов,  директор по работе с частными клиентами Group-IB, куда хуже, если уязвимостями в вашей цифровой крепости воспользуются профессиональные киберпреступники. В этом случае жертва теряет все: деньги, информацию, репутацию.

Впервые в паблике — подробный отчет с CyberCrimeCon2017 о трендах киберугроз для финансового сектора и тенденциях развития преступлений в области высоких технологий. Без регистрации и смс🔥 https://habrahabr.ru/company/group-ib/blog/341812/

У 40% российских компаний нет стратегии информационной безопасности (ИБ).  Процесс реагирования на инциденты информационной безопасности отсутствует в 56% компаний. У 48% российских компаний, согласно данным PwC, нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности. Такие данные приводит компания PricewaterhouseCoopers (PwC) по результатам глобального исследования. 😱Удручающие цифры, но реальность может быть еще хуже.  И это не повод опускать руки.

Вот пять простых шагов, которые компания Group-IB предприняла для улучшения ситуации с информационной безопасностью в России. 🔥

💥Во-первых, мы разрабатываем технологии, которые помогают предотвращать и расследовать преступления в сфере высоких технологий — эти решения отмечены такими авторитетными исследовательскими компаниями, как Gartner и Forrester. Мы раньше чем многие частные компании и государство внедрили CERT (Центр круглосуточного реагирования на киберинциденты), Big Data и Threat Intelligence (Киберразведка). Технологии позволяют не только бороться с конкретными киберпреступниками, а добиваться того, чтобы их бизнес становился неэффективным и экономически нецелесообразным.
💥Во-вторых, мы активно развиваем международное сотрудничество с Европолом и Интерполом, направленное на совершенствование как международных процедур взаимной правовой помощи, так и национального законодательства о составах преступлений и процедурах расследования.
💥В-третьих,  мы повышаем уровень киберграмотности (наших клиентов, партнеров, госорганов, населения), осведомленности об угрозах и способах защиты. Для нас это очень важное направление: без знаний невозможно эффективно противостоять киберпреступности.  Мы занимаемся не только повышение квалификации сотрудников правоохранительных органов и судей в области расследования киберпреступлений, но и рядовых граждан — проводим открытые лекции и семинары для сотрудников компаний,  студентов и школьников.
💥В-четвертых, мы выводим новые продукты для страхования киберрисков — в конце 2012 года мы вместе с одним из лидеров рынка страхования, компанией AIG, начали первыми в России предлагать программу страхования от киберугроз. Потом пошли дальше и запустили комплексную программу Group-IB TDS & AIG CyberEdge по защите от хакерских атак и реагированию на киберинциденты.
💥И, наконец, что тоже немаловажно,  мы добились развенчания романтического ореола вокруг хакеров, а за киберпреступления стали давать серьезные сроки, связанные с лишением свободы (в 2000-гг киберпреступники отделывались условными сроками).

Большая часть хакеров следует за деньгами. 👻 Рост числа атак и сумм хищений является ярким индикатором финансовой активности киберпреступников, изменения их тактики и целей. Если хакеры находят новые, более высокооплачиваемые и безопасные способы заработка, то начинают инвестировать именно туда, создавая новые инструменты, услуги, схемы проведения атак.
         
По нашим оценкам, ущерб от кибератак на российскую финансовую сферу за два года (H2 2015 - H1 2017) составил $ 117 375 000. 💰
Эта сумма складывается из:          
💥Хищений в интернет-банкинге у юридических лиц с использование вредоносных программ составили $27 млн. (Падение за год 35%)
💥Хищений в интернет-банкинге у физических лиц с использование вредоносных программ — $ 375 000 (рост за год 144%)
💥Целевых атак на банки  $70 млн
💥 Хищений у физических лиц с Andoird-троянами  — $ 20 млн

Компьютерная преступность стала масштабнее и опаснее традиционной организованной преступности. По нашим оценкам, суммарный ущерб экономике России от киберпреступности к началу 2016 года достиг ​203,3 миллиардов рублей ​или ​0,25% от ВВП России,​ что равняется почти половине бюджетных расходов на здравоохранение в 2015 году!                                                                                            
Долгое время банки и их  клиенты были главной целью киберпреступников. Но теперь у них сильный конкуренты в лице ICO и блокчейн-стартапов  —   все, что связано с криптовалютами привлекает внимание хакеров🔥🔥🔥. Если раньше финансовые учреждения опасались взломщиков-грабителей, то теперь новой и более серьезной для них угрозой могут стать хакеры, финансируемые различными государствами. Их целью станет слежка за финансовыми потоками, сбор компромата на интересующих их клиентов банков, а также нарушение работоспособности внутреннеий инфраструктуры — саботаж и диверсии.

15–16 ноября Group-IB примет участие в мероприятии Blockchain & Bitcoin Conference Moscow. Генеральный директор и основатель компании Илья Сачков станет участником дискуссионной панели, посвященной технологии Blockchain, а технический руководитель направления защиты блокчейн-проектов, Александр Лазаренко, расскажет о проекте по защите $30-миллионного ICO от кибератак. Узнать подробнее об услугах Group-IB по обеспечению безопасности блокчейн стартапов и пообщаться с экспертами компании можно будет на стенде G9. https://moscow.blockchainconf.world/ru

Blockchain & Bitcoin Conference Moscow – крупнейшее в СНГ мероприятие, посвященное криптовалютам и криптосообществу, проводится уже в шестой раз. В этом году конференцию посетят 40 спикеров, более 60 экспонентов, а площадь проведения форума составит 3200 м2. B&BC Moscow пройдет в КВЦ «Сокольники», павильон № 4.1, 5-й Лучевой просек, д. 7, стр. 1.

Добрый день, будьте бдительны! В социальных сетях активизировались мошенники, которые от имени сотрудников крупнейших российских банков пытаются выманить у клиентов кредитных организаций данные их банковских карт. Об этом рассказали в компании Group-IB.

Двукратный рост активности подобных злоумышленников, по информации ведущего аналитика центра реагирования на инциденты информационной безопасности компании Ярослава Каргалева, был зафиксирован осенью. «Еженедельно мы выявляем и блокируем десятки поддельных аккаунтов банков», — отметил он, добавив, что, судя по всему, по данной схеме работает сразу несколько преступных группировок.

При этом наибольшую активность мошенники, как уточнил собеседник газеты, проявляют во «ВКонтакте». Из-за размера клиентской базы и хорошо узнаваемого фирменного стиля чаще всего они работают с клиентами Сбербанка. Жертв, по данным экспертов Group-IB, злоумышленники ищут на страничках официальных групп кредитных организаций.​

Подробнее на РБК:
http://www.rbc.ru/technology_and_media/15/11/2017/5a0be65d9a7947c70d12a8a0