И к сегодняшней новости о схеме "агрегатор": фейковое мобильное приложение "Банки на ладони" на деле оказалось Android-трояном, позволившим его автору стать миллионером. Правда, рублевым и ненадолго. Хакер задержан. Как можно детектировать заражение устройства мобильными троянами?

Например, вот так. С помощью Group-IB Threat Detection System (TDS)

Все на #ПМЭФ2018! Group-IB принимает активное участие в стартовавшем сегодня Санкт-Петербургском международном экономическом форуме (ПМЭФ’18). Где можно встретиться и пообщаться с главой компании Ильей Сачковым:

💥Завтра, 25 мая, в 10:15 в Конгресс-центре (Конференц-зал D4) пройдет панельная сессия о защите авторских прав и роли борьбы с пиратством в развитии легального контента, участие в которой примет основатель Group-IB Илья Сачков.

💥Вечером 25 мая Илья выступит модератором глобальной сессии "Экосистема инновационно-креативного предпринимательства: от образования до успешных стартапов”. Среди ее участников — Алексей Кудрин, Председатель Счетной палаты РФ, Кирилл Андросов, Управляющий директор Altera Investment Fund, Меир Бранд, вице-президент, Google Inc., Ярослав Кузьминов, ректор «Высшей школы экономики» и многие другие. Судя по составу, дискуссия будет обстоятельной и яркой. Мероприятие начнется в 16.30 в Конгресс-центре зал D3. Присоединяйтесь!

💥В субботу 26 мая в рамках молодежного ПМЭФ'18 пройдет форсайт-сессия «Экономика доверия - ключевой драйвер интеграции большой Евразии», в работе которой также примет активное участие глава Group-IB. Начало: 10.00 (павильон H, конференц-зал Н23). Ждем!

Кроме того, стенд Group-IB развернут в рамках экспозиции Российского экспортного центра. По любым вопросы относительно организации интервью в рамках ПМЭФ2018 обращайтесь к нам: pr@group-ib.ru

Встречаемся на ПМЭФ2018!

На ПМЭФ2018 началась "антипиратская сессия". Какие шаги необходимо принять крупнейшим отечественным и зарубежным игрокам медиаотрасли для противодействия распространению пиратского контента в глобальной сети? Станет ли отраслевое саморегулирование эффективным инструментом для борьбы с пиратством? На эти вопросы отвечают участники встречи, в том числе Илья Сачков, глава Group-IB.

Прямая трансляция  доступна на сайте тут: https://www.forumspb.com/programme/57270/#broadcast

Историей о расследовании кейса  "Агрегатор" и аресте волгоградского хакера заинтересовались  иностранные эксперты по ИБ - подробности в блоге Пьерлуиджи Паганини. https://securityaffairs.co/wordpress/72869/malware/cybercriminal-arrested-mobile-malware.html

Свежее фото с полей ПМЭФ’18. Илья Сачков, основатель Group-IB,  с участниками “антипиратской сессии” — Александром Акоповым, генеральным директором  «КОСМОС Студио», Олегом Тумановым, генеральным директором «Иви.ру», Дмитрием Сергеевым, первым замом генерального директора Mail.Ru Group, Екатериной Мцитуридзе, генеральным директором «Роскино»; Дмитрием Чернышенко, генеральным директором  «Газпром-медиа Холдинг», Павлом Степановым, президентом «Медиа-коммуникационный союз» (МКС)  и др.

С этой статьи портал VC начинает серию публикаций о работе нашей компании. Сотрудники отдела расследований Group-IB — самого боевого и засекреченного — рассказали о том, как они раскрывают преступления. https://vc.ru/38583-true-cyberdetective

А мы продолжаем нашу трансляцию с ПМЭФ’18. Прямо сейчас идет  глобальная сессия "Экосистема инновационно-креативного предпринимательства: от образования до успешных стартапов”, модерирует которую Илья Сачков. Участники дискуссии — Алексей Кудрин, Председатель Счетной палаты РФ, Кирилл Андросов, Управляющий директор Altera Investment Fund, Меир Бранд, вице-президент, Google Inc., Ярослав Кузьминов, ректор «Высшей школы экономики» обсудят лучшие мировые практики в области создания экосистемы для инновационного предпринимательства, пути обеспечения акселерации и продвижения проектов. Подключайтесь! Прямая трансляция сессии доступна здесь: https://www.forumspb.com/programme/56967/#broadcast

Group-IB сегодня обнародовала новый отчет «Cobalt: эволюция и совместные операции», раскрывающий преступления группы Cobalt.  По данным Европола, хакеры похитили свыше 1 млрд. евро. После ареста лидера группировки весной этого года атаки не прекратились.  Последние фишинговые рассылки в российские и иностранные финансовые организации зафиксированы  23 и 28 мая. В новом отчете  эксперты Threat Intelligence Group-IB  приводят уникальные доказательства связи Cobalt и группы Anunak (Carbanak), анализируют их совместные атаки и используемые инструменты для взлома систем SWIFT, карточного процессинга, платежных шлюзов. Предположительно, что в новой майской атаке группы также действовали вместе. https://www.group-ib.ru/media/group-ib-cobalts-latest-attacks-on-banks-confirms-connection-to-anunak/

23 мая Group-IB зафиксировала новую масштабную кибератаку Cobalt на ведущие банки России и СНГ. Это было похоже на вызов: фишинговая рассылка шла от имени известной антивирусной компании. Сотрудники банков получили «жалобу» на английском языке, что их компьютеры якобы нарушают законодательство. Пользователям предлагали внимательно ознакомиться с поясняющим документом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. В нашем официальном блоге Рустам Миркасымов, эксперт по киберразведке Group-IB,  рассказал о подробностях этой атаки и о новом отчете «Cobalt: эволюция и совместные операции», в котором эксперты Group-IB  впервые приводят доказательства связи Cobalt и группы Anunak, анализируют их совместные операции и используемые инструменты для атак. https://www.group-ib.ru/blog/renaissance

