Size: a a a
2018 August 02
2018 August 10
Group-IB фиксирует новые вспышки угрозы нелегитимного майнинга (криптоджекинга) в сетях коммерческих и государственных организаций. По данным системы Group-IB Threat Intelligence, за год количество объявлений на теневых форумах, в которых предлагаются программы для майнинга на продажу или в аренду, увеличилось в 5 раз (H1 2018 против H1 2017). Опасной тенденцией эксперты Group-IB называют широкую доступность троянов-майнеров, предназначенных для использования чужих устройств и инфраструктуры в целях нелегитимной генерации различных типов криптовалюты. Минимальная цена на программы для скрытого майнинга составила 0,5$, в среднем стоимость — $10. https://www.group-ib.ru/media/cryptojacking/
Любое устройство — компьютер, смартфон, IoT, сервер и тд. может быть использовано для криптоджекинга, поэтому детектирования на уровне рабочих станций недостаточно. При этом каждый день появляются новые виды программ для майнинга, которые умеют обходить традиционные системы безопасности. Многие компании уже стали жертвами скрытого майнинга, а это значит:
📍Прямые финансовые потери — повышенные затраты на электричество;
📍Угроза для устойчивости и непрерывности
процессов — замедление работы и быстрый износ аппаратных средств;
📍Угроза для безопасности — заражение инфраструктуры, отказ корпоративных приложений, сетей и систем;
📍Риски со стороны комплаенса и регуляторов.
📍Прямые финансовые потери — повышенные затраты на электричество;
📍Угроза для устойчивости и непрерывности
процессов — замедление работы и быстрый износ аппаратных средств;
📍Угроза для безопасности — заражение инфраструктуры, отказ корпоративных приложений, сетей и систем;
📍Риски со стороны комплаенса и регуляторов.
2018 August 13
В прошлом году злоумышленники украли у владельцев Android-смартфонов через атаки на приложения и мобильные сайты банков более 1 миллиарда рублей. Мошенники придумывают новые способы хищения денег и информации через мобильные устройства пользователей: от зловредных банковских приложений, полностью имитирующих легитимные, до фальшивых обновлений, распространяемых через фишинговые рассылки и СМС. Количество различных версий мобильных троянов выросло на 54% в 2017 году по сравнению с 2016.
В этот четверг, 16 августа, Павел Крылов, руководитель по развитию продукта Group-IB Secure Bank, проведет вебинар на тему "Безопасность банковских приложений: Как выявлять атаки в мобильном канале".
Присоединяйтесь к вебинару, чтобы узнать:
📍последние тренды мобильного мошенничества;
📍как предотвратить мошенничество через мобильные банковские приложения;
📍как выявить кросс-канальные и кросс-банковские атаки при помощи технологии мобильного SDK.
Начало: 11.00 (мск). Регистрация: https://register.gotowebinar.com/register/7101459023619546113?source=smm
В этот четверг, 16 августа, Павел Крылов, руководитель по развитию продукта Group-IB Secure Bank, проведет вебинар на тему "Безопасность банковских приложений: Как выявлять атаки в мобильном канале".
Присоединяйтесь к вебинару, чтобы узнать:
📍последние тренды мобильного мошенничества;
📍как предотвратить мошенничество через мобильные банковские приложения;
📍как выявить кросс-канальные и кросс-банковские атаки при помощи технологии мобильного SDK.