Здесь можно получить новый отчет "Cobalt: эволюция и совместные операции", в котором рассказано о том, как менялись инструменты, тактика и цели хакерской группировки, похитившей около 1 млрд евро у 100 банков в 40 странах мира. https://www.group-ib.ru/resources/threat-research/cobalt-evolution.html

Из отчета вы узнаете, что:
📌Хищения через SWIFT в банках Гонконга и Украины преступники проводили совместно с группировкой Anunak;
📌В среднем время от проникновения до вывода денег составляло 3-4 недели, а сумма хищения — 100 млн руб;
📌Cobalt развивали инструменты, часто меняли локации и шпионили за внутренними системами жертвы при подготовке к атаке;
📌 Печально известный во всем мире вирус-шифровальщик Petya был использован Cobalt в ходе взлома российского банка.
📌Группа часто атакует банки через посредников и нетипичные цели, взламывая, системных интеграторов, страховые агентства и СМИ.

В базе рассылки, которую регулярно использует Cobalt, есть как минимум 86 различных организаций по всему миру. В этот список входят банки, страховые компании, СМИ, лизинговые  и строительные компании, интернет-провайдеры, юридические конторы, интеграторы в СНГ, США, Европе, Азии - фактически, по всему земному шару. Из этого списка злоумышленники формируют "подписки" в зависимости от целей атаки, примерно половина базы приходится на Россию. При этом по факту список атакуемых организаций может быть шире, и, скорее всего, это так.

Подробнее на ТАСС:
http://tass.ru/ekonomika/5243425

Вот так выглядело письмо, которое группа Cobalt рассылала в банки 23 мая от имени антивирусной компании. Эксперты Group-IB довольно быстро нашли связь рассылки с Cobalt: использовалась их уникальная троянская программа Coblnt, которая стояла на вооружении группы с конца декабря 2017. Почтовая рассылка шла с доменного имени kaspersky-corporate[.]com, который регистрировался тем же лицом, что и доменные имена из прошлых рассылок Cobalt. Но были и особенности: впервые было использовано название антивирусного вендора и первая волна рассылок содержала пустой эксплоит ThreadKit без полезной нагрузки. Раньше подобных промахов хакеры из Cobalt не допускали. Впрочем, обнаружив ошибку, злоумышленники исправились.

Мы часто наблюдаем "слияния и поглощения" среди криминальных структур и вербовку отдельных хакеров для совершения кибератак. В отчете  "Cobalt: эволюция и совместные операции" мы впервые публично заявили о совместных операциях группы Cobalt и Anunak (Carbanak), а также приводим ретроспективу наиболее значимых атак с 2016 по 2017 год. В более раннем исследовании 2016 года мы связывали появление Cobalt с прекращением существования другой̆ группы – Buhtrap. Между последней атакой Buhtrap и первой атакой Cobalt в России прошло три месяца. Именно в этот период группа Cobalt подготовила свою инфраструктуру и совершила хищения через SWIFT в банках Гонконга и Украины. О том, что к атакам на SWIFT причастны именно Cobalt, говорит уникальный загрузчик (stager), который использовали только они. Однако для Cobalt образца 2016 года эти атаки были неожиданно сложными технически. Кроме того, сам процесс обнала денег, выведенных через SWIFT, всегда являлся нетривиальной задачей. Эти факты указывали на вероятное наличие сообщников. Связь с группой Anunak удалось найти только спустя 1.5 года (в 2017 году), когда в одном из сложных инцидентов в ходе мероприятий по реагированию нами был обнаружен уникальный SSH-бэкдор, который использовался группой Anunak в 2014-м году.  Подробнее - в отчете  https://www.group-ib.ru/resources/threat-research/cobalt-evolution.html

Эксперты Роскачества при содействии Group-IB проверили 31 приложение по поиску работы для Android и  iOS на наличие уязвимостей, вредоносных программ и безопасность передачи данных. И выяснили, например, что  некоторые приложения частично не шифруют контент.  Это делает гаджеты уязвимыми для атак.   «Для современного человека использование мобильных приложений является довольно простым и удобным способом поиска работы, — говорит Вячеслав Васин, ведущий аналитик Group-IB. — Наиболее серьезная угроза, с которой могут столкнуться пользователи таких приложений — это несанкционированный доступ к их персональным данным. Эта угроза может быть реализована из-за небезопасного хранения и непреднамеренных утечек данных или за счет небезопасной передачи данных. Последствия для пользователей могут быть самыми плачевными: от появления в публичном доступе их приватной информации до кражи их денег с банковских счетов».
Чтобы не стать жертвой, эксперты советуют пользователям соблюдать достаточно простые правила:
💥загружать и устанавливать приложения только из официальных источников (магазинов);
💥анализировать отзывы других пользователей и количество скачиваний;
💥ограничивать запрашиваемые разрешения при установке приложений;
💥не использовать приложения при подключении в общественных (бесплатных) Wi-Fi сетях;
💥не вводить данные банковских карт в сомнительных приложениях.
💥И самое важное - не делиться с приложением той информацией, которую вы не хотели бы увидеть в публичном доступе в интернете.
Подробнее об исследовании: https://roskachestvo.gov.ru/news/roskachestvo-obnaruzhilo-nebezopasnye-mobilnye-prilozheniya-dlya-poiska-raboty/