Начало: 11.00 (мск). Регистрация: https://register.gotowebinar.com/register/7101459023619546113?source=smm
2018 August 14
Военное управление Следственного комитета России приобрело за 5 млн рублей два китайских криминалистических комплекса iDC-8811 Forensic MagiCube для дублирования и анализа данных с цифровых носителей, сообщает BBC. Говорится, что “Волшебные кубы” способны якобы декодировать историю сообщений в Telegram, Skype, Viber и других мессенджерах. На самом деле есть большие сомнения в том, что китайский “волшебный куб” может вытягивать зашифрованную переписку из Telegram — ведь это всего лишь дубликатор (копировать и просматривать файлы, загруженные в Telegram Desktop на девайсе - это пожалуйста). Устройство не предназначено для анализа и декодирования сетевого трафика, иначе ФСБ и Роскомнадзору не надо было добиваться выдачи ключей шифрования от Telegram, а просто купить побольше "криминалистических чемоданчиков”. Ранее, например, рассказывал глава СК, ведомство пользовалось устройствами израильской компании Cellebrite и с помощью взлома трех iPhone 5, принадлежавших подозреваемым, удалось вычислить контрабандистов бразильской свинины в Крыму. Есть и более серьезные риски. Руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин обращает внимание на то, что устройства подобного класса взаимодействуют со своей головной компанией, со своим облаком, и не всегда понятно, какого рода данные туда передаются. “Учитывая, что область приобретения - это расследования, которые ведет Следственный комитет, военное управление, то информация может быть довольно чувствительная по уголовным делам, например, которая явно не должна уходить за пределы России”, - замечает эксперт.
2018 August 16
Меньше двух месяцев осталось до главного события года в мире кибербезопасности. СyberСrimeСon/18, легендарная глобальная конференция, на полях которой международные эксперты открыто говорят о крупнейших кибератаках года, о проправительственных хакерских группах и новых угрозах для бизнеса и государств, в этом году пройдет с 9 по 10 октября в Москве.
Хотите узнать, кто из ведущих спикеров Центральной и Восточной Европы, Азии и Ближнего Востока выступит в этом году? С гордостью представляем первых участников ССС2018:
🕵️ Takayuki Oku, заместитель директора Интерпола (Сингапур);
🕵️ Feng Xue, основатель ThreatBook, первой частной ThreatIntelligence-компаний в Китае (Пекин);
🕵️ Heiko Löhr, глава отдела противодействия киберпреступлениям Федеральной полиции Германии (Берлин);
🕵️ Joep Gommers, CEO Eclectic IQ (Амстердам) ;
🕵️ Enrico Lovat, руководитель направления Cyber Threat Intelligence Siemens (Мюнхен);
🕵️ Illyas Kooliyankal, крупнейший эксперт в области информационной безопасности Ближнего Востока (Абу Даби);
🕵️ Sharifah Roziah Mohd Kassim, специалист CyberSecurity Malaysia, MyCERT (Куала Лумпур);
🕵️ Frankie Li, Независимый аналитик вредоносного ПО Dragon Advance Tech (Гонконг);
Список спикеров постоянно расширяется, мы открыты к сотрудничеству и готовы предоставить уникальную возможность оказаться на одной сцене с глобальными игроками рынка кибербезопасности. Условие одно: новая, нигде ранее не звучавшая тема, связанная с тематикой конференции и имеющая международные потенциал.
Уже знаете, о чем рассказать самой качественной аудитории в сфере ИБ?
Заполните форму на сайте конференции: https://2018.group-ib.ru/#rec58924918 или отправьте письмо на почту cfp@group-ib.ru, указав тему вашего выступления, краткие тезисы и свою биографию.
Забронируйте время и место в календаре: 9-10 октября, Москва, Цифровое Деловое Пространство (Покровка, 47).
Ждем!
СyberСrimeСon/18
Главная конференция года о тенденциях развития киберпреступлений и технологиях проактивной защиты
Хотите узнать, кто из ведущих спикеров Центральной и Восточной Европы, Азии и Ближнего Востока выступит в этом году? С гордостью представляем первых участников ССС2018:
🕵️ Takayuki Oku, заместитель директора Интерпола (Сингапур);
🕵️ Feng Xue, основатель ThreatBook, первой частной ThreatIntelligence-компаний в Китае (Пекин);
🕵️ Heiko Löhr, глава отдела противодействия киберпреступлениям Федеральной полиции Германии (Берлин);
🕵️ Joep Gommers, CEO Eclectic IQ (Амстердам) ;
🕵️ Enrico Lovat, руководитель направления Cyber Threat Intelligence Siemens (Мюнхен);
🕵️ Illyas Kooliyankal, крупнейший эксперт в области информационной безопасности Ближнего Востока (Абу Даби);
🕵️ Sharifah Roziah Mohd Kassim, специалист CyberSecurity Malaysia, MyCERT (Куала Лумпур);
🕵️ Frankie Li, Независимый аналитик вредоносного ПО Dragon Advance Tech (Гонконг);
Список спикеров постоянно расширяется, мы открыты к сотрудничеству и готовы предоставить уникальную возможность оказаться на одной сцене с глобальными игроками рынка кибербезопасности. Условие одно: новая, нигде ранее не звучавшая тема, связанная с тематикой конференции и имеющая международные потенциал.
Уже знаете, о чем рассказать самой качественной аудитории в сфере ИБ?
Заполните форму на сайте конференции: https://2018.group-ib.ru/#rec58924918 или отправьте письмо на почту cfp@group-ib.ru, указав тему вашего выступления, краткие тезисы и свою биографию.
Забронируйте время и место в календаре: 9-10 октября, Москва, Цифровое Деловое Пространство (Покровка, 47).
Ждем!
СyberСrimeСon/18
Главная конференция года о тенденциях развития киберпреступлений и технологиях проактивной защиты
2018 August 17
Visa настаивает, чтобы после 2020 г. все банкоматы в России принимали бесконтактные карты и бесконтактные устройства. Есть ли риски с точки зрения безопасности?
“Инициатива очень хорошая, — считает Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики Group-IB. — Основная проблема безопасности обычных банковских карт — их магнитная полоса. Зная данные магнитной полосы, можно изготовить дубликат карты, чем пользуются злоумышленники, устанавливая на банкоматы накладки-скиммеры, заражая POS-терминалы, итд.
Бесконтактный способ, основанный на использовании NFC-чипа (Near field communication «ближняя бесконтактная связь»), защищен от скимминга. Если карту не вставлять в картридер, а прикладывать к NFC-ридеру, изготовить дубликат не получится. Радиообмен авторизует одноразовую сессию снятия денег, к тому же пользователь может заранее установить лимиты на бесконтактную оплату.
С точки зрения безопасности все хорошо. С точки зрения железа проблем возникнуть не должно — можно выпускать новые банкоматы либо старые оборудовать NFC-ридером ( стоят они в районе $100-200). Сложности могут возникнуть на уровне совместимости ПО с новым железом — к некоторым моделям старых банкоматов производители уже не выпускают обновлений”. #лаба #atm #скимминг
“Инициатива очень хорошая, — считает Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики Group-IB. — Основная проблема безопасности обычных банковских карт — их магнитная полоса. Зная данные магнитной полосы, можно изготовить дубликат карты, чем пользуются злоумышленники, устанавливая на банкоматы накладки-скиммеры, заражая POS-терминалы, итд.
Бесконтактный способ, основанный на использовании NFC-чипа (Near field communication «ближняя бесконтактная связь»), защищен от скимминга. Если карту не вставлять в картридер, а прикладывать к NFC-ридеру, изготовить дубликат не получится. Радиообмен авторизует одноразовую сессию снятия денег, к тому же пользователь может заранее установить лимиты на бесконтактную оплату.
С точки зрения безопасности все хорошо. С точки зрения железа проблем возникнуть не должно — можно выпускать новые банкоматы либо старые оборудовать NFC-ридером ( стоят они в районе $100-200). Сложности могут возникнуть на уровне совместимости ПО с новым железом — к некоторым моделям старых банкоматов производители уже не выпускают обновлений”. #лаба #atm #скимминг
Открыта регистрация на вебинар "Дорожная карта криминалиста при реагировании на инцидент", который 23 августа проведет ведущий тренер по компьютерной криминалистике Group-IB Анастасия Баринова.
Как правильно скоординировать действия сотрудников при возникновении инцидента ИБ? Анастасия поделится полезными советами, которые помогут освоить современные практики реагирования и актуальные способы поиска индикаторов компрометации инфраструктуры на различных уровнях. Регистрация здесь: https://register.gotowebinar.com/register/3299284043095819523?source=SMM
Как правильно скоординировать действия сотрудников при возникновении инцидента ИБ? Анастасия поделится полезными советами, которые помогут освоить современные практики реагирования и актуальные способы поиска индикаторов компрометации инфраструктуры на различных уровнях. Регистрация здесь: https://register.gotowebinar.com/register/3299284043095819523?source=SMM
2018 August 20
С 2019 года в России может появиться возможность совершать покупки в интернет-магазинах с помощью e-mail, сообщают "Известия". Пользователю нужно будет скачать приложение (разработка ассоциации «Финтех» при Банке России), после чего — привязать номер карты к своему e-mail. При прохождении процесса оплаты в всплывающем окне следует указать сумму перевода, а также электронную почту. Иные реквизиты — номер, срок действия и CVV-код карты, вводить уже будет не нужно. Безопасно ли это? “С точки зрения противодействия фишингу новая схема выглядит довольно безопасно, поскольку пользователь не вводит реальные данные своей карты (номер карты, имя и CVV-код) для осуществления платежа, — замечает Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики Group-IB.— Другой вопрос, как именно будет работать механизм использования электронного почтового адреса и подтверждения оплаты? Если это просто некий идентификатор — карта привязана к почте и, вводя почту и полученный код по СМС , совершаешь оплату — все быстро и просто. А, если почта используется, как подтверждение платежа — и пользователю приходит электронное письмо с подтверждением оплаты, надо перейти по ссылке и т.д., то здесь сразу же возникают риски, связанные со слабой защищенностью почтовых сервисов. Обеспечить безопасность электронной почты — это отдельная задача. Далеко не все пользователи используют стойкие пароли и двухфакторную аутентификацию, более того — даже не все почтовые сервисы это поддерживают и не могут считаться безопасными”. https://news.ru/den-gi/pochta-elektronnaya-pokupki-oplata/
2018 August 21
Американская Microsoft заявила, что зафиксировала новые попытки связанных с Россией хакеров оказать влияние на выборы в конгресс США, которые пройдут в ноябре. Подразделение Microsoft Digital Crimes Unit (DCU) выполнило судебный приказ о передаче контроля над шестью интернет-доменами, созданными "группой, тесно связанной с российским правительством", Strontium (Fancy Bear, APT28). Они, пишет компания, создавали веб-страницы и URL-адреса, которые выглядели как сайты, интересующие их потенциальных жертв.
Сергей Никитин, эксперт лаборатории компьютерной криминалистики Group-IB:
Подобные заявления о причастности “Москвы” к хакерским атакам мы видели в СМИ неоднократно. Так это или нет? Чтобы избежать голословных и политизированных заключений, мы ждем технический отчет, который будет содержать все индикаторы, данные о вредоносном коде, использованных доменах, регистраторах, IP, конкретных журналах, конкретных серверов и других данных, который может проверить любой независимый специалист в области кибербезопасности в любой точке мира. Обладая таким отчетом, можно говорить об атрибуции, то есть о соотнесении инструментов, используемых в атаке, с конкретной группой.
Подобные заявления о причастности “Москвы” к хакерским атакам мы видели в СМИ неоднократно. Так это или нет? Чтобы избежать голословных и политизированных заключений, мы ждем технический отчет, который будет содержать все индикаторы, данные о вредоносном коде, использованных доменах, регистраторах, IP, конкретных журналах, конкретных серверов и других данных, который может проверить любой независимый специалист в области кибербезопасности в любой точке мира. Обладая таким отчетом, можно говорить об атрибуции, то есть о соотнесении инструментов, используемых в атаке, с конкретной группой.
Дмитрий Волков, CTO Group-IB, глава направления Threat Intelligence (киберразведка):
Идентифицировать хакеров можно как по уникальному набору инструментов, так и по их “почерку” — тактике действий, в том числе способу первоначального входа в сеть. Некоторые группы, как например, Cobalt, специализирующаяся на атаках на финансовые учреждения, используют одни и те же инструменты и методы для проведения атак. Уникальный троян, написанный конкретной группой, сразу «выдаст» группу и позволит связать все их эпизоды в одну цепочку. Атрибуция, то есть соотнесение инструментов, используемых в атаке, с конкретной группой, их тактики проведения атак – это высший пилотаж расследований, который усложняется фактически с каждой новой атакой.
В одном случае киберпреступники, как это происходит, например, с группой MoneyTaker, путают следы, «чистят» все улики, указывающие на них. Однако бывает, что хакеры специально оставляют ложный след, чтобы увести форензик-экспертов в сторону. Например, северокорейская группировка Lazarus использовала эксплойты и инструменты, созданные русскоговорящими хакерами, а также технично “переводила стрелки” на «русских хакеров». В модуль, отвечающий за пересылку сетевого трафика, были добавлены отладочные символы и строки с русскими словами, написанными на латинице для описания команд, которые может получить вредоносная программа от сервера управления. Впрочем, мы обратили внимание, что использованные слова являются нехарактерными для носителя русского языка, а в случае с командой «poluchit» значение слова противоречит самому действию. Кроме того, они использовали эксплойты и инструменты, созданные русскоговорящими хакерами.
Идентифицировать хакеров можно как по уникальному набору инструментов, так и по их “почерку” — тактике действий, в том числе способу первоначального входа в сеть. Некоторые группы, как например, Cobalt, специализирующаяся на атаках на финансовые учреждения, используют одни и те же инструменты и методы для проведения атак. Уникальный троян, написанный конкретной группой, сразу «выдаст» группу и позволит связать все их эпизоды в одну цепочку. Атрибуция, то есть соотнесение инструментов, используемых в атаке, с конкретной группой, их тактики проведения атак – это высший пилотаж расследований, который усложняется фактически с каждой новой атакой.
В одном случае киберпреступники, как это происходит, например, с группой MoneyTaker, путают следы, «чистят» все улики, указывающие на них. Однако бывает, что хакеры специально оставляют ложный след, чтобы увести форензик-экспертов в сторону. Например, северокорейская группировка Lazarus использовала эксплойты и инструменты, созданные русскоговорящими хакерами, а также технично “переводила стрелки” на «русских хакеров». В модуль, отвечающий за пересылку сетевого трафика, были добавлены отладочные символы и строки с русскими словами, написанными на латинице для описания команд, которые может получить вредоносная программа от сервера управления. Впрочем, мы обратили внимание, что использованные слова являются нехарактерными для носителя русского языка, а в случае с командой «poluchit» значение слова противоречит самому действию. Кроме того, они использовали эксплойты и инструменты, созданные русскоговорящими хакерами.
2018 August 23
Открыта регистрация на вебинар руководителя отдела расследований Group-IB Сергея Лупанина "Почти идеальное киберпреступление. Расследование в деталях". Сергей расскажет о методах расследования преступлений в сфере высоких технологий и поиска злоумышленников с помощью собственной системы, основанной на технологиях анализа больших данных. Начало — 29 августа в 11:00 (МСК). Регистрация только с корпоративной почты тут: https://attendee.gotowebinar.com/register/1086941303685161987?source=telegram
2018 August 24
Group-IB открывает представительство в Тюмени. Ранее на форуме INNOWEEK 2018, в июне этого года, было подписано соглашение о намерениях между правительством Тюменской области и компанией Group-IB. Планируется, что тюменский офис распахнет свои двери уже в начале осени. https://www.group-ib.ru/media/tyumen
